Atributos de recursos para las condiciones de IAM

Este tema contiene una lista de valores que se pueden usar con los atributos de recursos en una condición, incluidos los valores de string para el servicio de recurso, el tipo de recurso y el formato de las strings de nombre de recurso.

Puedes usar atributos de recursos para cambiar el alcance de los permisos que proporciona la vinculación de una función. Cuando una función contiene permisos que se aplican a diferentes tipos de recursos, una condición puede otorgar un subconjunto de los permisos de la función según el servicio, el tipo y el nombre del recurso.

Los atributos de recursos están disponibles para los servicios de Google Cloud y los tipos de recursos que se enumeran en esta página. Otros servicios y tipos de recursos no admiten atributos de recursos.

Para obtener más información sobre las condiciones de administración de identidades y accesos (IAM), consulta los siguientes temas:

Valores de servicios de recursos

En la siguiente tabla, se enumeran los valores de string admitidos para el atributo de servicio de recurso.

Valor del servicio de recurso Referencia de REST
cloudkms.googleapis.com Referencia de la API
cloudresourcemanager.googleapis.com Referencia de la API
compute.googleapis.com Referencia de la API
iap.googleapis.com Referencia de la API
secretmanager.googleapis.com Referencia de la API
spanner.googleapis.com Referencia de la API
storage.googleapis.com Referencia de la API

Valores de tipos de recursos

En la siguiente tabla, se enumeran los valores de string admitidos para el atributo de tipo de recurso.

Valor de tipo de recurso Referencia
cloud.googleapis.com/Location1 Más información
cloudkms.googleapis.com/CryptoKey Más información
cloudkms.googleapis.com/CryptoKeyVersion Más información
cloudkms.googleapis.com/KeyRing Más información
cloudresourcemanager.googleapis.com/Project Más información
compute.googleapis.com/BackendService Más información
compute.googleapis.com/Disk Más información
compute.googleapis.com/Firewall Más información
compute.googleapis.com/ForwardingRule Más información
compute.googleapis.com/GlobalForwardingRule Más información
compute.googleapis.com/Image Más información
compute.googleapis.com/Instance Más información
compute.googleapis.com/InstanceTemplate Más información
compute.googleapis.com/Snapshot Más información
compute.googleapis.com/TargetHttpProxy Más información
compute.googleapis.com/TargetHttpsProxy Más información
compute.googleapis.com/TargetSslProxy Más información
compute.googleapis.com/TargetTcpProxy Más información
iap.googleapis.com/Tunnel Más información
iap.googleapis.com/TunnelInstance Más información
iap.googleapis.com/TunnelZone Más información
iap.googleapis.com/Web Más información
iap.googleapis.com/WebService Más información
iap.googleapis.com/WebServiceVersion Más información
iap.googleapis.com/WebType Más información
secretmanager.googleapis.com/Secret Más información
secretmanager.googleapis.com/SecretVersion Más información
spanner.googleapis.com/Database Más información
spanner.googleapis.com/Instance Más información
storage.googleapis.com/Bucket Más información
storage.googleapis.com/Object Más información

1 Cloud Key Management Service usa este tipo de recurso como superior de los recursos de llavero de claves.

Formato de nombre de recurso

En la siguiente tabla, se muestra el formato admitido para los atributos de nombre de recurso.

Referencia del recurso Plantilla de formato de nombre de recurso
Clave criptográfica de Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Versiones de clave criptográfica de Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Llaveros de claves de Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id
Depósitos de Cloud Storage1 projects/_/buckets/bucket-name
Objetos de Cloud Storage1 projects/_/buckets/bucket-name/objects/object-name
Servicios de backend globales de Compute Engine projects/project-id/global/backendServices/backend-service-id
Servicios de backend regionales de Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Firewalls de Compute Engine projects/project-id/global/firewalls/firewall-id
Reglas de reenvío globales de Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Reglas de reenvío regionales de Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Imágenes de Compute Engine projects/project-id/global/images/image-id
Plantillas de instancias de Compute Engine projects/project-id/global/instanceTemplates/instance-template-id
Instancias de Compute Engine projects/project-id/zones/zone-id/instances/instance-id
Discos persistentes regionales de Compute Engine projects/project-id/regions/region-id/disks/disk-id
Discos persistentes zonales de Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Instantáneas de Compute Engine projects/project-id/global/snapshots/snapshot-id
Proxies HTTP de destino globales de Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Proxies HTTP de destino regionales de Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Proxies HTTPS de destino globales de Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Proxies HTTPS de destino regionales de Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Proxies SSL de destino de Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Proxies TCP de destino de Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Secretos de Secret Manager projects/project-number/secrets/secret-id
Versiones de secretos de Secret Manager2 projects/project-number/secrets/secret-id/versions/secret-version
Bases de datos de Spanner projects/project-number/instances/instance-id/databases/database-id
Instancias de Spanner projects/project-number/instances/instance-id

1 En Cloud Storage, los nombres de recursos contienen un guion bajo (_) en lugar de un ID del proyecto. No puedes reemplazar el guion bajo por un ID, nombre o número de proyecto.

2 Si una condición evalúa el nombre del recurso de una versión del secreto, la versión del secreto en la solicitud debe coincidir de forma exacta con la versión del secreto para que se cumpla la condición. Por ejemplo, si la versión en la condición es latest, solo una solicitud con la versión latest satisface la condición; una solicitud con la versión 3 no cumple con la condición, incluso si 3 es la versión más reciente.