IAM Conditions 的特性参考文档

• Cloud Key Management Service
• Cloud Spanner
• Cloud Storage
• Compute Engine
• Identity-Aware Proxy
• Pub/Sub Lite
• Resource Manager（仅限资源类型和资源服务）
• Secret Manager

访问权限级别特性

根据特定的访问权限级别管理访问权限。

访问权限级别是一种基于请求和请求者相关原始特性（例如源 IP 地址、设备特性、一天中的时间等）计算得出的特性。例如，onNetwork 访问权限级别可能要求发出请求的设备的 IP 地址源自特定的 IP 地址范围。访问权限级别由组织的管理员定义。

Identity-Aware Proxy

API 特性

根据特定 Google Cloud API 或服务提供的数据管理访问权限。

• Cloud Storage
• Identity and Access Management
• AI Platform Notebooks
• API 网关
• AutoML
• Certificate Authority Service
• Cloud Functions
• Cloud Healthcare API
• Cloud IoT
• Cloud Key Management Service
• Cloud Run
• Cloud Runtime Configuration API
• Compute Engine
• 容器分析
• Dataproc
• Earth Engine
• Game Servers
• Identity and Access Management
• Identity-Aware Proxy
• Managed Service for Microsoft Active Directory
• Resource Manager
• Secret Manager
• 服务管理

日期/时间特性

设置对 Google Cloud 资源的可过期、计划的或限时的访问权限。

所有 Google Cloud 服务

目标 IP 地址/端口特性

根据请求的目标 IP 地址和/或端口管理访问权限。例如，Compute Engine 虚拟机 (VM) 实例可能会公开一个外部 IP 地址（如 10.0.0.2），但端口 22 可能仅会出于管理目的公开。

当前主要用于 Identity-Aware Proxy TCP 转发。

Identity-Aware Proxy

转发规则特性

指定成员可以创建的转发规则的类型。例如，您可以允许成员为内部 Google Cloud 负载平衡器（用于处理源自 Google Cloud 网络的流量）创建转发规则，但不允许为外部 Google Cloud 负载平衡器（用于处理源自互联网的流量）创建转发规则。

• Cloud Load Balancing
• Cloud VPN
• Compute Engine 协议转发
• Traffic Director

网址路径/主机特性

根据请求的网址路径和/或主机管理访问权限。例如，某项条件可以指定 https://example.com 是可通过用户的常规网域访问的主应用，而 https://hr.example.com/admin 则用于访问仅人力资源管理员才有权访问的应用中的页面。

Identity-Aware Proxy

如需查看所有支持的资源服务字符串字面量的列表，请参阅 IAM Conditions 的资源特性。

注意：.startsWith(<prefix string>) 和 .endsWith(<suffix string>) 函数不应与 resource.service 特性一起使用，否则会出现意外计算结果，出于此原因，不建议您将这些函数与该特性一起使用。

示例 1：

resource.service == "compute.googleapis.com"

• Cloud Key Management Service
• Cloud Spanner
• Cloud Storage
• Compute Engine
• Identity-Aware Proxy
• Pub/Sub Lite
• Resource Manager（仅限资源类型和资源服务）
• Secret Manager

如需查看所有支持的资源类型字符串字面量的列表，请参阅 IAM Conditions 的资源特性。

注意：.startsWith(<prefix string>) 和 .endsWith(<suffix string>) 函数不应与 resource.type 特性一起使用，否则会出现意外计算结果，出于此原因，不建议您将这些函数与该特性一起使用。

示例 1：

resource.type != "compute.googleapis.com/Image"

示例 2：

(resource.type == "compute.googleapis.com/Image" ||
 resource.type == "compute.googleapis.com/Disk")

¹ Cloud Key Management Service 将此资源类型用作密钥环资源的父级。

字符串

每种资源类型都为资源名称使用一种特定格式。如需查看这些格式的列表，请参阅资源名称格式。

resource.name 包含请求中目标资源的相关资源名称。相关资源名称是不带正斜线 (/) 的 URI 路径。

startsWith() 函数接受前缀字符串字面量，并针对 resource.name 执行计算。

endsWith() 函数接受后缀字符串字面量，并针对 resource.name 执行计算。

extract() 函数使用提取模板来提取 resource.name 的子字符串。如需了解详情，请参见本页面上的从资源名称中提取值。

== 和 != 运算符用于与完整的 resource.name 或者 resource.name 的提取部分进行比较。

示例 1（对于 Compute Engine 虚拟机实例）：

resource.name.startsWith("projects/project-123/zones/us-east1-b/instances/prod-")

