Atributos de recursos para las condiciones de IAM

Este tema contiene una lista de valores que se pueden usar con los atributos de recursos en una condición, incluidos los valores de string para el servicio de recurso, el tipo de recurso y el formato de las strings de nombre de recurso.

Puedes usar atributos de recursos para cambiar el alcance de los permisos que proporciona la vinculación de una función. Cuando una función contiene permisos que se aplican a diferentes tipos de recursos, una condición puede otorgar un subconjunto de los permisos de la función según el servicio, el tipo y el nombre del recurso.

Los atributos de recursos están disponibles para los servicios de Google Cloud y los tipos de recursos que se enumeran en esta página. Otros servicios y tipos de recursos no reconocen atributos de recursos.

Para obtener más información sobre las condiciones de administración de identidades y accesos (IAM), consulta los siguientes temas:

Valores de servicios de recursos

En la siguiente tabla, se enumeran los valores que puede contener el atributo de servicio de recurso.

Valor del servicio de recurso Referencia de REST
apigee.googleapis.com Referencia de la API
backupdr.googleapis.com Referencia de la API
bigquery.googleapis.com Referencia de la API
bigqueryreservation.googleapis.com Referencia de la API
bigtableadmin.googleapis.com Referencia de la API
binaryauthorization.googleapis.com Referencia de la API
clouddeploy.googleapis.com Referencia de la API
cloudkms.googleapis.com Referencia de la API
cloudresourcemanager.googleapis.com Referencia de la API
compute.googleapis.com Referencia de la API
container.googleapis.com Referencia de la API
connectors.googleapis.com Referencia de la API
dataform.googleapis.com Referencia de la API
firestore.googleapis.com Referencia de la API
iap.googleapis.com Referencia de la API
integrations.googleapis.com Referencia de la API
logging.googleapis.com Referencia de la API
managedkafka.googleapis.com Referencia de la API
pubsublite.googleapis.com Referencia de la API
secretmanager.googleapis.com Referencia de la API
spanner.googleapis.com Referencia de la API
sqladmin.googleapis.com Referencia de la API
storage.googleapis.com Referencia de la API

Valores de tipos de recursos

En la siguiente tabla, se enumeran los valores que puede contener el atributo de tipo de recurso.

