Dieses Thema enthält eine Liste von Werten, die für Ressourcenattribute in einer Bedingung verwendet werden können. Dazu gehören Stringwerte für Ressourcendienst, Ressourcentyp und das Format von Strings für Ressourcennamen.
Mit Ressourcenattributen können Sie den Bereich der durch eine Rollenbindung gewährten Berechtigungen ändern. Wenn eine Rolle Berechtigungen enthält, die für verschiedene Arten von Ressourcen gelten, kann über eine Bedingung eine Teilmenge der Rollenberechtigungen basierend auf Ressourcendienst, Ressourcentyp und Ressourcenname gewährt werden.
Ressourcenattribute sind für die Google Cloud-Dienste und -Ressourcentypen verfügbar, die auf dieser Seite aufgeführt sind. Andere Dienste und Ressourcentypen erkennen keine Ressourcenattribute.
Weitere Informationen zu IAM Conditions (Identity and Access Management) finden Sie in den folgenden Abschnitten:
Ressourcendienstwerte
In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut "Ressourcendienst" enthalten kann.
Ressourcendienstwert | REST-Referenz |
---|---|
apigee.googleapis.com |
API-Referenz |
bigquery.googleapis.com
|
API-Referenz |
bigtableadmin.googleapis.com |
API-Referenz |
binaryauthorization.googleapis.com |
API-Referenz |
cloudkms.googleapis.com |
API-Referenz |
cloudresourcemanager.googleapis.com |
API-Referenz |
compute.googleapis.com |
API-Referenz |
container.googleapis.com |
API-Referenz |
connectors.googleapis.com |
API-Referenz |
firestore.googleapis.com |
API-Referenz |
dataform.googleapis.com |
API-Referenz |
iap.googleapis.com |
API-Referenz |
integrations.googleapis.com |
API-Referenz |
logging.googleapis.com |
API-Referenz |
pubsublite.googleapis.com |
API-Referenz |
secretmanager.googleapis.com |
API-Referenz |
spanner.googleapis.com |
API-Referenz |
sqladmin.googleapis.com |
API-Referenz |
storage.googleapis.com |
API-Referenz |
Ressourcentypwerte
In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut "Ressourcentyp" enthalten kann.
Ressourcentypwert | Referenz |
---|---|
apigee.googleapis.com/ApiProduct |
Weitere Informationen |
apigee.googleapis.com/ApiProductAttribute |
Weitere Informationen |
apigee.googleapis.com/Cache |
Weitere Informationen |
apigee.googleapis.com/Developer |
Weitere Informationen |
apigee.googleapis.com/DeveloperApp |
Weitere Informationen |
apigee.googleapis.com/DeveloperAppAttribute |
Weitere Informationen |
apigee.googleapis.com/DeveloperAttribute |
Weitere Informationen |
apigee.googleapis.com/Export |
Weitere Informationen |
apigee.googleapis.com/FlowHook |
Weitere Informationen |
apigee.googleapis.com/KeyStore |
Weitere Informationen |
apigee.googleapis.com/KeyStoreAlias |
Weitere Informationen |
apigee.googleapis.com/KeyValueEntry |
Weitere Informationen |
apigee.googleapis.com/KeyValueMap |
Weitere Informationen |
apigee.googleapis.com/Proxy |
Weitere Informationen |
apigee.googleapis.com/ProxyRevision |
Weitere Informationen |
apigee.googleapis.com/Query |
Weitere Informationen |
apigee.googleapis.com/RatePlan |
Weitere Informationen |
apigee.googleapis.com/Reference |
Weitere Informationen |
apigee.googleapis.com/SharedFlow |
Weitere Informationen |
apigee.googleapis.com/SharedFlowRevision |
Weitere Informationen |
apigee.googleapis.com/TargetServer |
Weitere Informationen |
apigee.googleapis.com/TraceSession |
Weitere Informationen |
bigquery.googleapis.com/Dataset
|
Weitere Informationen |
bigquery.googleapis.com/Model
|
Weitere Informationen |
bigquery.googleapis.com/Routine
|
Weitere Informationen |
bigquery.googleapis.com/Table
|
Weitere Informationen |
bigtableadmin.googleapis.com/Cluster |
Weitere Informationen |
bigtableadmin.googleapis.com/Instance |
Weitere Informationen |
bigtableadmin.googleapis.com/Table |
Weitere Informationen |
binaryauthorization.googleapis.com/Attestor |
Weitere Informationen |
binaryauthorization.googleapis.com/ContinuousValidationConfig |
Weitere Informationen |
