Identifiants principaux

Lorsque vous faites référence à un compte principal dans une stratégie Identity and Access Management (IAM), vous devez utiliser l'identifiant approprié pour le compte principal. Le format de l'identifiant dépend du type de compte principal auquel vous souhaitez faire référence et de la version de l'API que vous utilisez.

Cette page répertorie les formats d'identifiant de chaque type de compte principal pour toutes les versions d'API.

API IAM v1

Le tableau suivant décrit les identifiants de type de compte principal de l'API IAM v1.

Type de compte principal Identifiant
Utilisateur

user:USER_EMAIL_ADDRESS

Exemple user:alex@example.com
Compte de service

serviceAccount:SA_EMAIL_ADDRESS

Exemple serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
Groupe

group:GROUP_EMAIL_ADDRESS

Exemple group:my-group@example.com
Domaine

domain:DOMAIN

Exemple domain:example.com
Tous les utilisateurs allUsers
Tous les utilisateurs authentifiés allAuthenticatedUsers
Identité unique d'un pool d'identités de charge de travail principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_NAME
Groupe de pools d'identités de charge de travail principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_NAME
Toutes les identités d'un pool d'identités de charge de travail avec un certain attribut principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Toutes les identités d'un pool d'identités de charge de travail principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
Compte utilisateur supprimé1

deleted:user:USER_EMAIL_ADDRESS?uid=UNIQUE_ID

Exemple deleted:user:alex@example.com?uid=123456789012345678901
Compte de service supprimé1

deleted:serviceAccount:SA_EMAIL_ADDRESS?uid=UNIQUE_ID

Exemple deleted:serviceAccount:my-service-account@my-project.iam.gserviceaccount.com?uid=123456789012345678901
Groupe supprimé1

deleted:group:GROUP_EMAIL_ADDRESS?uid=UNIQUE_ID

Exemple deleted:group:my-group@example.com?uid=123456789012345678901

1 N'ajoutez pas de comptes principaux supprimés lors de la création ou de la modification de stratégies.

API IAM v2beta

Le tableau suivant décrit les identifiants de type de compte principal de l'API IAM v2beta.

Type de compte principal Identifiant
Utilisateur

principal://goog/subject/USER_EMAIL_ADDRESS

Exemple principal://goog/subject/alex@example.com
Compte de service

principal://iam.googleapis.com/projects/-/serviceAccounts/SA_EMAIL_ADDRESS

Exemple principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com
Groupe

principalSet://goog/group/GROUP_EMAIL_ADDRESS

Exemple principalSet://goog/group/my-group@example.com
Tous les comptes principaux d'un compte Cloud Identity (domaine)

principalSet://goog/cloudIdentityCustomerId/CLOUD_IDENTITY_CUSTOMER_ID1

Exemple principalSet://goog/cloudIdentityCustomerId/C01Abc35
Tous les utilisateurs principalSet://goog/public:all
Utilisateur supprimé2

deleted:principal://goog/subject/USER_EMAIL_ADDRESS?uid=UNIQUE_ID

Exemple deleted:principal://goog/subject/alex@example.com?uid=123456789012345678901
Compte de service supprimé2

deleted:principal://iam.googleapis.com/projects/-/serviceAccounts/SA_EMAIL_ADDRESS?uid=UNIQUE_ID

Exemple deleted:principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com?uid=123456789012345678901
Groupe supprimé2

deleted:principalSet://goog/group/GROUP_EMAIL_ADDRESS?uid=UNIQUE_ID

Exemple deleted:principalSet://goog/group/my-group@example.com?uid=123456789012345678901

1 Découvrez comment trouver votre numéro client Cloud Identity.

2 N'ajoutez pas de comptes principaux supprimés lors de la création ou de la modification de stratégies.