Valor de tipo de recurso Referencia
apigee.googleapis.com/ApiProduct Más información
apigee.googleapis.com/ApiProductAttribute Más información
apigee.googleapis.com/Cache Más información
apigee.googleapis.com/Developer Más información
apigee.googleapis.com/DeveloperApp Más información
apigee.googleapis.com/DeveloperAppAttribute Más información
apigee.googleapis.com/DeveloperAttribute Más información
apigee.googleapis.com/Export Más información
apigee.googleapis.com/FlowHook Más información
apigee.googleapis.com/KeyStore Más información
apigee.googleapis.com/KeyStoreAlias Más información
apigee.googleapis.com/KeyValueEntry Más información
apigee.googleapis.com/KeyValueMap Más información
apigee.googleapis.com/Proxy Más información
apigee.googleapis.com/ProxyRevision Más información
apigee.googleapis.com/Query Más información
apigee.googleapis.com/RatePlan Más información
apigee.googleapis.com/Reference Más información
apigee.googleapis.com/SharedFlow Más información
apigee.googleapis.com/SharedFlowRevision Más información
apigee.googleapis.com/TargetServer Más información
apigee.googleapis.com/TraceSession Más información
backupdr.googleapis.com/BackupVaults Más información
bigquery.googleapis.com/Dataset Más información
bigquery.googleapis.com/Model Más información
bigquery.googleapis.com/Routine Más información
bigquery.googleapis.com/Table Más información
bigqueryreservation.googleapis.com/Assignment Más información
bigqueryreservation.googleapis.com/BiReservation Más información
bigqueryreservation.googleapis.com/CapacityCommitment Más información
bigqueryreservation.googleapis.com/Location Más información
bigqueryreservation.googleapis.com/Reservation Más información
bigtableadmin.googleapis.com/AppProfile Más información
bigtableadmin.googleapis.com/Backup Más información
bigtableadmin.googleapis.com/Cluster Más información
bigtableadmin.googleapis.com/Instance Más información
bigtableadmin.googleapis.com/Table Más información
binaryauthorization.googleapis.com/Attestor Más información
binaryauthorization.googleapis.com/ContinuousValidationConfig Más información
binaryauthorization.googleapis.com/Policy Más información
cloud.googleapis.com/Location1 Más información
cloudkms.googleapis.com/CryptoKey Más información
cloudkms.googleapis.com/CryptoKeyVersion Más información
cloudkms.googleapis.com/KeyRing Más información
cloudresourcemanager.googleapis.com/Project2 Más información
compute.googleapis.com/BackendService Más información
compute.googleapis.com/Disk Más información
compute.googleapis.com/Firewall Más información
compute.googleapis.com/ForwardingRule Más información
compute.googleapis.com/GlobalForwardingRule Más información
compute.googleapis.com/Image Más información
compute.googleapis.com/Instance Más información
compute.googleapis.com/InstanceTemplate Más información
compute.googleapis.com/Snapshot Más información
compute.googleapis.com/TargetHttpProxy Más información
compute.googleapis.com/TargetHttpsProxy Más información
compute.googleapis.com/TargetSslProxy Más información
compute.googleapis.com/TargetTcpProxy Más información
connectors.googleapis.com/Connection Más información
connectors.googleapis.com/ConnectionSchemaMetadata Más información
connectors.googleapis.com/EndpointAttachment Más información
connectors.googleapis.com/EventSubscription Más información
connectors.googleapis.com/ManagedZone Más información
container.googleapis.com/Clusters Más información
dataform.googleapis.com/CompilationResult Más información
dataform.googleapis.com/Location Más información
dataform.googleapis.com/ReleaseConfig Más información
dataform.googleapis.com/Repository Más información
dataform.googleapis.com/WorkflowConfig Más información
dataform.googleapis.com/WorkflowInvocation Más información
dataform.googleapis.com/Workspace Más información
firestore.googleapis.com/Database Más información
iap.googleapis.com/Tunnel Más información
iap.googleapis.com/TunnelInstance Más información
iap.googleapis.com/TunnelZone Más información
iap.googleapis.com/Web Más información
iap.googleapis.com/WebService Más información
iap.googleapis.com/WebServiceVersion Más información
iap.googleapis.com/WebType Más información
integrations.googleapis.com/AuthConfig Más información
integrations.googleapis.com/Execution Más información
integrations.googleapis.com/Integration Más información
integrations.googleapis.com/IntegrationVersion Más información
integrations.googleapis.com/Location N/A
integrations.googleapis.com/Suspension Más información
logging.googleapis.com/LogBucket Más información
logging.googleapis.com/LogView Más información
managedkafka.googleapis.com/Cluster Más información
managedkafka.googleapis.com/ConsumerGroup Más información
managedkafka.googleapis.com/Operation Más información
managedkafka.googleapis.com/Topic Más información
pubsublite.googleapis.com/Location Más información
pubsublite.googleapis.com/Subscription Más información
pubsublite.googleapis.com/Topic Más información
secretmanager.googleapis.com/Secret Más información
secretmanager.googleapis.com/SecretVersion Más información
spanner.googleapis.com/Backup Más información
spanner.googleapis.com/Database Más información
spanner.googleapis.com/Instance Más información
sqladmin.googleapis.com/BackupRun Más información
sqladmin.googleapis.com/Instance Más información
storage.googleapis.com/Bucket Más información
storage.googleapis.com/ManagedFolder Más información
storage.googleapis.com/Object Más información

1 Cloud Key Management Service usa este tipo de recurso como superior de los recursos de llavero de claves.

2 Apigee usa este tipo de recurso como superior de cualquier recurso que pertenezca a una organización de Apigee.

Formato de nombre de recurso

En la siguiente tabla, se muestra el formato de cada tipo de atributo de nombre de recurso.