binaryauthorization.googleapis.com/Policy |
Weitere Informationen |
cloud.googleapis.com/Location 1 |
Weitere Informationen |
cloudkms.googleapis.com/CryptoKey |
Weitere Informationen |
cloudkms.googleapis.com/CryptoKeyVersion |
Weitere Informationen |
cloudkms.googleapis.com/KeyRing |
Weitere Informationen |
cloudresourcemanager.googleapis.com/Project 2 |
Weitere Informationen |
compute.googleapis.com/BackendService |
Weitere Informationen |
compute.googleapis.com/Disk |
Weitere Informationen |
compute.googleapis.com/Firewall |
Weitere Informationen |
compute.googleapis.com/ForwardingRule |
Weitere Informationen |
compute.googleapis.com/GlobalForwardingRule |
Weitere Informationen |
compute.googleapis.com/Image |
Weitere Informationen |
compute.googleapis.com/Instance |
Weitere Informationen |
compute.googleapis.com/InstanceTemplate |
Weitere Informationen |
compute.googleapis.com/Snapshot |
Weitere Informationen |
compute.googleapis.com/TargetHttpProxy |
Weitere Informationen |
compute.googleapis.com/TargetHttpsProxy |
Weitere Informationen |
compute.googleapis.com/TargetSslProxy |
Weitere Informationen |
compute.googleapis.com/TargetTcpProxy |
Weitere Informationen |
connectors.googleapis.com/Connection |
Weitere Informationen |
connectors.googleapis.com/ConnectionSchemaMetadata |
Weitere Informationen |
connectors.googleapis.com/EndpointAttachment |
Weitere Informationen |
connectors.googleapis.com/EventSubscription |
Weitere Informationen |
connectors.googleapis.com/ManagedZone |
Weitere Informationen |
container.googleapis.com/Clusters |
Weitere Informationen |
dataform.googleapis.com/CompilationResult |
Weitere Informationen |
dataform.googleapis.com/Location |
Weitere Informationen |
dataform.googleapis.com/ReleaseConfig |
Weitere Informationen |
dataform.googleapis.com/Repository |
Weitere Informationen |
dataform.googleapis.com/WorkflowConfig |
Weitere Informationen |
dataform.googleapis.com/WorkflowInvocation |
Weitere Informationen |
dataform.googleapis.com/Workspace |
Weitere Informationen |
firestore.googleapis.com/Database |
Weitere Informationen |
iap.googleapis.com/Tunnel |
Weitere Informationen |
iap.googleapis.com/TunnelInstance |
Weitere Informationen |
iap.googleapis.com/TunnelZone |
Weitere Informationen |
iap.googleapis.com/Web |
Weitere Informationen |
iap.googleapis.com/WebService |
Weitere Informationen |
iap.googleapis.com/WebServiceVersion |
Weitere Informationen |
iap.googleapis.com/WebType |
Weitere Informationen |
integrations.googleapis.com/AuthConfig |
Weitere Informationen |
integrations.googleapis.com/Execution |
Weitere Informationen |
integrations.googleapis.com/Integration |
Weitere Informationen |
integrations.googleapis.com/IntegrationVersion |
Weitere Informationen |
integrations.googleapis.com/Location |
– |
integrations.googleapis.com/Suspension |
Weitere Informationen |
logging.googleapis.com/LogBucket |
Weitere Informationen |
logging.googleapis.com/LogView |
Weitere Informationen |
pubsublite.googleapis.com/Location |
Weitere Informationen |
pubsublite.googleapis.com/Subscription |
Weitere Informationen |
pubsublite.googleapis.com/Topic |
Weitere Informationen |
secretmanager.googleapis.com/Secret |
Weitere Informationen |
secretmanager.googleapis.com/SecretVersion |
Weitere Informationen |
spanner.googleapis.com/Backup |
Weitere Informationen |
spanner.googleapis.com/Database |
Weitere Informationen |
spanner.googleapis.com/Instance |
Weitere Informationen |
sqladmin.googleapis.com/BackupRun |
Weitere Informationen |
sqladmin.googleapis.com/Instance |
Weitere Informationen |
storage.googleapis.com/Bucket |
Weitere Informationen |
storage.googleapis.com/ManagedFolder |
Weitere Informationen |
storage.googleapis.com/Object |
Weitere Informationen |
1 Der Cloud Key Management Service verwendet diesen Ressourcentyp als übergeordnetes Element von Schlüsselbundressourcen.
