Atributos de recurso para condições do IAM

Este tópico contém uma lista de valores que podem ser usados para atributos de recursos em uma condição, incluindo valores de string para serviço de recursos, tipo de recurso e formato para strings de nome de recurso.

Você pode usar atributos de recurso para alterar o escopo da concessão fornecida por uma vinculação de papel. Quando um papel contém permissões que se aplicam a diferentes tipos de recursos, uma condição pode conceder um subconjunto das permissões do papel com base no serviço, no tipo e no nome do recurso.

Os atributos de recurso estão disponíveis para os serviços e tipos de recursos do Google Cloud listados nesta página. Outros serviços e tipos de recursos não reconhecem atributos de recurso.

Para mais informações sobre as condições de gerenciamento de identidade e acesso (IAM), consulte os artigos a seguir:

Valores do serviço de recurso

A tabela a seguir lista os valores que o atributo do serviço de recurso pode conter.

Valor do serviço de recurso Referência da REST
apigee.googleapis.com Referência da API
backupdr.googleapis.com Referência da API
bigquery.googleapis.com Referência da API
bigqueryreservation.googleapis.com Referência da API
bigtableadmin.googleapis.com Referência da API
binaryauthorization.googleapis.com Referência da API
clouddeploy.googleapis.com Referência da API
cloudkms.googleapis.com Referência da API
cloudresourcemanager.googleapis.com Referência da API
compute.googleapis.com Referência da API
container.googleapis.com Referência da API
connectors.googleapis.com Referência da API
dataform.googleapis.com Referência da API
firestore.googleapis.com Referência da API
iap.googleapis.com Referência da API
integrations.googleapis.com Referência da API
logging.googleapis.com Referência da API
managedkafka.googleapis.com Referência da API
pubsublite.googleapis.com Referência da API
secretmanager.googleapis.com Referência da API
spanner.googleapis.com Referência da API
sqladmin.googleapis.com Referência da API
storage.googleapis.com Referência da API

Valores do tipo de recurso

A tabela a seguir lista os valores que o atributo de tipo de recurso pode conter.

