דף זה תורגם על ידי Cloud Translation API.

Policy

ייצוג ב-JSON
קישור
- ייצוג ב-JSON
Expr
- ייצוג ב-JSON
AuditConfig
- ייצוג ב-JSON
AuditLogConfig
- ייצוג ב-JSON
LogType

מדיניות של ניהול זהויות והרשאות גישה (IAM), שמציינת אמצעי בקרת גישה למשאבי Google Cloud.

Policy הוא אוסף של bindings. binding מקשר members אחד או יותר, או חשבונות משתמשים, ל-role יחיד. חשבונות משתמשים, חשבונות שירות, קבוצות Google ודומיינים (כמו G Suite) יכולים לשמש כחשבונות משתמשים. role היא רשימת הרשאות בעלת שם. כל role יכול להיות תפקיד מוגדר מראש ב-IAM או תפקיד בהתאמה אישית שנוצר על ידי משתמש.

בחלק מסוגי המשאבים ב-Google Cloud, אפשר לציין ב-binding גם condition, שהוא ביטוי לוגי שמאפשר גישה למשאב רק אם הערך של הביטוי הוא true. תנאי יכול להוסיף אילוצים על סמך מאפיינים של הבקשה, של המשאב או של שניהם. במסמכי העזרה של IAM מוסבר אילו משאבים תומכים בתנאים במדיניות IAM שלהם.

דוגמה ל-JSON:

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

דוגמה ל-YAML:

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

תיאור של IAM והמאפיינים שלו זמין במסמכי העזרה של IAM.

ייצוג ב-JSON
{ "version": integer, "bindings": [ { object (`Binding`) } ], "auditConfigs": [ { object (`AuditConfig`) } ], "etag": string }

שדות
`version`	`integer` מציין את הפורמט של המדיניות. הערכים החוקיים הם `0`,‏ `1` ו-`3`. בקשות עם ערך לא חוקי יידחו. כל פעולה שמשפיעה על קישורי תפקידים מותנים חייבת לציין את הגרסה `3`. הדרישה הזו חלה על הפעולות הבאות: אחזור מדיניות שכוללת קישור תפקיד מותנה הוספה של קישור תפקיד מותנה למדיניות שינוי של קישור תפקיד מותנה במדיניות הסרה של קישור תפקיד, עם או בלי תנאי, ממדיניות שכוללת תנאים חשוב: אם משתמשים בתנאים של IAM, צריך לכלול את השדה `etag` בכל קריאה ל-`setIamPolicy`. אם משמיטים את השדה הזה, IAM מאפשר להחליף את מדיניות הגרסה `3` במדיניות הגרסה `1`, וכל התנאים במדיניות הגרסה `3` אבדו. אם מדיניות לא כוללת תנאים, אפשר לציין כל גרסה תקינה בפעולות על המדיניות הזו או להשאיר את השדה ללא הגדרה. במסמכי העזרה של IAM מוסבר אילו משאבים תומכים בתנאים במדיניות IAM שלהם.
`bindings[]`	`object (Binding)` שיוך של רשימת `members`, או חשבונות משתמשים, ל-`role`. אפשר גם לציין `condition` שקובע איך ומתי ה-`bindings` יחולו. כל אחד מה-`bindings` חייב להכיל לפחות חשבון משתמש אחד. השדה `bindings` ב-`Policy` יכול להפנות עד 1,500 חשבונות משתמשים, ועד 250 מחשבונות המשתמשים האלה יכולים להיות קבוצות Google. כל מופע של חשבון משתמש נספר במגבלות האלה. לדוגמה, אם ה-`bindings` מקצים 50 תפקידים שונים ל-`user:alice@example.com`, ולא לחשבון משתמש אחר, תוכלו להוסיף עוד 1,450 חשבונות משתמשים ל-`bindings` ב-`Policy`.
`auditConfigs[]`	`object (AuditConfig)` הגדרת רישום ביומני ביקורת בענן עבור המדיניות הזו.
`etag`	`string (bytes format)` השדה `etag` משמש לבקרת בו-זמניות אופטימיסטית, כדי למנוע מצב שבו עדכונים בו-זמניים של מדיניות יחליפו אחד את השני. מומלץ מאוד שהמערכות ישתמשו ב-`etag` במחזור הקריאה-שינוי-כתיבה כדי לבצע עדכוני מדיניות, כדי למנוע תנאי תחרות: `etag` מוחזר בתגובה ל-`getIamPolicy`, והמערכות אמורות להוסיף את תג ה-etag הזה לבקשה ל-`setIamPolicy` כדי לוודא שהשינוי שלהן יחול על אותה גרסת המדיניות. חשוב: אם משתמשים בתנאים של IAM, צריך לכלול את השדה `etag` בכל קריאה ל-`setIamPolicy`. אם משמיטים את השדה הזה, IAM מאפשר להחליף את מדיניות הגרסה `3` במדיניות הגרסה `1`, וכל התנאים במדיניות הגרסה `3` אבדו. מחרוזת בקידוד Base64.

