Types de ressources qui acceptent les liaisons de rôles conditionnelles

Identity and Access Management (IAM) vous permet d'accorder des rôles de manière conditionnelle. Toutefois, certaines ressources Google Cloud ne disposent pas de leur propre stratégie d'autorisation ou ne vous permettent pas d'ajouter de liaisons de rôle conditionnelles à leur stratégie d'autorisation.

Cette page répertorie les types de ressources qui disposent de leurs propres stratégies d'autorisation et acceptent les liaisons de rôle conditionnelles dans leurs stratégies d'autorisation. Si vous devez accorder un accès conditionnel à d'autres types de ressources, consultez la section Types de ressources qui n'acceptent pas les conditions sur cette page.

Types de ressources qui acceptent les conditions

Vous pouvez ajouter des conditions aux stratégies d'autorisation pour les types de ressources Google Cloud suivants :

Service Google Cloud Types de ressources
Autorisation binaire
  • Certificateurs
  • Règles
Certificate Authority Service
  • Pools d'autorités de certification
  • Listes de révocation de certificats
  • Modèles de certificats
Bigtable (Bigtable)
  • Instances
  • Tables
Cloud Key Management Service (Cloud KMS)
  • Clés de chiffrement
  • Trousseaux de clés
Cloud Run
  • Services
Spanner
  • Sauvegardes
  • Bases de données
  • Instances
Cloud Storage
  • Buckets 1, 2
  • Dossiers gérés
Compute Engine
  • Services de backend mondiaux
  • Services backend régionaux
  • Pare-feu
  • Images
  • Modèles d'instance
  • Instances
  • Disques persistants régionaux
  • Disques persistants zonaux
  • Instantanés
Identity-Aware Proxy (IAP)
  • Tous les services Web
  • Services Web individuels
  • Tunnels
  • Instances de tunnel
  • Zones de tunnel
  • Types de services Web
  • Versions de services Web
Resource Manager
  • Dossiers
  • Organisations
  • Projets
  • Clés de tag
  • Valeurs des tags
Secret Manager
  • Secrets

1 Disponible pour les buckets qui utilisent l'accès uniforme au niveau du bucket. Si vous ne pouvez pas activer l'accès uniforme au niveau du bucket, vous pouvez ajouter des conditions à la stratégie d'autorisation d'une ressource de niveau supérieur, telle que le projet.

2 Vous pouvez utiliser l'attribut resource.name pour faire référence à des objets se trouvant dans des buckets Cloud Storage. Cependant, vous devez ajouter la condition à la stratégie d'autorisation d'une ressource de niveau supérieur, telle que le bucket ou le projet.

Types de ressources qui n'acceptent pas les conditions

Pour accorder un accès conditionnel à un type de ressource qui ne dispose pas de sa propre stratégie d'autorisation ou qui n'accepte pas les liaisons de rôle conditionnelles, vous pouvez attribuer le rôle à l'organisation ou au projet. Les autres ressources héritent de ces liaisons de rôles via la hiérarchie des ressources.