Ressourcenattribute für IAM Conditions

Dieses Thema enthält eine Liste von Werten, die für Ressourcenattribute in einer Bedingung verwendet werden können. Dazu gehören Stringwerte für Ressourcendienst, Ressourcentyp und das Format von Strings für Ressourcennamen.

Mit Ressourcenattributen können Sie den Bereich der durch eine Rollenbindung gewährten Berechtigungen ändern. Wenn eine Rolle Berechtigungen enthält, die für verschiedene Arten von Ressourcen gelten, kann über eine Bedingung eine Teilmenge der Rollenberechtigungen basierend auf Ressourcendienst, Ressourcentyp und Ressourcenname gewährt werden.

Ressourcenattribute sind für die Google Cloud-Dienste und -Ressourcentypen verfügbar, die auf dieser Seite aufgeführt sind. Andere Dienste und Ressourcentypen erkennen keine Ressourcenattribute.

Weitere Informationen zu IAM Conditions (Identity and Access Management) finden Sie in den folgenden Abschnitten:

Ressourcendienstwerte

In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut "Ressourcendienst" enthalten kann.

Ressourcendienstwert REST-Referenz
apigee.googleapis.com API-Referenz
bigquery.googleapis.com API-Referenz
bigtableadmin.googleapis.com API-Referenz
binaryauthorization.googleapis.com API-Referenz
cloudkms.googleapis.com API-Referenz
cloudresourcemanager.googleapis.com API-Referenz
compute.googleapis.com API-Referenz
container.googleapis.com API-Referenz
connectors.googleapis.com API-Referenz
firestore.googleapis.com API-Referenz
dataform.googleapis.com API-Referenz
iap.googleapis.com API-Referenz
integrations.googleapis.com API-Referenz
logging.googleapis.com API-Referenz
pubsublite.googleapis.com API-Referenz
secretmanager.googleapis.com API-Referenz
spanner.googleapis.com API-Referenz
sqladmin.googleapis.com API-Referenz
storage.googleapis.com API-Referenz

Ressourcentypwerte

In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut "Ressourcentyp" enthalten kann.

