适用于 IAM Conditions 的资源特性

本主题包含可用于条件中资源特性的值列表，其中包括用于资源服务、资源类型和资源名称字符串格式的字符串值。

您可以使用资源特性来更改角色绑定提供的授权范围。如果角色包含适用于不同类型资源的权限，则条件可根据资源服务、资源类型和资源名称授予角色的一部分权限。

资源特性可用于本页面上列出的 Google Cloud 服务和资源类型。其他服务和资源类型不识别资源特性。

如需详细了解 Identity and Access Management (IAM) Conditions，请参阅以下主题：

资源服务值

下表列出了资源服务特性可以包含的值。

资源服务值	REST 参考文档
`bigtableadmin.googleapis.com`	API 参考文档
`cloudkms.googleapis.com`	API 参考文档
`cloudresourcemanager.googleapis.com`	API 参考文档
`compute.googleapis.com`	API 参考文档
`iap.googleapis.com`	API 参考文档
`pubsublite.googleapis.com`	API 参考文档
`secretmanager.googleapis.com`	API 参考文档
`spanner.googleapis.com`	API 参考文档
`sqladmin.googleapis.com`	API 参考文档
`storage.googleapis.com`	API 参考文档

资源类型值

下表列出了资源类型特性可以包含的值。

资源类型值	参考文档
`bigtableadmin.googleapis.com/Cluster`¹	了解详情
`bigtableadmin.googleapis.com/Instance`¹	了解详情
`bigtableadmin.googleapis.com/Table`¹	了解详情
`cloud.googleapis.com/Location`¹	了解详情
`cloudkms.googleapis.com/CryptoKey`	了解详情
`cloudkms.googleapis.com/CryptoKeyVersion`	了解详情
`cloudkms.googleapis.com/KeyRing`	了解详情
`cloudresourcemanager.googleapis.com/Project`	了解详情
`compute.googleapis.com/BackendService`	了解详情
`compute.googleapis.com/Disk`	了解详情
`compute.googleapis.com/Firewall`	了解详情
`compute.googleapis.com/ForwardingRule`	了解详情
`compute.googleapis.com/GlobalForwardingRule`	了解详情
`compute.googleapis.com/Image`	了解详情
`compute.googleapis.com/Instance`	了解详情
`compute.googleapis.com/InstanceTemplate`	了解详情
`compute.googleapis.com/Snapshot`	了解详情
`compute.googleapis.com/TargetHttpProxy`	了解详情
`compute.googleapis.com/TargetHttpsProxy`	了解详情
`compute.googleapis.com/TargetSslProxy`	了解详情
`compute.googleapis.com/TargetTcpProxy`	了解详情
`iap.googleapis.com/Tunnel`	了解详情
`iap.googleapis.com/TunnelInstance`	了解详情
`iap.googleapis.com/TunnelZone`	了解详情
`iap.googleapis.com/Web`	了解详情
`iap.googleapis.com/WebService`	了解详情
`iap.googleapis.com/WebServiceVersion`	了解详情
`iap.googleapis.com/WebType`	了解详情
`pubsublite.googleapis.com/Location`	了解详情
`pubsublite.googleapis.com/Subscription`	了解详情
`pubsublite.googleapis.com/Topic`	了解详情
`secretmanager.googleapis.com/Secret`	了解详情
`secretmanager.googleapis.com/SecretVersion`	了解详情
`spanner.googleapis.com/Database`	了解详情
`spanner.googleapis.com/Instance`	了解详情
`sqladmin.googleapis.com/Instance`	了解详情
`storage.googleapis.com/Bucket`	了解详情
`storage.googleapis.com/Object`	了解详情