示例 2（对于 Cloud Storage 存储分区）：

resource.name.startsWith("projects/_/buckets/my_bucket/objects/test-object-")

示例 3（对于 Cloud Storage 对象）：

resource.name.endsWith(".jpg")

示例 4（对于多种资源类型）：

resource.name.extract("projects/{project}/")

示例 5（对于 Cloud Storage 存储分区）：

resource.name != "projects/_/buckets/secret-bucket-123"

函数：

检查请求的资源是否包含具有指定键的标记。标记键通过其命名空间名称查找。如需使用标记键的永久 ID 检查是否存在标记键，请使用函数 resource.hasTagKeyId()。

参数：String：标记键的命名空间名称，并将组织的数字 ID 和正斜杠作为前缀。例如 123456789012/env。

示例：

resource.hasTagKey('123456789012/env')
如果请求的资源带有键为 env 的标记，则返回 true。

函数：

检查请求的资源是否包含具有指定键的标记。标记键通过其永久 ID 查找。如需使用标记键的命名空间名称检查是否存在标记键，请使用函数 resource.hasTagKey()。

参数：字符串：标记键的永久 ID。 例如 tagKeys/123456789012。

示例：

resource.hasTagKeyId('tagKeys/123456789012')
如果请求的资源带有键为 tagKeys/123456789012 的标记，则返回 true。

函数：

检查请求的资源是否包含带有指定键和值的标记。键通过其命名空间名称查询，值通过其短名称查询。如需使用永久 ID 检查标记键和值，请使用函数 resource.matchTagId()。

参数：

第一个 String 参数是标记键的命名空间名称，带有组织的数字 ID 和正斜杠作为前缀。例如：123456789012/env。

第二个 String 参数是标记值的短名称。例如：prod。

示例：

resource.matchTag('123456789012/env', 'prod')
如果请求的资源具有键为 123456789012/env 且值为 prod 的标记，则返回 true。

函数：

检查请求的资源是否包含带有指定键和值的标记。键和值通过其永久 ID 查找。如需使用标记键的命名空间名称和使用其短名称的值检查标记键，请使用函数 resource.matchTag()。

参数：

第一个 String 参数是标记键的永久 ID。例如：tagKeys/123456789012。

第二个 String 参数是标记值的永久性 ID。例如：tagValues/567890123456。

示例：

resource.matchTagId('tagKeys/123456789012', 'tagValues/567890123456')
如果请求的资源具有键为 tagKeys/123456789012 且值为 tagValues/567890123456 的标记，则返回 true。

变量 request.auth.access_levels 显示在 in 运算符右侧，其左侧显示代表已定义访问权限级别全名的字符串。

访问权限级别的全名采用以下名称格式：
"accessPolicies/<policyNumber>/accessLevels/<shortName>"

注意：访问权限级别字符串区分大小写，且必须与 Access Context Manager 中的配置完全匹配才能产生预期作用。例如，“accessPolicies/199923665455/accessLevels/CorpNet”是要在表达式中使用的有效字符串文本，而“accessPolicies/199923665455/accesslevels/CorpNet”无法产生预期作用。

"accessPolicies/199923665455/accessLevels/CorpNet"
 in request.auth.access_levels

函数：获取请求的 API 特性。

参数：

String：要获取的 API 特性。如需了解支持的值，请参阅本页面上的 Cloud Storage API 特性和 IAM API 特性。

T：当没有 API 特性时要使用的默认值。请使用与 API 特性值相同的类型。例如，如果 API 特性的值是字符串，则您可以使用空字符串或占位符字符串，例如 undefined。

示例：

api.getAttribute("storage.googleapis.com/objectListPrefix", "")
用于列出 Cloud Storage 存储分区中的对象的 prefix 参数的值。对于省略 prefix 参数的请求以及其他请求类型，返回空字符串。

函数：检查列表是仅包含允许的项，还是其中部分项。

参数：

List<T>：类型为 T 的项列表。您对 api.getAttribute() 返回的列表调用该函数。此参数是 API 特性可以包含的项列表。

示例：

api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', [])
    .hasOnly(['roles/pubsub.editor', 'roles/pubsub.publisher'])