Valor do tipo de recurso Referência
apigee.googleapis.com/ApiProduct Mais informações
apigee.googleapis.com/ApiProductAttribute Mais informações
apigee.googleapis.com/Cache Mais informações
apigee.googleapis.com/Developer Mais informações
apigee.googleapis.com/DeveloperApp Mais informações
apigee.googleapis.com/DeveloperAppAttribute Mais informações
apigee.googleapis.com/DeveloperAttribute Mais informações
apigee.googleapis.com/Export Mais informações
apigee.googleapis.com/FlowHook Mais informações
apigee.googleapis.com/KeyStore Mais informações
apigee.googleapis.com/KeyStoreAlias Mais informações
apigee.googleapis.com/KeyValueEntry Mais informações
apigee.googleapis.com/KeyValueMap Mais informações
apigee.googleapis.com/Proxy Mais informações
apigee.googleapis.com/ProxyRevision Mais informações
apigee.googleapis.com/Query Mais informações
apigee.googleapis.com/RatePlan Mais informações
apigee.googleapis.com/Reference Mais informações
apigee.googleapis.com/SharedFlow Mais informações
apigee.googleapis.com/SharedFlowRevision Mais informações
apigee.googleapis.com/TargetServer Mais informações
apigee.googleapis.com/TraceSession Mais informações
backupdr.googleapis.com/BackupVaults Mais informações
bigquery.googleapis.com/Dataset Mais informações
bigquery.googleapis.com/Model Mais informações
bigquery.googleapis.com/Routine Mais informações
bigquery.googleapis.com/Table Mais informações
bigqueryreservation.googleapis.com/Assignment Mais informações
bigqueryreservation.googleapis.com/BiReservation Mais informações
bigqueryreservation.googleapis.com/CapacityCommitment Mais informações
bigqueryreservation.googleapis.com/Location Mais informações
bigqueryreservation.googleapis.com/Reservation Mais informações
bigtableadmin.googleapis.com/AppProfile Mais informações
bigtableadmin.googleapis.com/Backup Mais informações
bigtableadmin.googleapis.com/Cluster Mais informações
bigtableadmin.googleapis.com/Instance Mais informações
bigtableadmin.googleapis.com/Table Mais informações
binaryauthorization.googleapis.com/Attestor Mais informações
binaryauthorization.googleapis.com/ContinuousValidationConfig Mais informações
binaryauthorization.googleapis.com/Policy Mais informações
cloud.googleapis.com/Location1 Mais informações
cloudkms.googleapis.com/CryptoKey Mais informações
cloudkms.googleapis.com/CryptoKeyVersion Mais informações
cloudkms.googleapis.com/KeyRing Mais informações
cloudresourcemanager.googleapis.com/Project2 Mais informações
compute.googleapis.com/BackendService Mais informações
compute.googleapis.com/Disk Mais informações
compute.googleapis.com/Firewall Mais informações
compute.googleapis.com/ForwardingRule Mais informações
compute.googleapis.com/GlobalForwardingRule Mais informações
compute.googleapis.com/Image Mais informações
compute.googleapis.com/Instance Mais informações
compute.googleapis.com/InstanceTemplate Mais informações
compute.googleapis.com/Snapshot Mais informações
compute.googleapis.com/TargetHttpProxy Mais informações
compute.googleapis.com/TargetHttpsProxy Mais informações
compute.googleapis.com/TargetSslProxy Mais informações
compute.googleapis.com/TargetTcpProxy Mais informações
connectors.googleapis.com/Connection Mais informações
connectors.googleapis.com/ConnectionSchemaMetadata Mais informações
connectors.googleapis.com/EndpointAttachment Mais informações
connectors.googleapis.com/EventSubscription Mais informações
connectors.googleapis.com/ManagedZone Mais informações
container.googleapis.com/Clusters Mais informações
dataform.googleapis.com/CompilationResult Mais informações
dataform.googleapis.com/Location Mais informações
dataform.googleapis.com/ReleaseConfig Mais informações
dataform.googleapis.com/Repository Mais informações
dataform.googleapis.com/WorkflowConfig Mais informações
dataform.googleapis.com/WorkflowInvocation Mais informações
dataform.googleapis.com/Workspace Mais informações
firestore.googleapis.com/Database Mais informações
iap.googleapis.com/Tunnel Mais informações
iap.googleapis.com/TunnelInstance Mais informações
iap.googleapis.com/TunnelZone Mais informações
iap.googleapis.com/Web Mais informações
iap.googleapis.com/WebService Mais informações
iap.googleapis.com/WebServiceVersion Mais informações
iap.googleapis.com/WebType Mais informações
integrations.googleapis.com/AuthConfig Mais informações
integrations.googleapis.com/Execution Mais informações
integrations.googleapis.com/Integration Mais informações
integrations.googleapis.com/IntegrationVersion Mais informações
integrations.googleapis.com/Location n/a
integrations.googleapis.com/Suspension Mais informações
logging.googleapis.com/LogBucket Mais informações
logging.googleapis.com/LogView Mais informações
managedkafka.googleapis.com/Cluster Mais informações
managedkafka.googleapis.com/ConsumerGroup Mais informações
managedkafka.googleapis.com/Operation Mais informações
managedkafka.googleapis.com/Topic Mais informações
pubsublite.googleapis.com/Location Mais informações
pubsublite.googleapis.com/Subscription Mais informações
pubsublite.googleapis.com/Topic Mais informações
secretmanager.googleapis.com/Secret Mais informações
secretmanager.googleapis.com/SecretVersion Mais informações
spanner.googleapis.com/Backup Mais informações
spanner.googleapis.com/Database Mais informações
spanner.googleapis.com/Instance Mais informações
sqladmin.googleapis.com/BackupRun Mais informações
sqladmin.googleapis.com/Instance Mais informações
storage.googleapis.com/Bucket Mais informações
storage.googleapis.com/ManagedFolder Mais informações
storage.googleapis.com/Object Mais informações

1 O Cloud Key Management Service usa esse tipo de recurso como pai dos recursos de keyring.

2 A Apigee usa esse tipo de recurso como pai de qualquer recurso que pertença a uma organização da Apigee.

Formato do nome de recursos

Esta tabela mostra o formato de cada tipo de atributo de nome de recurso.