קישור

משייך members, או חשבונות משתמשים, ל-role.

ייצוג ב-JSON
{ "role": string, "members": [ string ], "condition": { object (`Expr`) } }

שדות

שדות
`role`	`string` התפקיד שהוקצה לרשימת `members`, או לחשבונות המשתמשים. לדוגמה, `roles/viewer`, `roles/editor` או `roles/owner`. סקירה כללית על התפקידים וההרשאות ב-IAM מופיעה במסמכי העזרה של IAM. כאן תוכלו למצוא רשימה של התפקידים המוגדרים מראש שזמינים.
`members[]`	`string` חשבונות המשתמשים שמבקשים גישה למשאב ב-Google Cloud. ‫`members` יכול לקבל את הערכים הבאים: `allUsers`: מזהה מיוחד שמייצג את כל מי שמשתמש באינטרנט, עם או בלי חשבון Google. `allAuthenticatedUsers`: מזהה מיוחד שמייצג כל מי שאומת באמצעות חשבון Google או חשבון שירות. לא כולל זהויות שמגיעות מספקי זהויות חיצוניים (IdPs) דרך איחוד שירותי אימות הזהות. `user:{emailid}`: כתובת אימייל שמייצגת חשבון Google ספציפי. לדוגמה, `alice@example.com` . `serviceAccount:{emailid}`: כתובת אימייל שמייצגת חשבון שירות של Google. לדוגמה, `my-other-app@appspot.gserviceaccount.com`. `serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]`: מזהה של חשבון שירות ב-Kubernetes. לדוגמה, `my-project.svc.id.goog[my-namespace/my-kubernetes-sa]`. `group:{emailid}`: כתובת אימייל שמייצגת קבוצה ב-Google. לדוגמה, `admins@example.com`. `domain:{domain}`: דומיין G Suite (ראשי) שמייצג את כל המשתמשים בדומיין הזה. לדוגמה, `google.com` או `example.com`. `principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}`: זהות יחידה במאגר זהויות של כוח עבודה. `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{groupId}`: כל הזהויות של כוח העבודה בקבוצה. `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}`: כל הזהויות של כוח העבודה עם ערך מאפיין ספציפי. `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/`: כל הזהויות במאגר זהויות של כוח עבודה. `principal://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}`: זהות אחת במאגר זהויות של כוח עבודה. `principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/group/{groupId}`: קבוצה במאגר הזהויות של כוח העבודה. `principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}`: כל הזהויות במאגר זהויות של כוח עבודה עם מאפיין מסוים. `principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/`: כל הזהויות במאגר הזהויות של כוח העבודה. `deleted:user:{emailid}?uid={uniqueid}`: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת משתמש שנמחק לאחרונה. לדוגמה, `alice@example.com?uid=123456789012345678901`. אם המשתמש יתאושש, הערך הזה יחזור ל-`user:{emailid}` והמשתמש שחזר ישמור על התפקיד בקישור. `deleted:serviceAccount:{emailid}?uid={uniqueid}`: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת חשבון שירות שנמחק לאחרונה. לדוגמה, `my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901`. אם מבטלים את המחיקה של חשבון השירות, הערך הזה חוזר לערך `serviceAccount:{emailid}` וחשבון השירות שלא נמחק שומר על התפקיד בקישור. `deleted:group:{emailid}?uid={uniqueid}`: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת קבוצת Google שנמחקה לאחרונה. לדוגמה, `admins@example.com?uid=123456789012345678901`. אם הקבוצה תתאושש, הערך הזה יחזור ל-`group:{emailid}` והקבוצה המשוחזרת תמשיך לשמור על התפקיד שלה בקישור. `deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}`: זהות יחידה שנמחקה במאגר זהויות של כוח עבודה. לדוגמה, `deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value`.
`condition`	`object (Expr)` התנאי שמשויך לקישור הזה. אם התנאי מקבל את הערך `true`, הקישור הזה חל על הבקשה הנוכחית. אם התנאי מקבל את הערך `false`, הקישור הזה לא חל על הבקשה הנוכחית. עם זאת, קישור תפקידים אחר עשוי להקצות את אותו תפקיד לחשבון משתמש אחד או יותר בקישור הזה. במסמכי העזרה של IAM מוסבר אילו משאבים תומכים בתנאים במדיניות IAM שלהם.

