Esta página foi traduzida pela API Cloud Translation.

Referência de atributos para condições do IAM

Este documento descreve os atributos suportados numa expressão de condição.

Atributos de condição suportados

As secções seguintes resumem os atributos suportados e indicam que Google Cloud serviços reconhecem cada atributo.

Atributos do recurso

Os seguintes atributos estão relacionados com o recurso que é o assunto do pedido.

Atributo	Resumo de utilização	Serviços Google Cloud suportados
Atributo do serviço de recursos	Faça a gestão do acesso com base no Google Cloud serviço que está a ser usado. Pode usar este atributo em associações de funções de políticas de permissão.	Apigee Application Integration Apigee API Hub Serviço de cópia de segurança e RD BigQuery API BigQuery Reservation Bigtable Autorização binária Cloud Deploy Cloud Key Management Service Cloud Logging Cloud SQL Cloud Storage Compute Engine Dataform Google Kubernetes Engine Firestore Identity-Aware Proxy Integration Connectors Google Cloud Managed Service para Apache Kafka Gestor de parâmetros Pub/Sub Lite Resource Manager Secret Manager Spanner
Atributo de tipo de recurso	Faça a gestão do acesso com base no tipo de recurso. Pode usar este atributo em associações de funções de políticas de permissão.	Apigee Application Integration Apigee API Hub BigQuery API BigQuery Reservation Bigtable Autorização binária Cloud Key Management Service Cloud Logging Cloud SQL Cloud Storage Compute Engine Dataform Google Kubernetes Engine Firestore Identity-Aware Proxy Integration Connectors Google Cloud Managed Service para Apache Kafka Gestor de parâmetros Pub/Sub Lite Resource Manager Secret Manager Spanner
Atributo de nome do recurso	Faça a gestão do acesso com base no nome do recurso. Pode usar este atributo em associações de funções de políticas de permissão.	Apigee Application Integration Apigee API Hub Serviço de cópia de segurança e RD BigQuery API BigQuery Reservation Bigtable Autorização binária Cloud Deploy Cloud Key Management Service Cloud Logging Cloud SQL Cloud Storage Compute Engine Dataform Google Kubernetes Engine Firestore Integration Connectors Google Cloud Managed Service para Apache Kafka Gestor de parâmetros Pub/Sub Lite Secret Manager Spanner
Etiquetas de recursos	Faça a gestão do acesso com base nas etiquetas anexadas ao recurso. Pode usar este atributo nos seguintes locais: Permitir associações de funções de políticas Regras de negação de políticas de negação	Todos os Google Cloud serviços (consulte a secção Suporte para condições herdadas) Nota: determinadas áreas da consola não reconhecem associações de funções de políticas de autorização com condições baseadas em etiquetas. Google Cloud Como resultado, se tiver uma função com uma condição baseada em etiquetas, a consola Google Cloud pode impedir incorretamente que realize determinadas ações. Se encontrar este problema, use um método alternativo, como a CLI gcloud, para realizar a ação.

Para ver mais detalhes sobre os atributos de recursos, consulte a secção Atributos de recursos nesta página.

Atributos principais

Os seguintes atributos estão relacionados com o principal que está a fazer o pedido.

Atributo	Resumo de utilização	Tipos de diretor suportados
Atributo de tipo principal	Aplicar políticas com base no tipo de principal no pedido. Pode usar este atributo em associações de políticas para políticas de limite de acesso principal.	Contas do Google Identidades do Workforce Identity Pool Identidades do Workload Identity Pool Contas de serviço
Atributo de assunto principal	Aplicar políticas com base na identidade do principal no pedido. Pode usar este atributo em associações de políticas para políticas de limite de acesso principal.	Contas do Google Identidades do Workforce Identity Pool Identidades do Workload Identity Pool Contas de serviço

Atributo

Resumo de utilização

Tipos de diretor suportados

Atributo de tipo principal

Aplicar políticas com base no tipo de principal no pedido.

Pode usar este atributo em associações de políticas para políticas de limite de acesso principal.

Contas do Google
Identidades do Workforce Identity Pool
Identidades do Workload Identity Pool
Contas de serviço

Atributo de assunto principal

Aplicar políticas com base na identidade do principal no pedido.

Pode usar este atributo em associações de políticas para políticas de limite de acesso principal.

Contas do Google
Identidades do Workforce Identity Pool
Identidades do Workload Identity Pool
Contas de serviço

Para mais detalhes sobre os atributos principais, consulte Atributos principais nesta página.

Atributos de pedido

Os seguintes atributos estão relacionados com os detalhes do pedido.

Atributo	Resumo de utilização	Serviços Google Cloud suportados
Atributo de níveis de acesso	Faça a gestão do acesso com base em níveis de acesso específicos. Um nível de acesso é um atributo calculado com base em atributos não processados acerca do pedido e do requerente, como o endereço IP de origem, os atributos do dispositivo e a hora do dia. Por exemplo, um `onNetwork` nível de acesso pode exigir que o dispositivo que faz o pedido tenha origem num intervalo de endereços IP específico. Os níveis de acesso são definidos pelos administradores de uma organização. Pode usar este atributo em associações de funções de políticas de permissão.	Identity-Aware Proxy
Atributos da API	Faça a gestão do acesso com base nos dados fornecidos por uma API ou um serviço Google Cloud específico. Pode usar este atributo em associações de funções de políticas de permissão.	API Gateway AutoML Certificate Authority Service Funções do Cloud Run Cloud Healthcare API Cloud Key Management Service Cloud Run API Cloud Runtime Configuration Cloud Storage Compute Engine Artifact Analysis Dataproc Earth Engine Game Servers Gestão de identidade e de acesso Identity-Aware Proxy Serviço gerido para o Microsoft Active Directory Notebooks geridos pelo utilizador Resource Manager Secret Manager Gestão de serviços
Atributos de data/hora	Definir acesso com data de validade, agendado ou de duração limitada aos recursos Google Cloud . Pode usar estes atributos em associações de funções de políticas de permissão.	Todos os Google Cloud serviços (consulte a secção Suporte para condições herdadas)
Atributos de IP/porta de destino	Faça a gestão do acesso com base no endereço IP e/ou na porta de destino de um pedido. Por exemplo, uma instância de máquina virtual (VM) do Compute Engine pode expor um IP externo, como `10.0.0.2`, mas a porta `22` pode ser exposta apenas para utilização administrativa. Usado para o encaminhamento TCP do Identity-Aware Proxy. Pode usar estes atributos em associações de funções de políticas de permissão.	Identity-Aware Proxy
Atributos das regras de encaminhamento	Especifique os tipos de regras de encaminhamento que um principal pode criar. Por exemplo, pode permitir que um principal crie regras de encaminhamento para balanceadores de carga internos, que processam o tráfego originário de uma rede, mas não para balanceadores de carga externos, que processam o tráfego originário da Internet. Google Cloud Google Cloud Google Cloud Pode usar estes atributos em associações de funções de políticas de permissão.	Cloud Load Balancing Cloud VPN Compute Engine protocol encaminhamento Cloud Service Mesh
Atributos de anfitrião/caminho do URL	Faça a gestão do acesso com base no caminho do URL e/ou no anfitrião de um pedido. Por exemplo, uma condição pode especificar que `https://example.com` é a aplicação principal acessível por um domínio geral de utilizadores, enquanto `https://hr.example.com/admin` é usado para aceder a uma página na aplicação à qual apenas os administradores de recursos humanos podem aceder. Pode usar estes atributos em associações de funções de políticas de permissão.	Identity-Aware Proxy Cloud Run

Para mais detalhes sobre os atributos de pedido, consulte Atributos de pedido nesta página.