Referência do recurso Modelo de formato de nome do recurso
Atributos do produto da API da Apigee organizations/organization-name/apiproducts/product-id/attributes/attribute-id
Produtos da API da Apigee organizations/organization-name/apiproducts/product-id
Proxies da API da Apigee organizations/organization-name/apis/proxy-id
Entradas de mapa de chave-valor de proxy de API da Apigee organizations/organization-name/api/proxy-id/keyvaluemaps/keyvaluemap-id/entries/entry-id
Mapas de chave-valor de proxy de API da Apigee organizations/organization-name/apis/proxy-id/keyvaluemaps/key-value-map-id
Resenhas de proxy de API da Apigee organizations/organization-name/apis/proxy-id/revisions/revision-id
Caches da Apigee organizations/organization-name/environments/environment-id/caches/cache-id
Atributos de aplicativo de desenvolvedor da Apigee organizations/organization-name/developers/developer-id/apps/app-id/attributes/attribute-id
Aplicativos de desenvolvedor da Apigee organizations/organization-name/developers/developer-id/apps/app-id
Atributos de desenvolvedor da Apigee organizations/organization-name/developers/developer-id/attributes/attribute-id
Desenvolvedores da Apigee organizations/organization-name/developers/developer-id
Entradas de mapa de chave-valor do ambiente da Apigee organizations/organization-name/environments/environment-id/keyvaluemaps/keyvaluemap-id/entries/entry-id
Mapas de chave-valor do ambiente da Apigee organizations/organization-name/environments/environment/keyvaluemaps/key-value-map-id
Exportações da Apigee organizations/organization-name/environments/environment-id/analytics/exports/export-id
Ganchos de fluxo da Apigee organizations/organization-name/environments/environment-id/flowhooks/flowhook-id
Aliases da Keystore da Apigee organizations/organization-name/environments/environment-id/keystores/keystore-id/aliases/alias-id
Keystores da Apigee organizations/organization-name/environments/environment-id/keystores/keystore-id
Consultas da Apigee organizations/organization-name/environments/environment-id/queries/query-id
Planos de taxa da Apigee organizations/organization-name/apiproducts/product-id/rateplans/rate-plan-id
Referências da Apigee organizations/organization-name/environments/environment-id/references/reference-id
Revisões de fluxo compartilhado da Apigee organizations/organization-name/sharedflows/shared-flow-id/revisions/revision-id
Fluxos compartilhados da Apigee organizations/organization-name/sharedflows/shared-flow-id
Servidores segmentados da Apigee organizations/organization-name/environments/environment-id/targetservers/targetserver-id
Sessões de trace (depuração) da Apigee organizations/organization-name/environments/environment-id/apis/proxy-id/revisions/revision-id/debugsessions/session-id
Serviço de backup e DR backupVaults projects/project-id/locations/location-id/backupVaults/backup-vault-id
Conjuntos de dados do BigQuery projects/project-id/datasets/dataset-id
Modelos do BigQuery projects/project-id/datasets/dataset-id/models/model-id
Rotinas do BigQuery projects/project-id/datasets/dataset-id/routines/routine-id
Tabelas do BigQuery projects/project-id/datasets/dataset-id/tables/table-id
Atribuições da API BigQuery Reservation projects/project-id/locations/location-id/reservations/reservation-id/assignments/assignment-id
Reservas de BI da API BigQuery Reservation projects/project-id/locations/location-id/biReservation
Compromissos de capacidade da API BigQuery Reservation projects/project-id/locations/location-id/capacityCommitments/capacity-commitment-id
Localizações da API BigQuery Reservation projects/project-id/locations/location-id
Reservas da API BigQuery Reservation projects/project-id/locations/location-id/reservations/reservation-id
Autorização binária atestadores projects/project-number/attestors/attestor-id
Configurações de validação contínua da autorização binária projects/project-number/continuousValidationConfig
Políticas da autorização binária projects/project-number/policy
appProfiles do Bigtable projects/project-number/instances/instance-id/appProfiles/appProfile-id
Backups do Bigtable projects/project-number/instances/instance-id/clusters/cluster-id/backups/backup-id
Clusters do Bigtable projects/project-number/instances/instance-id/clusters/cluster-id
Instâncias do Bigtable projects/project-number/instances/instance-id
Tabelas do Bigtable projects/project-number/instances/instance-id/tables/table-id
Execuções de automação do Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/automationRuns/automation-run-id
Automações do Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/automations/automation-id
Tipos de segmentação personalizados do Cloud Deploy projects/project-id/locations/location-id/customTargetTypes/custom-target-type-id
Pipelines de entrega do Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id
Cloud Deploy executar jobs projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id/rollouts/rollout-id/jobRuns/job-run-id
Versões do Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id
Lançamentos do Cloud Deploy projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id/rollouts/rollout-id
Segmentos do Cloud Deploy projects/project-id/locations/location-id/targets/target-id
Bancos de dados do Firestore projects/project-id/databases/database-id
