Se usó la API de Cloud Translation para traducir esta página.

Deployments: setIamPolicy
bookmark_border Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Permite configurar la política de control de acceso en el recurso especificado. Reemplaza todas las políticas existentes. Pruébalo ahora.

Solicitud

Solicitud HTTP

POST https://www.googleapis.com/deploymentmanager/v2beta/projects/project/global/deployments/resource/setIamPolicy

Parámetros

Nombre del parámetro	Valor	Descripción
Parámetros de ruta de acceso
`project`	`string`	ID del proyecto para esta solicitud
`resource`	`string`	Es el nombre o el ID del recurso de esta solicitud.

Autorización

Esta solicitud requiere autorización con al menos uno de los siguientes permisos:

Alcance
`https://www.googleapis.com/auth/cloud-platform`
`https://www.googleapis.com/auth/ndev.cloudman`

Cuerpo de la solicitud

En el cuerpo de la solicitud, proporciona los datos con la siguiente estructura:

{
  "policy": {
    "version": integer,
    "bindings": [
      {
        "role": string,
        "members": [
          string
        ],
        "condition": {
          "expression": string,
          "title": string,
          "description": string,
          "location": string
        }
      }
    ],
    "auditConfigs": [
      {
        "service": string,
        "exemptedMembers": [
          string
        ],
        "auditLogConfigs": [
          {
            "logType": string,
            "exemptedMembers": [
              string
            ],
            "ignoreChildExemptions": boolean
          }
        ]
      }
    ],
    "rules": [
      {
        "description": string,
        "permissions": [
          string
        ],
        "action": string,
        "ins": [
          string
        ],
        "notIns": [
          string
        ],
        "conditions": [
          {
            "iam": string,
            "sys": string,
            "svc": string,
            "op": string,
            "values": [
              string
            ]
          }
        ],
        "logConfigs": [
          {
            "counter": {
              "metric": string,
              "field": string,
              "customFields": [
                {
                  "name": string,
                  "value": string
                }
              ]
            },
            "dataAccess": {
              "logMode": string
            },
            "cloudAudit": {
              "logName": string,
              "authorizationLoggingOptions": {
                "permissionType": string
              }
            }
          }
        ]
      }
    ],
    "etag": bytes,
    "iamOwned": boolean
  },
  "bindings": [
    {
      "role": string,
      "members": [
        string
      ],
      "condition": {
        "expression": string,
        "title": string,
        "description": string,
        "location": string
      }
    }
  ],
  "etag": bytes
}

