Ressourcenattribute für IAM Conditions

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Dieses Thema enthält eine Liste von Werten, die für Ressourcenattribute in einer Bedingung verwendet werden können. Dazu gehören Stringwerte für Ressourcendienst, Ressourcentyp und das Format von Strings für Ressourcennamen.

Mit Ressourcenattributen können Sie den Bereich der durch eine Rollenbindung gewährten Berechtigungen ändern. Wenn eine Rolle Berechtigungen enthält, die für verschiedene Arten von Ressourcen gelten, kann über eine Bedingung eine Teilmenge der Rollenberechtigungen basierend auf Ressourcendienst, Ressourcentyp und Ressourcenname gewährt werden.

Ressourcenattribute sind für die Google Cloud-Dienste und -Ressourcentypen verfügbar, die auf dieser Seite aufgeführt sind. Andere Dienste und Ressourcentypen erkennen keine Ressourcenattribute.

Weitere Informationen zu IAM Conditions (Identity and Access Management) finden Sie in den folgenden Abschnitten:

Ressourcendienstwerte

In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut "Ressourcendienst" enthalten kann.

Ressourcendienstwert REST-Referenz
apigee.googleapis.com API-Referenz
bigtableadmin.googleapis.com API-Referenz
binaryauthorization.googleapis.com API-Referenz
cloudkms.googleapis.com API-Referenz
cloudresourcemanager.googleapis.com API-Referenz
compute.googleapis.com API-Referenz
iap.googleapis.com API-Referenz
logging.googleapis.com API-Referenz
pubsublite.googleapis.com API-Referenz
secretmanager.googleapis.com API-Referenz
spanner.googleapis.com API-Referenz
sqladmin.googleapis.com API-Referenz
storage.googleapis.com API-Referenz

Ressourcentypwerte

In der folgenden Tabelle sind die Werte aufgeführt, die das Attribut "Ressourcentyp" enthalten kann.

Ressourcentypwert Referenz
apigee.googleapis.com/ApiProduct Weitere Informationen
apigee.googleapis.com/ApiProductAttribute Weitere Informationen
apigee.googleapis.com/Developer Weitere Informationen
apigee.googleapis.com/DeveloperApp Weitere Informationen
apigee.googleapis.com/DeveloperAppAttribute Weitere Informationen
apigee.googleapis.com/DeveloperAttribute Weitere Informationen
apigee.googleapis.com/KeyValueMap Weitere Informationen
apigee.googleapis.com/Proxy Weitere Informationen
apigee.googleapis.com/ProxyRevision Weitere Informationen
apigee.googleapis.com/RatePlan Weitere Informationen
apigee.googleapis.com/SharedFlow Weitere Informationen
apigee.googleapis.com/SharedFlowRevision Weitere Informationen
bigtableadmin.googleapis.com/Cluster Weitere Informationen
bigtableadmin.googleapis.com/Instance Weitere Informationen
bigtableadmin.googleapis.com/Table Weitere Informationen
binaryauthorization.googleapis.com/Attestor Weitere Informationen
binaryauthorization.googleapis.com/ContinuousValidationConfig Weitere Informationen
binaryauthorization.googleapis.com/Policy Weitere Informationen
cloud.googleapis.com/Location1 Weitere Informationen
cloudkms.googleapis.com/CryptoKey Weitere Informationen
cloudkms.googleapis.com/CryptoKeyVersion Weitere Informationen
cloudkms.googleapis.com/KeyRing Weitere Informationen
cloudresourcemanager.googleapis.com/Project2 Weitere Informationen
compute.googleapis.com/BackendService Weitere Informationen
compute.googleapis.com/Disk Weitere Informationen
compute.googleapis.com/Firewall Weitere Informationen
compute.googleapis.com/ForwardingRule Weitere Informationen
compute.googleapis.com/GlobalForwardingRule Weitere Informationen
compute.googleapis.com/Image Weitere Informationen
compute.googleapis.com/Instance Weitere Informationen
compute.googleapis.com/InstanceTemplate Weitere Informationen
compute.googleapis.com/Snapshot Weitere Informationen
compute.googleapis.com/TargetHttpProxy Weitere Informationen
compute.googleapis.com/TargetHttpsProxy Weitere Informationen
compute.googleapis.com/TargetSslProxy Weitere Informationen
compute.googleapis.com/TargetTcpProxy Weitere Informationen
iap.googleapis.com/Tunnel Weitere Informationen
iap.googleapis.com/TunnelInstance Weitere Informationen
iap.googleapis.com/TunnelZone Weitere Informationen
iap.googleapis.com/Web Weitere Informationen
iap.googleapis.com/WebService Weitere Informationen
iap.googleapis.com/WebServiceVersion Weitere Informationen
iap.googleapis.com/WebType Weitere Informationen
logging.googleapis.com/LogBucket Weitere Informationen
logging.googleapis.com/LogView Weitere Informationen
pubsublite.googleapis.com/Location Weitere Informationen
pubsublite.googleapis.com/Subscription Weitere Informationen
pubsublite.googleapis.com/Topic Weitere Informationen
secretmanager.googleapis.com/Secret Weitere Informationen
secretmanager.googleapis.com/SecretVersion Weitere Informationen
spanner.googleapis.com/Backup Weitere Informationen
spanner.googleapis.com/Database Weitere Informationen
spanner.googleapis.com/Instance Weitere Informationen
sqladmin.googleapis.com/BackupRun Weitere Informationen
sqladmin.googleapis.com/Instance Weitere Informationen
storage.googleapis.com/Bucket Weitere Informationen
storage.googleapis.com/Object Weitere Informationen