2 Apigee verwendet diesen Ressourcentyp als übergeordnetes Element von Ressourcen, die zu einer Apigee-Organisation gehören.
Format der Ressourcennamen
In der folgenden Tabelle sind die Formate jedes Typs des Attributs "Ressourcenname" aufgeführt.
Ressourcenreferenz | Vorlage für das Ressourcennamenformat |
---|---|
Apigee API-Produktattribute | organizations/organization-name/apiproducts/product-id/attributes/attribute-id |
Apigee API-Produkte | organizations/organization-name/apiproducts/product-id |
Apigee API-Proxys | organizations/organization-name/apis/proxy-id |
Apigee API-Proxy-Schlüssel/Wert-Zuordnung | organizations/organization-name/api/proxy-id/keyvaluemaps/keyvaluemap-id/entries/entry-id |
Apigee API-Proxy-Schlüssel/Wert-Zuordnungen | organizations/organization-name/apis/proxy-id/keyvaluemaps/key-value-map-id |
Apigee API-Proxy-Überarbeitungen | organizations/organization-name/apis/proxy-id/revisions/revision-id |
Apigee Caches | organizations/organization-name/environments/environment-id/caches/cache-id |
Apigee-Entwickler-App-Attribute | organizations/organization-name/developers/developer-id/apps/app-id/attributes/attribute-id |
Apigee-Entwickler-Apps | organizations/organization-name/developers/developer-id/apps/app-id |
Apigee-Entwickler-Attribute | organizations/organization-name/developers/developer-id/attributes/attribute-id |
Apigee-Entwickler | organizations/organization-name/developers/developer-id |
Apigee Umgebungsschlüssel/Wert-Paareinträge | organizations/organization-name/environments/environment-id/keyvaluemaps/keyvaluemap-id/entries/entry-id |
Apigee Umgebungs-Schlüssel/Wert-Zuordnungen | organizations/organization-name/environments/environment/keyvaluemaps/key-value-map-id |
Apigee Exporte | organizations/organization-name/environments/environment-id/analytics/exports/export-id |
Apigee Flow-Hooks | organizations/organization-name/environments/environment-id/flowhooks/flowhook-id |
Apigee Schlüsselspeicheraliasse | organizations/organization-name/environments/environment-id/keystores/keystore-id/aliases/alias-id |
Apigee Schlüsselspeicher | organizations/organization-name/environments/environment-id/keystores/keystore-id |
Apigee Abfragen | organizations/organization-name/environments/environment-id/queries/query-id |
Apigee-Tarifpakete | organizations/organization-name/apiproducts/product-id/rateplans/rate-plan-id |
Apigee Referenzen | organizations/organization-name/environments/environment-id/references/reference-id |
Apigee Überarbeitungen freigegebener Abläufe | organizations/organization-name/sharedflows/shared-flow-id/revisions/revision-id |
Apigee Freigegebene Abläufe | organizations/organization-name/sharedflows/shared-flow-id |
Apigee Zielserver | organizations/organization-name/environments/environment-id/targetservers/targetserver-id |
Apigee Trace-Sitzungen (Fehlerbehebung) | organizations/organization-name/environments/environment-id/apis/proxy-id/revisions/revision-id/debugsessions/session-id |
BigQuery-Datasets | projects/project-id/datasets/dataset-id |
BigQuery-Modelle | projects/project-id/datasets/dataset-id/models/model-id |
BigQuery-Routinen | projects/project-id/datasets/dataset-id/routines/routine-id |
BigQuery-Tabellen | projects/project-id/datasets/dataset-id/tables/table-id |
Binärautorisierung: Attestierer | projects/project-number/attestors/attestor-id |
Binärautorisierung:Kontinuierliche Validierungskonfigurationen | projects/project-number/continuousValidationConfig |
Binärautorisierung: Richtlinien | projects/project-number/policy |
Bigtable-Cluster | projects/project-number/instances/instance-id/clusters/cluster-id |
Bigtable-Instanzen | projects/project-number/instances/instance-id |