¹ Cloud Key Management Service 将此资源类型用作密钥环资源的父级。

资源名称格式

下表列出了每种资源名称特性的格式。

资源参考文档	资源名称格式模板
Bigtable 集群	`projects/project-number/instances/instance-id/clusters/cluster-id`
Bigtable 实例	`projects/project-number/instances/instance-id`
Bigtable 表	`projects/project-number/instances/instance-id/tables/table-id`
Cloud KMS 加密密钥	`projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id`
Cloud KMS 加密密钥版本	`projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id`
Cloud KMS 密钥环	`projects/project-number/locations/location-id/keyRings/keyring-id`
Cloud SQL 实例	`projects/project-number/instances/instance-id`
Cloud Storage 存储分区¹	`projects/_/buckets/bucket-name`
Cloud Storage 对象^1、2	`projects/_/buckets/bucket-name/objects/object-name`
Compute Engine 全局后端服务	`projects/project-id/global/backendServices/backend-service-id`
Compute Engine 地区后端服务	`projects/project-id/regions/region-id/backendServices/backend-service-id`
Compute Engine 防火墙	`projects/project-id/global/firewalls/firewall-id`
Compute Engine 全局转发规则	`projects/project-id/global/forwardingRules/forwarding-rule-id`
Compute Engine 地区转发规则	`projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id`
Compute Engine 映像	`projects/project-id/global/images/image-id`
Compute Engine 实例模板	`projects/project-id/global/instanceTemplates/instance-template-id`
Compute Engine 实例	`projects/project-id/zones/zone-id/instances/instance-id`
Compute Engine 地区永久性磁盘	`projects/project-id/regions/region-id/disks/disk-id`
Compute Engine 区域永久性磁盘	`projects/project-id/zones/zone-id/disks/disk-id`
Compute Engine 快照	`projects/project-id/global/snapshots/snapshot-id`
Compute Engine 全局目标 HTTP 代理	`projects/project-id/global/targetHttpProxies/target-http-proxy-id`
Compute Engine 地区目标 HTTP 代理	`projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id`
Compute Engine 全局目标 HTTPS 代理	`projects/project-id/global/targetHttpsProxies/target-https-proxy-id`
Compute Engine 地区目标 HTTPS 代理	`projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id`
Compute Engine 目标 SSL 代理	`projects/project-id/global/targetSslProxies/target-ssl-proxy-id`
Compute Engine 目标 TCP 代理	`projects/project-id/global/targetTcpProxies/target-tcp-proxy-id`
Pub/Sub Lite 位置	`projects/project-number/locations/location`
Pub/Sub Lite 订阅	`projects/project-number/locations/location/subscriptions/subscription-id`
Pub/Sub Lite 主题	`projects/project-number/locations/location/topics/topic-id`
Secret Manager 密文	`projects/project-number/secrets/secret-id`
Secret Manager Secret 版本³	`projects/project-number/secrets/secret-id/versions/secret-version`
Spanner 数据库	`projects/project-number/instances/instance-id/databases/database-id`
Spanner 实例	`projects/project-number/instances/instance-id`

¹ 对于 Cloud Storage，资源名称包含下划线 (_)，而不是项目 ID。您不能将下划线替换为项目 ID、项目名称或项目编号。

² 使用完整的对象名称，包括正斜杠。在 Cloud Storage 中，这些字符是对象名称的一部分，而不是路径分隔符。

³ 如果条件会评估 Secret 版本的资源名称，则请求中的 Secret 版本必须与条件中的 Secret 版本完全匹配才能满足条件。例如，如果条件中的版本为 latest，则只有版本为 latest 的请求才满足条件；即使 3 为最新版本，版本为 3 的请求也不满足条件。

资源标记

您可以将标记添加到组织、项目和文件夹。任何 Google Cloud 资源都可以沿用这些更高级别资源的标记。

您可以使用几种不同类型的标识符来引用标记键和值：

永久 ID，它是全局唯一的，并且永远不能重复使用。例如，标记键可以具有永久 ID tagKeys/123456789012，而标记值可以是永久 ID tagValues/567890123456。
短名称。每个键的短名称必须在您的组织内具有唯一性，并且每个值的简短名称对于关联的键而言必须是唯一的。例如，标记键可以具有短名称 env，标记值可以简称为 prod。
命名空间名称：将组织的数字 ID 添加到标记键的简称。例如，标记键可以具有命名空间名称 123456789012/env。了解如何获取组织 ID。

具体标识符取决于您为组织创建的标记键和值。如需了解如何列出可用的标记键和值，请参阅列出 TagKeys 和 TagValues。