1 Der Cloud Key Management Service verwendet diesen Ressourcentyp als übergeordnetes Element von Schlüsselbundressourcen.

2 Apigee X verwendet diesen Ressourcentyp als übergeordnetes Element von Ressourcen, die zu einer Apigee X-Organisation gehören.

Format der Ressourcennamen

In der folgenden Tabelle sind die Formate jedes Typs des Attributs "Ressourcenname" aufgeführt.

Ressourcenreferenz Vorlage für das Ressourcennamenformat
Apigee X: API-Produktattribute organizations/organization-name/apiproducts/product-id/attributes/attribute-id
Apigee X: API-Produkte organizations/organization-name/apiproducts/product-id
Apigee X: API-Proxys organizations/organization-name/apis/proxy-id
Apigee X: API-Proxy-Schlüssel/Wert-Zuordnungen organizations/organization-name/apis/proxy-id/keyvaluemaps/key-value-map-id
Apigee X: API-Proxy-Überarbeitungen organizations/organization-name/apis/proxy-id/revisions/revision-id
Apigee X: Entwickler-App-Attribute organizations/organization-name/developers/developer-id/apps/app-id/attributes/attribute-id
Apigee X: Entwickler-Apps organizations/organization-name/developers/developer-id/apps/app-id
Apigee X: Entwicklerattribute organizations/organization-name/developers/developer-id/attributes/attribute-id
Apigee X: Entwickler organizations/organization-name/developers/developer-id
Apigee X: Tarifpakete organizations/organization-name/apiproducts/product-id/rateplans/rate-plan-id
Apigee X: Freigegebene Überarbeitungen organizations/organization-name/sharedflows/shared-flow-id/revisions/revision-id
Apigee X: Freigegebene Abläufe organizations/organization-name/sharedflows/shared-flow-id
Binärautorisierung: Attestierer projects/project-number/attestors/attestor-id
Binärautorisierung:Kontinuierliche Validierungskonfigurationen projects/project-number/continuousValidationConfig
Binärautorisierung: Richtlinien projects/project-number/policy
Cloud Bigtable-Cluster projects/project-number/instances/instance-id/clusters/cluster-id
Cloud Bigtable-Instanzen projects/project-number/instances/instance-id
Cloud Bigtable-Tabellen projects/project-number/instances/instance-id/tables/table-id
Cloud Key Management Service-Kryptoschlüssel projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Cloud Key Management Service-Kryptoschlüsselversionen projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud Key Management Service-Schlüsselbunde projects/project-number/locations/location-id/keyRings/keyring-id
Cloud Logging-Log-Buckets projects/project-id/locations/location-id/buckets/bucket-id
Cloud Logging-Logansichten projects/project-id/locations/location-id/buckets/bucket-id/views/view-id
Cloud Spanner-Sicherungen projects/project-number/instances/instance-id/backups/backup-id
Cloud Spanner-Datenbanken projects/project-number/instances/instance-id/databases/database-id
Cloud Spanner-Instanzen projects/project-number/instances/instance-id
Cloud SQL-Sicherungsausführungen projects/project-id/instances/instance-id/backupRuns/backup-id
Cloud SQL-Instanzen projects/project-id/instances/instance-id
Cloud Storage-Buckets1 projects/_/buckets/bucket-name
Cloud Storage-Objekte1, 2 projects/_/buckets/bucket-name/objects/object-name
Globale Back-End-Dienste von Compute Engine projects/project-id/global/backendServices/backend-service-id
Regionale Back-End-Dienste von Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine-Firewalls projects/project-id/global/firewalls/firewall-id
Globale Weiterleitungsregeln für Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Regionale Weiterleitungsregeln für Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine-Images projects/project-id/global/images/image-id
Compute Engine-Instanzvorlagen projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine-Instanzen projects/project-id/zones/zone-id/instances/instance-id
Regionale nichtflüchtige Speicher von Compute Engine projects/project-id/regions/region-id/disks/disk-id
Zonale nichtflüchtige Speicher von Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Compute Engine-Snapshots projects/project-id/global/snapshots/snapshot-id
Globale Ziel-HTTP-Proxys von Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Regionale Ziel-HTTP-Proxys von Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Globale Ziel-HTTPS-Proxys von Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Regionale Ziel-HTTPS-Proxys von Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Ziel-SSL-Proxys von Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Ziel-TCP-Proxys von Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Pub/Sub Lite-Standorte projects/project-number/locations/location
Pub/Sub Lite-Abos projects/project-number/locations/location/subscriptions/subscription-id
Pub/Sub Lite-Themen projects/project-number/locations/location/topics/topic-id
Resource Manager-Organisationen3 organizations/organization-name
Secrets des Secret Managers projects/project-number/secrets/secret-id
Secret Manager-Secret-Versionen4 projects/project-number/secrets/secret-id/versions/secret-version