Apoio técnico para condições herdadas

Alguns tipos de Google Cloud recursos não permitem condições nas respetivas políticas de autorização. No entanto, pode adicionar associações de funções condicionais ao nível da organização, da pasta ou do projeto, e outros recursos herdam essas associações de funções através da hierarquia de recursos. Para ver detalhes, consulte Tipos de recursos que aceitam associações de funções condicionais.

Quando usa atributos ao nível da organização, da pasta ou do projeto, tenha em atenção que a maioria dos atributos só está disponível para tipos de recursos específicos. Se parte de uma condição usar um atributo que não está disponível, essa parte da condição nunca é interpretada como concessão de acesso. Por exemplo, a condição resource.name.endsWith == devResource nunca concede acesso a nenhum recurso do IAM, porque os recursos do IAM não fornecem o nome do recurso.

Para evitar este problema, use os atributos tipo de recurso e serviço de recurso descritos nesta página para limitar o âmbito da condição. Por exemplo, a seguinte condição é avaliada como true para todos os tipos de recursos que não sejam instâncias do Compute Engine; em contrapartida, para instâncias do Compute Engine, a condição verifica o nome do recurso:

resource.type != 'compute.googleapis.com/Disk' ||
    resource.name.endsWith('devResource')

Não tem de limitar o âmbito das condições que verificam as etiquetas anexadas a um recurso. Quando uma condição verifica as chaves e os valores das etiquetas, não pode verificar outros atributos, incluindo o tipo de recurso e o serviço de recursos.

Atributos do recurso

Os atributos de serviço de recursos, tipo de recurso e nome do recurso são normalmente usados para alterar o âmbito de uma concessão de acesso fornecida pela associação de funções. Quando uma função contém autorizações que se aplicam a diferentes atributos específicos de recursos, é possível usar condições baseadas em recursos para conceder um subconjunto das autorizações da função para tipos específicos ou para serviços específicos.

atributo resource.service

O atributo resource.service permite definir uma condição com base no Google Cloud serviço que está a ser usado. Por exemplo, pode definir uma condição que limite o acesso de um utilizador a recursos que usam o serviço cloudresourcemanager.googleapis.com. Para ver uma lista de valores suportados, consulte Valores do serviço de recursos.

Pode usar o atributo resource.service em associações de funções de políticas de permissão.

Variável de atributo	`resource.service`
Tipo de atributo	`string` Para ver uma lista de valores suportados, consulte os valores do serviço de recursos.
Operadores suportados	`==, !=`
Detalhes	Quando usa o atributo `resource.type` em condições, verifique a igualdade exata (`==`) ou a desigualdade exata (`!=`) com o atributo. Outras comparações, como verificar um prefixo ou um sufixo, podem dar-lhe resultados inesperados.
Exemplo	Devolve `true` para recursos do Compute Engine: resource.service == "compute.googleapis.com"
Serviços suportados	Apigee Application Integration Apigee API Hub Serviço de cópia de segurança e RD BigQuery API BigQuery Reservation Bigtable Autorização binária Cloud Deploy Cloud Key Management Service Cloud Logging Cloud SQL Cloud Storage Compute Engine Dataform Google Kubernetes Engine Firestore Identity-Aware Proxy Integration Connectors Google Cloud Managed Service para Apache Kafka Gestor de parâmetros Pub/Sub Lite Resource Manager Secret Manager Spanner

Atributo resource.type

O atributo resource.type permite definir uma condição com base no tipo de recurso. Por exemplo, pode definir uma condição que limite o acesso de um utilizador a recursos do tipo storage.googleapis.com/Object. Para ver uma lista de valores suportados, consulte o artigo Valores do tipo de recurso.

Se a sua condição usar o atributo resource.name, recomendamos vivamente que use o atributo resource.type para controlar a que tipos de recursos a condição se aplica. Para ver detalhes, consulte o atributo resource.name nesta página.

Pode usar o atributo resource.type em associações de funções de políticas de permissão.

Variável de atributo resource.type

Tipo de atributo

string

Para ver uma lista de valores suportados, consulte os valores do tipo de recurso.

Operadores suportados ==, !=

Detalhes Quando usa o atributo resource.type em condições, verifique a igualdade exata (==) ou a desigualdade exata (!=) com o atributo. Outras comparações, como verificar um prefixo ou um sufixo, podem dar-lhe resultados inesperados.

Exemplos

Devolve true, exceto se o recurso for uma imagem do Compute Engine:

resource.type != "compute.googleapis.com/Image"

Devolve true apenas se o recurso for uma imagem do Compute Engine ou um disco persistente:

(resource.type == "compute.googleapis.com/Image" ||
 resource.type == "compute.googleapis.com/Disk")

Tipos de recursos suportados

Apigee	Atributos do produto da API Produtos API Proxies de API Entradas do mapa de chaves-valores do proxy de API Mapas de chaves-valores do proxy de API Revisões do proxy de API Caches Atributos da app do programador Apps de programadores Atributos do programador Programadores Entradas do mapa de chaves-valores do ambiente Mapas de chaves-valores do ambiente Exportações Chamarizes de fluxo Aliases do repositório de chaves Repositórios de chaves Consultas Planos de tarifas Referências Revisões do fluxo partilhado Fluxos partilhados Servidores de destino Sessões de rastreio (depuração)
Application Integration	Configurações de autenticação Execuções Versões de integração Integrações Localizações Suspensões
Apigee API Hub	APIs Operações da API Definições Implementações Especificações Versões
Serviço de cópia de segurança e RD	Cofres de cópias de segurança
BigQuery	Conjuntos de dados Modelos Rotinas Tabelas
API BigQuery Reservation	Tarefas Reservas de BI Consolidações de capacidade Localizações Reservas
Bigtable	Clusters Instâncias Tabelas
Autorização binária	Atestadores Configurações de validação contínua Políticas
Cloud Key Management Service	Versões de chaves criptográficas Chaves criptográficas Conjuntos de chaves Localizações
Cloud Logging	Contentores de registo Visualizações de registos
Cloud SQL	Execuções de cópia de segurança Instâncias
Cloud Storage	Contentores Pastas geridas Objetos
Compute Engine	Serviços de back-end (globais e regionais) Firewalls Regras de encaminhamento (globais e regionais) Imagens Modelos de instâncias Instâncias Discos persistentes (regionais e zonais) Instantâneos Proxies HTTP(S) de destino (globais e regionais) Proxies SSL de destino Proxies TCP de destino
Dataform	Resultados da compilação Localizações Configurações de lançamento Repositórios Configurações do fluxo de trabalho Invocações de fluxos de trabalho Espaços de trabalho
Google Cloud	Localizações¹
Google Kubernetes Engine	Clusters
Firestore	Bases de dados
Identity-Aware Proxy	Todos os serviços de back-end e apps do App Engine Todos os recursos de túnel Todas as zonas de túneis Todos os serviços Web Versões do serviço de apps do App Engine Serviços de apps do App Engine Serviços de back-end do Compute Engine Instâncias de túnel
Integration Connectors	Ligações Metadados do esquema de associação Anexos de pontos finais Subscrições de eventos Zonas geridas
Google Cloud Managed Service para Apache Kafka	Clusters Grupos de consumidores Operações Tópicos
Gestor de parâmetros	Versões de parâmetros Parâmetros
Pub/Sub Lite	Localizações Subscrições Tópicos
Resource Manager	Projetos
Secret Manager	Versões do Secret Secrets
Spanner	Cópias de segurança Bases de dados Instâncias

¹ O Cloud Key Management Service usa este tipo de recurso como o principal dos recursos do conjunto de chaves.

atributo resource.name

O atributo resource.name permite definir uma condição com base em todo ou parte de um nome de recurso. Para ver uma lista de formatos de nomes de recursos, consulte o artigo Formato do nome do recurso.