检查请求将授予还是撤消除 Pub/Sub Editor (roles/pubsub.editor) 或 Pub/Sub Publisher (roles/pubsub.publisher) 之外的任何角色。下表展示了不同请求值的结果：

对于列出存储分区中的对象的请求，包含请求中 prefix 参数的值。如果请求省略 prefix 参数，则表示该特性未定义。

对于其他类型的请求，该特性未定义。

可识别此特性的服务：

只有 Cloud Storage 能够识别此特性。

对于设置资源的 IAM 政策的请求，此特性包含请求修改的角色绑定中的角色名称。

对于其他类型的请求，该特性未定义。

接受此特性的资源：

以下资源接受其 IAM 政策中具有 modifiedGrantsByRole 特性的条件：

• 项目
• 文件夹
• 单位

可识别此特性的服务：

以下服务可识别 modifiedGrantsByRole 特性：

• AI Platform Notebooks
• API 网关
• AutoML
• Certificate Authority Service
• Cloud Functions
• Cloud Healthcare API
• Cloud IoT
• Cloud Key Management Service
• Cloud Run
• Cloud Runtime Configuration API
• Compute Engine
• 容器分析
• Dataproc
• Earth Engine
• Game Servers
• Identity and Access Management
• Identity-Aware Proxy
• Managed Service for Microsoft Active Directory
• Resource Manager
• Secret Manager
• 服务管理

函数：将字符串转换为时间戳。
参数：格式为 YYYY-MM-DD 的字符串，其中 YYYY 为年份，MM 为两位数的月份，DD 为两位数的日期。生成的时间戳包含指定日期和时间 00:00:00.000 UTC。

示例：

date("2020-02-01")
表示日期 2020-02-01 和时间 00:00:00.000 UTC 的时间戳。

函数：将字符串转换为时长。
参数：包含秒数的字符串，后跟 s

示例：

duration("90s")
表示 1.5 分钟的时长。

duration("2592000s")
表示 30 天的时长。

timestamp

String --> Timestamp

函数：将字符串转换为时间戳。
参数：遵循世界协调时间 (UTC) 格式 (RFC 3339) 的字符串。

示例：

timestamp("1985-04-12T23:20:50.52Z")
这表示对 1985 年 4 月 12 日 23 时 20 分 50.52 秒（采用世界协调时间 (UTC)）的时间戳转换。

timestamp("1996-12-19T16:39:57-08:00")
这表示对 1996 年 12 月 19 日 16 时 39 分 57 秒（与世界协调时间 (UTC) 的偏移量为 -08:00）的时间戳转换。请注意，此时间相当于采用世界协调时间 (UTC) 的 1996-12-20T00:39:57Z。此偏移量不能反映时区，例如，太平洋标准时间相对于世界协调时间 (UTC) 的偏移量在冬季为 -08:00，而在夏季由于采用夏令时，其偏移量变为 -07:00。

重要提示：
字符串必须遵循世界协调时间 (UTC) 字符串的格式要求。任何不符合世界协调时间 (UTC) 格式的字符串都会导致 timestamp() 函数无法将字符串转换为时间戳值。因此，使用 timestamp() 对表达式进行条件评估会导致授权失败。

<, <=, >, >=

(Timestamp, Timestamp) --> bool

函数：与时间戳类型的常规比较。

示例：

request.time < timestamp("2018-04-12T00:00:00.00Z")
request.time <= timestamp("2018-04-12T00:00:00.00Z")
request.time > timestamp("2018-04-12T00:00:00.00Z")
request.time >= timestamp("2018-04-12T00:00:00.00Z")
这些表达式会将请求时间与指定时间戳（示例中为世界协调时间 (UTC) 的 2018 年 4 月 12 日）进行比较。通常用于设置角色授予的“开始时间”或“到期时间”条件。

注意：由于时间精确到毫秒，包含等于和不等于比较（==、!=）的意义不大。

函数：在时间戳的基础上加上或减去时长。

示例：

timestamp("2018-04-12T14:30:00.00Z") + duration("1800s")
查找格林尼治标准时间 2018 年 4 月 12 日 14:30:00 之后 30 分钟内的时间戳。

timestamp("2018-04-12T14:30:00.00Z") - duration("5184000s")
查找格林尼治标准时间 2018 年 4 月 12 日 14:30:00 之前 60 天内的时间戳。

