Ressourcenattribute für IAM Conditions

Dieses Thema enthält eine Liste von Werten, die für Ressourcenattribute in einer Bedingung verwendet werden können. Dazu gehören Stringwerte für Ressourcendienst, Ressourcentyp und das Format von Strings für Ressourcennamen.

Mit Ressourcenattributen können Sie den Bereich der durch eine Rollenbindung gewährten Berechtigungen ändern. Wenn eine Rolle Berechtigungen enthält, die für verschiedene Arten von Ressourcen gelten, kann über eine Bedingung eine Teilmenge der Rollenberechtigungen basierend auf Ressourcendienst, Ressourcentyp und Ressourcenname gewährt werden.

Ressourcenattribute sind für die Google Cloud-Dienste und -Ressourcentypen verfügbar, die auf dieser Seite aufgeführt sind. Andere Dienste und Ressourcentypen unterstützen keine Ressourcenattribute.

Weitere Informationen zu IAM Conditions (Identity and Access Management) finden Sie in den folgenden Abschnitten:

Ressourcendienstwerte

In der folgenden Tabelle sind die unterstützten Stringwerte für das Ressourcendienstattribut aufgeführt.

Ressourcendienstwert REST-Referenz
bigtableadmin.googleapis.com API-Referenz
cloudkms.googleapis.com API-Referenz
cloudresourcemanager.googleapis.com API-Referenz
compute.googleapis.com API-Referenz
iap.googleapis.com API-Referenz
pubsublite.googleapis.com API-Referenz
secretmanager.googleapis.com API-Referenz
spanner.googleapis.com API-Referenz
storage.googleapis.com API-Referenz

Ressourcentypwerte

In der folgenden Tabelle sind unterstützte Stringwerte für das Ressourcentypattribut aufgeführt.

Ressourcentypwert Referenz
bigtableadmin.googleapis.com/Cluster1 Weitere Informationen
bigtableadmin.googleapis.com/Instance1 Weitere Informationen
bigtableadmin.googleapis.com/Table1 Weitere Informationen
cloud.googleapis.com/Location1 Weitere Informationen
cloudkms.googleapis.com/CryptoKey Weitere Informationen
cloudkms.googleapis.com/CryptoKeyVersion Weitere Informationen
cloudkms.googleapis.com/KeyRing Weitere Informationen
cloudresourcemanager.googleapis.com/Project Weitere Informationen
compute.googleapis.com/BackendService Weitere Informationen
compute.googleapis.com/Disk Weitere Informationen
compute.googleapis.com/Firewall Weitere Informationen
compute.googleapis.com/ForwardingRule Weitere Informationen
compute.googleapis.com/GlobalForwardingRule Weitere Informationen
compute.googleapis.com/Image Weitere Informationen
compute.googleapis.com/Instance Weitere Informationen
compute.googleapis.com/InstanceTemplate Weitere Informationen
compute.googleapis.com/Snapshot Weitere Informationen
compute.googleapis.com/TargetHttpProxy Weitere Informationen
compute.googleapis.com/TargetHttpsProxy Weitere Informationen
compute.googleapis.com/TargetSslProxy Weitere Informationen
compute.googleapis.com/TargetTcpProxy Weitere Informationen
iap.googleapis.com/Tunnel Weitere Informationen
iap.googleapis.com/TunnelInstance Weitere Informationen
iap.googleapis.com/TunnelZone Weitere Informationen
iap.googleapis.com/Web Weitere Informationen
iap.googleapis.com/WebService Weitere Informationen
iap.googleapis.com/WebServiceVersion Weitere Informationen
iap.googleapis.com/WebType Weitere Informationen
pubsublite.googleapis.com/Location Weitere Informationen
pubsublite.googleapis.com/Subscription Weitere Informationen
pubsublite.googleapis.com/Topic Weitere Informationen
secretmanager.googleapis.com/Secret Weitere Informationen
secretmanager.googleapis.com/SecretVersion Weitere Informationen
spanner.googleapis.com/Database Weitere Informationen
spanner.googleapis.com/Instance Weitere Informationen
storage.googleapis.com/Bucket Weitere Informationen
storage.googleapis.com/Object Weitere Informationen

1 Der Cloud Key Management Service verwendet diesen Ressourcentyp als übergeordnetes Element von Schlüsselbundressourcen.

Format der Ressourcennamen

In der folgenden Tabelle ist das unterstützte Format für Ressourcennamenattribute aufgeführt.