O atributo resource.name só está disponível para tipos de recursos específicos, que estão listados na tabela nesta secção. Recomendamos vivamente que limite a aplicabilidade da condição ao tipo de recurso pretendido. Se uma função contiver autorizações para um tipo de recurso que não faculte o atributo resource.name, deve garantir que essas autorizações não são restritas pela parte da condição que verifica resource.name.

O exemplo seguinte mostra como garantir este comportamento. Neste exemplo, a condição permite o acesso a todos os tipos de recursos, exceto a contentores e objetos do Cloud Storage. Por outro lado, para contentores e objetos, a condição só permite o acesso ao contentor example-bucket e aos objetos que contém:

(resource.type != 'storage.googleapis.com/Bucket' &&
 resource.type != 'storage.googleapis.com/Object') ||
resource.name.startsWith('projects/_/buckets/example-bucket')

Tenha em atenção que a primeira parte da condição verifica se o recurso não é um contentor nem um objeto. Se o recurso tiver um tipo diferente, toda a condição é avaliada como true, independentemente do nome do recurso.

Tenha também em atenção que a condição verifica o atributo resource.type e não o atributo resource.service. Existem algumas vantagens em verificar o atributo resource.type:

Limita a verificação resource.name ao conjunto adequado de recursos. Por exemplo, se quiser conceder acesso a instâncias do Compute Engine com um nome específico, faz sentido excluir todos os tipos de recursos que não sejam instâncias do Compute Engine.
Impede que o âmbito da condição seja alterado se um serviço adicionar novos tipos de recursos no futuro.

Por último, tenha em atenção que a condição usa a função startsWith() para avaliar o nome do recurso, em vez de verificar a igualdade com o operador ==. Uma vez que a condição analisa o início do nome do recurso, corresponde a um contentor, bem como aos objetos nesse contentor. Se verificasse a igualdade, só corresponderia ao bucket.

Não pode usar carateres universais, como *, para fazer corresponder vários nomes de recursos. Considere estas alternativas:

Use a função extract() para extrair um valor de um nome do recurso. Por exemplo, pode extrair um ID do projeto do nome do recurso de uma instância de VM do Compute Engine e, em seguida, escrever uma expressão de condição que faça referência ao ID do projeto.

Para ver detalhes, consulte a secção Extrair valores de atributos nesta página.
Use a função startsWith() ou endsWith() para escrever uma condição que avalie o início ou o fim do nome do recurso.

Pode usar o atributo resource.name em associações de funções de políticas de permissão.

Variável de atributo resource.name

Tipo de atributo

string

Cada tipo de recurso usa um formato específico para o nome do recurso. Para ver uma lista de formatos, consulte o artigo Formato do nome do recurso.

Funções e operadores suportados startsWith(), endsWith(), extract(), ==, !=

Detalhes

O resource.name contém o nome do recurso relativo para o recurso de destino no pedido. O nome do recurso relativo é um caminho URI sem uma barra inicial (/).

A função startsWith() usa a string literal do prefixo para ser avaliada em relação a resource.name.

A função endsWith() usa o literal de string de sufixo para ser avaliado em relação a resource.name.

A função extract() usa um modelo de extração para extrair parte de resource.name. Para ver detalhes, consulte a secção Extrair valores de nomes de recursos nesta página.

Os operadores == e != destinam-se à comparação com o resource.name completo ou uma parte extraída do resource.name.

Exemplos

Devolve true, a menos que o nome do recurso identifique um contentor do Cloud Storage denominado secret-bucket-123:

resource.name != "projects/_/buckets/secret-bucket-123"

Devolve true se o nome do recurso começar pelo prefixo especificado, no formato usado pelas instâncias de VM do Compute Engine:

resource.name.startsWith("projects/project-123/zones/us-east1-b/instances/prod-")

Devolve true se o nome do recurso começar com o prefixo especificado, no formato usado pelos contentores do Cloud Storage:

resource.name.startsWith("projects/_/buckets/my_bucket/objects/test-object-")

Devolve true se o nome do recurso terminar com o sufixo especificado, por exemplo, a extensão do ficheiro de um objeto do Cloud Storage:

resource.name.endsWith(".jpg")

Devolve o nome ou o número do projeto, se estiver presente:

resource.name.extract("projects/{project}/")

Tipos de recursos suportados

Apigee	Atributos do produto da API Produtos API Proxies de API Entradas do mapa de chaves-valores do proxy de API Mapas de chaves-valores do proxy de API Revisões do proxy de API Caches Atributos da app do programador Apps de programadores Atributos do programador Programadores Entradas do mapa de chaves-valores do ambiente Mapas de chaves-valores do ambiente Exportações Chamarizes de fluxo Aliases do repositório de chaves Repositórios de chaves Consultas Planos de tarifas Referências Revisões do fluxo partilhado Fluxos partilhados Servidores de destino Sessões de rastreio (depuração)
Application Integration	Configurações de autenticação Execuções Versões de integração Integrações Localizações Suspensões
Apigee API Hub	APIs Operações da API Definições Implementações Especificações Versões
Serviço de cópia de segurança e RD	Cofres de cópias de segurança
BigQuery	Conjuntos de dados Modelos Rotinas Tabelas
API BigQuery Reservation	Tarefas Reservas de BI Consolidações de capacidade Localizações Reservas
Bigtable	Clusters Instâncias Tabelas
Autorização binária	Atestadores Configurações de validação contínua Políticas
Cloud Deploy	Execuções de automatizações Automatizações Tipos de segmentações personalizadas Pipelines de entrega Execuções de tarefas Versões Implementações Destinos
Cloud Key Management Service	Chaves criptográficas Versões de chaves criptográficas Conjuntos de chaves
Cloud Logging	Contentores de registo Visualizações de registos
Cloud SQL	Execuções de cópia de segurança Instâncias
Cloud Storage	Contentores Pastas geridas Objetos
Compute Engine	Serviços de back-end (globais e regionais) Firewalls Regras de encaminhamento (globais e regionais) Imagens Modelos de instâncias Instâncias Discos persistentes (regionais e zonais) Instantâneos Proxies HTTP(S) de destino (globais e regionais) Proxies SSL de destino Proxies TCP de destino
Google Kubernetes Engine	Clusters
Firestore	Bases de dados
Dataform	Resultados da compilação Localizações Configurações de lançamento Repositórios Configurações do fluxo de trabalho Invocações de fluxos de trabalho Espaços de trabalho
Integration Connectors	Ligações Metadados do esquema de associação Anexos de pontos finais Subscrições de eventos Zonas geridas
Google Cloud Managed Service para Apache Kafka	Clusters Grupos de consumidores Operações Tópicos
Gestor de parâmetros	Versões de parâmetros Parâmetros
Pub/Sub Lite	Localizações Subscrições Tópicos
Secret Manager	Versões do Secret Secrets
Spanner	Cópias de segurança Bases de dados Instâncias

Etiquetas de recursos

As funções de etiquetas de recursos permitem-lhe definir uma condição com base nas etiquetas anexadas a recursos suportados ou herdadas pelos descendentes desses recursos. Por exemplo, pode definir uma condição que conceda uma função apenas para recursos que tenham a etiqueta env: prod anexada. Para saber mais sobre o controlo de acesso com etiquetas, consulte o artigo Etiquetas e controlo de acesso.