Nombre de la propiedad	Valor	Descripción
`policy`	`nested object`	OBLIGATORIO. La política completa que se debe aplicar al "resource". El tamaño de la política se limita a unas pocas decenas de KB. En general, una política vacía es válida, pero algunos servicios (como Projects) podrían rechazarla.
`policy.version`	`integer`	Especifica el formato de la política. Los valores válidos son "0", "1" y "3". Se rechazan las solicitudes que especifican un valor no válido. Cualquier operación que afecte las vinculaciones de roles condicionales debe especificar la versión "3". Este requisito se aplica a las siguientes operaciones: * Obtener una política que incluya una vinculación de roles condicionales. * Agregar una vinculación de roles condicionales a una política. * Cambiar una vinculación de roles condicionales en una política. * Quitar cualquier vinculación de roles, con o sin condición, de una política que incluya condiciones. Importante: Si usas Condiciones de IAM, debes incluir el campo "etag" cada vez que llames a "setIamPolicy". Si omites este campo, IAM te permite reemplazar una política de versión "3" con una política de versión "1", y se pierden todas las condiciones de la política de versión "3". Si una política no incluye condiciones, las operaciones de esa política pueden especificar cualquier versión válida o dejar el campo sin configurar. Para saber qué recursos admiten condiciones en sus políticas de IAM, consulta la [documentación de IAM](https://cloud.google.com/iam/help/conditions/resource-policies).
`policy.bindings[]`	`list`	Asocia una lista de "members" a un "role". De forma opcional, puede especificar una "condition" que determine cómo y cuándo se aplican las "bindings". Cada uno de los "bindings" debe contener al menos un miembro.
`policy.bindings[].role`	`string`	Es el rol que se asigna a "members". Por ejemplo, "roles/viewer", "roles/editor" o "roles/owner".
`policy.bindings[].members[]`	`list`	Especifica qué identidades solicitan acceso al recurso de Cloud Platform. "members" puede tener los siguientes valores: * "allUsers": Un identificador especial que representa a cualquier persona que esté en Internet, con o sin una Cuenta de Google. * "allAuthenticatedUsers": Es un identificador especial que representa a cualquier persona que se autentique con una Cuenta de Google o una cuenta de servicio. * "user:{emailid}": Una dirección de correo electrónico que representa una Cuenta de Google específica. Por ejemplo, "alice@example.com". * "serviceAccount:{emailid}": Es una dirección de correo electrónico que representa una cuenta de servicio. Por ejemplo, "my-other-app@appspot.gserviceaccount.com". * "group:{emailid}": Es una dirección de correo electrónico que representa un Grupo de Google. Por ejemplo, "administradores@example.com". * "deleted:user:{emailid}?uid={uniqueid}": Es una dirección de correo electrónico (más el identificador único) que representa a un usuario que se borró recientemente. Por ejemplo, "alice@example.com?uid=123456789012345678901". Si el usuario se recupera, este valor se revierte a "user:{emailid}", y el usuario recuperado conserva el rol en la vinculación. * "deleted:serviceAccount:{emailid}?uid={uniqueid}": Una dirección de correo electrónico (más el identificador único) que representa una cuenta de servicio que se borró recientemente. Por ejemplo, "my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901". Si la cuenta de servicio se recupera, este valor se revierte a "serviceAccount:{emailid}", y la cuenta de servicio recuperada conserva el rol en la vinculación. * "deleted:group:{emailid}?uid={uniqueid}": Una dirección de correo electrónico (más el identificador único) que representa un Grupo de Google que se borró recientemente. Por ejemplo, "admins@example.com?uid=123456789012345678901". Si el grupo se recupera, este valor se revierte a "group:{emailid}", y el grupo recuperado conserva el rol en la vinculación. * "domain:{domain}": El dominio de G Suite (principal) que representa a todos los usuarios de ese dominio. Por ejemplo, "google.com" o "example.com".
`policy.bindings[].condition`	`nested object`	La condición asociada a esta vinculación. Si la condición se evalúa como "true", esta vinculación se aplica a la solicitud actual. Si la condición se evalúa como "false", esta vinculación no se aplica a la solicitud actual. Sin embargo, una vinculación de funciones diferente puede otorgar la misma función a uno o más de los miembros de esta vinculación. Para saber qué recursos admiten condiciones en sus políticas de IAM, consulta la [documentación de IAM](https://cloud.google.com/iam/help/conditions/resource-policies).
`policy.bindings[].condition.expression`	`string`	Representación textual de una expresión en sintaxis de Common Expression Language.