Ressourcenreferenz Vorlage für das Ressourcennamenformat
BigTable-Cluster projects/project-number/instances/instance-id/clusters/cluster-id
Bigtable-Instanzen projects/project-number/instances/instance-id
Bigtable-Tabellen projects/project-number/instances/instance-id/tables/table-id
Kryptografische Cloud KMS-Schlüssel projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Versionen von kryptografischen Cloud KMS-Schlüsseln projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud KMS-Schlüsselbunde projects/project-number/locations/location-id/keyRings/keyring-id
Cloud Storage-Buckets1 projects/_/buckets/bucket-name
Cloud Storage-Objekte1 projects/_/buckets/bucket-name/objects/object-name
Globale Back-End-Dienste von Compute Engine projects/project-id/global/backendServices/backend-service-id
Regionale Back-End-Dienste von Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine-Firewalls projects/project-id/global/firewalls/firewall-id
Globale Weiterleitungsregeln für Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Regionale Weiterleitungsregeln für Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine-Images projects/project-id/global/images/image-id
Compute Engine-Instanzvorlagen projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine-Instanzen projects/project-id/zones/zone-id/instances/instance-id
Regionale nichtflüchtige Speicher von Compute Engine projects/project-id/regions/region-id/disks/disk-id
Zonale nichtflüchtige Speicher von Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Compute Engine-Snapshots projects/project-id/global/snapshots/snapshot-id
Globale Ziel-HTTP-Proxys von Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Regionale Ziel-HTTP-Proxys von Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Globale Ziel-HTTPS-Proxys von Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Regionale Ziel-HTTPS-Proxys von Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Ziel-SSL-Proxys von Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Ziel-TCP-Proxys von Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Pub/Sub Lite-Standorte projects/project-number/locations/location
Pub/Sub Lite-Abos projects/project-number/locations/location/subscriptions/subscription-id
Pub/Sub Lite-Themen projects/project-number/locations/location/topics/topic-id
Secrets des Secret Managers projects/project-number/secrets/secret-id
Secret-Versionen2 von Secret Manager projects/project-number/secrets/secret-id/versions/secret-version
Spanner-Datenbanken projects/project-number/instances/instance-id/databases/database-id
Spanner-Instanzen projects/project-number/instances/instance-id

1 Bei Cloud Storage enthalten Ressourcennamen einen Unterstrich (_) anstelle einer Projekt-ID. Sie können den Unterstrich nicht durch eine Projekt-ID, einen Projektnamen oder eine Projektnummer ersetzen.

2 Wenn eine Bedingung den Ressourcennamen für eine Secret-Version bewertet, muss die Secret-Version in der Anfrage genau mit der Secret-Version in der Bedingung übereinstimmen, damit die Bedingung erfüllt wird. Wenn beispielsweise die Version in der Bedingung latest lautet, erfüllt nur eine Anfrage mit der Version latest die Bedingung. Eine Anfrage mit der Version 3 erfüllt die Bedingung nicht, auch wenn 3 die neueste Version ist.

Ressourcen-Tags

Sie können Tags an Organisationen, Projekte und Ordner anhängen. Jede Google Cloud-Ressource kann Tags von diesen übergeordneten Ressourcen übernehmen.

Sie können verschiedene Arten von IDs verwenden, um auf Tag-Schlüssel und -Werte zu verweisen:

  • Eine permanente ID, die global eindeutig ist und nicht wiederverwendet werden kann. Ein Tag-Schlüssel könnte beispielsweise die permanente ID tagKeys/123456789012 und ein Tag-Wert die permanente ID tagValues/567890123456 haben.
  • Kurzname: Der Kurzname für jeden Schlüssel muss innerhalb Ihrer Organisation eindeutig sein. Der Kurzname für jeden Wert muss für den zugehörigen Schlüssel eindeutig sein. Ein Tag-Schlüssel könnte beispielsweise den Kurznamen env und ein Tag-Wert den Kurznamen prod haben.
  • Ein Namespace-Name, mit dem die numerische ID Ihrer Organisation dem Kurznamen eines Tag-Schlüssels hinzugefügt wird. Ein Tag-Schlüssel könnte beispielsweise den Namespace-Namen 123456789012/env haben. Hier erfahren Sie, wie Sie Ihre Organisations-ID abrufen.

Die spezifischen Kennzeichnungen hängen von den Tag-Schlüsseln und -Werten ab, die Sie für Ihre Organisation erstellt haben. Informationen zum Auflisten der verfügbaren Tag-Schlüssel und -Werte finden Sie unter Tag-Schlüssel und Tag-Werte auflisten.