适用于 IAM Conditions 的资源特性

本主题包含可用于条件中资源特性的值列表,其中包括用于资源服务、资源类型和资源名称字符串格式的字符串值。

您可以使用资源特性来更改角色绑定提供的授权范围。如果角色包含适用于不同类型资源的权限,则条件可根据资源服务、资源类型和资源名称授予角色的一部分权限。

资源特性可用于本页面上列出的 Google Cloud 服务和资源类型。其他服务和资源类型不支持资源特性。

如需详细了解 Identity and Access Management (IAM) Conditions,请参阅以下主题:

资源服务值

下表列出了资源服务特性支持的字符串值。

资源服务值 REST 参考文档
cloudkms.googleapis.com API 参考文档
cloudresourcemanager.googleapis.com API 参考文档
compute.googleapis.com API 参考文档
iap.googleapis.com API 参考文档
secretmanager.googleapis.com API 参考文档
spanner.googleapis.com API 参考文档
storage.googleapis.com API 参考文档

资源类型值

下表列出了资源类型特性支持的字符串值。

资源类型值 参考文档
cloud.googleapis.com/Location1 了解详情
cloudkms.googleapis.com/CryptoKey 了解详情
cloudkms.googleapis.com/CryptoKeyVersion 了解详情
cloudkms.googleapis.com/KeyRing 了解详情
cloudresourcemanager.googleapis.com/Project 了解详情
compute.googleapis.com/BackendService 了解详情
compute.googleapis.com/Disk 了解详情
compute.googleapis.com/Firewall 了解详情
compute.googleapis.com/ForwardingRule 了解详情
compute.googleapis.com/GlobalForwardingRule 了解详情
compute.googleapis.com/Image 了解详情
compute.googleapis.com/Instance 了解详情
compute.googleapis.com/InstanceTemplate 了解详情
compute.googleapis.com/Snapshot 了解详情
compute.googleapis.com/TargetHttpProxy 了解详情
compute.googleapis.com/TargetHttpsProxy 了解详情
compute.googleapis.com/TargetSslProxy 了解详情
compute.googleapis.com/TargetTcpProxy 了解详情
iap.googleapis.com/Tunnel 了解详情
iap.googleapis.com/TunnelInstance 了解详情
iap.googleapis.com/TunnelZone 了解详情
iap.googleapis.com/Web 了解详情
iap.googleapis.com/WebService 了解详情
iap.googleapis.com/WebServiceVersion 了解详情
iap.googleapis.com/WebType 了解详情
secretmanager.googleapis.com/Secret 了解详情
secretmanager.googleapis.com/SecretVersion 了解详情
spanner.googleapis.com/Database 了解详情
spanner.googleapis.com/Instance 了解详情
storage.googleapis.com/Bucket 了解详情
storage.googleapis.com/Object 了解详情

1 Cloud Key Management Service 将此资源类型用作密钥环资源的父级。

资源名称格式

下表列出了资源名称特性支持的格式。

资源参考文档 资源名称格式模板
Spanner 数据库 projects/project-number/instances/instance-id/databases/database-id
Spanner 实例 projects/project-number/instances/instance-id
Cloud Storage 存储分区1 projects/_/buckets/bucket-name
Cloud Storage 对象1 projects/_/buckets/bucket-name/objects/object-name
Compute Engine 全局后端服务 projects/project-id/global/backendServices/backend-service-id
Compute Engine 地区后端服务 projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine 防火墙 projects/project-id/global/firewalls/firewall-id
Compute Engine 全局转发规则 projects/project-id/global/forwardingRules/forwarding-rule-id
Compute Engine 地区转发规则 projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine 映像 projects/project-id/global/images/image-id
Compute Engine 实例模板 projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine 实例 projects/project-id/zones/zone-id/instances/instance-id
Compute Engine 地区永久性磁盘 projects/project-id/regions/region-id/disks/disk-id
Compute Engine 区域永久性磁盘 projects/project-id/zones/zone-id/disks/disk-id
Compute Engine 快照 projects/project-id/global/snapshots/snapshot-id
Compute Engine 全局目标 HTTP 代理 projects/project-id/global/targetHttpProxies/target-http-proxy-id
Compute Engine 地区目标 HTTP 代理 projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Compute Engine 全局目标 HTTPS 代理 projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Compute Engine 地区目标 HTTPS 代理 projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Compute Engine 目标 SSL 代理 projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Compute Engine 目标 TCP 代理 projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Cloud KMS 加密密钥 projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Cloud KMS 加密密钥版本 projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud KMS 密钥环 projects/project-number/locations/location-id/keyRings/keyring-id
Secret Manager 密文 projects/project-number/secrets/secret-id
Secret Manager 密文版本2 projects/project-number/secrets/secret-id/versions/secret-version

1 对于 Cloud Storage,资源名称包含下划线 (_),而不是项目 ID。您不能将下划线替换为项目 ID、项目名称或项目编号。

2 如果条件会评估密文版本的资源名称,则请求中的密文版本必须与条件中的密文版本完全匹配才能满足条件。例如,如果条件中的版本为 latest,则只有版本为 latest 的请求才满足条件;即使 3 为最新版本,版本为 3 的请求也不满足条件。