`policy.bindings[].condition.title`	`string`	Opcional. Título de la expresión (una string corta que describe el propósito de esta). Se puede usar, p. ej., en IU que permiten ingresar la expresión.
`policy.bindings[].condition.description`	`string`	Opcional. Descripción de la expresión. Es un texto más largo que describe la expresión (p. ej., cuando se coloca el cursor sobre ella en una IU).
`policy.bindings[].condition.location`	`string`	Opcional. Una string que indica la ubicación de la expresión para los informes de errores (p. ej., un nombre de archivo y una posición en este).
`policy.auditConfigs[]`	`list`	Especifica la configuración de Cloud Audit Logging para esta política.
`policy.auditConfigs[].service`	`string`	Especifica un servicio que se habilitará para el registro de auditoría. Por ejemplo, "storage.googleapis.com", "cloudsql.googleapis.com". "allServices" es un valor especial que abarca todos los servicios.
`policy.auditConfigs[].exemptedMembers[]`	`list`
`policy.auditConfigs[].auditLogConfigs[]`	`list`	La configuración para el registro de cada tipo de permiso.
`policy.auditConfigs[].auditLogConfigs[].logType`	`string`	El tipo de registro que habilita esta configuración.
`policy.auditConfigs[].auditLogConfigs[].exemptedMembers[]`	`list`	Especifica las identidades que no provocan registros para este tipo de permiso. Sigue el mismo formato de [Binding.members][].
`policy.auditConfigs[].auditLogConfigs[].ignoreChildExemptions`	`boolean`
`policy.rules[]`	`list`	Si se especifica más de una regla, estas se aplican de la siguiente manera: - Siempre se aplican todas las reglas de LOG que coincidan. - Si coincide alguna regla DENY/DENY_WITH_LOG, se deniega el permiso. Se aplicará el registro si una o más reglas coincidentes lo requieren. - De lo contrario, si coincide alguna regla ALLOW/ALLOW_WITH_LOG, se otorga el permiso. Se aplicará el registro si una o más reglas coincidentes lo requieren. - De lo contrario, si no se aplica ninguna regla, se deniega el permiso.
`policy.rules[].description`	`string`	Es una descripción legible por humanos de la regla.
`policy.rules[].permissions[]`	`list`	Un permiso es una cadena con el formato ".." (p.ej., 'storage.buckets.list'). Un valor de "" coincide con todos los permisos y una parte de verbo de "" (p.ej., 'storage.buckets.*') coincide con todos los verbos.
`policy.rules[].action`	`string`	Obligatorio
`policy.rules[].ins[]`	`list`	Si se especifican una o más cláusulas "in", la regla coincide si PRINCIPAL/AUTHORITY_SELECTOR está en al menos una de estas entradas.
`policy.rules[].notIns[]`	`list`	Si se especifican una o más cláusulas "not_in", la regla coincide si PRINCIPAL/AUTHORITY_SELECTOR no está en ninguna de las entradas.
`policy.rules[].conditions[]`	`list`	Restricciones adicionales que se deben cumplir Todas las condiciones deben cumplirse para que la regla coincida.
`policy.rules[].conditions[].iam`	`string`	Atributos de confianza que proporciona el sistema de IAM.
`policy.rules[].conditions[].sys`	`string`	Atributos de confianza que proporciona cualquier servicio que sea propietario de recursos y use el sistema de IAM para el control de acceso.
`policy.rules[].conditions[].svc`	`string`	Atributos de confianza que descarga el servicio
`policy.rules[].conditions[].op`	`string`	Es un operador para aplicar el asunto.
`policy.rules[].conditions[].values[]`	`list`	Los objetos de la condición.
`policy.rules[].logConfigs[]`	`list`	La configuración que se muestra a los llamadores de tech.iam.IAM.CheckPolicy para las entradas que coincidan con la acción LOG
`policy.rules[].logConfigs[].counter`	`nested object`	Opciones de contador.
`policy.rules[].logConfigs[].counter.metric`	`string`	La métrica que se actualizará.
`policy.rules[].logConfigs[].counter.field`	`string`	Es el valor del campo que se atribuirá.
`policy.rules[].logConfigs[].counter.customFields[]`	`list`	Campos personalizados
`policy.rules[].logConfigs[].counter.customFields[].name`	`string`	Name es el nombre del campo.
`policy.rules[].logConfigs[].counter.customFields[].value`	`string`	El valor es el valor del campo. Es importante que, a diferencia de CounterOptions.field, el valor aquí sea una constante que no se derive de IAMContext.
`policy.rules[].logConfigs[].dataAccess`	`nested object`	Opciones de acceso a los datos.
`policy.rules[].logConfigs[].dataAccess.logMode`	`string`
`policy.rules[].logConfigs[].cloudAudit`	`nested object`	Opciones de auditoría de Cloud
`policy.rules[].logConfigs[].cloudAudit.logName`	`string`	Es el nombre de registro que se propagará en el registro de auditoría de Cloud.
`policy.rules[].logConfigs[].cloudAudit.authorizationLoggingOptions`	`nested object`	Es la información que usa la canalización de Cloud Audit Logging.