Ressourcentypwert Referenz
apigee.googleapis.com/ApiProduct Weitere Informationen
apigee.googleapis.com/ApiProductAttribute Weitere Informationen
apigee.googleapis.com/Cache Weitere Informationen
apigee.googleapis.com/Developer Weitere Informationen
apigee.googleapis.com/DeveloperApp Weitere Informationen
apigee.googleapis.com/DeveloperAppAttribute Weitere Informationen
apigee.googleapis.com/DeveloperAttribute Weitere Informationen
apigee.googleapis.com/Export Weitere Informationen
apigee.googleapis.com/FlowHook Weitere Informationen
apigee.googleapis.com/KeyStore Weitere Informationen
apigee.googleapis.com/KeyStoreAlias Weitere Informationen
apigee.googleapis.com/KeyValueEntry Weitere Informationen
apigee.googleapis.com/KeyValueMap Weitere Informationen
apigee.googleapis.com/Proxy Weitere Informationen
apigee.googleapis.com/ProxyRevision Weitere Informationen
apigee.googleapis.com/Query Weitere Informationen
apigee.googleapis.com/RatePlan Weitere Informationen
apigee.googleapis.com/Reference Weitere Informationen
apigee.googleapis.com/SharedFlow Weitere Informationen
apigee.googleapis.com/SharedFlowRevision Weitere Informationen
apigee.googleapis.com/TargetServer Weitere Informationen
apigee.googleapis.com/TraceSession Weitere Informationen
bigquery.googleapis.com/Dataset Weitere Informationen
bigquery.googleapis.com/Model Weitere Informationen
bigquery.googleapis.com/Routine Weitere Informationen
bigquery.googleapis.com/Table Weitere Informationen
bigtableadmin.googleapis.com/Cluster Weitere Informationen
bigtableadmin.googleapis.com/Instance Weitere Informationen
bigtableadmin.googleapis.com/Table Weitere Informationen
binaryauthorization.googleapis.com/Attestor Weitere Informationen
binaryauthorization.googleapis.com/ContinuousValidationConfig Weitere Informationen
binaryauthorization.googleapis.com/Policy Weitere Informationen
cloud.googleapis.com/Location1 Weitere Informationen
cloudkms.googleapis.com/CryptoKey Weitere Informationen
cloudkms.googleapis.com/CryptoKeyVersion Weitere Informationen
cloudkms.googleapis.com/KeyRing Weitere Informationen
cloudresourcemanager.googleapis.com/Project2 Weitere Informationen
compute.googleapis.com/BackendService Weitere Informationen
compute.googleapis.com/Disk Weitere Informationen
compute.googleapis.com/Firewall Weitere Informationen
compute.googleapis.com/ForwardingRule Weitere Informationen
compute.googleapis.com/GlobalForwardingRule Weitere Informationen
compute.googleapis.com/Image Weitere Informationen
compute.googleapis.com/Instance Weitere Informationen
compute.googleapis.com/InstanceTemplate Weitere Informationen
compute.googleapis.com/Snapshot Weitere Informationen
compute.googleapis.com/TargetHttpProxy Weitere Informationen
compute.googleapis.com/TargetHttpsProxy Weitere Informationen
compute.googleapis.com/TargetSslProxy Weitere Informationen
compute.googleapis.com/TargetTcpProxy Weitere Informationen
connectors.googleapis.com/Connection Weitere Informationen
connectors.googleapis.com/ConnectionSchemaMetadata Weitere Informationen
connectors.googleapis.com/EndpointAttachment Weitere Informationen
connectors.googleapis.com/EventSubscription Weitere Informationen
connectors.googleapis.com/ManagedZone Weitere Informationen
container.googleapis.com/Clusters Weitere Informationen
dataform.googleapis.com/CompilationResult Weitere Informationen
dataform.googleapis.com/Location Weitere Informationen
dataform.googleapis.com/ReleaseConfig Weitere Informationen
dataform.googleapis.com/Repository Weitere Informationen
dataform.googleapis.com/WorkflowConfig Weitere Informationen
dataform.googleapis.com/WorkflowInvocation Weitere Informationen
dataform.googleapis.com/Workspace Weitere Informationen
firestore.googleapis.com/Database Weitere Informationen
iap.googleapis.com/Tunnel Weitere Informationen
iap.googleapis.com/TunnelInstance Weitere Informationen
iap.googleapis.com/TunnelZone Weitere Informationen
iap.googleapis.com/Web Weitere Informationen
iap.googleapis.com/WebService Weitere Informationen
iap.googleapis.com/WebServiceVersion Weitere Informationen
iap.googleapis.com/WebType Weitere Informationen
integrations.googleapis.com/AuthConfig Weitere Informationen
integrations.googleapis.com/Execution Weitere Informationen
integrations.googleapis.com/Integration Weitere Informationen
integrations.googleapis.com/IntegrationVersion Weitere Informationen
integrations.googleapis.com/Location
integrations.googleapis.com/Suspension Weitere Informationen
logging.googleapis.com/LogBucket Weitere Informationen
logging.googleapis.com/LogView Weitere Informationen
pubsublite.googleapis.com/Location Weitere Informationen
pubsublite.googleapis.com/Subscription Weitere Informationen
pubsublite.googleapis.com/Topic Weitere Informationen
secretmanager.googleapis.com/Secret Weitere Informationen
secretmanager.googleapis.com/SecretVersion Weitere Informationen
spanner.googleapis.com/Backup Weitere Informationen
spanner.googleapis.com/Database Weitere Informationen
spanner.googleapis.com/Instance Weitere Informationen
sqladmin.googleapis.com/BackupRun Weitere Informationen
sqladmin.googleapis.com/Instance Weitere Informationen
storage.googleapis.com/Bucket Weitere Informationen
storage.googleapis.com/ManagedFolder Weitere Informationen
storage.googleapis.com/Object Weitere Informationen

1 Der Cloud Key Management Service verwendet diesen Ressourcentyp als übergeordnetes Element von Schlüsselbundressourcen.

2 Apigee verwendet diesen Ressourcentyp als übergeordnetes Element von Ressourcen, die zu einer Apigee-Organisation gehören.

Format der Ressourcennamen

In der folgenden Tabelle sind die Formate jedes Typs des Attributs "Ressourcenname" aufgeführt.