Cada etiqueta consiste numa chave e num valor. Existem alguns tipos diferentes de identificadores para cada chave e valor:

Um ID permanente, que é globalmente exclusivo e nunca pode ser reutilizado. Por exemplo, uma chave de etiqueta pode ter o ID permanente tagKeys/123456789012 e um valor de etiqueta pode ter o ID permanente tagValues/567890123456.
Um diminutivo. O nome abreviado de cada chave tem de ser exclusivo no projeto ou na organização em que a chave está definida, e o nome abreviado de cada valor tem de ser exclusivo para a respetiva chave associada. Por exemplo, uma chave de etiqueta pode ter o diminutivo env e um valor de etiqueta pode ter o diminutivo prod.
Um nome com espaço de nomes, que adiciona o ID numérico da sua organização ou o ID do projeto ao nome curto de uma chave de etiqueta. Por exemplo, uma chave de etiqueta criada para uma organização pode ter o nome com espaço de nomes 123456789012/env. Para saber como obter o ID da organização, consulte o artigo Obter o ID do recurso da organização. Uma chave de etiqueta criada para um projeto pode ter o nome com espaço de nomes myproject/env. Para saber como obter o ID do projeto, consulte o artigo Identificar projetos.

Para orientações sobre a escolha do tipo de identificador a usar nas suas condições, consulte o artigo Definições e identificadores de etiquetas.

Pode usar condições baseadas em etiquetas para tornar condicional o acesso a qualquer recurso. Isto inclui recursos com as suas próprias etiquetas, bem como recursos que herdam etiquetas de outros recursos. Para saber como as etiquetas são herdadas através da hierarquia de recursos, consulte o artigo Herança de etiquetas.

No entanto, determinadas áreas da consola não reconhecem associações de funções da política de autorização com condições baseadas em etiquetas. Google Cloud Como resultado, se tiver uma função com uma condição baseada em etiquetas, a consola Google Cloud pode impedir incorretamente que realize determinadas ações. Se encontrar este problema, use um método alternativo, como a CLI gcloud, para realizar a ação.

Pode usar condições baseadas em etiquetas no seguinte:

Permitir associações de funções de políticas
Regras de negação de políticas de negação

Pode usar as seguintes funções para definir condições com base em etiquetas:

Função	Descrição
`resource.hasTagKey( keyName: string )` `bool`	Verifica se o recurso do pedido tem uma etiqueta com a chave especificada. A chave da etiqueta é procurada pelo respetivo nome com espaço de nomes. Para verificar se existe uma chave de etiqueta através do respetivo ID permanente, use a função `resource.hasTagKeyId()`. Parâmetro `keyName`: o nome com espaço reservado da chave de etiqueta, com o ID numérico da organização e uma barra como prefixo. Por exemplo, `123456789012/env`. Exemplo Devolve `true` se o recurso do pedido tiver uma etiqueta com a chave `env`: resource.hasTagKey('123456789012/env')
`resource.hasTagKeyId( keyId: string )` `bool`	Verifica se o recurso do pedido tem uma etiqueta com a chave especificada. A chave da etiqueta é procurada pelo respetivo ID permanente. Para verificar uma chave de etiqueta através do respetivo nome com espaço de nomes, use a função `resource.hasTagKey()`. Parâmetro `keyId`: o ID permanente da chave da etiqueta. Por exemplo, `tagKeys/123456789012`. Exemplo Devolve `true` se o recurso do pedido tiver uma etiqueta com a chave `tagKeys/123456789012`: resource.hasTagKeyId('tagKeys/123456789012')
`resource.matchTag( keyName: string, valueShortName: string )` `bool`	Verifica se o recurso do pedido tem uma etiqueta com a chave e o valor especificados. A chave é procurada pelo respetivo nome com espaço de nomes, e o valor é procurado pelo respetivo nome abreviado. Para procurar uma chave e um valor de etiqueta através dos respetivos IDs permanentes, use a função `resource.matchTagId()`. Parâmetros `keyName`: o nome com espaço reservado da chave de etiqueta, com o ID numérico da organização e uma barra como prefixo. Por exemplo, `123456789012/env`. `valueShortName`: o nome abreviado do valor da etiqueta. Por exemplo, `prod`. Exemplo Devolve `true` se o recurso do pedido tiver uma etiqueta com a chave `123456789012/env` e o valor `prod`: resource.matchTag('123456789012/env', 'prod')
`resource.matchTagId( keyId: string, valueId: string )` `bool`	Verifica se o recurso do pedido tem uma etiqueta com a chave e o valor especificados. A chave e o valor são procurados pelos respetivos IDs permanentes. Para verificar uma chave de etiqueta através do respetivo nome com espaço de nomes e um valor através do respetivo nome abreviado, use a função `resource.matchTag()`. Parâmetros `keyId`: o ID permanente da chave da etiqueta. Por exemplo, `tagKeys/123456789012`. `valueId`: o ID permanente do valor da etiqueta. Por exemplo, `tagValues/567890123456`. Exemplo Devolve `true` se o recurso do pedido tiver uma etiqueta com a chave `tagKeys/123456789012` e o valor `tagValues/567890123456`: resource.matchTagId('tagKeys/123456789012', 'tagValues/567890123456')

Atributos principais

Os atributos principais permitem-lhe escrever condições com base no principal que emitiu o pedido. Com estes atributos, pode refinar os principais para os quais uma política é aplicada.

Pode usar atributos principais em associações de políticas para políticas de limite de acesso principal.

Atributo `principal.type`

O atributo principal.type permite-lhe definir uma condição com base no tipo de principal que emite o pedido. Por exemplo, pode adicionar uma condição a uma associação de políticas para uma política de limite de acesso principal para garantir que a política só é aplicada a contas de serviço.

Pode usar atributos principais em associações de políticas para políticas de limite de acesso principal.

Variável de atributo	`principal.type`
Tipo de atributo	`string`
Operadores suportados	`==, !=, in`
Tipos de principais suportados	Contas do Google `iam.googleapis.com/WorkspaceIdentity` Identidades do Workforce Identity Pool `iam.googleapis.com/WorkforcePoolIdentity` Identidades do Workload Identity Pool `iam.googleapis.com/WorkloadPoolIdentity` Contas de serviço `iam.googleapis.com/ServiceAccount`
Exemplos	É avaliado como `true` se o principal no pedido for uma conta de serviço: principal.type == "iam.googleapis.com/ServiceAccount" É avaliado como `true` se o principal no pedido for uma identidade do Google Workspace ou uma identidade do conjunto de identidades da força de trabalho: principal.type in ["iam.googleapis.com/WorkspaceIdentity", "iam.googleapis.com/WorkforcePoolIdentity"]

Atributo `principal.subject`

O atributo principal.subject permite-lhe definir uma condição com base no principal que emite o pedido. Por exemplo, pode adicionar uma condição a uma associação de políticas para uma política de limite de acesso principal para garantir que a política só é aplicada a principais cujos endereços de email terminem com @example.com.

Se usar o atributo principal.subject numa condição, recomendamos que também use o atributo principal.type para controlar a que tipos de principais a condição se aplica. Isto acontece porque os identificadores principais não são necessariamente únicos em todos os tipos principais. Por exemplo, o identificador example-user@example.com pode identificar uma Conta Google ou um utilizador num grupo de identidades da força de trabalho.

Ao usar o atributo principal.type, além do atributo principal.subject, pode garantir que a condição só corresponde a diretores com o tipo pretendido. Por exemplo, a seguinte expressão corresponde a Contas Google cujos endereços de email terminam com @example.com:

principal.type == 'iam.googleapis.com/WorkspaceIdentity' &&
principal.subject.endsWith('@example.com')

Pode usar atributos principais em associações de políticas para políticas de limite de acesso principal.

