适用于 IAM Conditions 的资源特性

本主题包含可用于条件中资源特性的值列表，其中包括用于资源服务、资源类型和资源名称字符串格式的字符串值。

您可以使用资源特性来更改角色绑定提供的授权范围。如果角色包含适用于不同类型资源的权限，则条件可根据资源服务、资源类型和资源名称授予角色的一部分权限。

资源特性可用于本页面上列出的 Google Cloud 服务和资源类型。其他服务和资源类型不支持资源特性。

如需详细了解 Identity and Access Management (IAM) Conditions，请参阅以下主题：

资源服务值

下表列出了资源服务特性支持的字符串值。

资源服务值	REST 参考文档
`bigtableadmin.googleapis.com`	API 参考文档
`cloudkms.googleapis.com`	API 参考文档
`cloudresourcemanager.googleapis.com`	API 参考文档
`compute.googleapis.com`	API 参考文档
`iap.googleapis.com`	API 参考文档
`pubsublite.googleapis.com`	API 参考文档
`secretmanager.googleapis.com`	API 参考文档
`spanner.googleapis.com`	API 参考文档
`storage.googleapis.com`	API 参考文档

资源类型值

下表列出了资源类型特性支持的字符串值。

资源类型值	参考文档
`bigtableadmin.googleapis.com/Cluster`¹	了解详情
`bigtableadmin.googleapis.com/Instance`¹	了解详情
`bigtableadmin.googleapis.com/Table`¹	了解详情
`cloud.googleapis.com/Location`¹	了解详情
`cloudkms.googleapis.com/CryptoKey`	了解详情
`cloudkms.googleapis.com/CryptoKeyVersion`	了解详情
`cloudkms.googleapis.com/KeyRing`	了解详情
`cloudresourcemanager.googleapis.com/Project`	了解详情
`compute.googleapis.com/BackendService`	了解详情
`compute.googleapis.com/Disk`	了解详情
`compute.googleapis.com/Firewall`	了解详情
`compute.googleapis.com/ForwardingRule`	了解详情
`compute.googleapis.com/GlobalForwardingRule`	了解详情
`compute.googleapis.com/Image`	了解详情
`compute.googleapis.com/Instance`	了解详情
`compute.googleapis.com/InstanceTemplate`	了解详情
`compute.googleapis.com/Snapshot`	了解详情
`compute.googleapis.com/TargetHttpProxy`	了解详情
`compute.googleapis.com/TargetHttpsProxy`	了解详情
`compute.googleapis.com/TargetSslProxy`	了解详情
`compute.googleapis.com/TargetTcpProxy`	了解详情
`iap.googleapis.com/Tunnel`	了解详情
`iap.googleapis.com/TunnelInstance`	了解详情
`iap.googleapis.com/TunnelZone`	了解详情
`iap.googleapis.com/Web`	了解详情
`iap.googleapis.com/WebService`	了解详情
`iap.googleapis.com/WebServiceVersion`	了解详情
`iap.googleapis.com/WebType`	了解详情
`pubsublite.googleapis.com/Location`	了解详情
`pubsublite.googleapis.com/Subscription`	了解详情
`pubsublite.googleapis.com/Topic`	了解详情
`secretmanager.googleapis.com/Secret`	了解详情
`secretmanager.googleapis.com/SecretVersion`	了解详情
`spanner.googleapis.com/Database`	了解详情
`spanner.googleapis.com/Instance`	了解详情
`storage.googleapis.com/Bucket`	了解详情
`storage.googleapis.com/Object`	了解详情

