Ressourcentypen, die bedingte Rollenbindungen akzeptieren

Mit Identity and Access Management (IAM) können Sie Rollen bedingt gewähren. Einige Google Cloud-Ressourcen haben jedoch keine eigenen Zulassungsrichtlinien oder ermöglichen nicht das Hinzufügen bedingter Rollenbindungen zu ihren Zulassungsrichtlinien.

Auf dieser Seite werden die Ressourcentypen aufgelistet, die eigene Zulassungsrichtlinien haben und bedingte Rollenbindungen in ihren Zulassungsrichtlinien akzeptieren. Wenn Sie bedingten Zugriff auf andere Ressourcentypen gewähren möchten, finden Sie auf dieser Seite Informationen zu Ressourcentypen, die keine Bedingungen akzeptieren.

Ressourcentypen, die Bedingungen akzeptieren

Für die folgenden Arten von Google Cloud-Ressourcen können Sie Bedingungen zu Zulassungsrichtlinien hinzufügen:

Google Cloud-Dienst Ressourcentypen
Binärautorisierung
  • Attestierer
  • Richtlinien
Certificate Authority Service
  • CA-Pools
  • Zertifikatssperrlisten (Certificate Revocation List, CRL)
  • Zertifikatsvorlagen
Bigtable (Bigtable)
  • Instanzen
  • Tabellen
Cloud Key Management Service (Cloud KMS)
  • Kryptografische Schlüssel
  • Schlüsselbunde
Cloud Run
  • Dienste
Cloud Spanner
  • Sicherungen
  • Datenbanken
  • Instanzen
Cloud Storage
  • Buckets 1, 2
  • Verwaltete Ordner
Compute Engine
  • Globale Back-End-Dienste
  • Regionale Backend-Dienste
  • Firewalls
  • Images
  • Instanzvorlagen
  • Instanzen
  • Regionale nichtflüchtige Speicher
  • Zonale nichtflüchtige Speicher
  • Snapshots
Identity-Aware Proxy (IAP)
  • Alle Webdienste
  • Individuelle Webdienste
  • Tunnel
  • Tunnelinstanzen
  • Tunnelzonen
  • Webdiensttypen
  • Webdienstversionen
Resource Manager
  • Ordner
  • Organisationen
  • Projekte
  • Tag-Schlüssel
  • Tag-Werte
Secret Manager
  • Secrets

1 Verfügbar für Buckets, für die einheitlicher Zugriff auf Bucket-Ebene verwendet wird Wenn Sie den einheitlichen Zugriff auf Bucket-Ebene nicht aktivieren können, können Sie der Zulassungsrichtlinie Bedingungen für eine übergeordnete Ressource wie das Projekt hinzufügen.

2 Sie können das Attribut resource.name verwenden, um auf Objekte in Cloud Storage-Buckets zu verweisen. Sie müssen die Bedingung aber zur Zulassungsrichtlinie für eine übergeordnete Ressource hinzufügen, z. B. für den Bucket oder das Projekt.

Ressourcentypen, für die keine Bedingungen zulässig sind

Wenn Sie einem Ressourcentyp bedingten Zugriff gewähren möchten, der keine eigene Zulassungsrichtlinie hat oder keine bedingten Rollenbindungen akzeptiert, können Sie die Rolle Ihrer Organisation oder Ihrem Projekt zuweisen. Andere Ressourcen übernehmen dann diese Rollenbindungen über die Ressourcenhierarchie.