Variável de atributo	`principal.subject`
Tipo de atributo	`string`
Operadores suportados	`==, !=, in, startsWith(), endsWith()` Atenção: as funções `startsWith()` e `endsWith()` fazem corresponder todos os principais que começam ou terminam com o valor especificado. Por exemplo, a expressão `startsWith('security-admin')` corresponde a `security-admin@example.com` e `security-admin@example-project.iam.gserviceaccount.com`, mas também corresponde a `security-admin-fake@example.com`.
Principais assuntos suportados	Contas do Google Identificador: endereço de email do utilizador Identidades do Workforce Identity Pool Identificador: valor do atributo do assunto da identidade Identidades do Workload Identity Pool Identificador: valor do atributo do assunto da identidade Contas de serviço Identificador: endereço de email da conta de serviço
Exemplo	É avaliado como `true` se o principal no pedido terminar com `@example.com`: principal.subject.endsWith("@example.com") É avaliado como `true` se o principal no pedido for `example-service-account@example-project.iam.gserviceaccount.com`: principal.subject == "example-service-account@example-project.iam.gserviceaccount.com"

Atributos de pedido

Os atributos de pedido permitem-lhe criar condições que avaliam os detalhes sobre o pedido, como o respetivo nível de acesso, a data e a hora, o endereço IP de destino e a porta (para tunelização TCP de IAP) ou o caminho/anfitrião do URL esperado (para IAP e Cloud Run).

Atributo de níveis de acesso

O atributo de níveis de acesso permite que os utilizadores definam uma condição que exige que um pedido cumpra um ou mais níveis de acesso para ser autorizado. Pode usar o atributo de níveis de acesso em associações de funções de políticas de permissão.

O atributo de níveis de acesso é derivado de atributos do pedido, como o endereço IP de origem, os atributos do dispositivo e a hora do dia. Por exemplo, um nível de acesso denominado fullyTrusted pode exigir que o dispositivo que faz o pedido seja propriedade da empresa e tenha um bloqueio de ecrã. Um nível de acesso onNetwork pode exigir que o dispositivo que faz o pedido tenha origem num intervalo de endereços IP específico. Consulte a documentação do Access Context Manager para mais informações sobre os níveis de acesso.

O atributo de níveis de acesso só está disponível quando usa o Identity-Aware Proxy para aceder a uma instância de túnel ou para aceder a uma aplicação Web executada em serviços de back-end do App Engine ou do Compute Engine. Mais especificamente, o atributo access levels só está disponível para pedidos que verifiquem uma destas autorizações:

iap.tunnelInstances.accessViaIAP
iap.webServiceVersions.accessViaIAP

Pode usar o atributo de níveis de acesso quando concede condicionalmente as seguintes funções predefinidas:

Utilizador do túnel protegido por IAP (roles/iap.tunnelResourceAccessor)

Contém uma única autorização, iap.tunnelInstances.accessViaIAP.
Utilizador da app Web protegida por IAP (roles/iap.httpsResourceAccessor)

Contém uma única autorização, iap.webServiceVersions.accessViaIAP.

Também pode usar o atributo de níveis de acesso para conceder condicionalmente uma função personalizada que contenha estas autorizações. A função personalizada não pode conter outras autorizações.

Atributo `request.auth.access_levels`

Variável de atributo	`request.auth.access_levels`
Tipo de atributo	`list`<`string`>
Operadores suportados	`in`
Detalhes	Para verificar se um pedido cumpre um nível de acesso específico, use o operador `in`: `ACCESS_LEVEL_FULL_NAME` in request.auth.access_levels O nome completo de um nível de acesso usa o seguinte formato: accessPolicies/`POLICY_NUMBER`/accessLevels/`ACCESS_LEVEL` Nota: o nível de acesso é sensível a maiúsculas e minúsculas e tem de corresponder exatamente ao que está configurado no Access Context Manager. Por exemplo, se a condição usar `accesslevels`, em letras minúsculas, em vez de `accessLevels`, com `Levels` em letras maiúsculas, o nível de acesso no pedido nunca vai corresponder ao nível de acesso na condição.
Exemplo	Devolve `true` se o pedido cumprir o nível de acesso `CorpNet`: "accessPolicies/199923665455/accessLevels/CorpNet" in request.auth.access_levels
Tipos de recursos suportados	Disponível para pedidos que usam o Identity-Aware Proxy para aceder a uma instância de túnel, a um grupo de destino do túnel, a uma aplicação Web em execução no Google Cloud equilíbrio de carga ou a uma aplicação Web em execução no App Engine.

Atributos da API

Os atributos da API ajudam a gerir o acesso com base nos dados fornecidos por uma Google Cloud API ou um serviço específico. Pode usar atributos de API em associações de funções da política de permissão.

Por exemplo, quando usa o Cloud Storage para listar os objetos num contentor, pode usar o parâmetro prefix no pedido para incluir apenas objetos cujos nomes comecem por um prefixo específico. Se usar Limites de acesso às credenciais para reduzir o âmbito das credenciais de curta duração, pode criar um limite de acesso às credenciais que limite as autorizações para listar objetos verificando o atributo da API storage.googleapis.com/objectListPrefix. Este atributo da API contém o valor do parâmetro prefix do pedido.

Para ver exemplos de quando pode ter de usar atributos da API numa condição, consulte as seguintes páginas:

Nem todos os serviços reconhecem os atributos da API. As secções seguintes indicam que serviços reconhecem cada atributo da API.

Funções para atributos da API

Pode usar a seguinte função para trabalhar com atributos da API:

Função Descrição

api.getAttribute(
  attributeName: string,
  defaultValue: V<T>
)

V<T>

Obtém o atributo da API pedido.

Parâmetros

attributeName: o atributo da API a obter. Para ver os valores suportados, consulte os atributos da API Cloud Storage e os atributos da API IAM nesta página.
defaultValue: o valor predefinido (V) a usar se o atributo da API não estiver disponível. O valor V é do tipo T, onde T é o mesmo tipo que o valor do atributo da API. Por exemplo, se o valor do atributo da API for uma string, pode usar uma string vazia ou uma string de marcador de posição, como undefined.

Nota: para o atributo da API iam.googleapis.com/modifiedGrantsByRole, o valor predefinido tem de ser uma lista vazia ([]).

Exemplo

Devolve um dos seguintes elementos:

Para pedidos de concessão ou revogação de uma função, devolve uma lista de funções que foram modificadas pelo pedido.
Para todos os outros tipos de pedidos, devolve uma lista vazia.

api.getAttribute("iam.googleapis.com/modifiedGrantsByRole", [])

hasOnly(
  items: list<T>
)

bool

Verifica se uma lista contém apenas os itens permitidos ou um subconjunto desses itens. Pode chamar a função numa lista devolvida por api.getAttribute().

Parâmetro

items: uma lista de itens com o tipo T. Cada item é um valor que o atributo da API pode conter.

Exemplo

Verifica se o pedido concederia ou revogaria outras funções que não a de editor do Pub/Sub (roles/pubsub.editor) ou publicador do Pub/Sub (roles/pubsub.publisher):

api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', [])
    .hasOnly(['roles/pubsub.editor', 'roles/pubsub.publisher'])

O exemplo seguinte mostra o resultado para diferentes valores de pedidos:

Funções concedidas/revogadas	Resultado
Nenhum	`true` Se não forem modificadas funções, `api.getAttribute()` devolve o valor predefinido. Para este atributo, o valor predefinido é sempre uma lista vazia. Por definição, uma lista vazia não contém valores que não estejam na lista de autorizações.
`roles/pubsub.editor`	`true` A função está na lista de autorizações.
`roles/pubsub.editor` `roles/pubsub.publisher`	`true` Ambas as funções estão na lista de autorizações.
`roles/billing.admin`	`false` A função não está na lista de autorizações.
`roles/billing.admin` `roles/pubsub.editor`	`false` Uma função está na lista de autorizações, mas a outra não.

Atributos da API Cloud Storage

O Cloud Storage fornece o seguinte atributo da API.