¹ Cloud Key Management Service 将此资源类型用作密钥环资源的父级。

资源名称格式

下表列出了资源名称特性支持的格式。

资源参考文档	资源名称格式模板
Bigtable 集群	`projects/project-number/instances/instance-id/clusters/cluster-id`
Bigtable 实例	`projects/project-number/instances/instance-id`
Bigtable 表	`projects/project-number/instances/instance-id/tables/table-id`
Cloud KMS 加密密钥	`projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id`
Cloud KMS 加密密钥版本	`projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id`
Cloud KMS 密钥环	`projects/project-number/locations/location-id/keyRings/keyring-id`
Cloud Storage 存储分区¹	`projects/_/buckets/bucket-name`
Cloud Storage 对象¹	`projects/_/buckets/bucket-name/objects/object-name`
Compute Engine 全局后端服务	`projects/project-id/global/backendServices/backend-service-id`
Compute Engine 地区后端服务	`projects/project-id/regions/region-id/backendServices/backend-service-id`
Compute Engine 防火墙	`projects/project-id/global/firewalls/firewall-id`
Compute Engine 全局转发规则	`projects/project-id/global/forwardingRules/forwarding-rule-id`
Compute Engine 地区转发规则	`projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id`
Compute Engine 映像	`projects/project-id/global/images/image-id`
Compute Engine 实例模板	`projects/project-id/global/instanceTemplates/instance-template-id`
Compute Engine 实例	`projects/project-id/zones/zone-id/instances/instance-id`
Compute Engine 地区永久性磁盘	`projects/project-id/regions/region-id/disks/disk-id`
Compute Engine 区域永久性磁盘	`projects/project-id/zones/zone-id/disks/disk-id`
Compute Engine 快照	`projects/project-id/global/snapshots/snapshot-id`
Compute Engine 全局目标 HTTP 代理	`projects/project-id/global/targetHttpProxies/target-http-proxy-id`
Compute Engine 地区目标 HTTP 代理	`projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id`
Compute Engine 全局目标 HTTPS 代理	`projects/project-id/global/targetHttpsProxies/target-https-proxy-id`
Compute Engine 地区目标 HTTPS 代理	`projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id`
Compute Engine 目标 SSL 代理	`projects/project-id/global/targetSslProxies/target-ssl-proxy-id`
Compute Engine 目标 TCP 代理	`projects/project-id/global/targetTcpProxies/target-tcp-proxy-id`
Pub/Sub Lite 位置	`projects/project-number/locations/location`
Pub/Sub Lite 订阅	`projects/project-number/locations/location/subscriptions/subscription-id`
Pub/Sub Lite 主题	`projects/project-number/locations/location/topics/topic-id`
Secret Manager 密文	`projects/project-number/secrets/secret-id`
Secret Manager 密文版本²	`projects/project-number/secrets/secret-id/versions/secret-version`
Spanner 数据库	`projects/project-number/instances/instance-id/databases/database-id`
Spanner 实例	`projects/project-number/instances/instance-id`

¹ 对于 Cloud Storage，资源名称包含下划线 (_)，而不是项目 ID。您不能将下划线替换为项目 ID、项目名称或项目编号。

² 如果条件会评估密文版本的资源名称，则请求中的密文版本必须与条件中的密文版本完全匹配才能满足条件。例如，如果条件中的版本为 latest，则只有版本为 latest 的请求才满足条件；即使 3 为最新版本，版本为 3 的请求也不满足条件。

资源标记

您可以将标记添加到组织、项目和文件夹。任何 Google Cloud 资源都可以沿用这些更高级别资源的标记。

您可以使用几种不同类型的标识符来引用标记键和值：

永久 ID，它是全局唯一的，并且永远不能重复使用。例如，标记键可以具有永久 ID tagKeys/123456789012，而标记值可以是永久 ID tagValues/567890123456。
短名称。每个键的短名称必须在您的组织内具有唯一性，并且每个值的简短名称对于关联的键而言必须是唯一的。例如，标记键可以具有短名称 env，标记值可以简称为 prod。
命名空间名称：将组织的数字 ID 添加到标记键的简称。例如，标记键可以具有命名空间名称 123456789012/env。了解如何获取组织 ID。

具体标识符取决于您为组织创建的标记键和值。如需了解如何列出可用的标记键和值，请参阅列出 TagKeys 和 TagValues。