승인 필요
리소스의 액세스 제어 정책을 가져옵니다. 이러한 정책 또는 리소스가 없는 경우 비어 있을 수 있습니다. 지금 사용해 보기
요청
HTTP 요청
GET https://www.googleapis.com/deploymentmanager/v2/projects/project/global/deployments/resource/getIamPolicy
매개변수
| 매개변수 이름 | 값 | 설명 |
|---|---|---|
| 경로 매개변수 | ||
project |
string |
이 요청에 관련된 프로젝트 ID입니다. |
resource |
string |
이 요청의 리소스 이름 또는 ID입니다. |
승인
이 요청에는 다음 범위 중 하나 이상에 대한 승인이 필요합니다 (인증 및 승인 자세히 알아보기).
| 범위 |
|---|
https://www.googleapis.com/auth/cloud-platform |
https://www.googleapis.com/auth/ndev.cloudman |
요청 본문
이 메소드를 사용할 때는 요청 본문을 제공하지 마세요.
응답
요청에 성공할 경우 이 메소드는 다음과 같은 구조의 응답 본문을 반환합니다.
{
"version": integer,
"bindings": [
{
"role": string,
"members": [
string
],
"condition": {
"expression": string,
"title": string,
"description": string,
"location": string
}
}
],
"auditConfigs": [
{
"service": string,
"exemptedMembers": [
string
],
"auditLogConfigs": [
{
"logType": string,
"exemptedMembers": [
string
]
}
]
}
],
"rules": [
{
"description": string,
"permissions": [
string
],
"action": string,
"ins": [
string
],
"notIns": [
string
],
"conditions": [
{
"iam": string,
"sys": string,
"svc": string,
"op": string,
"values": [
string
]
}
],
"logConfigs": [
{
"counter": {
"metric": string,
"field": string
},
"dataAccess": {
"logMode": string
},
"cloudAudit": {
"logName": string,
"authorizationLoggingOptions": {
"permissionType": string
}
}
}
]
}
],
"etag": bytes,
"iamOwned": boolean
}| 속성 이름 | 값 | 설명 | 참고 |
|---|---|---|---|
version |
integer |
지원 중단됨. |
|
bindings[] |
list |
`members` 목록을 `role`에 연결합니다. 구성원이 없는 `bindings` 를 사용하면 오류가 발생합니다. | |
bindings[].role |
string |
`members`에 할당된 역할입니다. 예를 들어 `roles/viewer`, `roles/editor` 또는 `roles/owner`입니다. | |
bindings[].members[] |
list |
Cloud Platform 리소스에 대한 액세스를 요청하는 ID를 지정합니다. `members` 는 다음 값을 가질 수 있습니다. * `allUsers`: Google 계정 유무와 관계없이 인터넷에 있는 모든 사용자를 나타내는 특수 식별자입니다. * `allAuthenticatedUsers`: Google 계정 또는 서비스 계정으로 인증된 모든 사용자를 나타내는 특수 식별자입니다. * `user:{emailid}`: 특정 Google 계정을 나타내는 이메일 주소입니다. 예를 들면 `alice@gmail.com`입니다 . * `serviceAccount:{emailid}`: 서비스 계정을 나타내는 이메일 주소입니다. 예를 들어 `my-other-app@appspot.gserviceaccount.com`입니다. * `group:{emailid}`: Google 그룹을 나타내는 이메일 주소입니다. 예: `admins@example.com`. * `domain:{domain}`: 해당 도메인의 모든 사용자를 나타내는 G Suite 도메인 (기본)입니다. 예: `google.com` 또는 `example.com`. |
|
auditConfigs[] |
list |
이 정책의 Cloud Audit Logging 구성을 지정합니다. |
|
auditConfigs[].service |
string |
감사 로깅을 사용 설정할 서비스를 지정합니다. 예를 들면 `storage.googleapis.com`, `cloudsql.googleapis.com` 등입니다. `allServices` 는 모든 서비스를 포괄하는 특수한 값입니다. | |
auditConfigs[].exemptedMembers[] |
list |
||
auditConfigs[].auditLogConfigs[] |
list |
각 권한 유형의 로깅에 대한 구성입니다. | |
auditConfigs[].auditLogConfigs[].logType |
string |
이 구성이 사용 설정하는 로그 유형입니다. | |
auditConfigs[].auditLogConfigs[].exemptedMembers[] |
list |
이 권한 유형을 로깅하지 않는 ID를 지정합니다. [Binding.members][]와 동일한 형식을 따릅니다. | |
rules[] |
list |
규칙이 두 개 이상 지정된 경우 규칙은 다음과 같은 방식으로 적용됩니다. - 일치하는 모든 LOG 규칙이 항상 적용됩니다. - DENY/DENY_WITH_LOG 규칙이 일치하면 권한이 거부됩니다. 일치하는 규칙에 로깅이 필요한 경우 로깅이 적용됩니다. - 그 외의 경우 ALLOW/ALLOW_WITH_LOG 규칙이 일치하면 권한이 부여됩니다. 일치하는 규칙에 로깅이 필요한 경우 로깅이 적용됩니다. - 적용되는 규칙이 없는 경우 권한이 거부됩니다. | |