Chaves criptográficas do Cloud Key Management Service projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Versões de chaves criptográficas do Cloud Key Management Service projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Keyrings do Cloud Key Management Service projects/project-id/locations/location-id/keyRings/keyring-id
Buckets de registro do Cloud Logging projects/project-id/locations/location-id/buckets/bucket-id
Visualizações de registro do Cloud Logging projects/project-id/locations/location-id/buckets/bucket-id/views/view-id
Backups do Spanner projects/project-id/instances/instance-id/backups/backup-id
Bancos de dados do Spanner projects/project-id/instances/instance-id/databases/database-id
Instâncias do Spanner projects/project-id/instances/instance-id
Execuções de backup do Cloud SQL projects/project-id/instances/instance-id/backupRuns/backup-id
Instâncias do Cloud SQL projects/project-id/instances/instance-id
Intervalos do Cloud Storage1 projects/_/buckets/bucket-name
Pastas gerenciadas do Cloud Storage1, 2 projects/_/buckets/bucket-name/managedFolders/managed-folder-name
Objetos do Cloud Storage1, 3 projects/_/buckets/bucket-name/objects/object-name
Serviços de back-end globais do Compute Engine projects/project-id/global/backendServices/backend-service-id
Serviços de back-end regionais do Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Firewalls do Compute Engine projects/project-id/global/firewalls/firewall-id
Regras de encaminhamento global do Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Regras de encaminhamento regional do Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Imagens do Compute Engine projects/project-id/global/images/image-id
Modelos de instâncias do Compute Engine projects/project-id/global/instanceTemplates/instance-template-id
Instâncias do Compute Engine projects/project-id/zones/zone-id/instances/instance-id
Discos permanentes regionais do Compute Engine projects/project-id/regions/region-id/disks/disk-id
Discos permanentes por zona do Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Snapshots do Compute Engine projects/project-id/global/snapshots/snapshot-id
Proxies HTTP de destino global do Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Proxies HTTP de destino regional do Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Proxies HTTPS de destino global do Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Proxies HTTPS de destino regional do Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Proxies SSL de destino do Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Proxies TCP de destino do Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Clusters do Google Kubernetes Engine projects/project-id/locations/location/clusters/cluster-id
Compilação de resultados do Dataform projects/project-id/locations/location/repositories/repository/compilationResults/compilation-result
Locais do Dataform projects/project-id/locations/location
Configurações de versão do Dataform projects/project-id/locations/location/repositories/repository/releaseConfigs/release-config
Repositórios do Dataform projects/project-id/locations/location/repositories/repository
Configurações do fluxo de trabalho do Dataform projects/project-id/locations/location/repositories/repository/workflowConfigs/workflow-config
Invocações de fluxo de trabalho do Dataform projects/project-id/locations/location/repositories/repository/workflowInvocations/workflow-invocation
Espaços de trabalho do Dataform projects/project-id/locations/location/repositories/repository/workspaces/workspace
Conexões dos Integration Connectors projects/project-id/locations/location/connections/connection-name
Metadados do esquema de conexão dos Integration Connectors projects/project-id/locations/location/connections/connection-name/connectionSchemaMetadata
Anexos de endpoint dos Integration Connectors projects/project-id/locations/location/endpointAttachments/endpoint-attachment-name
Assinaturas de eventos dos Integration Connectors projects/project-id/locations/location/eventSubscriptions/event-subscription-name
zonas gerenciadas dos Integration Connectors projects/project-id/locations/global/managedZones/managed-zone-name
Serviço gerenciado do Google Cloud para clusters do Apache Kafka projects/project-number/locations/location/clusters/cluster-name
Grupos de consumidores do serviço gerenciado do Google Cloud para Apache Kafka projects/project-number/locations/location/clusters/cluster-name/consumerGroups/consumer-group
Operações do serviço gerenciado do Google Cloud para Apache Kafka projects/project-number/locations/location/operations/operation
Topics do serviço gerenciado do Google Cloud para Apache Kafka projects/project-number/locations/location/clusters/cluster-name/topics/topic-name
Locais do Pub/Sub Lite projects/project-number/locations/location
Assinaturas do Pub/Sub Lite projects/project-number/locations/location/subscriptions/subscription-id
Tópicos do Pub/Sub Lite projects/project-number/locations/location/topics/topic-id
Organizações do Resource Manager4 organizations/organization-name
Secrets do Secret Manager projects/project-number/secrets/secret-id
Versões de secret5 do Secret Manager projects/project-number/secrets/secret-id/versions/secret-version