<, <=, >, >=, ==, !=

(int, int) --> bool

函数：对 int 类型的值执行常规比较。

讨论：
这组整数比较运算符主要供带有时间戳函数的其余“高级函数”使用。所有这些函数（请参见此表其余部分的定义）将时间戳值的特定部分转换为 int 类型。我们还提供了各种高级函数的示例，展示了常见用法建议。

getDate, getDayOfMonth, getDayOfWeek, getDayOfYear

Timestamp.() --> int

Timestamp.(string) --> int

函数：
getDate：根据时间戳值获取一个月中的某天（从 1 开始编制索引）。这种索引编制方式的含义是，一个月的第一天是 1。

getDayOfMonth：根据时间戳值获取一个月中的某天（从 0 开始编制索引）。这种索引编制方式的含义是，一个月的第一天是 0。

getDayOfWeek：根据时间戳值（星期日索引为 0）获取一周中的某天。这种索引编制方式的含义是，星期天(0)、星期一(1)、...、星期六(6)。

getDayOfYear：根据时间戳值获取一年中的某天（从 0 开始编制索引）。这种索引编制方式的含义是，一年的第一天是 0。

参数：
字符串表示时区：根据该时区的日期进行转换。注意：如果未指定时区，将根据世界协调时间 (UTC) 日期进行转换。

如需详细了解有效的时区字符串，请参阅支持的时区值。

示例：

request.time.getDayOfWeek() > 0 && request.time.getDayOfWeek() < 6
如果传入请求是在星期一到星期五之间（采用世界协调时间 (UTC) 时间）发送的，则此表达式的计算结果为 true。

示例：

request.time.getDayOfWeek("Europe/Berlin") > 0 && request.time.getDayOfWeek(Europe/Berlin") < 6
如果收到的请求是在星期一到星期五（采用柏林时区）之间发送的，则此表达式的计算结果为 true。

示例：

request.time.getDayOfYear("America/Los_Angeles") >= 0 && request.time.getDayOfYear("America/Los_Angeles") < 5
如果传入请求在一年的前 5 天（采用洛杉矶时区）内发送的，则此表达式的计算结果为 true。

getFullYear

Timestamp.() --> int

Timestamp.(string) --> int

函数：获取日期的年份。

参数：
版本 1：无参数；以世界协调时间 (UTC) 日期为依据。
版本 2：时区字符串；以相应时区的日期为依据。

如需详细了解有效的时区字符串，请参阅支持的时区值。

示例：

request.time.getFullYear("America/Los_Angeles") == 2018
如果传入请求是在 2018 年（采用洛杉矶时区）发送的，则此表达式的计算结果为 true。

示例：

request.time.getFullYear() < 2020
如果传入请求是在 2019 年年底（采用世界协调时间 (UTC)）之前发送的，则此表达式的计算结果为 true。

getHours

Timestamp.() --> int

Timestamp.(string) --> int

函数：获取日期的小时数；值介于 0 到 23 之间。

参数：
版本 1：无参数；以世界协调时间 (UTC) 日期为依据。
版本 2：时区字符串；以相应时区的日期为依据。

如需详细了解有效的时区字符串，请参阅支持的时区值。

示例：

request.time.getHours("Europe/Berlin") >= 9 && request.time.getHours("Europe/Berlin") <= 17
此表达式指定了工作时间条件。如果相应请求在上午 9 点至下午 5 点（采用柏林时区）之间发送，则此表达式的计算结果为 true。

