接受条件角色绑定的资源类型

Identity and Access Management (IAM) 可让您有条件地授予角色。但是,某些 Google Cloud 资源没有自己的允许政策,或者不允许您将有条件角色绑定添加到其允许政策中。

本页面列出了有自己的允许政策并且接受允许政策中的有条件角色绑定的资源类型。如果您需要授予对其他资源类型的有条件访问权限,请参阅本页面上不接受条件的资源类型

接受条件的资源类型

您可以将条件添加到以下类型的 Google Cloud 资源的允许政策:

Google Cloud 服务 资源类型
Binary Authorization
  • 证明者
  • 政策
Certificate Authority Service
  • CA 池
  • 证书吊销列表
  • 证书模板
Bigtable (Bigtable)
  • 实例
Cloud Key Management Service (Cloud KMS)
  • 加密密钥
  • 密钥环
Cloud Run
  • 服务
Spanner
  • 备份
  • 数据库
  • 实例
Cloud Storage
  • 存储桶 1, 2
  • 代管式文件夹
Compute Engine
  • 全局后端服务
  • 地区后端服务
  • 防火墙
  • 映像
  • 实例模板
  • 实例
  • 地区永久性磁盘
  • 区域永久性磁盘
  • 快照
Identity-Aware Proxy (IAP)
  • 所有 Web 服务
  • 个别 Web 服务
  • 隧道
  • 隧道实例
  • 隧道区域
  • Web 服务类型
  • Web 服务版本
Resource Manager
  • 文件夹
  • 组织
  • 项目
  • 标记键
  • 标记值
Secret Manager
  • 密钥

1 适用于使用统一存储分区级访问权限的存储分区。如果您无法启用统一存储桶级访问权限,则可以向更高级层资源(例如项目)的允许政策添加条件。

2 您可以使用 resource.name 特性来引用 Cloud Storage 存储分区中的对象。但是,您必须将条件添加到更高级层的资源(例如存储桶或项目)的允许政策。

不接受条件的资源类型

如需授予没有自己的允许政策或者不接受有条件角色绑定的资源类型的有条件访问权限,您可以在您的组织或项目上授予角色。其他资源通过资源层次结构继承这些角色绑定。