Ressourcentypen, die bedingte Rollenbindungen akzeptieren

Mit der Identitäts- und Zugriffsverwaltung (IAM) können Sie Rollen bedingt zuweisen. Einige Google Cloud-Ressourcen haben jedoch keine eigenen Zulassungsrichtlinien oder ermöglichen nicht das Hinzufügen bedingter Rollenbindungen zu ihren Zulassungsrichtlinien.

Auf dieser Seite werden die Ressourcentypen aufgelistet, die eigene Zulassungsrichtlinien haben und bedingte Rollenbindungen in ihren Zulassungsrichtlinien akzeptieren. Wenn Sie bedingten Zugriff auf andere Ressourcentypen gewähren möchten, lesen Sie den Abschnitt Ressourcentypen, die keine Bedingungen akzeptieren auf dieser Seite.

Ressourcentypen, die Bedingungen akzeptieren

Für die folgenden Arten von Google Cloud-Ressourcen können Sie Bedingungen zu Zulassungsrichtlinien hinzufügen:

Google Cloud-Dienst Ressourcentypen
Binärautorisierung
  • Attestierer
  • Richtlinien
Certificate Authority Service
  • CA-Pools
  • Zertifikatssperrlisten (Certificate Revocation List, CRL)
  • Zertifikatsvorlagen
Bigtable (Bigtable)
  • Instanzen
  • Tabellen
Cloud Key Management Service (Cloud KMS)
  • Kryptografische Schlüssel
  • Schlüsselbunde
Cloud Run
  • Dienste
Cloud Spanner
  • Sicherungen
  • Datenbanken
  • Instanzen
Cloud Storage
  • Buckets 1, 2
  • Verwaltete Ordner
Compute Engine
  • Globale Back-End-Dienste
  • Regionale Backend-Dienste
  • Firewalls
  • Images
  • Instanzvorlagen
  • Instanzen
  • Regionale nichtflüchtige Speicher
  • Zonale nichtflüchtige Speicher
  • Snapshots
Identity-Aware Proxy (IAP)
  • Alle Webdienste
  • Individuelle Webdienste
  • Tunnel
  • Tunnelinstanzen
  • Tunnelzonen
  • Webdiensttypen
  • Webdienstversionen
Resource Manager
  • Ordner
  • Organisationen
  • Projekte
  • Tag-Schlüssel
  • Tag-Werte
Secret Manager
  • Secrets

1 Verfügbar für Buckets, für die einheitlicher Zugriff auf Bucket-Ebene verwendet wird Wenn Sie den einheitlichen Zugriff auf Bucket-Ebene nicht aktivieren können, können Sie der Zulassungsrichtlinie Bedingungen für eine übergeordnete Ressource wie das Projekt hinzufügen.

2 Sie können das Attribut resource.name verwenden, um auf Objekte in Cloud Storage-Buckets zu verweisen. Sie müssen die Bedingung aber zur Zulassungsrichtlinie für eine übergeordnete Ressource hinzufügen, z. B. für den Bucket oder das Projekt.

Ressourcentypen, die keine Bedingungen akzeptieren

Wenn Sie bedingten Zugriff auf einen Ressourcentyp gewähren möchten, der keine eigene Zulassungsrichtlinie hat oder keine bedingten Rollenbindungen akzeptiert, können Sie die Rolle zuweisen für Ihrer Organisation oder Ihrem Projekt Andere Ressourcen übernehmen diese Rollenbindungen über die Ressourcenhierarchie.