注意：

将 getHours() 与 getDayofWeek() 结合使用可用于设置法定工作时间条件，例如出于符合司法管辖区要求的目的。

getMilliseconds

Timestamp.() --> int

Timestamp.(string) --> int

函数：根据时间戳获取一秒中的毫秒数；值介于 0 到 999 之间。

参数：
版本 1：无参数；以世界协调时间 (UTC) 日期为依据。
版本 2：时区字符串；以相应时区的日期为依据。

如需详细了解有效的时区字符串，请参阅支持的时区值。

注意：

鉴于语义上的有限用法，此函数用处不大。

getMinutes

Timestamp.() --> int

Timestamp.(string) --> int

函数：根据时间戳获取一小时中的分钟数；值介于 0 到 59 之间。

参数：
版本 1：无参数；以世界协调时间 (UTC) 日期为依据。
版本 2：时区字符串；以相应时区的日期为依据。

如需详细了解有效的时区字符串，请参阅支持的时区值。

注意：

鉴于语义上的有限用法，此函数用处不大。

getMonth

Timestamp.() --> int

Timestamp.(string) --> int

函数：根据时间戳获取一年中的月数；值介于 0 到 11 之间。

参数：
版本 1：无参数；以世界协调时间 (UTC) 日期为依据。
版本 2：时区字符串；以相应时区的日期为依据。

如需详细了解有效的时区字符串，请参阅支持的时区值。

示例：

request.time.getMonth("America/Los_Angeles") == 3
如果传入请求是在 4 月份（采用洛杉矶时区）发送的，则此表达式的计算结果为 true。

getSeconds

Timestamp.() --> int

Timestamp.(string) --> int

函数：根据时间戳获取一分钟中的秒数；值介于 0 到 59 之间。

参数：
版本 1：无参数；以世界协调时间 (UTC) 日期为依据。
版本 2：时区字符串；以相应时区的日期为依据。

如需详细了解有效的时区字符串，请参阅支持的时区值。

注意：

鉴于语义上的有限用法，此函数用处不大。

变量 destination.ip 应是一个字符串，表示 IPv4 格式的内部 IP 地址。

注意：startsWith(<prefix string of IP>) 函数和 endsWith(<suffix string of IP>) 函数不应与 destination.ip 特性一起使用。虽然设置 destination.ip.startsWith(<prefix string of IP>) 之类的条件不会在执行 setIamPolicy 操作时造成语法错误，但由于会出现意外结果，我们不建议如此设置。对 CIDR 执行 IP 地址范围检查时，不建议在 IP 字符串上进行前缀匹配。

destination.ip == "10.0.0.1"

destination.ip != "10.0.0.1"

变量 destination.port 应是表示内部 TCP 端口号的整数。

destination.port == 21

destination.port < 3001

函数：检查请求是否正在创建转发规则。

示例：查看 compute.matchLoadBalancingSchemes() 的示例。

函数：检查请求是否会影响指定类型的负载平衡方案。如需查找每种负载平衡方案的标识符以及详细了解每种方案，请参阅在 Google Cloud 负载平衡器上使用 IAM Conditions。

参数：字符串数组

示例：

!compute.isForwardingRuleCreationOperation() || (
  compute.isForwardingRuleCreationOperation() &&
  compute.matchLoadBalancingSchemes([
    'INTERNAL', 'INTERNAL_MANAGED', 'INTERNAL_SELF_MANAGED'
  ]))
)

• 如果请求不是创建转发规则，则将该角色授予该成员。
• 如果请求是创建转发规则，则仅在转发规则影响 INTERNAL、INTERNAL_MANAGED 或 INTERNAL_SELF_MANAGED 负载平衡方案时授予角色。

• 字符串：==
• 常量前缀字符串：startsWith()
• 常量后缀字符串：endsWith()

request.path != "/admin"

! request.path.startsWith("/admin")

示例 1：

request.path == "/admin"

request.path == "/admin/payroll"

在上述两个示例中的相等性 (==) 比较中使用的字符串应根据网址路径标准进行格式设置。

示例 2：

request.path.startsWith("/admin")

此函数中使用表示网址路径前缀的字符串。

示例 3：

request.path.endsWith("/payroll.js")

此函数中使用表示网址路径后缀的字符串。

Identity-Aware Proxy 应用服务版本 (App Engine)

适用于使用 Identity-Aware Proxy 访问 App Engine 或 Compute Engine 上运行的 Web 应用的请求

• 字符串：==
• 常量后缀字符串：endsWith()

示例 1：

request.host == "www.example.com"

request.host == "hr.example.com"

在上述两个示例中的相等性 (==) 比较中使用的字符串应根据网站主机名的网址字符串标准进行格式设置。

示例 2：

request.host.endsWith("example.com")

表示网站主机名后缀的字符串。

Identity-Aware Proxy 应用服务版本 (App Engine)

适用于使用 Identity-Aware Proxy 访问应用服务版本的请求。