Ressourcenreferenz Vorlage für das Ressourcennamenformat
Apigee API-Produktattribute organizations/organization-name/apiproducts/product-id/attributes/attribute-id
Apigee API-Produkte organizations/organization-name/apiproducts/product-id
Apigee API-Proxys organizations/organization-name/apis/proxy-id
Apigee API-Proxy-Schlüssel/Wert-Zuordnung organizations/organization-name/api/proxy-id/keyvaluemaps/keyvaluemap-id/entries/entry-id
Apigee API-Proxy-Schlüssel/Wert-Zuordnungen organizations/organization-name/apis/proxy-id/keyvaluemaps/key-value-map-id
Apigee API-Proxy-Überarbeitungen organizations/organization-name/apis/proxy-id/revisions/revision-id
Apigee Caches organizations/organization-name/environments/environment-id/caches/cache-id
Apigee-Entwickler-App-Attribute organizations/organization-name/developers/developer-id/apps/app-id/attributes/attribute-id
Apigee-Entwickler-Apps organizations/organization-name/developers/developer-id/apps/app-id
Apigee-Entwickler-Attribute organizations/organization-name/developers/developer-id/attributes/attribute-id
Apigee-Entwickler organizations/organization-name/developers/developer-id
Apigee Umgebungsschlüssel/Wert-Paareinträge organizations/organization-name/environments/environment-id/keyvaluemaps/keyvaluemap-id/entries/entry-id
Apigee Umgebungs-Schlüssel/Wert-Zuordnungen organizations/organization-name/environments/environment/keyvaluemaps/key-value-map-id
Apigee Exporte organizations/organization-name/environments/environment-id/analytics/exports/export-id
Apigee Flow-Hooks organizations/organization-name/environments/environment-id/flowhooks/flowhook-id
Apigee Schlüsselspeicheraliasse organizations/organization-name/environments/environment-id/keystores/keystore-id/aliases/alias-id
Apigee Schlüsselspeicher organizations/organization-name/environments/environment-id/keystores/keystore-id
Apigee Abfragen organizations/organization-name/environments/environment-id/queries/query-id
Apigee-Tarifpakete organizations/organization-name/apiproducts/product-id/rateplans/rate-plan-id
Apigee Referenzen organizations/organization-name/environments/environment-id/references/reference-id
Apigee Überarbeitungen freigegebener Abläufe organizations/organization-name/sharedflows/shared-flow-id/revisions/revision-id
Apigee Freigegebene Abläufe organizations/organization-name/sharedflows/shared-flow-id
Apigee Zielserver organizations/organization-name/environments/environment-id/targetservers/targetserver-id
Apigee Trace-Sitzungen (Fehlerbehebung) organizations/organization-name/environments/environment-id/apis/proxy-id/revisions/revision-id/debugsessions/session-id
BigQuery-Datasets projects/project-id/datasets/dataset-id
BigQuery-Modelle projects/project-id/datasets/dataset-id/models/model-id
BigQuery-Routinen projects/project-id/datasets/dataset-id/routines/routine-id
BigQuery-Tabellen projects/project-id/datasets/dataset-id/tables/table-id
Binärautorisierung: Attestierer projects/project-number/attestors/attestor-id
Binärautorisierung:Kontinuierliche Validierungskonfigurationen projects/project-number/continuousValidationConfig
Binärautorisierung: Richtlinien projects/project-number/policy
Bigtable-Cluster projects/project-number/instances/instance-id/clusters/cluster-id
Bigtable-Instanzen projects/project-number/instances/instance-id
Bigtable-Tabellen projects/project-number/instances/instance-id/tables/table-id
Firestore-Datenbanken projects/project-id/databases/database-id
Cloud Key Management Service-Kryptoschlüssel projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Cloud Key Management Service-Kryptoschlüsselversionen projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud Key Management Service-Schlüsselbunde projects/project-id/locations/location-id/keyRings/keyring-id
Cloud Logging-Log-Buckets projects/project-id/locations/location-id/buckets/bucket-id
Cloud Logging-Logansichten projects/project-id/locations/location-id/buckets/bucket-id/views/view-id
Spanner-Sicherungen projects/project-id/instances/instance-id/backups/backup-id
Spanner-Datenbanken projects/project-id/instances/instance-id/databases/database-id
Spanner-Instanzen projects/project-id/instances/instance-id
Cloud SQL-Sicherungsausführungen projects/project-id/instances/instance-id/backupRuns/backup-id
Cloud SQL-Instanzen projects/project-id/instances/instance-id
Cloud Storage-Buckets1 projects/_/buckets/bucket-name
Cloud Storage – Verwaltete Ordner1, 2 projects/_/buckets/bucket-name/managedFolders/managed-folder-name
Cloud Storage-Objekte1, 3 projects/_/buckets/bucket-name/objects/object-name
Globale Backend-Dienste von Compute Engine projects/project-id/global/backendServices/backend-service-id
Regionale Back-End-Dienste von Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine-Firewalls projects/project-id/global/firewalls/firewall-id
Globale Weiterleitungsregeln für Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Regionale Weiterleitungsregeln für Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine-Images projects/project-id/global/images/image-id
Compute Engine-Instanzvorlagen projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine-Instanzen projects/project-id/zones/zone-id/instances/instance-id
Regionale nichtflüchtige Speicher von Compute Engine projects/project-id/regions/region-id/disks/disk-id
Zonale nichtflüchtige Speicher von Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Compute Engine-Snapshots projects/project-id/global/snapshots/snapshot-id
Globale Ziel-HTTP-Proxys von Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Regionale Ziel-HTTP-Proxys von Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Globale Ziel-HTTPS-Proxys von Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Regionale Ziel-HTTPS-Proxys von Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Ziel-SSL-Proxys von Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Ziel-TCP-Proxys von Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Google Kubernetes Engine-Cluster projects/project-id/zones/zone-id/clusters/cluster-id
Dataform-Kompilierungsergebnisse projects/project-id/locations/location/repositories/repository/compilationResults/compilation-result
Dataform-Standorte projects/project-id/locations/location
Dataform-Releasekonfigurationen projects/project-id/locations/location/repositories/repository/releaseConfigs/release-config
Dataform-Repositories projects/project-id/locations/location/repositories/repository
Dataform-Workflow-Konfigurationen projects/project-id/locations/location/repositories/repository/workflowConfigs/workflow-config
Dataform-Workflow-Aufrufe projects/project-id/locations/location/repositories/repository/workflowInvocations/workflow-invocation
Dataform-Arbeitsbereiche projects/project-id/locations/location/repositories/repository/workspaces/workspace
Integration Connectors-Verbindungen projects/project-id/locations/location/connections/connection-name
Integration Connectors-Verbindungsschema-Metadaten projects/project-id/locations/location/connections/connection-name/connectionSchemaMetadata
Integration Connectors-Endpunktanhänge projects/project-id/locations/location/endpointAttachments/endpoint-attachment-name
Integration Connectors-Ereignisabos projects/project-id/locations/location/eventSubscriptions/event-subscription-name
Verwaltete Integration Connectors-Zonen projects/project-id/locations/global/managedZones/managed-zone-name
Pub/Sub Lite-Standorte projects/project-number/locations/location
Pub/Sub Lite-Abos projects/project-number/locations/location/subscriptions/subscription-id
Pub/Sub Lite-Themen projects/project-number/locations/location/topics/topic-id
Resource Manager-Organisationen4 organizations/organization-name
Secrets des Secret Managers projects/project-number/secrets/secret-id
Secret Manager-Secret-Versionen5 projects/project-number/secrets/secret-id/versions/secret-version