Bigtable-Tabellen | projects/project-number/instances/instance-id/tables/table-id |
Firestore-Datenbanken | projects/project-id/databases/database-id |
Cloud Key Management Service-Kryptoschlüssel | projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id |
Cloud Key Management Service-Kryptoschlüsselversionen | projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id |
Cloud Key Management Service-Schlüsselbunde | projects/project-id/locations/location-id/keyRings/keyring-id |
Cloud Logging-Log-Buckets | projects/project-id/locations/location-id/buckets/bucket-id |
Cloud Logging-Logansichten | projects/project-id/locations/location-id/buckets/bucket-id/views/view-id |
Spanner-Sicherungen | projects/project-id/instances/instance-id/backups/backup-id |
Spanner-Datenbanken | projects/project-id/instances/instance-id/databases/database-id |
Spanner-Instanzen | projects/project-id/instances/instance-id |
Cloud SQL-Sicherungsausführungen | projects/project-id/instances/instance-id/backupRuns/backup-id |
Cloud SQL-Instanzen | projects/project-id/instances/instance-id |
Cloud Storage-Buckets1 | projects/_/buckets/bucket-name |
Cloud Storage – Verwaltete Ordner1, 2 | projects/_/buckets/bucket-name/managedFolders/managed-folder-name |
Cloud Storage-Objekte1, 3 | projects/_/buckets/bucket-name/objects/object-name |
Globale Backend-Dienste von Compute Engine | projects/project-id/global/backendServices/backend-service-id |
Regionale Back-End-Dienste von Compute Engine | projects/project-id/regions/region-id/backendServices/backend-service-id |
Compute Engine-Firewalls | projects/project-id/global/firewalls/firewall-id |
Globale Weiterleitungsregeln für Compute Engine | projects/project-id/global/forwardingRules/forwarding-rule-id |
Regionale Weiterleitungsregeln für Compute Engine | projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id |
Compute Engine-Images | projects/project-id/global/images/image-id |
Compute Engine-Instanzvorlagen | projects/project-id/global/instanceTemplates/instance-template-id |
Compute Engine-Instanzen | projects/project-id/zones/zone-id/instances/instance-id |
Regionale nichtflüchtige Speicher von Compute Engine | projects/project-id/regions/region-id/disks/disk-id |
Zonale nichtflüchtige Speicher von Compute Engine | projects/project-id/zones/zone-id/disks/disk-id |
Compute Engine-Snapshots | projects/project-id/global/snapshots/snapshot-id |
Globale Ziel-HTTP-Proxys von Compute Engine | projects/project-id/global/targetHttpProxies/target-http-proxy-id |
Regionale Ziel-HTTP-Proxys von Compute Engine | projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id |
Globale Ziel-HTTPS-Proxys von Compute Engine | projects/project-id/global/targetHttpsProxies/target-https-proxy-id |
Regionale Ziel-HTTPS-Proxys von Compute Engine | projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id |
Ziel-SSL-Proxys von Compute Engine | projects/project-id/global/targetSslProxies/target-ssl-proxy-id |
Ziel-TCP-Proxys von Compute Engine | projects/project-id/global/targetTcpProxies/target-tcp-proxy-id |
Google Kubernetes Engine-Cluster | projects/project-id/zones/zone-id/clusters/cluster-id |
Dataform-Kompilierungsergebnisse | projects/project-id/locations/location/repositories/repository/compilationResults/compilation-result |
Dataform-Standorte | projects/project-id/locations/location |
Dataform-Releasekonfigurationen | projects/project-id/locations/location/repositories/repository/releaseConfigs/release-config |
Dataform-Repositories | projects/project-id/locations/location/repositories/repository |
Dataform-Workflow-Konfigurationen | projects/project-id/locations/location/repositories/repository/workflowConfigs/workflow-config |