role

string

התפקיד שהוקצה לרשימת members, או לחשבונות המשתמשים. לדוגמה, roles/viewer, roles/editor או roles/owner.

סקירה כללית על התפקידים וההרשאות ב-IAM מופיעה במסמכי העזרה של IAM. כאן תוכלו למצוא רשימה של התפקידים המוגדרים מראש שזמינים.

members[]

string

חשבונות המשתמשים שמבקשים גישה למשאב ב-Google Cloud. ‫members יכול לקבל את הערכים הבאים:

allUsers: מזהה מיוחד שמייצג את כל מי שמשתמש באינטרנט, עם או בלי חשבון Google.
allAuthenticatedUsers: מזהה מיוחד שמייצג כל מי שאומת באמצעות חשבון Google או חשבון שירות. לא כולל זהויות שמגיעות מספקי זהויות חיצוניים (IdPs) דרך איחוד שירותי אימות הזהות.
user:{emailid}: כתובת אימייל שמייצגת חשבון Google ספציפי. לדוגמה, alice@example.com .

serviceAccount:{emailid}: כתובת אימייל שמייצגת חשבון שירות של Google. לדוגמה, my-other-app@appspot.gserviceaccount.com.
serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: מזהה של חשבון שירות ב-Kubernetes. לדוגמה, my-project.svc.id.goog[my-namespace/my-kubernetes-sa].
group:{emailid}: כתובת אימייל שמייצגת קבוצה ב-Google. לדוגמה, admins@example.com.

domain:{domain}: דומיין G Suite (ראשי) שמייצג את כל המשתמשים בדומיין הזה. לדוגמה, google.com או example.com.

principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: זהות יחידה במאגר זהויות של כוח עבודה.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{groupId}: כל הזהויות של כוח העבודה בקבוצה.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}: כל הזהויות של כוח העבודה עם ערך מאפיין ספציפי.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/*: כל הזהויות במאגר זהויות של כוח עבודה.
principal://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}: זהות אחת במאגר זהויות של כוח עבודה.
principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/group/{groupId}: קבוצה במאגר הזהויות של כוח העבודה.
principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}: כל הזהויות במאגר זהויות של כוח עבודה עם מאפיין מסוים.
principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/*: כל הזהויות במאגר הזהויות של כוח העבודה.
deleted:user:{emailid}?uid={uniqueid}: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת משתמש שנמחק לאחרונה. לדוגמה, alice@example.com?uid=123456789012345678901. אם המשתמש יתאושש, הערך הזה יחזור ל-user:{emailid} והמשתמש שחזר ישמור על התפקיד בקישור.
deleted:serviceAccount:{emailid}?uid={uniqueid}: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת חשבון שירות שנמחק לאחרונה. לדוגמה, my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. אם מבטלים את המחיקה של חשבון השירות, הערך הזה חוזר לערך serviceAccount:{emailid} וחשבון השירות שלא נמחק שומר על התפקיד בקישור.
deleted:group:{emailid}?uid={uniqueid}: כתובת אימייל (פלוס מזהה ייחודי) שמייצגת קבוצת Google שנמחקה לאחרונה. לדוגמה, admins@example.com?uid=123456789012345678901. אם הקבוצה תתאושש, הערך הזה יחזור ל-group:{emailid} והקבוצה המשוחזרת תמשיך לשמור על התפקיד שלה בקישור.
deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: זהות יחידה שנמחקה במאגר זהויות של כוח עבודה. לדוגמה, deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value.