1 No Cloud Storage, os nomes de recursos contêm um sublinhado (_), e não um ID do projeto. Não é possível substituir o sublinhado por um ID, nome ou número do projeto.

2 Use todo o nome da pasta gerenciada, incluindo barras. No Cloud Storage, esses caracteres fazem parte do nome da pasta gerenciada, não são separadores de caminho.

3 Use todo o nome do objeto, incluindo barras. No Cloud Storage, esses caracteres são parte do nome do objeto, não dos separadores de caminho.

4 A Apigee usa esse formato quando você lista qualquer tipo de recurso que pertença a uma organização da Apigee.

5 Se uma condição avalia o nome do recurso de uma versão do secret, essa versão na solicitação precisa ser exatamente a mesma na condição para que a condição seja atendida. Por exemplo, se a versão na condição for latest, somente uma solicitação com a versão latest atenderá à condição. Uma solicitação com a versão 3 não atenderá à condição, mesmo se 3 for a versão mais recente.

Tags de recurso

É possível anexar tags a organizações, projetos e pastas. Qualquer recurso do Google Cloud pode herdar tags desses recursos de nível superior.

É possível usar alguns tipos diferentes de identificadores para se referir a chaves e valores de tag:

  • Um código permanente, que é globalmente exclusivo e não pode ser reutilizado. Por exemplo, uma chave de tag pode ter o ID permanente tagKeys/123456789012 e um valor de tag pode ter o ID permanente tagValues/567890123456.
  • Um nome curto. O nome curto de cada chave precisa ser exclusivo no projeto ou na organização em que a chave é definida, e o nome curto de cada valor precisa ser exclusivo para a chave associada. Por exemplo, uma chave de tag pode ter o nome abreviado env, e um valor de tag pode ter o nome abreviado prod.
  • Um nome de namespace, que adiciona o ID numérico da sua organização ou do projeto ao nome curto de uma chave de tag. Por exemplo, uma chave de tag criada para uma organização pode ter o nome de namespace 123456789012/env. Para saber como conseguir o ID da organização, consulte Como conseguir o ID do recurso da sua organização. Uma chave de tag criada para um projeto pode ter o nome de namespace myproject/env. Para saber como conseguir o ID do projeto, consulte Como identificar projetos.

Os identificadores específicos dependem das chaves e dos valores da tag que você criou para sua organização. Para saber como listar as chaves e os valores de tag disponíveis, consulte Como listar chaves de tags e Como listar valores de tags.