Variável de atributo	`storage.googleapis.com/objectListPrefix`
Tipo de atributo	`string`
Detalhes	Para um pedido de list objetos num contentor, contém o valor do parâmetro `prefix` do pedido. Se o pedido omitir o parâmetro `prefix`, o atributo não é definido. Para outros tipos de pedidos, o atributo não está definido.
Serviços que reconhecem este atributo	Cloud Storage

Atributos da API IAM

O IAM fornece o seguinte atributo da API:

Variável de atributo	`iam.googleapis.com/modifiedGrantsByRole`
Tipo de atributo	`list<string>`
Detalhes	Para um pedido de definição da política de autorização de um recurso, este atributo contém os nomes das funções das associações de funções que o pedido modifica. Para outros tipos de pedidos, o atributo não está definido.
Tipos de recursos que aceitam este atributo	Os seguintes tipos de recursos aceitam condições com o atributo `modifiedGrantsByRole` nas respetivas políticas de autorização: Projetos Pastas Organizações
Serviços que reconhecem este atributo	Os seguintes serviços reconhecem o atributo `modifiedGrantsByRole`: Aviso: se um serviço não reconhecer o atributo `modifiedGrantsByRole`, não pode limitar a capacidade de um administrador do IAM de conceder funções para esse serviço. Se um administrador do IAM limitado tentar conceder uma função num recurso e o serviço do recurso não reconhecer o atributo `modifiedGrantsByRole`, o pedido falha. A exceção a este comportamento são os conjuntos de dados do BigQuery. Os conjuntos de dados não reconhecem o atributo `modifiedGrantsByRole`, mas os administradores do IAM com acesso limitado podem continuar a conceder ou revogar funções em conjuntos de dados. Especificamente, se a função de um administrador de IAM limitado incluir autorizações para conceder funções em conjuntos de dados, pode fazê-lo, independentemente de quaisquer limites colocados na concessão de funções. API Gateway AutoML Certificate Authority Service Funções do Cloud Run Cloud Healthcare API Cloud Key Management Service Cloud Run API Cloud Runtime Configuration Cloud Storage Compute Engine Artifact Analysis Dataproc Earth Engine Game Servers Gestão de identidade e de acesso Identity-Aware Proxy Serviço gerido para o Microsoft Active Directory Notebooks geridos pelo utilizador Resource Manager Secret Manager Gestão de serviços

Atributo de data/hora

O atributo de data/hora é usado para definir o acesso expirável, agendado ou de duração limitada a Google Cloud recursos. Pode usar atributos de data/hora em associações de funções da política de permissão.

Este atributo é suportado para todos os serviços Google Cloud e tipos de recursos. Para saber como aplicar condições de data/hora a recursos que não os suportam diretamente, consulte a secção Suporte para condições herdadas nesta página.

O atributo request.time contém a data/hora do pedido. Pode comparar esta indicação de tempo com outra indicação de tempo ou com uma duração.

As secções seguintes apresentam as funções que pode usar para definir condições com base em datas/horas e durações.

Crie, compare e modifique indicações de tempo e durações

Função ou operador	Descrição
`date( value: string )` `Timestamp`	Converte uma data de um `string` para um `Timestamp`. Parâmetro `value`: Uma data no formato `YYYY-MM-DD`, em que `YYYY` é o ano, `MM` é o mês de dois dígitos e `DD` é o dia de dois dígitos. O resultado `Timestamp` contém a data especificada e a hora `00:00:00.000 UTC`. Exemplo Cria um `Timestamp` que representa a data `2023-02-01` e a hora `00:00:00.000 UTC`: date("2023-02-01")
`duration( value: string )` `Duration`	Converte um período de tempo de um `string` num `Duration`. Parâmetro `value`: um `Duration` em segundos, seguido de `s`. Exemplos Cria uma duração que representa 1,5 minutos: duration("90s") Cria uma duração que representa 30 dias: duration("2592000s")
`timestamp( value: string )` `Timestamp`	Converte um `string` num `Timestamp`. Parâmetro `value`: uma data/hora UTC em conformidade com a RFC 3339. Importante: se o parâmetro de entrada for inválido, a condição nunca permite o acesso a nenhum recurso. Exemplo Cria uma data/hora que representa 12 de abril de 2023, às 23:20:50.52 no fuso horário UTC: timestamp("2023-04-12T23:20:50.52Z")
`<, <=, >, >=`	Compara dois valores `Timestamp`. Nota: evite usar os operadores de igualdade (`==`) e desigualdade (`!=`) para comparar valores de data/hora. As indicações de tempo têm precisão de milissegundos, pelo que, normalmente, não é útil verificar se existem correspondências exatas ou não. Exemplos Devolve `true` se a hora do pedido for anterior a 12 de abril de 2022, às 00:00:00 UTC: request.time < timestamp("2022-04-12T00:00:00.00Z") Devolve `true` se a hora do pedido for anterior ou igual a 12 de abril de 2022, às 00:00:00 UTC: request.time <= timestamp("2022-04-12T00:00:00.00Z") Devolve `true` se a hora do pedido for posterior a 12 de abril de 2022, às 00:00:00 UTC: request.time > timestamp("2022-04-12T00:00:00.00Z") Devolve `true` se a hora do pedido for posterior ou igual a 12 de abril de 2022, às 00:00:00 UTC: request.time >= timestamp("2022-04-12T00:00:00.00Z")
`timestamp + duration` `Timestamp` `timestamp - duration` `Timestamp`	Adicione ou subtraia um `Duration` a um `Timestamp`. Exemplos Devolve o `Timestamp` que ocorre 30 minutos após 14:30:00 UTC a 12/04/2024: timestamp("2024-04-12T14:30:00.00Z") + duration("1800s") Devolve o `Timestamp` que ocorre 60 dias antes das 14:30:00 UTC de 12/04/2024: timestamp("2024-04-12T14:30:00.00Z") - duration("5184000s")

Extraia informações de uma indicação de tempo

As funções nesta secção permitem-lhe extrair informações de uma indicação de tempo, como o dia da semana em que a indicação de tempo ocorre.

Nas condições da IAM, todas as datas/horas estão no fuso horário UTC. No entanto, pode querer extrair informações com base num fuso horário diferente. Por exemplo, pode querer saber se uma data/hora UTC ocorre numa segunda-feira no fuso horário de Berlim, na Alemanha.

Para especificar um fuso horário diferente, transmita o fuso horário para a função. Use um nome ou uma diferença para UTC da base de dados de fusos horários da IETF. Por exemplo, pode usar Europe/Berlin ou +01:00 para a Hora da Europa Central (CET).

