Identificadores de principales

Cuando haces referencia a un principal en una política de administración de identidades y accesos (IAM), debes usar el identificador correcto para el principal. El formato del identificador depende del tipo de principal al que deseas hacer referencia y de la versión de la API que usas.

En esta página, se enumeran los formatos de identificador para cada tipo principal compatible para todas las versiones de la API.

API v1 de IAM

En la siguiente tabla, se describen los identificadores de tipo principales de la API v1 de IAM.

Tipo principal Identificador
Usuario

user:USER_EMAIL_ADDRESS

Ejemplo: user:alex@example.com

Cuenta de servicio

serviceAccount:SA_EMAIL_ADDRESS

Ejemplo: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com

Grupo

group:GROUP_EMAIL_ADDRESS

Ejemplo: group:my-group@example.com

Dominio

domain:DOMAIN

Ejemplo: domain:example.com

Todos los usuarios allUsers
Todos los usuarios autenticados allAuthenticatedUsers
Identidad única en un grupo de Workload Identity principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_NAME
Grupo de grupos de Workload Identity principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_NAME
Todas las identidades de un grupo de Workload Identity con un atributo determinado principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Todas las identidades en un grupo de Workload Identity: principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
Usuario borrado1

deleted:user:USER_EMAIL_ADDRESS?uid=UNIQUE_ID

Ejemplo: deleted:user:alex@example.com?uid=123456789012345678901

Cuenta de servicio borrada 1

deleted:serviceAccount:SA_EMAIL_ADDRESS?uid=UNIQUE_ID

Ejemplo: deleted:serviceAccount:my-service-account@my-project.iam.gserviceaccount.com?uid=123456789012345678901

Grupo borrado1

deleted:group:GROUP_EMAIL_ADDRESS?uid=UNIQUE_ID

Ejemplo: deleted:group:my-group@example.com?uid=123456789012345678901

1 No agregues principales borrados cuando crees o modifiques políticas.

API v2beta de IAM

En la siguiente tabla, se describen los identificadores de tipo principales de la API v2beta de IAM.

Tipo principal Identificador
Usuario

principal://goog/subject/USER_EMAIL_ADDRESS

Ejemplo: principal://goog/subject/alex@example.com

Cuenta de servicio

principal://iam.googleapis.com/projects/-/serviceAccounts/SA_EMAIL_ADDRESS

Ejemplo: principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com

Grupo

principalSet://goog/group/GROUP_EMAIL_ADDRESS

Ejemplo: principalSet://goog/group/my-group@example.com

Todas las principales en una cuenta de Cloud Identity (dominio)

principalSet://goog/cloudIdentityCustomerId/CLOUD_IDENTITY_CUSTOMER_ID1

Ejemplo: principalSet://goog/cloudIdentityCustomerId/C01Abc35

Todos los usuarios principalSet://goog/public:all
Usuario borrado2

deleted:principal://goog/subject/USER_EMAIL_ADDRESS?uid=UNIQUE_ID

Ejemplo: deleted:principal://goog/subject/alex@example.com?uid=123456789012345678901

Cuenta de servicio borrada2

deleted:principal://iam.googleapis.com/projects/-/serviceAccounts/SA_EMAIL_ADDRESS?uid=UNIQUE_ID

Ejemplo: deleted:principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com?uid=123456789012345678901

Grupo borrado2

deleted:principalSet://goog/group/GROUP_EMAIL_ADDRESS?uid=UNIQUE_ID

Ejemplo: deleted:principalSet://goog/group/my-group@example.com?uid=123456789012345678901

1 Obtén información sobre cómo encontrar tu ID de cliente de Cloud Identity.

2 No agregues principales borradas cuando crees o modifiques políticas.