1 Bei Cloud Storage enthalten Ressourcennamen einen Unterstrich (_) anstelle einer Projekt-ID. Sie können den Unterstrich nicht durch eine Projekt-ID, einen Projektnamen oder eine Projektnummer ersetzen.

2 Verwenden Sie den gesamten Namen des verwalteten Ordners, einschließlich Schrägstriche. In Cloud Storage sind diese Zeichen Teil des Namens des verwalteten Ordners, keine Pfadtrennzeichen.

3 Verwenden Sie den gesamten Objektnamen, einschließlich Schrägstrichen. In Cloud Storage sind diese Zeichen Teil des Objektnamens, keine Pfadtrennzeichen.

4 Apigee verwendet dieses Format, wenn Sie einen Ressourcentyp auflisten, der zu einer Apigee-Organisation gehört.

5 Wenn eine Bedingung den Ressourcennamen für eine Secret-Version bewertet, muss die Secret-Version in der Anfrage genau mit der Secret-Version in der Bedingung übereinstimmen, damit die Bedingung erfüllt wird. Wenn beispielsweise die Version in der Bedingung latest lautet, erfüllt nur eine Anfrage mit der Version latest die Bedingung. Eine Anfrage mit der Version 3 erfüllt die Bedingung nicht, auch wenn 3 die neueste Version ist.

Ressourcen-Tags

Sie können Tags an Organisationen, Projekte und Ordner anhängen. Jede Google Cloud-Ressource kann Tags von diesen übergeordneten Ressourcen übernehmen.

Sie können verschiedene Arten von IDs verwenden, um auf Tag-Schlüssel und -Werte zu verweisen:

  • Eine permanente ID, die global eindeutig ist und nicht wiederverwendet werden kann. Ein Tag-Schlüssel könnte beispielsweise die permanente ID tagKeys/123456789012 und ein Tag-Wert die permanente ID tagValues/567890123456 haben.
  • Kurzname: Der Kurzname für jeden Schlüssel muss innerhalb Ihrer Organisation eindeutig sein. Der Kurzname für jeden Wert muss für den zugehörigen Schlüssel eindeutig sein. Ein Tag-Schlüssel könnte beispielsweise den Kurznamen env und ein Tag-Wert den Kurznamen prod haben.
  • Ein Namespace-Name, mit dem die numerische ID Ihrer Organisation dem Kurznamen eines Tag-Schlüssels hinzugefügt wird. Ein Tag-Schlüssel könnte beispielsweise den Namespace-Namen 123456789012/env haben. Hier erfahren Sie, wie Sie Ihre Organisations-ID abrufen.

Die spezifischen Kennzeichnungen hängen von den Tag-Schlüsseln und -Werten ab, die Sie für Ihre Organisation erstellt haben. Informationen zum Auflisten der verfügbaren Tag-Schlüssel und -Werte finden Sie unter Tag-Schlüssel auflisten und Tag-Werte auflisten.