Funções e operadores suportados	Descrição
`Timestamp.getDate( timeZone: string )` `int`	Obtém o dia do mês a partir de `Timestamp`. O valor usa a indexação baseada em um; o primeiro dia do mês é `1`. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC. Exemplo Devolve `true` se o pedido for enviado após o dia 15 do mês em UTC: request.time.getDate() > 15
`Timestamp.getDayOfMonth( timeZone: string )` `int`	Obtém o dia do mês a partir de `Timestamp`. O valor usa a indexação baseada em zero; o primeiro dia do mês é `0`. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC. Exemplo Devolve `true` se o pedido for enviado após o dia 15 do mês em UTC: request.time.getDayOfMonth() > 14
`Timestamp.getDayOfWeek( timeZone: string )` `int`	Obtém o dia da semana a partir de `Timestamp`. O valor usa a indexação baseada em zero; por exemplo, domingo é `0`. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC. Exemplo Devolve `true` se o pedido for enviado entre segunda-feira e sexta-feira em Berlim, Alemanha: request.time.getDayOfWeek("Europe/Berlin") > 0 && request.time.getDayOfWeek("Europe/Berlin") < 6
`Timestamp.getDayOfYear( timeZone: string )` `int`	Obtém o dia do ano a partir de `Timestamp`. O valor usa a indexação baseada em zero; o primeiro dia do ano é `0`. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC. Exemplo Devolve `true` se o pedido for enviado durante os primeiros 5 dias do ano em Mountain View, na Califórnia: request.time.getDayOfYear("America/Los_Angeles") >= 0 && request.time.getDayOfYear("America/Los_Angeles") < 5
`Timestamp.getFullYear( timeZone: string )` `int`	Obtém o ano a partir do `Timestamp`. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC. Exemplo Devolve `true` se o pedido for enviado durante o ano de 2023 em Mountain View, Califórnia: request.time.getFullYear("America/Los_Angeles") == 2023 Devolve `true` se o pedido for enviado durante o ano de 2022 em UTC: request.time.getFullYear() == 2022
`Timestamp.getHours( timeZone: string )` `int`	Obtém a hora do dia a partir de `Timestamp`. O valor usa a indexação baseada em zero; os valores variam de `0` a `23`. Pode combinar esta função com `getDayofWeek()` para conceder acesso apenas durante o horário de trabalho permitido na sua jurisdição. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC. Exemplo Devolve `true` se o pedido for enviado entre as 09:00 (9:00) e as 17:00 (17:00) num dia útil em Berlim, Alemanha: request.time.getDayOfWeek("Europe/Berlin") >= 1 && request.time.getDayOfWeek("Europe/Berlin") <= 5 && request.time.getHours("Europe/Berlin") >= 9 && request.time.getHours("Europe/Berlin") <= 17
`Timestamp.getMilliseconds( timeZone: string )` `int`	Obtém o número de milissegundos a partir de `Timestamp`. O valor usa a indexação baseada em zero; os valores variam de `0` a `999`. Nota: em geral, quando usa as condições da IAM, não precisa de avaliar as datas/horas com este nível de precisão. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC.
`Timestamp.getMinutes( timeZone: string )` `int`	Obtém o número de minutos depois da hora a partir de `Timestamp`. O valor usa a indexação baseada em zero; os valores variam de `0` a `59`. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC. Exemplo Devolve `true` se o pedido for enviado às 09:30 ou após essa hora (9:30) em Berlim, Alemanha: request.time.getHours("Europe/Berlin") >= 9 && request.time.getMinutes("Europe/Berlin") >= 30
`Timestamp.getMonth( timeZone: string )` `int`	Obtém o mês do ano a partir de `Timestamp`. O valor usa a indexação baseada em zero; os valores variam de `0` a `11`. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC. Exemplo Devolve `true` se o pedido for enviado durante o mês de abril em Mountain View, Califórnia: request.time.getMonth("America/Los_Angeles") == 3
`Timestamp.getSeconds( timeZone: string )` `int`	Obtém o número de segundos a partir do `Timestamp`. O valor usa a indexação baseada em zero; os valores variam de `0` a `59`. Nota: em geral, quando usa as condições da IAM, não precisa de avaliar as datas/horas com este nível de precisão. Parâmetro `timeZone`: o fuso horário para o qual calcular o resultado. A predefinição é UTC.
`<, <=, >, >=, ==, !=`	Compara o resultado de duas funções nesta tabela.

Atributos de porta/IP de destino

O atributo de IP/porta de destino permite que os utilizadores geram o acesso com base no endereço IP de destino interno e na porta de um pedido. Pode usar atributos de IP/porta de destino em associações de funções de políticas de permissão.

Por exemplo, uma instância de VM do Compute Engine pode mapear o endereço IP externo e a porta 132.168.42.21:3001 para o endereço IP interno e a porta 10.0.0.1:2300 para utilização geral. Por outro lado, o endereço IP interno e a porta 10.0.0.1:22 podem estar disponíveis apenas internamente para utilização administrativa. Pode usar os atributos de IP/porta de destino para conceder diferentes quantidades de acesso com base no endereço IP interno e na porta.

Para mais informações sobre o encaminhamento TCP, consulte a documentação do Identity-Aware Proxy.

atributo destination.ip

Variável de atributo	`destination.ip`
Tipo de atributo	`string`
Operadores suportados	`==, !=`
Detalhes	A variável `destination.ip` identifica um endereço IP interno no formato IPv4. Nota: não recomendamos a utilização das funções `startsWith()` e `endsWith()` com o atributo `destination.ip`. Estas funções podem dar-lhe resultados inesperados. Em particular, não recomendamos a correspondência de um prefixo em `destination.ip` para verificar um intervalo de endereços CIDR.
Exemplos	Devolve `true` se o endereço IP de destino for `10.0.0.1`: destination.ip == "10.0.0.1" Devolve `true`, a menos que o endereço IP de destino seja `10.0.0.1`: destination.ip != "10.0.0.1"
Tipos de recursos suportados	Disponível para pedidos que usam o Identity-Aware Proxy para aceder a uma instância de túnel

atributo destination.port

Variável de atributo	`destination.port`
Tipo de atributo	`int`
Operadores suportados	`==, !=, <, <=, >, >=`
Detalhes	A variável `destination.port` identifica um número de porta TCP interno.
Exemplos	Devolve `true` se a porta de destino for `21`: destination.port == 21 Devolve `true` se a porta de destino for inferior a `3001`: destination.port < 3001
Tipos de recursos suportados	Disponível para pedidos que usam o Identity-Aware Proxy para aceder a uma instância de túnel

Atributos da regra de encaminhamento

Os atributos das regras de encaminhamento permitem-lhe especificar os tipos de regras de encaminhamento que um principal pode criar. Por exemplo, pode permitir que um principal crie regras de encaminhamento para balanceadores de carga internos Google Cloud, que processam o tráfego originário de uma rede, mas não para balanceadores de carga Google Cloudexternos Google Cloud, que processam o tráfego originário da Internet. Google Cloud Pode usar atributos de regras de encaminhamento em associações de funções de políticas de permissão.

Para o Cloud Load Balancing, os atributos da regra de encaminhamento não afetam a capacidade de criar outros componentes de um balanceador de carga, como serviços de back-end, proxies de destino, verificações de funcionamento e mapas de URLs. Google Cloud

Funções suportadas

Função Descrição

Função	Descrição
`compute.isForwardingRuleCreationOperation()` `bool`	Verifica se o pedido está a criar uma regra de encaminhamento. Exemplo Consulte o exemplo para `compute.matchLoadBalancingSchemes()`.
`compute.matchLoadBalancingSchemes( schemes: list<string> )` `bool`	Verifica se o pedido afeta um dos tipos especificados de esquema de equilíbrio de carga. Para encontrar o identificador de cada esquema de equilíbrio de carga, bem como mais detalhes, consulte Usar condições do IAM em equilibradores de carga. Google Cloud Nota: em geral, se usar esta função numa expressão de condição, também deve usar `compute.isForwardingRuleCreationOperation()`. Consulte os exemplos nesta célula para ver detalhes. Parâmetro `schemes`: Os esquemas de balanceamento de carga que o pedido tem permissão para afetar. Exemplo Devolve um dos seguintes elementos: Se o pedido não estiver a criar uma regra de encaminhamento, devolve `true`. Se o pedido estiver a criar uma regra de encaminhamento, devolve `true` apenas se a regra de encaminhamento afetar um esquema de balanceamento de carga `INTERNAL`, `INTERNAL_MANAGED` ou `INTERNAL_SELF_MANAGED`. !compute.isForwardingRuleCreationOperation() \|\| ( compute.isForwardingRuleCreationOperation() && compute.matchLoadBalancingSchemes([ 'INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED' ]) )

compute.isForwardingRuleCreationOperation() bool

Verifica se o pedido está a criar uma regra de encaminhamento.

Exemplo: Consulte o exemplo para compute.matchLoadBalancingSchemes().

compute.matchLoadBalancingSchemes(
  schemes: list<string>
)

bool

Verifica se o pedido afeta um dos tipos especificados de esquema de equilíbrio de carga. Para encontrar o identificador de cada esquema de equilíbrio de carga, bem como mais detalhes, consulte Usar condições do IAM em equilibradores de carga. Google Cloud

Nota: em geral, se usar esta função numa expressão de condição, também deve usar compute.isForwardingRuleCreationOperation(). Consulte os exemplos nesta célula para ver detalhes.