Referencia del recurso Plantilla de formato de nombre de recurso
Atributos de productos de la API de Apigee organizations/organization-name/apiproducts/product-id/attributes/attribute-id
Productos de la API de Apigee organizations/organization-name/apiproducts/product-id
Proxies de API de Apigee organizations/organization-name/apis/proxy-id
Entradas de mapa de clave-valor del proxy de API de Apigee organizations/organization-name/api/proxy-id/keyvaluemaps/keyvaluemap-id/entries/entry-id
Mapas clave-valor de proxy de la API de Apigee organizations/organization-name/apis/proxy-id/keyvaluemaps/key-value-map-id
Revisiones del proxy de API de Apigee organizations/organization-name/apis/proxy-id/revisions/revision-id
Caché de Apigee organizations/organization-name/environments/environment-id/caches/cache-id
Atributos de las apps para desarrolladores de Apigee organizations/organization-name/developers/developer-id/apps/app-id/attributes/attribute-id
Apps para desarrolladores de Apigee organizations/organization-name/developers/developer-id/apps/app-id
Atributos para desarrolladores de Apigee organizations/organization-name/developers/developer-id/attributes/attribute-id
Desarrolladores de Apigee organizations/organization-name/developers/developer-id
Entradas de mapa de clave-valor del entorno de Apigee organizations/organization-name/environments/environment-id/keyvaluemaps/keyvaluemap-id/entries/entry-id
Mapas clave-valor del entorno de Apigee organizations/organization-name/environments/environment/keyvaluemaps/key-value-map-id
Exportaciones de Apigee organizations/organization-name/environments/environment-id/analytics/exports/export-id
Hooks de flujo de Apigee organizations/organization-name/environments/environment-id/flowhooks/flowhook-id
Alias del almacén de claves de Apigee organizations/organization-name/environments/environment-id/keystores/keystore-id/aliases/alias-id
Almacenes de claves de Apigee organizations/organization-name/environments/environment-id/keystores/keystore-id
Consultas de Apigee organizations/organization-name/environments/environment-id/queries/query-id
Tarifas de planes de Apigee organizations/organization-name/apiproducts/product-id/rateplans/rate-plan-id
Referencias de Apigee organizations/organization-name/environments/environment-id/references/reference-id
Revisiones de flujo compartido de Apigee organizations/organization-name/sharedflows/shared-flow-id/revisions/revision-id
Flujos compartidos de Apigee organizations/organization-name/sharedflows/shared-flow-id
Servidores de destino de Apigee organizations/organization-name/environments/environment-id/targetservers/targetserver-id
Sesiones de seguimiento (depuración) de Apigee organizations/organization-name/environments/environment-id/apis/proxy-id/revisions/revision-id/debugsessions/session-id
Servicio Backup and DR backupVaults projects/project-id/locations/location-id/backupVaults/backup-vault-id
Conjuntos de datos de BigQuery projects/project-id/datasets/dataset-id
Modelos de BigQuery projects/project-id/datasets/dataset-id/models/model-id
Rutinas de BigQuery projects/project-id/datasets/dataset-id/routines/routine-id
Tablas de BigQuery projects/project-id/datasets/dataset-id/tables/table-id
Tareas de la API de BigQuery Reservation projects/project-id/locations/location-id/reservations/reservation-id/assignments/assignment-id
Reservas de IE de la API de BigQuery Reservation projects/project-id/locations/location-id/biReservation
Compromisos de capacidad de la API de BigQuery Reservation projects/project-id/locations/location-id/capacityCommitments/capacity-commitment-id
Ubicaciones de la API de BigQuery Reservation projects/project-id/locations/location-id
reservas de la API de BigQuery Reservation projects/project-id/locations/location-id/reservations/reservation-id
Certificadores autorización binaria projects/project-number/attestors/attestor-id
Configuraciones de validación continua para autorización binaria projects/project-number/continuousValidationConfig
Políticas de autorización binaria projects/project-number/policy
appProfiles de Bigtable projects/project-number/instances/instance-id/appProfiles/appProfile-id
Copias de seguridad de Bigtable projects/project-number/instances/instance-id/clusters/cluster-id/backups/backup-id
Clústeres de Bigtable projects/project-number/instances/instance-id/clusters/cluster-id
Instancias de Bigtable projects/project-number/instances/instance-id
Tablas de Bigtable projects/project-number/instances/instance-id/tables/table-id
Ejecución de la automatización de Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/automationRuns/automation-run-id
Automatizaciones de Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/automations/automation-id
Tipos de segmentación personalizados de Cloud Deploy projects/project-id/locations/location-id/customTargetTypes/custom-target-type-id
Canalizaciones de entrega de Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id
Ejecución de trabajos de Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id/rollouts/rollout-id/jobRuns/job-run-id
Versiones de Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id
Lanzamientos de Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id/rollouts/rollout-id
Destinos de Cloud Deploy projects/project-id/locations/location-id/targets/target-id