`policy.rules[].logConfigs[].cloudAudit.authorizationLoggingOptions.permissionType`	`string`	Es el tipo de permiso que se verificó.
`policy.etag`	`bytes`	"etag" se usa para el control de simultaneidad optimista, como una forma de evitar que las actualizaciones simultáneas de una política se reemplacen entre sí. Se recomienda que los sistemas usen el "etag" en el ciclo de lectura, modificación y escritura para realizar actualizaciones de políticas y evitar condiciones de carrera: se muestra un "etag" en la respuesta a "getIamPolicy" y se espera que los sistemas coloquen ese etag en la solicitud a "setIamPolicy" para garantizar que el cambio se aplique a la misma versión de la política. Importante: Si usas Condiciones de IAM, debes incluir el campo "etag" cada vez que llames a "setIamPolicy". Si omites este campo, IAM te permite reemplazar una política de versión "3" por una de versión "1", y se pierden todas las condiciones de la política de versión "3".
`policy.iamOwned`	`boolean`
`bindings[]`	`list`	Flatten Policy para crear un formato de cable retrocompatible Obsoleto. Usa "policy" para especificar vinculaciones.
`bindings[].role`	`string`	Es el rol que se asigna a "members". Por ejemplo, "roles/viewer", "roles/editor" o "roles/owner".
`bindings[].members[]`	`list`	Especifica qué identidades solicitan acceso al recurso de Cloud Platform. "members" puede tener los siguientes valores: * "allUsers": Un identificador especial que representa a cualquier persona que esté en Internet, con o sin una Cuenta de Google. * "allAuthenticatedUsers": Es un identificador especial que representa a cualquier persona que se autentique con una Cuenta de Google o una cuenta de servicio. * "user:{emailid}": Una dirección de correo electrónico que representa una Cuenta de Google específica. Por ejemplo, "alice@example.com". * "serviceAccount:{emailid}": Es una dirección de correo electrónico que representa una cuenta de servicio. Por ejemplo, "my-other-app@appspot.gserviceaccount.com". * "group:{emailid}": Es una dirección de correo electrónico que representa un Grupo de Google. Por ejemplo, "administradores@example.com". * "deleted:user:{emailid}?uid={uniqueid}": Es una dirección de correo electrónico (más el identificador único) que representa a un usuario que se borró recientemente. Por ejemplo, "alice@example.com?uid=123456789012345678901". Si el usuario se recupera, este valor se revierte a "user:{emailid}", y el usuario recuperado conserva el rol en la vinculación. * "deleted:serviceAccount:{emailid}?uid={uniqueid}": Una dirección de correo electrónico (más el identificador único) que representa una cuenta de servicio que se borró recientemente. Por ejemplo, "my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901". Si la cuenta de servicio se recupera, este valor se revierte a "serviceAccount:{emailid}", y la cuenta de servicio recuperada conserva el rol en la vinculación. * "deleted:group:{emailid}?uid={uniqueid}": Una dirección de correo electrónico (más el identificador único) que representa un Grupo de Google que se borró recientemente. Por ejemplo, "admins@example.com?uid=123456789012345678901". Si el grupo se recupera, este valor se revierte a "group:{emailid}", y el grupo recuperado conserva el rol en la vinculación. * "domain:{domain}": El dominio de G Suite (principal) que representa a todos los usuarios de ese dominio. Por ejemplo, "google.com" o "example.com".
`bindings[].condition`	`nested object`	La condición asociada a esta vinculación. Si la condición se evalúa como "true", esta vinculación se aplica a la solicitud actual. Si la condición se evalúa como "false", esta vinculación no se aplica a la solicitud actual. Sin embargo, una vinculación de funciones diferente puede otorgar la misma función a uno o más de los miembros de esta vinculación. Para saber qué recursos admiten condiciones en sus políticas de IAM, consulta la [documentación de IAM](https://cloud.google.com/iam/help/conditions/resource-policies).
`bindings[].condition.expression`	`string`	Representación textual de una expresión en sintaxis de Common Expression Language.
`bindings[].condition.title`	`string`	Opcional. Título de la expresión (una string corta que describe el propósito de esta). Se puede usar, p. ej., en IU que permiten ingresar la expresión.
`bindings[].condition.description`	`string`	Opcional. Descripción de la expresión. Es un texto más largo que describe la expresión (p. ej., cuando se coloca el cursor sobre ella en una IU).
`bindings[].condition.location`	`string`	Opcional. Una string que indica la ubicación de la expresión para los informes de errores (p. ej., un nombre de archivo y una posición en este).
`etag`	`bytes`	Flatten Policy para crear un formato de cable retrocompatible Obsoleto. Usa "policy" para especificar el etag.