1 Bei Cloud Storage enthalten Ressourcennamen einen Unterstrich (_) anstelle einer Projekt-ID. Sie können den Unterstrich nicht durch eine Projekt-ID, einen Projektnamen oder eine Projektnummer ersetzen.

2 Verwenden Sie den gesamten Objektnamen, einschließlich Schrägstrichen. In Cloud Storage sind diese Zeichen Teil des Objektnamens, keine Pfadtrennzeichen.

3 Apigee X verwendet dieses Format, wenn Sie einen Ressourcentyp auflisten, der zu einer Apigee X-Organisation gehört.

4 Wenn eine Bedingung den Ressourcennamen für eine Secret-Version bewertet, muss die Secret-Version in der Anfrage genau mit der Secret-Version in der Bedingung übereinstimmen, damit die Bedingung erfüllt wird. Wenn beispielsweise die Version in der Bedingung latest lautet, erfüllt nur eine Anfrage mit der Version latest die Bedingung. Eine Anfrage mit der Version 3 erfüllt die Bedingung nicht, auch wenn 3 die neueste Version ist.

Ressourcen-Tags

Sie können Tags an Organisationen, Projekte und Ordner anhängen. Jede Google Cloud-Ressource kann Tags von diesen übergeordneten Ressourcen übernehmen.

Sie können verschiedene Arten von IDs verwenden, um auf Tag-Schlüssel und -Werte zu verweisen:

  • Eine permanente ID, die global eindeutig ist und nicht wiederverwendet werden kann. Ein Tag-Schlüssel könnte beispielsweise die permanente ID tagKeys/123456789012 und ein Tag-Wert die permanente ID tagValues/567890123456 haben.
  • Kurzname: Der Kurzname für jeden Schlüssel muss innerhalb Ihrer Organisation eindeutig sein. Der Kurzname für jeden Wert muss für den zugehörigen Schlüssel eindeutig sein. Ein Tag-Schlüssel könnte beispielsweise den Kurznamen env und ein Tag-Wert den Kurznamen prod haben.
  • Ein Namespace-Name, mit dem die numerische ID Ihrer Organisation dem Kurznamen eines Tag-Schlüssels hinzugefügt wird. Ein Tag-Schlüssel könnte beispielsweise den Namespace-Namen 123456789012/env haben. Hier erfahren Sie, wie Sie Ihre Organisations-ID abrufen.

Die spezifischen Kennzeichnungen hängen von den Tag-Schlüsseln und -Werten ab, die Sie für Ihre Organisation erstellt haben. Informationen zum Auflisten der verfügbaren Tag-Schlüssel und -Werte finden Sie unter Tag-Schlüssel auflisten und Tag-Werte auflisten.