Parâmetro

schemes: Os esquemas de balanceamento de carga que o pedido tem permissão para afetar.

Exemplo

Devolve um dos seguintes elementos:

Se o pedido não estiver a criar uma regra de encaminhamento, devolve true.
Se o pedido estiver a criar uma regra de encaminhamento, devolve true apenas se a regra de encaminhamento afetar um esquema de balanceamento de carga INTERNAL, INTERNAL_MANAGED ou INTERNAL_SELF_MANAGED.

!compute.isForwardingRuleCreationOperation() || (
  compute.isForwardingRuleCreationOperation() &&
  compute.matchLoadBalancingSchemes([
    'INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED'
  ])
)

Tipos de recursos suportados

Este atributo está disponível para pedidos de criação dos seguintes tipos de recursos:

Serviço	Tipos de recursos
Cloud Load Balancing	Regras de encaminhamento
Cloud VPN	Regras de encaminhamento (globais e regionais)
Compute Engine	Regras de encaminhamento (para encaminhamento de protocolos)
Cloud Service Mesh¹	Regras de encaminhamento

¹ Usa os atributos de recursos para o Compute Engine.

Atributo de caminho de URL/anfitrião

O atributo de anfitrião/caminho do URL permite que os utilizadores geram o acesso com base no caminho do URL e no anfitrião de um pedido. Por exemplo, uma condição pode especificar que https://example.com é a aplicação principal acessível por um domínio geral de utilizadores, enquanto https://hr.example.com/admin é usado para aceder a uma página na aplicação onde apenas os administradores de recursos humanos podem aceder a esta parte.

Pode usar o atributo de caminho/anfitrião do URL em associações de funções da política de permissão.

Atributo request.path

Variável de atributo	`request.path`
Tipo de atributo	`string`
Funções e operadores suportados	`==, startsWith(), endsWith()`
Detalhes	Não recomendamos a utilização do operador `!=` com este atributo. Em vez de verificar a desigualdade, como em `request.path != "/admin"`, verifique o prefixo do atributo, como em `!request.path.startsWith("/admin")`. Ao selecionar o prefixo, também protege os caminhos de URL na hierarquia `/admin`, como `/admin/payroll/`.
Exemplos	Devolve `true` se o caminho do pedido for igual ao caminho do URL especificado: request.path == "/admin" request.path == "/admin/payroll" Devolve `true` se o caminho do pedido começar com o caminho do URL especificado: request.path.startsWith("/admin") Devolve `true` se o caminho do pedido terminar com o caminho do URL especificado: request.path.endsWith("/payroll.js")
Tipos de recursos suportados	Versões do serviço de apps do Identity-Aware Proxy (App Engine): disponíveis para pedidos que usam o Identity-Aware Proxy para aceder a uma aplicação Web em execução no App Engine ou no Compute Engine Serviços do Cloud Run

atributo request.host

Variável de atributo	`request.host`
Tipo de atributo	`string`
Funções e operadores suportados	`==, endsWith()`
Detalhes	Não recomendamos a utilização da função `.startsWith()` nem do operador `!=` com este atributo. Estas funções e operadores podem dar-lhe resultados inesperados.
Exemplos	Devolve `true` se o nome do anfitrião for igual ao valor especificado: request.host == "www.example.com" request.host == "hr.example.com" Devolve `true` se o nome do anfitrião terminar com o valor especificado: request.host.endsWith("example.com")
Tipos de recursos suportados	Versões do serviço de apps do Identity-Aware Proxy (App Engine): disponíveis para pedidos que usam o Identity-Aware Proxy para aceder a uma versão do serviço de apps. Serviços do Cloud Run

Extraia valores de atributos

Pode usar a função extract() para extrair um valor de um atributo. Por exemplo, pode extrair uma parte arbitrária de um nome de recurso e, em seguida, escrever uma expressão de condição que faça referência ao texto que extraiu.

Para usar a função extract(), fornece um modelo de extração, que especifica a parte do atributo a extrair. Por exemplo, se quiser extrair um ID do projeto do nome do recurso de uma instância de VM do Compute Engine, pode usar o modelo projects/{project}/.

Um modelo de extração contém as seguintes partes:

Um identificador, incluído entre chavetas, que identifica a substring a extrair.

Escolha um identificador curto e significativo que deixe claro o valor que quer extrair. Pode usar letras maiúsculas e minúsculas de A a Z; dígitos numéricos; e sublinhados (_).

No modelo projects/{project}/, o identificador é project.
Opcional: um prefixo, que tem de aparecer antes da substring a extrair.

No modelo projects/{project}/, o prefixo é projects/.
Opcional: um sufixo, que tem de aparecer após a substring a extrair.

No modelo projects/{project}/, o sufixo é /.

A função extract() extrai diferentes partes do atributo com base no facto de o modelo de extração ter um prefixo, um sufixo ou ambos:

Tem prefixo	Tem sufixo	Valor extraído
—	—	Todo o atributo
	—	Os carateres após a primeira ocorrência do prefixo ou uma string vazia se não existirem carateres após o prefixo
—		Os carateres antes da primeira ocorrência do sufixo ou uma string vazia se não existirem carateres antes do sufixo
		Os carateres entre a primeira ocorrência do prefixo e a primeira ocorrência subsequente do sufixo, ou uma string vazia se não existirem carateres entre o prefixo e o sufixo

Se especificar um prefixo ou um sufixo que não apareça no atributo, ou se o sufixo aparecer apenas antes do prefixo, a função extract() devolve uma string vazia.

Os exemplos seguintes mostram o resultado de vários modelos de extração diferentes. Estes exemplos referem-se a um nome de recurso para um objeto do Cloud Storage : projects/_/buckets/acme-orders-aaa/objects/data_lake/orders/order_date=2019-11-03/aef87g87ae0876

Modelo de extração	Resultado
`/order_date={date}/`	`2019-11-03`
`buckets/{name}/`	`acme-orders-aaa`
`/orders/{empty}order_date`	`string` está vazio.
`{start}/objects/data_lake`	`projects/_/buckets/acme-orders-aaa`
`orders/{end}`	`order_date=2019-11-03/aef87g87ae0876`
`{all}`	`projects/_/buckets/acme-orders-aaa/objects/data_lake/orders/order_date=2019-11-03/aef87g87ae0876`
`/orders/{none}/order_date=`	`string` está vazio.
`/orders/order_date=2019-11-03/{id}/data_lake`	`string` está vazio.

Se extrair uma string que represente uma data, pode usar as funções e os operadores de data/hora nesta página para converter o valor extraído num Timestamp. Para ver exemplos, consulte o artigo Configurar o acesso baseado em recursos.

Referência de atributos para condições do IAM Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Atributos de condição suportados

Atributos do recurso

Atributos principais

Atributos de pedido

Apoio técnico para condições herdadas

Atributos do recurso

atributo resource.service

Atributo resource.type

atributo resource.name

Etiquetas de recursos

Atributos principais

Atributo principal.type

Atributo principal.subject

Atributos de pedido

Atributo de níveis de acesso

Atributo request.auth.access_levels

Atributos da API

Funções para atributos da API

Atributos da API Cloud Storage

Atributos da API IAM

Atributo de data/hora

Crie, compare e modifique indicações de tempo e durações

Extraia informações de uma indicação de tempo

Atributos de porta/IP de destino

atributo destination.ip

atributo destination.port

Atributos da regra de encaminhamento

Funções suportadas

Tipos de recursos suportados

Atributo de caminho de URL/anfitrião

Atributo request.path

atributo request.host

Extraia valores de atributos

Referência de atributos para condições do IAM

Atributo `principal.type`

Atributo `principal.subject`

Atributo `request.auth.access_levels`