Respuesta

Si se aplica correctamente, este método muestra un cuerpo de respuesta con la siguiente estructura:

{
  "version": integer,
  "bindings": [
    {
      "role": string,
      "members": [
        string
      ],
      "condition": {
        "expression": string,
        "title": string,
        "description": string,
        "location": string
      }
    }
  ],
  "auditConfigs": [
    {
      "service": string,
      "exemptedMembers": [
        string
      ],
      "auditLogConfigs": [
        {
          "logType": string,
          "exemptedMembers": [
            string
          ],
          "ignoreChildExemptions": boolean
        }
      ]
    }
  ],
  "rules": [
    {
      "description": string,
      "permissions": [
        string
      ],
      "action": string,
      "ins": [
        string
      ],
      "notIns": [
        string
      ],
      "conditions": [
        {
          "iam": string,
          "sys": string,
          "svc": string,
          "op": string,
          "values": [
            string
          ]
        }
      ],
      "logConfigs": [
        {
          "counter": {
            "metric": string,
            "field": string,
            "customFields": [
              {
                "name": string,
                "value": string
              }
            ]
          },
          "dataAccess": {
            "logMode": string
          },
          "cloudAudit": {
            "logName": string,
            "authorizationLoggingOptions": {
              "permissionType": string
            }
          }
        }
      ]
    }
  ],
  "etag": bytes,
  "iamOwned": boolean
}