Dataform-Workflow-Aufrufe | projects/project-id/locations/location/repositories/repository/workflowInvocations/workflow-invocation |
Dataform-Arbeitsbereiche | projects/project-id/locations/location/repositories/repository/workspaces/workspace |
Integration Connectors-Verbindungen | projects/project-id/locations/location/connections/connection-name |
Integration Connectors-Verbindungsschema-Metadaten | projects/project-id/locations/location/connections/connection-name/connectionSchemaMetadata |
Integration Connectors-Endpunktanhänge | projects/project-id/locations/location/endpointAttachments/endpoint-attachment-name |
Integration Connectors-Ereignisabos | projects/project-id/locations/location/eventSubscriptions/event-subscription-name |
Verwaltete Integration Connectors-Zonen | projects/project-id/locations/global/managedZones/managed-zone-name |
Pub/Sub Lite-Standorte | projects/project-number/locations/location |
Pub/Sub Lite-Abos | projects/project-number/locations/location/subscriptions/subscription-id |
Pub/Sub Lite-Themen | projects/project-number/locations/location/topics/topic-id |
Resource Manager-Organisationen4 | organizations/organization-name |
Secrets des Secret Managers | projects/project-number/secrets/secret-id |
Secret Manager-Secret-Versionen5 | projects/project-number/secrets/secret-id/versions/secret-version |
1 Bei Cloud Storage enthalten Ressourcennamen einen Unterstrich (_
) anstelle einer Projekt-ID. Sie können den Unterstrich nicht durch eine Projekt-ID, einen Projektnamen oder eine Projektnummer ersetzen.
2 Verwenden Sie den gesamten Namen des verwalteten Ordners, einschließlich Schrägstriche. In Cloud Storage sind diese Zeichen Teil des Namens des verwalteten Ordners, keine Pfadtrennzeichen.
3 Verwenden Sie den gesamten Objektnamen, einschließlich Schrägstrichen. In Cloud Storage sind diese Zeichen Teil des Objektnamens, keine Pfadtrennzeichen.
4 Apigee verwendet dieses Format, wenn Sie einen Ressourcentyp auflisten, der zu einer Apigee-Organisation gehört.
5 Wenn eine Bedingung den Ressourcennamen für eine Secret-Version bewertet, muss die Secret-Version in der Anfrage genau mit der Secret-Version in der Bedingung übereinstimmen, damit die Bedingung erfüllt wird. Wenn beispielsweise die Version in der Bedingung latest
lautet, erfüllt nur eine Anfrage mit der Version latest
die Bedingung. Eine Anfrage mit der Version 3
erfüllt die Bedingung nicht, auch wenn 3
die neueste Version ist.
Ressourcen-Tags
Sie können Tags an Organisationen, Projekte und Ordner anhängen. Jede Google Cloud-Ressource kann Tags von diesen übergeordneten Ressourcen übernehmen.
Sie können verschiedene Arten von IDs verwenden, um auf Tag-Schlüssel und -Werte zu verweisen:
-
Eine permanente ID, die global eindeutig ist und nicht wiederverwendet werden kann. Ein Tag-Schlüssel könnte beispielsweise die permanente ID
tagKeys/123456789012
und ein Tag-Wert die permanente IDtagValues/567890123456
haben. -
Kurzname: Der Kurzname für jeden Schlüssel muss innerhalb Ihrer Organisation eindeutig sein. Der Kurzname für jeden Wert muss für den zugehörigen Schlüssel eindeutig sein. Ein Tag-Schlüssel könnte beispielsweise den Kurznamen
env
und ein Tag-Wert den Kurznamenprod
haben. -
Ein Namespace-Name, mit dem die numerische ID Ihrer Organisation dem Kurznamen eines Tag-Schlüssels hinzugefügt wird. Ein Tag-Schlüssel könnte beispielsweise den Namespace-Namen
123456789012/env
haben. Hier erfahren Sie, wie Sie Ihre Organisations-ID abrufen.
Die spezifischen Kennzeichnungen hängen von den Tag-Schlüsseln und -Werten ab, die Sie für Ihre Organisation erstellt haben. Informationen zum Auflisten der verfügbaren Tag-Schlüssel und -Werte finden Sie unter Tag-Schlüssel auflisten und Tag-Werte auflisten.