Bases de datos de Firestore projects/project-id/databases/database-id
Clave criptográfica de Cloud Key Management Service projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Versiones de clave criptográfica de Cloud Key Management Service projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Llaveros de claves de Cloud Key Management Service projects/project-id/locations/location-id/keyRings/keyring-id
Buckets de registro de Cloud Logging projects/project-id/locations/location-id/buckets/bucket-id
Vistas de registro de Cloud Logging projects/project-id/locations/location-id/buckets/bucket-id/views/view-id
Copias de seguridad de Spanner projects/project-id/instances/instance-id/backups/backup-id
Bases de datos de Spanner projects/project-id/instances/instance-id/databases/database-id
Instancias de Spanner projects/project-id/instances/instance-id
Ejecuciones de copias de seguridad de Cloud SQL projects/project-id/instances/instance-id/backupRuns/backup-id
Instancias de Cloud SQL projects/project-id/instances/instance-id
Depósitos de Cloud Storage1 projects/_/buckets/bucket-name
Carpetas administradas de Cloud Storage1, 2 projects/_/buckets/bucket-name/managedFolders/managed-folder-name
Objetos de Cloud Storage1, 3 projects/_/buckets/bucket-name/objects/object-name
Servicios de backend globales de Compute Engine projects/project-id/global/backendServices/backend-service-id
Servicios de backend regionales de Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Firewalls de Compute Engine projects/project-id/global/firewalls/firewall-id
Reglas de reenvío globales de Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Reglas de reenvío regionales de Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Imágenes de Compute Engine projects/project-id/global/images/image-id
Plantillas de instancias de Compute Engine projects/project-id/global/instanceTemplates/instance-template-id
Instancias de Compute Engine projects/project-id/zones/zone-id/instances/instance-id
Discos persistentes regionales de Compute Engine projects/project-id/regions/region-id/disks/disk-id
Discos persistentes zonales de Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Instantáneas de Compute Engine projects/project-id/global/snapshots/snapshot-id
Proxies HTTP de destino globales de Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Proxies HTTP de destino regionales de Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Proxies HTTPS de destino globales de Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Proxies HTTPS de destino regionales de Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Proxies SSL de destino de Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Proxies TCP de destino de Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Clústeres de Google Kubernetes Engine projects/project-id/locations/location/clusters/cluster-id
Resultados de compilación de Dataform projects/project-id/locations/location/repositories/repository/compilationResults/compilation-result
Ubicaciones de Dataform projects/project-id/locations/location
Configuraciones de actualización de Dataform projects/project-id/locations/location/repositories/repository/releaseConfigs/release-config
Repositorios de Dataform projects/project-id/locations/location/repositories/repository
Configuraciones de flujo de trabajo de Dataform projects/project-id/locations/location/repositories/repository/workflowConfigs/workflow-config
Invocaciones de flujo de trabajo de Dataform projects/project-id/locations/location/repositories/repository/workflowInvocations/workflow-invocation
Lugares de trabajo de Dataform projects/project-id/locations/location/repositories/repository/workspaces/workspace
Conexiones de Integration Connectors projects/project-id/locations/location/connections/connection-name
Metadatos del esquema de conexión de Integration Connectors projects/project-id/locations/location/connections/connection-name/connectionSchemaMetadata
Adjuntos de extremos de Integration Connectors projects/project-id/locations/location/endpointAttachments/endpoint-attachment-name
Suscripciones a eventos de Integration Connectors projects/project-id/locations/location/eventSubscriptions/event-subscription-name
Zonas administradas de Integration Connectors projects/project-id/locations/global/managedZones/managed-zone-name
clusters de Google Cloud Managed Service para Apache Kafka projects/project-number/locations/location/clusters/cluster-name
Grupos de consumidores de Google Cloud Managed Service para Apache Kafka projects/project-number/locations/location/clusters/cluster-name/consumerGroups/consumer-group
Operaciones de Google Cloud Managed Service para Apache Kafka projects/project-number/locations/location/operations/operation
Temas de Google Cloud Managed Service para Apache Kafka projects/project-number/locations/location/clusters/cluster-name/topics/topic-name
Ubicaciones de Pub/Sub Lite projects/project-number/locations/location
Suscripciones a Pub/Sub Lite projects/project-number/locations/location/subscriptions/subscription-id
Temas de Pub/Sub Lite projects/project-number/locations/location/topics/topic-id
Organizaciones de Resource Manager4 organizations/organization-name
Secretos de Secret Manager projects/project-number/secrets/secret-id
Versiones secretas de Secret Manager5 projects/project-number/secrets/secret-id/versions/secret-version