Nombre de la propiedad	Valor	Descripción
`version`	`integer`	Especifica el formato de la política. Los valores válidos son "0", "1" y "3". Se rechazan las solicitudes que especifican un valor no válido. Cualquier operación que afecte las vinculaciones de roles condicionales debe especificar la versión "3". Este requisito se aplica a las siguientes operaciones: * Obtener una política que incluya una vinculación de roles condicionales. * Agregar una vinculación de roles condicionales a una política. * Cambiar una vinculación de roles condicionales en una política. * Quitar cualquier vinculación de roles, con o sin condición, de una política que incluya condiciones. Importante: Si usas Condiciones de IAM, debes incluir el campo "etag" cada vez que llames a "setIamPolicy". Si omites este campo, IAM te permite reemplazar una política de versión "3" con una política de versión "1", y se pierden todas las condiciones de la política de versión "3". Si una política no incluye condiciones, las operaciones de esa política pueden especificar cualquier versión válida o dejar el campo sin configurar. Para saber qué recursos admiten condiciones en sus políticas de IAM, consulta la [documentación de IAM](https://cloud.google.com/iam/help/conditions/resource-policies).
`bindings[]`	`list`	Asocia una lista de "members" a un "role". De forma opcional, puede especificar una "condition" que determine cómo y cuándo se aplican las "bindings". Cada uno de los "bindings" debe contener al menos un miembro.
`bindings[].role`	`string`	Es el rol que se asigna a "members". Por ejemplo, "roles/viewer", "roles/editor" o "roles/owner".
`bindings[].members[]`	`list`	Especifica qué identidades solicitan acceso al recurso de Cloud Platform. "members" puede tener los siguientes valores: * "allUsers": Un identificador especial que representa a cualquier persona que esté en Internet, con o sin una Cuenta de Google. * "allAuthenticatedUsers": Es un identificador especial que representa a cualquier persona que se autentique con una Cuenta de Google o una cuenta de servicio. * "user:{emailid}": Una dirección de correo electrónico que representa una Cuenta de Google específica. Por ejemplo, "alice@example.com". * "serviceAccount:{emailid}": Es una dirección de correo electrónico que representa una cuenta de servicio. Por ejemplo, "my-other-app@appspot.gserviceaccount.com". * "group:{emailid}": Es una dirección de correo electrónico que representa un Grupo de Google. Por ejemplo, "administradores@example.com". * "deleted:user:{emailid}?uid={uniqueid}": Es una dirección de correo electrónico (más el identificador único) que representa a un usuario que se borró recientemente. Por ejemplo, "alice@example.com?uid=123456789012345678901". Si el usuario se recupera, este valor se revierte a "user:{emailid}", y el usuario recuperado conserva el rol en la vinculación. * "deleted:serviceAccount:{emailid}?uid={uniqueid}": Una dirección de correo electrónico (más el identificador único) que representa una cuenta de servicio que se borró recientemente. Por ejemplo, "my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901". Si la cuenta de servicio se recupera, este valor se revierte a "serviceAccount:{emailid}", y la cuenta de servicio recuperada conserva el rol en la vinculación. * "deleted:group:{emailid}?uid={uniqueid}": Una dirección de correo electrónico (más el identificador único) que representa un Grupo de Google que se borró recientemente. Por ejemplo, "admins@example.com?uid=123456789012345678901". Si el grupo se recupera, este valor se revierte a "group:{emailid}", y el grupo recuperado conserva el rol en la vinculación. * "domain:{domain}": El dominio de G Suite (principal) que representa a todos los usuarios de ese dominio. Por ejemplo, "google.com" o "example.com".
`bindings[].condition`	`nested object`	La condición asociada a esta vinculación. Si la condición se evalúa como "true", esta vinculación se aplica a la solicitud actual. Si la condición se evalúa como "false", esta vinculación no se aplica a la solicitud actual. Sin embargo, una vinculación de funciones diferente puede otorgar la misma función a uno o más de los miembros de esta vinculación. Para saber qué recursos admiten condiciones en sus políticas de IAM, consulta la [documentación de IAM](https://cloud.google.com/iam/help/conditions/resource-policies).
`bindings[].condition.expression`	`string`	Representación textual de una expresión en sintaxis de Common Expression Language.
`bindings[].condition.title`	`string`	Opcional. Título de la expresión (una string corta que describe el propósito de esta). Se puede usar, p. ej., en IU que permiten ingresar la expresión.
`bindings[].condition.description`	`string`	Opcional. Descripción de la expresión. Es un texto más largo que describe la expresión (p. ej., cuando se coloca el cursor sobre ella en una IU).
`bindings[].condition.location`	`string`	Opcional. Una string que indica la ubicación de la expresión para los informes de errores (p. ej., un nombre de archivo y una posición en este).
