IAM Conditions のリソース属性

このトピックには、リソース サービスの文字列値、リソースタイプ、リソース名文字列の形式などの条件でリソース属性に使用できる値のリストが含まれています。

リソース属性を使用して、ロール バインディングによって提供される権限の範囲を変更できます。ロールに異なる種類のリソースに適用される権限がある場合、条件では、リソース サービス、リソースタイプ、リソース名に基づいてロールの権限のサブセットを付与できます。

リソース属性は、このページに記載されている Google Cloud サービスとリソースタイプで使用できます。他のサービスとリソースタイプでは、リソース属性はサポートされていません。

Identity and Access Management(IAM)Conditions の詳細については、次のトピックをご覧ください。

リソース サービスの値

次の表に、リソース サービス属性でサポートされる文字列値を示します。

リソース サービスの値 REST リファレンス
bigtableadmin.googleapis.com API リファレンス
cloudkms.googleapis.com API リファレンス
cloudresourcemanager.googleapis.com API リファレンス
compute.googleapis.com API リファレンス
iap.googleapis.com API リファレンス
pubsublite.googleapis.com API リファレンス
secretmanager.googleapis.com API リファレンス
spanner.googleapis.com API リファレンス
storage.googleapis.com API リファレンス

リソースタイプの値

次の表に、リソースタイプ属性でサポートされる文字列値を示します。

リソースタイプの値 参照
bigtableadmin.googleapis.com/Cluster1 詳細
bigtableadmin.googleapis.com/Instance1 詳細
bigtableadmin.googleapis.com/Table1 詳細
cloud.googleapis.com/Location1 詳細
cloudkms.googleapis.com/CryptoKey 詳細
cloudkms.googleapis.com/CryptoKeyVersion 詳細
cloudkms.googleapis.com/KeyRing 詳細
cloudresourcemanager.googleapis.com/Project 詳細
compute.googleapis.com/BackendService 詳細
compute.googleapis.com/Disk 詳細
compute.googleapis.com/Firewall 詳細
compute.googleapis.com/ForwardingRule 詳細
compute.googleapis.com/GlobalForwardingRule 詳細
compute.googleapis.com/Image 詳細
compute.googleapis.com/Instance 詳細
compute.googleapis.com/InstanceTemplate 詳細
compute.googleapis.com/Snapshot 詳細
compute.googleapis.com/TargetHttpProxy 詳細
compute.googleapis.com/TargetHttpsProxy 詳細
compute.googleapis.com/TargetSslProxy 詳細
compute.googleapis.com/TargetTcpProxy 詳細
iap.googleapis.com/Tunnel 詳細
iap.googleapis.com/TunnelInstance 詳細
iap.googleapis.com/TunnelZone 詳細
iap.googleapis.com/Web 詳細
iap.googleapis.com/WebService 詳細
iap.googleapis.com/WebServiceVersion 詳細
iap.googleapis.com/WebType 詳細
pubsublite.googleapis.com/Location 詳細
pubsublite.googleapis.com/Subscription 詳細
pubsublite.googleapis.com/Topic 詳細
secretmanager.googleapis.com/Secret 詳細
secretmanager.googleapis.com/SecretVersion 詳細
spanner.googleapis.com/Database 詳細
spanner.googleapis.com/Instance 詳細
storage.googleapis.com/Bucket 詳細
storage.googleapis.com/Object 詳細

1 Cloud Key Management Service は、このリソースタイプをキーリング リソースの親として使用します。

リソース名の形式

リソース名の属性のサポートされる形式を次の表に示します。

リソースのリファレンス リソース名の形式のテンプレート
Bigtable クラスタ projects/project-number/instances/instance-id/clusters/cluster-id
Bigtable インスタンス projects/project-number/instances/instance-id
Bigtable テーブル projects/project-number/instances/instance-id/tables/table-id
Cloud KMS 暗号鍵 projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Cloud KMS 暗号鍵バージョン projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud KMS キーリング projects/project-number/locations/location-id/keyRings/keyring-id
Cloud Storage バケット1 projects/_/buckets/bucket-name
Cloud Storage オブジェクト1 projects/_/buckets/bucket-name/objects/object-name
Compute Engine グローバル バックエンド サービス projects/project-id/global/backendServices/backend-service-id
Compute Engine リージョン バックエンド サービス projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine ファイアウォール projects/project-id/global/firewalls/firewall-id
Compute Engine グローバル転送ルール projects/project-id/global/forwardingRules/forwarding-rule-id
Compute Engine リージョン転送ルール projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine イメージ projects/project-id/global/images/image-id
Compute Engine インスタンス テンプレート projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine インスタンス projects/project-id/zones/zone-id/instances/instance-id
Compute Engine リージョン永続ディスク projects/project-id/regions/region-id/disks/disk-id
Compute Engine ゾーン永続ディスク projects/project-id/zones/zone-id/disks/disk-id
Compute Engine スナップショット projects/project-id/global/snapshots/snapshot-id
Compute Engine グローバル ターゲット HTTP プロキシ projects/project-id/global/targetHttpProxies/target-http-proxy-id
Compute Engine リージョン ターゲット HTTP プロキシ projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Compute Engine グローバル ターゲット HTTPS プロキシ projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Compute Engine リージョン ターゲット HTTPS プロキシ projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Compute Engine ターゲット SSL プロキシ projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Compute Engine ターゲット TCP プロキシ projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Pub/Sub Lite ロケーション projects/project-number/locations/location
Pub/Sub Lite サブスクリプション projects/project-number/locations/location/subscriptions/subscription-id
Pub/Sub Lite トピック projects/project-number/locations/location/topics/topic-id
Secret Manager シークレット projects/project-number/secrets/secret-id
Secret Manager シークレット バージョン2 projects/project-number/secrets/secret-id/versions/secret-version
Spanner データベース projects/project-number/instances/instance-id/databases/database-id
Spanner インスタンス projects/project-number/instances/instance-id

1 Cloud Storage の場合、リソース名には、プロジェクト ID ではなく、アンダースコア(_)が含まれます。アンダースコアをプロジェクト ID、プロジェクト名、プロジェクト番号に置き換えることはできません

2 条件がリソース名のシークレット バージョンを評価する場合、条件が満たされるには、リクエストのシークレット バージョンが条件のシークレット バージョンと完全に一致している必要があります。たとえば、条件のバージョンが latest の場合、バージョン latest を持つリクエストだけが条件を満たします。3 が最新バージョンであっても、バージョン 3 を持つリクエストは条件を満たしません。

リソースタグ

タグは、組織、プロジェクト、フォルダに追加できます。あらゆる Google Cloud リソースは、こうした上位レベルのリソースからタグを継承できます。

タグキーと値の参照には、数種類の識別子を使用できます。

  • 永続的な ID。グローバルに一意であり、再利用できません。たとえば、タグキーに永続 ID tagKeys/123456789012 を割り当て、タグ値に永続 ID tagValues/567890123456 を持たせることができます。
  • 略称。各キーの略称は、組織内で一意である必要があり、また各値の略称は、関連付けられているキーに対して一意である必要があります。たとえば、タグキーに略称 env を指定し、タグ値に prod という略称を付けることができます。
  • 名前空間名。組織の数値 ID をタグキーの略称に追加します。たとえば、タグキーに名前空間名 123456789012/env を指定できます。組織 ID の取得方法は、こちらをご覧ください。

具体的なの識別子は、組織に作成したタグキーと値によって異なります。利用可能なタグキーと値の一覧を出力する方法は、TagKeys と TagValues のリスト出力をご覧ください。