Atributos de recurso para condições do IAM

Este tópico contém uma lista de valores que podem ser usados para atributos de recursos em uma condição, incluindo valores de string para serviço de recursos, tipo de recurso e formato para strings de nome de recurso.

Você pode usar atributos de recurso para alterar o escopo da concessão fornecida por uma vinculação de papel. Quando um papel contém permissões que se aplicam a diferentes tipos de recursos, uma condição pode conceder um subconjunto das permissões do papel com base no serviço, no tipo e no nome do recurso.

Para mais informações sobre as condições de gerenciamento de identidade e acesso (IAM), consulte os tópicos a seguir:

Valores do serviço de recurso

Esta tabela mostra os valores de string compatíveis com o atributo de serviço do recurso.

Valor do serviço de recurso Referência da REST
cloudkms.googleapis.com Referência da API
cloudresourcemanager.googleapis.com Referência da API
compute.googleapis.com Referência da API
iap.googleapis.com Referência da API
spanner.googleapis.com Referência da API
storage.googleapis.com Referência da API

Valores do tipo de recurso

Esta tabela mostra os valores de string compatíveis para o atributo de tipo de recurso.

Valor do tipo de recurso Referência
cloud.googleapis.com/Location1 Leia mais
cloudkms.googleapis.com/CryptoKey Leia mais
cloudkms.googleapis.com/CryptoKeyVersion Leia mais
cloudkms.googleapis.com/KeyRing Leia mais
cloudresourcemanager.googleapis.com/Project Leia mais
compute.googleapis.com/BackendService Leia mais
compute.googleapis.com/Disk Leia mais
compute.googleapis.com/Firewall Leia mais
compute.googleapis.com/ForwardingRule Leia mais
compute.googleapis.com/GlobalForwardingRule Leia mais
compute.googleapis.com/Image Leia mais
compute.googleapis.com/Instance Leia mais
compute.googleapis.com/InstanceTemplate Leia mais
compute.googleapis.com/Snapshot Leia mais
compute.googleapis.com/TargetHttpProxy Leia mais
compute.googleapis.com/TargetHttpsProxy Leia mais
compute.googleapis.com/TargetSslProxy Leia mais
compute.googleapis.com/TargetTcpProxy Leia mais
iap.googleapis.com/Tunnel Leia mais
iap.googleapis.com/TunnelInstance Leia mais
iap.googleapis.com/TunnelZone Leia mais
iap.googleapis.com/Web Leia mais
iap.googleapis.com/WebService Leia mais
iap.googleapis.com/WebServiceVersion Leia mais
iap.googleapis.com/WebType Leia mais
spanner.googleapis.com/Database Leia mais
spanner.googleapis.com/Instance Leia mais
storage.googleapis.com/Bucket Leia mais
storage.googleapis.com/Object Leia mais

1 O Cloud Key Management Service usa esse tipo de recurso como pai dos recursos de keyring.

Formato do nome de recursos

Esta tabela mostra o formato compatível com os atributos de nome do recurso.

Referência do recurso Modelo de formato de nome do recurso
Bancos de dados do Spanner projects/project-number/instances/instance-id/databases/database-id
Instâncias do Spanner projects/project-number/instances/instance-id
Intervalos do Cloud Storage1 projects/_/buckets/bucket-name
Objetos do Cloud Storage1 projects/_/buckets/bucket-name/objects/object-name
Serviços de back-end globais do Compute Engine projects/project-id/global/backendServices/backend-service-id
Serviços de back-end regionais do Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Firewalls do Compute Engine projects/project-id/global/firewalls/firewall-id
Regras de encaminhamento global do Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Regras de encaminhamento regional do Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Imagens do Compute Engine projects/project-id/global/images/image-id
Modelos de instâncias do Compute Engine projects/project-id/global/instanceTemplates/instance-template-id
Instâncias do Compute Engine projects/project-id/zones/zone-id/instances/instance-id
Discos permanentes regionais do Compute Engine projects/project-id/regions/region-id/disks/disk-id
Discos permanentes por zona do Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Snapshots do Compute Engine projects/project-id/global/snapshots/snapshot-id
Proxies HTTP de destino global do Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Proxies HTTP de destino regional do Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Proxies HTTPS de destino global do Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Proxies HTTPS de destino regional do Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Proxies SSL de destino do Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Proxies TCP de destino do Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Chaves criptográficas do Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Versões de chaves criptográficas do Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Keyrings do Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id

1 No Cloud Storage, os nomes de recursos contêm um sublinhado (_), e não um ID de projeto. Não é possível substituir o sublinhado por um ID, nome ou número de projeto.