适用于 IAM Conditions 的资源特性

本主题包含可用于条件中资源特性的值列表,其中包括用于资源服务、资源类型和资源名称字符串格式的字符串值。

您可以使用资源特性来更改角色绑定提供的授权范围。如果角色包含适用于不同类型资源的权限,则条件可根据资源服务、资源类型和资源名称授予角色的一部分权限。

资源特性可用于本页面上列出的 Google Cloud 服务和资源类型。其他服务和资源类型不支持资源特性。

如需详细了解 Identity and Access Management (IAM) Conditions,请参阅以下主题:

资源服务值

下表列出了资源服务特性支持的字符串值。

资源服务值 REST 参考文档
bigtableadmin.googleapis.com API 参考文档
cloudkms.googleapis.com API 参考文档
cloudresourcemanager.googleapis.com API 参考文档
compute.googleapis.com API 参考文档
iap.googleapis.com API 参考文档
pubsublite.googleapis.com API 参考文档
secretmanager.googleapis.com API 参考文档
spanner.googleapis.com API 参考文档
storage.googleapis.com API 参考文档

资源类型值

下表列出了资源类型特性支持的字符串值。

资源类型值 参考文档
bigtableadmin.googleapis.com/Cluster1 了解详情
bigtableadmin.googleapis.com/Instance1 了解详情
bigtableadmin.googleapis.com/Table1 了解详情
cloud.googleapis.com/Location1 了解详情
cloudkms.googleapis.com/CryptoKey 了解详情
cloudkms.googleapis.com/CryptoKeyVersion 了解详情
cloudkms.googleapis.com/KeyRing 了解详情
cloudresourcemanager.googleapis.com/Project 了解详情
compute.googleapis.com/BackendService 了解详情
compute.googleapis.com/Disk 了解详情
compute.googleapis.com/Firewall 了解详情
compute.googleapis.com/ForwardingRule 了解详情
compute.googleapis.com/GlobalForwardingRule 了解详情
compute.googleapis.com/Image 了解详情
compute.googleapis.com/Instance 了解详情
compute.googleapis.com/InstanceTemplate 了解详情
compute.googleapis.com/Snapshot 了解详情
compute.googleapis.com/TargetHttpProxy 了解详情
compute.googleapis.com/TargetHttpsProxy 了解详情
compute.googleapis.com/TargetSslProxy 了解详情
compute.googleapis.com/TargetTcpProxy 了解详情
iap.googleapis.com/Tunnel 了解详情
iap.googleapis.com/TunnelInstance 了解详情
iap.googleapis.com/TunnelZone 了解详情
iap.googleapis.com/Web 了解详情
iap.googleapis.com/WebService 了解详情
iap.googleapis.com/WebServiceVersion 了解详情
iap.googleapis.com/WebType 了解详情
pubsublite.googleapis.com/Location 了解详情
pubsublite.googleapis.com/Subscription 了解详情
pubsublite.googleapis.com/Topic 了解详情
secretmanager.googleapis.com/Secret 了解详情
secretmanager.googleapis.com/SecretVersion 了解详情
spanner.googleapis.com/Database 了解详情
spanner.googleapis.com/Instance 了解详情
storage.googleapis.com/Bucket 了解详情
storage.googleapis.com/Object 了解详情

1 Cloud Key Management Service 将此资源类型用作密钥环资源的父级。

资源名称格式

下表列出了资源名称特性支持的格式。

资源参考文档 资源名称格式模板
Bigtable 集群 projects/project-number/instances/instance-id/clusters/cluster-id
Bigtable 实例 projects/project-number/instances/instance-id
Bigtable projects/project-number/instances/instance-id/tables/table-id
Cloud KMS 加密密钥 projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Cloud KMS 加密密钥版本 projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud KMS 密钥环 projects/project-number/locations/location-id/keyRings/keyring-id
Cloud Storage 存储分区1 projects/_/buckets/bucket-name
Cloud Storage 对象1 projects/_/buckets/bucket-name/objects/object-name
Compute Engine 全局后端服务 projects/project-id/global/backendServices/backend-service-id
Compute Engine 地区后端服务 projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine 防火墙 projects/project-id/global/firewalls/firewall-id
Compute Engine 全局转发规则 projects/project-id/global/forwardingRules/forwarding-rule-id
Compute Engine 地区转发规则 projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine 映像 projects/project-id/global/images/image-id
Compute Engine 实例模板 projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine 实例 projects/project-id/zones/zone-id/instances/instance-id
Compute Engine 地区永久性磁盘 projects/project-id/regions/region-id/disks/disk-id
Compute Engine 区域永久性磁盘 projects/project-id/zones/zone-id/disks/disk-id
Compute Engine 快照 projects/project-id/global/snapshots/snapshot-id
Compute Engine 全局目标 HTTP 代理 projects/project-id/global/targetHttpProxies/target-http-proxy-id
Compute Engine 地区目标 HTTP 代理 projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Compute Engine 全局目标 HTTPS 代理 projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Compute Engine 地区目标 HTTPS 代理 projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Compute Engine 目标 SSL 代理 projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Compute Engine 目标 TCP 代理 projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Pub/Sub Lite 位置 projects/project-number/locations/location
Pub/Sub Lite 订阅 projects/project-number/locations/location/subscriptions/subscription-id
Pub/Sub Lite 主题 projects/project-number/locations/location/topics/topic-id
Secret Manager 密文 projects/project-number/secrets/secret-id
Secret Manager 密文版本2 projects/project-number/secrets/secret-id/versions/secret-version
Spanner 数据库 projects/project-number/instances/instance-id/databases/database-id
Spanner 实例 projects/project-number/instances/instance-id

1 对于 Cloud Storage,资源名称包含下划线 (_),而不是项目 ID。您不能将下划线替换为项目 ID、项目名称或项目编号。

2 如果条件会评估密文版本的资源名称,则请求中的密文版本必须与条件中的密文版本完全匹配才能满足条件。例如,如果条件中的版本为 latest,则只有版本为 latest 的请求才满足条件;即使 3 为最新版本,版本为 3 的请求也不满足条件。

资源标记

您可以将标记添加到组织、项目和文件夹。任何 Google Cloud 资源都可以沿用这些更高级别资源的标记。

您可以使用几种不同类型的标识符来引用标记键和值:

  • 永久 ID,它是全局唯一的,并且永远不能重复使用。例如,标记键可以具有永久 ID tagKeys/123456789012,而标记值可以是永久 ID tagValues/567890123456
  • 短名称。每个键的短名称必须在您的组织内具有唯一性,并且每个值的简短名称对于关联的键而言必须是唯一的。例如,标记键可以具有短名称 env,标记值可以简称为 prod
  • 命名空间名称:将组织的数字 ID 添加到标记键的简称。例如,标记键可以具有命名空间名称 123456789012/env了解如何获取组织 ID

具体标识符取决于您为组织创建的标记键和值。如需了解如何列出可用的标记键和值,请参阅列出 TagKeys 和 TagValues