rules[].description |
string |
인간이 읽을 수 있는 규칙 설명입니다. | |
rules[].permissions[] |
list |
권한은 ' |
|
rules[].action |
string |
필수 | |
rules[].ins[] |
list |
'in' 절이 하나 이상 지정된 경우 PRINCIPAL/AUTHORITY_SELECTOR가 이러한 항목 중 하나 이상에 있으면 규칙이 일치합니다. | |
rules[].notIns[] |
list |
'not_in' 절이 하나 이상 지정된 경우 PRINCIPAL/AUTHORITY_SELECTOR가 항목에 없으면 규칙이 일치합니다. | |
rules[].conditions[] |
list |
충족해야 하는 추가 제한사항 규칙이 일치하려면 모든 조건이 통과해야 합니다. | |
rules[].conditions[].iam |
string |
IAM 시스템에서 제공하는 신뢰할 수 있는 속성입니다. | |
rules[].conditions[].sys |
string |
리소스를 소유하고 액세스 제어에 IAM 시스템을 사용하는 서비스에서 제공하는 신뢰할 수 있는 속성입니다. | |
rules[].conditions[].svc |
string |
서비스에서 실행된 신뢰할 수 있는 속성입니다. | |
rules[].conditions[].op |
string |
주제를 적용할 연산자입니다. | |
rules[].conditions[].values[] |
list |
조건의 객체입니다. | |
rules[].logConfigs[] |
list |
LOG 작업과 일치하는 항목의 경우 tech.iam.IAM.CheckPolicy 호출자에게 반환된 구성입니다. | |
rules[].logConfigs[].counter |
nested object |
카운터 옵션 | |
rules[].logConfigs[].counter.metric |
string |
업데이트할 측정항목입니다. | |
rules[].logConfigs[].counter.field |
string |
속성을 지정할 필드 값입니다. | |
etag |
bytes |
`etag` 는 동시에 발생한 여러 정책 업데이트가 서로를 덮어쓰지 않도록 방지하는 낙관적 동시 실행 제어에 사용됩니다. 시스템은 경합 상태를 방지하기 위해 정책 업데이트를 실행할 때 읽기-수정-쓰기 주기에서 `etag` 를 활용하는 것이 좋습니다. `etag` 는 `getIamPolicy`의 응답으로 반환되며, 시스템은 변경사항이 동일한 버전의 정책에 적용되도록 하려면 `setIamPolicy` 요청에 이 etag를 포함해야 합니다. `setIamPolicy` 호출 시 `etag`를 제공하지 않으면 기존 정책을 무조건 덮어씁니다. |
|
iamOwned |
boolean |
||
bindings[].condition |
nested object |
이 바인딩에 연결된 조건입니다. 참고: 조건이 충족되지 않으면 현재 바인딩을 통해 사용자에게 액세스가 허용되지 않습니다. 서로 다른 바인딩과 해당 조건은 독립적으로 검사됩니다. | |
bindings[].condition.expression |
string |
Common Expression Language 구문으로 된 표현식의 텍스트 표현입니다. 포함 메시지의 애플리케이션 컨텍스트에 따라 CEL의 잘 알려진 특성 세트 중에 무엇이 지원될지가 결정됩니다. |
|
bindings[].condition.title |
string |
표현식의 제목(선택사항)으로, 목적을 설명하는 짧은 문자열입니다. 표현식을 입력할 수 있는 UI 등에 사용할 수 있습니다. | |
bindings[].condition.description |
string |
표현식의 설명(선택사항)입니다. 표현식을 설명하는 더 긴 텍스트입니다. 예를 들어 UI에서 마우스를 가져갈 때 표시할 수 있습니다. | |
bindings[].condition.location |
string |
오류 보고를 위해 표현식의 위치를 나타내는 문자열(선택사항)입니다. 예를 들어 파일 이름 및 파일 내 위치일 수 있습니다. | |
rules[].logConfigs[].dataAccess |
nested object |
데이터 액세스 옵션 | |
rules[].logConfigs[].dataAccess.logMode |
string |
호출자의 실패 폐쇄 방식으로 Gin 로깅이 실행되어야 하는지 여부입니다. 이는 현재 LocalIAM 구현에서만 관련이 있습니다. 참고: go/345의 요구사항을 충족하기 위한 작업이 진행되는 동안에는 실패 폐쇄 방식으로 Gin에 로깅하는 기능이 지원되지 않습니다. 현재 LOG_FAIL_CLOSED 모드를 설정해도 아무런 효과가 없지만, 이를 지원하기 위한 작업이 진행 중이기 때문에 계속 존재합니다 (b/115874152). |
|
rules[].logConfigs[].cloudAudit |
nested object |
Cloud 감사 옵션 | |
rules[].logConfigs[].cloudAudit.logName |
string |
Cloud 감사 레코드에 채울 log_name입니다. |
|
rules[].logConfigs[].cloudAudit.authorizationLoggingOptions |
nested object |
Cloud Audit Logging 파이프라인에서 사용하는 정보입니다. | |
rules[].logConfigs[].cloudAudit.authorizationLoggingOptions.permissionType |
string |
확인된 권한 유형입니다. |
사용해 보기
아래의 API 탐색기를 사용하여 실시간 데이터를 대상으로 이 메소드를 호출하고 응답을 확인해 보세요. 또는 독립형 탐색기를 사용해 보세요.