condition

object (Expr)

התנאי שמשויך לקישור הזה.

אם התנאי מקבל את הערך true, הקישור הזה חל על הבקשה הנוכחית.

אם התנאי מקבל את הערך false, הקישור הזה לא חל על הבקשה הנוכחית. עם זאת, קישור תפקידים אחר עשוי להקצות את אותו תפקיד לחשבון משתמש אחד או יותר בקישור הזה.

במסמכי העזרה של IAM מוסבר אילו משאבים תומכים בתנאים במדיניות IAM שלהם.

Expr

מייצג ביטוי טקסטואלי בסינטקס של Common Expression Language ‏ (CEL). CEL היא שפת ביטויים שדומה ל-C. התחביר והסמנטיקה של CEL מתועדים בכתובת https://github.com/google/cel-spec.

דוגמה (השוואה):

title: "Summary size limit"
description: "Determines if a summary is less than 100 chars"
expression: "document.summary.size() < 100"

דוגמה (שוויון):

title: "Requestor is owner"
description: "Determines if requestor is the document owner"
expression: "document.owner == request.auth.claims.email"

דוגמה (לוגיקה):

title: "Public documents"
description: "Determine whether the document should be publicly visible"
expression: "document.type != 'private' && document.type != 'internal'"

דוגמה (מניפולציה של נתונים):

title: "Notification string"
description: "Create a notification string with a timestamp."
expression: "'New message received at ' + string(document.create_time)"

המשתנים והפונקציות הספציפיים שאפשר להפנות אליהם בתוך ביטוי נקבעים על ידי השירות שמעריך אותו. מידע נוסף זמין במסמכי התיעוד של השירות.

ייצוג ב-JSON
{ "expression": string, "title": string, "description": string, "location": string }

שדות
`expression`	`string` ייצוג טקסטואלי של ביטוי בתחביר של Common Expression Language.
`title`	`string` זה שינוי אופציונלי. כותרת לביטוי, כלומר מחרוזת קצרה שמתארת את המטרה שלו. אפשר להשתמש באפשרות הזו, למשל, בממשקי משתמש שמאפשרים להזין את הביטוי.
`description`	`string` זה שינוי אופציונלי. תיאור הביטוי. זהו טקסט ארוך יותר שמתאר את הביטוי, למשל כשמעבירים מעליו את העכבר בממשק המשתמש.
`location`	`string` זה שינוי אופציונלי. מחרוזת שמציינת את המיקום של הביטוי לדיווח על שגיאות, למשל שם קובץ ומיקום בקובץ.

AuditConfig

הגדרת הביקורת של שירות. ההגדרה קובעת אילו סוגי הרשאות יירשמו ביומן, ואילו זהויות, אם בכלל, פטורות מהרשמה ביומן. אובייקט AuditConfig חייב לכלול לפחות אובייקט AuditLogConfig אחד.

אם יש הגדרות AuditConfig גם ל-allServices וגם לשירות ספציפי, האיחוד של שתי הגדרות AuditConfig ישמש את השירות הזה: סוגי היומנים (log_types) שצוינו בכל הגדרת AuditConfig יופעלו, והחברי-הקבוצה שמוגדרים כפטורים (exemptedMembers) בכל הגדרת AuditLogConfig יהיו פטורים.