1 En Cloud Storage, los nombres de recursos contienen un guión bajo (_) en lugar de un ID del proyecto. No puedes reemplazar el guión bajo por un ID, nombre o número de proyecto.

2 Usa el nombre completo de la carpeta administrada, incluidas las barras diagonales. En Cloud Storage, estos caracteres son parte del nombre de la carpeta administrada, no separadores de ruta.

3 Usa el nombre completo del objeto, incluidas las barras diagonales. En Cloud Storage, estos caracteres son parte del nombre del objeto, no separadores de ruta.

4 Apigee usa este formato cuando enumeras cualquier tipo de recurso que pertenezca a una organización de Apigee.

5 Si una condición evalúa el nombre del recurso de una versión del secreto, la versión del secreto en la solicitud debe coincidir de forma exacta con la versión del secreto para que se cumpla la condición. Por ejemplo, si la versión en la condición es latest, solo una solicitud con la versión latest satisface la condición; una solicitud con la versión 3 no cumple con la condición, incluso si 3 es la versión más reciente.

Etiquetas de recursos

Puedes adjuntar etiquetas a organizaciones, proyectos y carpetas. Cualquier recurso de Google Cloud puede heredar etiquetas de estos recursos de nivel superior.

Puedes usar algunos tipos de identificadores diferentes para hacer referencia a las claves y valores de etiqueta:

  • Un ID permanente, que es único de forma global y no se puede reutilizar. Por ejemplo, una clave de etiqueta podría tener el ID permanente tagKeys/123456789012 y un valor de etiqueta podría tener el ID permanente tagValues/567890123456.
  • Un nombre corto. El nombre corto de cada clave debe ser único dentro del proyecto o la organización en la que se define la clave, y el nombre corto de cada valor debe ser único para su clave asociada. Por ejemplo, una clave de etiqueta podría tener el nombre corto env, y un valor de etiqueta podría tener el nombre corto prod.
  • Un nombre con espacio de nombres, que agrega el ID numérico de tu organización o el ID del proyecto al nombre corto de una clave de etiqueta. Por ejemplo, una clave de etiqueta creada para una organización podría tener el nombre con espacio de nombres 123456789012/env. Para obtener información sobre cómo obtener el ID de tu organización, consulta Obtén el ID de tu recurso de organización. Una clave de etiqueta creada para un proyecto podría tener el nombre con espacio de nombres myproject/env. Para obtener información sobre cómo obtener el ID de tu proyecto, consulta Identifica proyectos.

Los identificadores específicos dependen de las claves y los valores de las etiquetas que creaste para tu organización. Para aprender a enumerar las claves y valores de etiqueta disponibles, consulta Enumera claves de etiquetas y Enumera valores de etiqueta.