Atributos de recursos para las condiciones de IAM

Este tema contiene una lista de valores que se pueden usar con los atributos de recursos en una condición, incluidos los valores de string para el servicio de recurso, el tipo de recurso y el formato de las strings de nombre de recurso.

Puedes usar atributos de recursos para cambiar el alcance de los permisos que proporciona la vinculación de una función. Cuando una función contiene permisos que se aplican a diferentes tipos de recursos, una condición puede otorgar un subconjunto de los permisos de la función en función del servicio, el tipo y el nombre del recurso.

Para obtener más información sobre las condiciones de administración de identidades y accesos (IAM), consulta los siguientes temas:

Valores de servicios de recursos

En la siguiente tabla, se enumeran los valores de string admitidos para el atributo de servicio de recurso.

Valor del servicio de recurso Referencia de REST
cloudkms.googleapis.com Referencia de la API
cloudresourcemanager.googleapis.com Referencia de la API
compute.googleapis.com Referencia de la API
iap.googleapis.com Referencia de la API
spanner.googleapis.com Referencia de la API
storage.googleapis.com Referencia de la API

Valores de tipos de recursos

En la siguiente tabla, se enumeran los valores de string admitidos para el atributo de tipo de recurso.

Valor de tipo de recurso Referencia
cloud.googleapis.com/Location1 Más información
cloudkms.googleapis.com/CryptoKey Más información
cloudkms.googleapis.com/CryptoKeyVersion Más información
cloudkms.googleapis.com/KeyRing Más información
cloudresourcemanager.googleapis.com/Project Más información
compute.googleapis.com/BackendService Más información
compute.googleapis.com/Disk Más información
compute.googleapis.com/Firewall Más información
compute.googleapis.com/ForwardingRule Más información
compute.googleapis.com/GlobalForwardingRule Más información
compute.googleapis.com/Image Más información
compute.googleapis.com/Instance Más información
compute.googleapis.com/InstanceTemplate Más información
compute.googleapis.com/Snapshot Más información
compute.googleapis.com/TargetHttpProxy Más información
compute.googleapis.com/TargetHttpsProxy Más información
compute.googleapis.com/TargetSslProxy Más información
compute.googleapis.com/TargetTcpProxy Más información
iap.googleapis.com/Tunnel Más información
iap.googleapis.com/TunnelInstance Más información
iap.googleapis.com/TunnelZone Más información
iap.googleapis.com/Web Más información
iap.googleapis.com/WebService Más información
iap.googleapis.com/WebServiceVersion Más información
iap.googleapis.com/WebType Más información
spanner.googleapis.com/Database Más información
spanner.googleapis.com/Instance Más información
storage.googleapis.com/Bucket Más información
storage.googleapis.com/Object Más información

1 Cloud Key Management Service usa este tipo de recurso como superior de los recursos de llavero de claves.

Formato de nombre de recurso

En la siguiente tabla, se muestra el formato admitido para los atributos de nombre de recurso.

Referencia del recurso Plantilla de formato de nombre de recurso
Bases de datos de Spanner projects/project-number/instances/instance-id/databases/database-id
Instancias de Spanner projects/project-number/instances/instance-id
Depósitos de Cloud Storage1 projects/_/buckets/bucket-name
Objetos de Cloud Storage1 projects/_/buckets/bucket-name/objects/object-name
Servicios de backend globales de Compute Engine projects/project-id/global/backendServices/backend-service-id
Servicios de backend regionales de Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Firewalls de Compute Engine projects/project-id/global/firewalls/firewall-id
Reglas de reenvío globales de Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Reglas de reenvío regionales de Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Imágenes de Compute Engine projects/project-id/global/images/image-id
Plantillas de instancias de Compute Engine projects/project-id/global/instanceTemplates/instance-template-id
Instancias de Compute Engine projects/project-id/zones/zone-id/instances/instance-id
Discos persistentes regionales de Compute Engine projects/project-id/regions/region-id/disks/disk-id
Discos persistentes zonales de Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Instantáneas de Compute Engine projects/project-id/global/snapshots/snapshot-id
Proxies HTTP de destino globales de Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Proxies HTTP de destino regionales de Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Proxies HTTPS de destino globales de Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Proxies HTTPS de destino regionales de Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Proxies SSL de destino de Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Proxies TCP de destino de Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Clave criptográfica de Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Versiones de clave criptográfica de Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Llavero de claves de Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id

1 En Cloud Storage, los nombres de recursos contienen un guion bajo (_) en lugar de un ID del proyecto. No puedes reemplazar el guion bajo por un ID, nombre o número del proyecto.