דוגמה למדיניות עם כמה AuditConfigs:

{
  "auditConfigs": [
    {
      "service": "allServices",
      "auditLogConfigs": [
        {
          "logType": "DATA_READ",
          "exemptedMembers": [
            "user:jose@example.com"
          ]
        },
        {
          "logType": "DATA_WRITE"
        },
        {
          "logType": "ADMIN_READ"
        }
      ]
    },
    {
      "service": "sampleservice.googleapis.com",
      "auditLogConfigs": [
        {
          "logType": "DATA_READ"
        },
        {
          "logType": "DATA_WRITE",
          "exemptedMembers": [
            "user:aliya@example.com"
          ]
        }
      ]
    }
  ]
}

ב-sampleservice, המדיניות הזו מפעילה את הרישום ביומן של DATA_READ, ‏ DATA_WRITE ו-ADMIN_READ. הוא גם פטורה את jose@example.com מרישום ביומן של DATA_READ ואת aliya@example.com מרישום ביומן של DATA_WRITE.

ייצוג ב-JSON
{ "service": string, "auditLogConfigs": [ { object (`AuditLogConfig`) } ] }

שדות

שדות
`service`	`string` שירות שיופעל עבור רישום ביומן ביקורת. לדוגמה, `storage.googleapis.com`, ‏ `cloudsql.googleapis.com`. הערך `allServices` הוא ערך מיוחד שכולל את כל השירותים.
`auditLogConfigs[]`	`object (AuditLogConfig)` ההגדרה של הרישום ביומן לכל סוג הרשאה.

service

string

שירות שיופעל עבור רישום ביומן ביקורת. לדוגמה, storage.googleapis.com, ‏ cloudsql.googleapis.com. הערך allServices הוא ערך מיוחד שכולל את כל השירותים.

auditLogConfigs[]

object (AuditLogConfig)

ההגדרה של הרישום ביומן לכל סוג הרשאה.

AuditLogConfig

ההגדרה של רישום ביומן של סוג הרשאה. דוגמה:

{
  "auditLogConfigs": [
    {
      "logType": "DATA_READ",
      "exemptedMembers": [
        "user:jose@example.com"
      ]
    },
    {
      "logType": "DATA_WRITE"
    }
  ]
}

כך מפעילים את הרישום ביומן של 'DATA_READ' ושל 'DATA_WRITE', תוך החרגה של jose@example.com מהרישום ביומן של DATA_READ.

ייצוג ב-JSON
{ "logType": enum (`LogType`), "exemptedMembers": [ string ] }

שדות

שדות
`logType`	`enum (LogType)` סוג היומן שההגדרה הזו מפעילה.
`exemptedMembers[]`	`string` זהו הערך שמציין את הזהויות שלא גורמות לרישום ביומן עבור סוג ההרשאה הזה. לפי אותו פורמט של `Binding.members`.

logType

enum (LogType)

סוג היומן שההגדרה הזו מפעילה.

exemptedMembers[]

string

זהו הערך שמציין את הזהויות שלא גורמות לרישום ביומן עבור סוג ההרשאה הזה. לפי אותו פורמט של Binding.members.

LogType

רשימת סוגי ההרשאות התקפים שאפשר להגדיר עבורם רישום ביומן. פעולות כתיבה של אדמינים תמיד מתועדות ביומן, ואי אפשר להגדיר אותן.

טיפוסים בני מנייה (enum)
`LOG_TYPE_UNSPECIFIED`	תרחישים ברירת מחדל. הערך הזה אף פעם לא אמור להופיע.
`ADMIN_READ`	האדמין קורא. דוגמה: CloudIAM getIamPolicy
`DATA_WRITE`	כתיבת נתונים. דוגמה: CloudSQL Users create
`DATA_READ`	קריאת נתונים. דוגמה: רשימת המשתמשים ב-CloudSQL

Policy קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

קישור

Expr

AuditConfig

AuditLogConfig

LogType

Policy