本页介绍了资源的内置身份,可让您在 IAM 允许政策中向资源授予角色。
内置身份
部分资源具有内置身份。借助这些身份,资源可以像主账号一样运作。因此,具有内置身份的资源可以执行以下操作:
例如,请考虑具有内置身份的参数管理器参数。参数有时需要访问 Secret Manager 才能正常运行。如需让参数访问 Secret Manager,您可以使用其标识符向其授予 Secret Manager Secret Accessor 角色 (roles/secretmanager.secretAccessor)。然后,该参数便可代表您访问 Secret Manager 密钥。
如需查看具有内置身份的资源列表,请参阅具有内置身份的资源。
您无法使用资源的内置身份对客户管理的工作负载(例如在 Compute Engine 实例上运行的工作负载)进行身份验证。如果您需要对工作负载进行身份验证,请使用Google 的身份验证方法中所述的方法之一。
向具有内置身份的资源授予角色
如果资源具有内置身份,您可以在允许政策中添加资源的主账号标识符,以向资源授予角色。如需了解应为每个资源的主账号标识符使用哪种格式,请参阅单个资源的主账号标识符。
IAM 还为具有共享特定特征(例如类型或祖先)的内置身份的资源集提供标识符。您可以在允许政策中使用这些标识符,为多个资源授予相同的角色。如需了解支持的格式,请参阅资源集的主账号标识符。