`auditConfigs[]`	`list`	Especifica la configuración de Cloud Audit Logging para esta política.
`auditConfigs[].service`	`string`	Especifica un servicio que se habilitará para el registro de auditoría. Por ejemplo, "storage.googleapis.com", "cloudsql.googleapis.com". "allServices" es un valor especial que abarca todos los servicios.
`auditConfigs[].exemptedMembers[]`	`list`
`auditConfigs[].auditLogConfigs[]`	`list`	La configuración para el registro de cada tipo de permiso.
`auditConfigs[].auditLogConfigs[].logType`	`string`	El tipo de registro que habilita esta configuración.
`auditConfigs[].auditLogConfigs[].exemptedMembers[]`	`list`	Especifica las identidades que no provocan registros para este tipo de permiso. Sigue el mismo formato de [Binding.members][].
`auditConfigs[].auditLogConfigs[].ignoreChildExemptions`	`boolean`
`rules[]`	`list`	Si se especifica más de una regla, estas se aplican de la siguiente manera: - Siempre se aplican todas las reglas de LOG que coincidan. - Si coincide alguna regla DENY/DENY_WITH_LOG, se deniega el permiso. Se aplicará el registro si una o más reglas coincidentes lo requieren. - De lo contrario, si coincide alguna regla ALLOW/ALLOW_WITH_LOG, se otorga el permiso. Se aplicará el registro si una o más reglas coincidentes lo requieren. - De lo contrario, si no se aplica ninguna regla, se deniega el permiso.
`rules[].description`	`string`	Es una descripción legible por humanos de la regla.
`rules[].permissions[]`	`list`	Un permiso es una cadena con el formato ".." (p.ej., 'storage.buckets.list'). Un valor de "" coincide con todos los permisos y una parte de verbo de "" (p.ej., 'storage.buckets.*') coincide con todos los verbos.
`rules[].action`	`string`	Obligatorio
`rules[].ins[]`	`list`	Si se especifican una o más cláusulas "in", la regla coincide si PRINCIPAL/AUTHORITY_SELECTOR está en al menos una de estas entradas.
`rules[].notIns[]`	`list`	Si se especifican una o más cláusulas "not_in", la regla coincide si PRINCIPAL/AUTHORITY_SELECTOR no está en ninguna de las entradas.
`rules[].conditions[]`	`list`	Restricciones adicionales que se deben cumplir Todas las condiciones deben cumplirse para que la regla coincida.
`rules[].conditions[].iam`	`string`	Atributos de confianza que proporciona el sistema de IAM.
`rules[].conditions[].sys`	`string`	Atributos de confianza que proporciona cualquier servicio que sea propietario de recursos y use el sistema de IAM para el control de acceso.
`rules[].conditions[].svc`	`string`	Atributos de confianza que descarga el servicio
`rules[].conditions[].op`	`string`	Es un operador para aplicar el asunto.
`rules[].conditions[].values[]`	`list`	Los objetos de la condición.
`rules[].logConfigs[]`	`list`	La configuración que se muestra a los llamadores de tech.iam.IAM.CheckPolicy para las entradas que coincidan con la acción LOG
`rules[].logConfigs[].counter`	`nested object`	Opciones de contador.
`rules[].logConfigs[].counter.metric`	`string`	La métrica que se actualizará.
`rules[].logConfigs[].counter.field`	`string`	Es el valor del campo que se atribuirá.
`rules[].logConfigs[].counter.customFields[]`	`list`	Campos personalizados
`rules[].logConfigs[].counter.customFields[].name`	`string`	Name es el nombre del campo.
`rules[].logConfigs[].counter.customFields[].value`	`string`	El valor es el valor del campo. Es importante que, a diferencia de CounterOptions.field, el valor aquí sea una constante que no se derive de IAMContext.
`rules[].logConfigs[].dataAccess`	`nested object`	Opciones de acceso a los datos.
`rules[].logConfigs[].dataAccess.logMode`	`string`
`rules[].logConfigs[].cloudAudit`	`nested object`	Opciones de auditoría de Cloud
`rules[].logConfigs[].cloudAudit.logName`	`string`	Es el nombre de registro que se propagará en el registro de auditoría de Cloud.
`rules[].logConfigs[].cloudAudit.authorizationLoggingOptions`	`nested object`	Es la información que usa la canalización de Cloud Audit Logging.
`rules[].logConfigs[].cloudAudit.authorizationLoggingOptions.permissionType`	`string`	Es el tipo de permiso que se verificó.
`etag`	`bytes`	"etag" se usa para el control de simultaneidad optimista, como una forma de evitar que las actualizaciones simultáneas de una política se reemplacen entre sí. Se recomienda que los sistemas usen el "etag" en el ciclo de lectura, modificación y escritura para realizar actualizaciones de políticas y evitar condiciones de carrera: se muestra un "etag" en la respuesta a "getIamPolicy" y se espera que los sistemas coloquen ese etag en la solicitud a "setIamPolicy" para garantizar que el cambio se aplique a la misma versión de la política. Importante: Si usas Condiciones de IAM, debes incluir el campo "etag" cada vez que llames a "setIamPolicy". Si omites este campo, IAM te permite reemplazar una política de versión "3" por una de versión "1", y se pierden todas las condiciones de la política de versión "3".
`iamOwned`	`boolean`