IAM 조건의 리소스 속성

이 주제에는 리소스 서비스의 문자열 값, 리소스 유형, 리소스 이름 문자열 형식 등 조건의 리소스 속성에 사용할 수 있는 값 목록이 포함되어 있습니다.

리소스 속성을 사용하여 역할 binding에서 제공하는 권한의 범위를 변경할 수 있습니다. 역할에 다른 종류의 리소스에 적용되는 권한이 포함된 경우 조건을 사용하면 리소스 서비스, 리소스 유형, 리소스 이름을 기준으로 역할의 권한 일부를 부여할 수 있습니다.

이 페이지에 나열된 Google Cloud 서비스와 리소스 유형에 리소스 속성을 사용할 수 있습니다. 다른 서비스와 리소스 유형에서는 리소스 속성을 지원하지 않습니다.

ID 및 액세스 관리(IAM) 조건에 대한 자세한 내용은 다음 주제를 참조하세요.

리소스 서비스 값

다음 표에는 리소스 서비스 속성에 지원되는 문자열 값이 나와 있습니다.

리소스 서비스 값 REST 참조
cloudkms.googleapis.com API 참조
cloudresourcemanager.googleapis.com API 참조
compute.googleapis.com API 참조
iap.googleapis.com API 참조
secretmanager.googleapis.com API 참조
spanner.googleapis.com API 참조
storage.googleapis.com API 참조

리소스 유형 값

다음 표에는 리소스 유형 속성에 지원되는 문자열 값이 나와 있습니다.

리소스 유형 값 참조
cloud.googleapis.com/Location1 더 보기
cloudkms.googleapis.com/CryptoKey 더 보기
cloudkms.googleapis.com/CryptoKeyVersion 더 보기
cloudkms.googleapis.com/KeyRing 더 보기
cloudresourcemanager.googleapis.com/Project 더 보기
compute.googleapis.com/BackendService 더 보기
compute.googleapis.com/Disk 더 보기
compute.googleapis.com/Firewall 더 보기
compute.googleapis.com/ForwardingRule 더 보기
compute.googleapis.com/GlobalForwardingRule 더 보기
compute.googleapis.com/Image 더 보기
compute.googleapis.com/Instance 더 보기
compute.googleapis.com/InstanceTemplate 더 보기
compute.googleapis.com/Snapshot 더 보기
compute.googleapis.com/TargetHttpProxy 더 보기
compute.googleapis.com/TargetHttpsProxy 더 보기
compute.googleapis.com/TargetSslProxy 더 보기
compute.googleapis.com/TargetTcpProxy 더 보기
iap.googleapis.com/Tunnel 더 보기
iap.googleapis.com/TunnelInstance 더 보기
iap.googleapis.com/TunnelZone 더 보기
iap.googleapis.com/Web 더 보기
iap.googleapis.com/WebService 더 보기
iap.googleapis.com/WebServiceVersion 더 보기
iap.googleapis.com/WebType 더 보기
secretmanager.googleapis.com/Secret 더 보기
secretmanager.googleapis.com/SecretVersion 더 보기
spanner.googleapis.com/Database 더 보기
spanner.googleapis.com/Instance 더 보기
storage.googleapis.com/Bucket 더 보기
storage.googleapis.com/Object 더 보기

1 Cloud Key Management Service는 이 리소스 유형을 키링 리소스의 상위 요소로 사용합니다.

리소스 이름 형식

다음 표에는 리소스 이름 속성에 지원되는 형식이 나와 있습니다.

리소스 참조 리소스 이름 형식 템플릿
Spanner 데이터베이스 projects/project-number/instances/instance-id/databases/database-id
Spanner 인스턴스 projects/project-number/instances/instance-id
Cloud Storage 버킷1 projects/_/buckets/bucket-name
Cloud Storage 객체1 projects/_/buckets/bucket-name/objects/object-name
Compute Engine 전역 백엔드 서비스 projects/project-id/global/backendServices/backend-service-id
Compute Engine 리전 백엔드 서비스 projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine 방화벽 projects/project-id/global/firewalls/firewall-id
Compute Engine 전역 전달 규칙 projects/project-id/global/forwardingRules/forwarding-rule-id
Compute Engine 리전 전달 규칙 projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine 이미지 projects/project-id/global/images/image-id
Compute Engine 인스턴스 템플릿 projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine 인스턴스 projects/project-id/zones/zone-id/instances/instance-id
Compute Engine 리전 영구 디스크 projects/project-id/regions/region-id/disks/disk-id
Compute Engine 영역 영구 디스크 projects/project-id/zones/zone-id/disks/disk-id
Compute Engine 스냅샷 projects/project-id/global/snapshots/snapshot-id
Compute Engine 전역 대상 HTTP 프록시 projects/project-id/global/targetHttpProxies/target-http-proxy-id
Compute Engine 리전 대상 HTTP 프록시 projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Compute Engine 전역 대상 HTTPS 프록시 projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Compute Engine 리전 대상 HTTPS 프록시 projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Compute Engine 대상 SSL 프록시 projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Compute Engine 대상 TCP 프록시 projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Cloud KMS 암호화 키 projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Cloud KMS 암호화 키 버전 projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud KMS 키링 projects/project-number/locations/location-id/keyRings/keyring-id
보안 비밀 관리자 보안 비밀 projects/project-number/secrets/secret-id
보안 비밀 관리자 보안 비밀 버전2 projects/project-number/secrets/secret-id/versions/secret-version

1 Cloud Storage에서는 리소스 이름에 프로젝트 ID가 아닌 밑줄(_)이 포함됩니다. 밑줄을 프로젝트 ID, 프로젝트 이름 또는 프로젝트 번호로 바꿀 수 없습니다.

2 조건에서 보안 비밀 버전의 리소스 이름을 평가하는 경우 요청의 보안 비밀 버전은 조건의 충족 조건에서 보안 비밀 버전과 정확히 일치해야 합니다. 예를 들어 조건의 버전이 latest이면 latest 버전의 요청만 조건을 충족합니다. 3 버전이 최신 버전이더라도 3 버전의 요청은 조건을 충족하지 않습니다.