Ressourcenattribute für IAM Conditions

Dieses Thema enthält eine Liste von Werten, die für Ressourcenattribute in einer Bedingung verwendet werden können. Dazu gehören Stringwerte für Ressourcendienst, Ressourcentyp und das Format von Strings für Ressourcennamen.

Mit Ressourcenattributen können Sie den Bereich der durch eine Rollenbindung gewährten Berechtigungen ändern. Wenn eine Rolle Berechtigungen enthält, die für verschiedene Arten von Ressourcen gelten, kann über eine Bedingung eine Teilmenge der Rollenberechtigungen basierend auf Ressourcendienst, Ressourcentyp und Ressourcenname gewährt werden.

Ressourcenattribute sind für die Google Cloud-Dienste und -Ressourcentypen verfügbar, die auf dieser Seite aufgeführt sind. Andere Dienste und Ressourcentypen unterstützen keine Ressourcenattribute.

Weitere Informationen zu IAM Conditions (Identity and Access Management) finden Sie in den folgenden Abschnitten:

Ressourcendienstwerte

In der folgenden Tabelle sind die unterstützten Stringwerte für das Ressourcendienstattribut aufgeführt.

Ressourcendienstwert REST-Referenz
cloudkms.googleapis.com API-Referenz
cloudresourcemanager.googleapis.com API-Referenz
compute.googleapis.com API-Referenz
iap.googleapis.com API-Referenz
secretmanager.googleapis.com API-Referenz
spanner.googleapis.com API-Referenz
storage.googleapis.com API-Referenz

Ressourcentypwerte

In der folgenden Tabelle sind unterstützte Stringwerte für das Ressourcentypattribut aufgeführt.

Ressourcentypwert Referenz
cloud.googleapis.com/Location1 Weitere Informationen
cloudkms.googleapis.com/CryptoKey Weitere Informationen
cloudkms.googleapis.com/CryptoKeyVersion Weitere Informationen
cloudkms.googleapis.com/KeyRing Weitere Informationen
cloudresourcemanager.googleapis.com/Project Weitere Informationen
compute.googleapis.com/BackendService Weitere Informationen
compute.googleapis.com/Disk Weitere Informationen
compute.googleapis.com/Firewall Weitere Informationen
compute.googleapis.com/ForwardingRule Weitere Informationen
compute.googleapis.com/GlobalForwardingRule Weitere Informationen
compute.googleapis.com/Image Weitere Informationen
compute.googleapis.com/Instance Weitere Informationen
compute.googleapis.com/InstanceTemplate Weitere Informationen
compute.googleapis.com/Snapshot Weitere Informationen
compute.googleapis.com/TargetHttpProxy Weitere Informationen
compute.googleapis.com/TargetHttpsProxy Weitere Informationen
compute.googleapis.com/TargetSslProxy Weitere Informationen
compute.googleapis.com/TargetTcpProxy Weitere Informationen
iap.googleapis.com/Tunnel Weitere Informationen
iap.googleapis.com/TunnelInstance Weitere Informationen
iap.googleapis.com/TunnelZone Weitere Informationen
iap.googleapis.com/Web Weitere Informationen
iap.googleapis.com/WebService Weitere Informationen
iap.googleapis.com/WebServiceVersion Weitere Informationen
iap.googleapis.com/WebType Weitere Informationen
secretmanager.googleapis.com/Secret Weitere Informationen
secretmanager.googleapis.com/SecretVersion Weitere Informationen
spanner.googleapis.com/Database Weitere Informationen
spanner.googleapis.com/Instance Weitere Informationen
storage.googleapis.com/Bucket Weitere Informationen
storage.googleapis.com/Object Weitere Informationen

1 Der Cloud Key Management Service verwendet diesen Ressourcentyp als übergeordnetes Element von Schlüsselbundressourcen.

Format der Ressourcennamen

In der folgenden Tabelle ist das unterstützte Format für Ressourcennamenattribute aufgeführt.

Ressourcenreferenz Vorlage für das Ressourcennamenformat
Kryptografische Cloud KMS-Schlüssel projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Versionen von kryptografischen Cloud KMS-Schlüsseln projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud KMS-Schlüsselbunde projects/project-number/locations/location-id/keyRings/keyring-id
Cloud Storage-Buckets1 projects/_/buckets/bucket-name
Cloud Storage-Objekte1 projects/_/buckets/bucket-name/objects/object-name
Globale Back-End-Dienste von Compute Engine projects/project-id/global/backendServices/backend-service-id
Regionale Back-End-Dienste von Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine-Firewalls projects/project-id/global/firewalls/firewall-id
Globale Weiterleitungsregeln für Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Regionale Weiterleitungsregeln für Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine-Images projects/project-id/global/images/image-id
Compute Engine-Instanzvorlagen projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine-Instanzen projects/project-id/zones/zone-id/instances/instance-id
Regionale nichtflüchtige Speicher von Compute Engine projects/project-id/regions/region-id/disks/disk-id
Zonale nichtflüchtige Speicher von Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Compute Engine-Snapshots projects/project-id/global/snapshots/snapshot-id
Globale Ziel-HTTP-Proxys von Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Regionale Ziel-HTTP-Proxys von Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Globale Ziel-HTTPS-Proxys von Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Regionale Ziel-HTTPS-Proxys von Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Ziel-SSL-Proxys von Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Ziel-TCP-Proxys von Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Secrets des Secret Managers projects/project-number/secrets/secret-id
Secret-Versionen2 von Secret Manager projects/project-number/secrets/secret-id/versions/secret-version
Spanner-Datenbanken projects/project-number/instances/instance-id/databases/database-id
Spanner-Instanzen projects/project-number/instances/instance-id

1 Bei Cloud Storage enthalten Ressourcennamen einen Unterstrich (_) anstelle einer Projekt-ID. Sie können den Unterstrich nicht durch eine Projekt-ID, einen Projektnamen oder eine Projektnummer ersetzen.

2 Wenn eine Bedingung den Ressourcennamen für eine Secret-Version bewertet, muss die Secret-Version in der Anfrage genau mit der Secret-Version in der Bedingung übereinstimmen, damit die Bedingung erfüllt wird. Wenn beispielsweise die Version in der Bedingung latest lautet, erfüllt nur eine Anfrage mit der Version latest die Bedingung. Eine Anfrage mit der Version 3 erfüllt die Bedingung nicht, auch wenn 3 die neueste Version ist.