条件付きロール バインディングを許可するリソースタイプ

Identity and Access Management(IAM)では、条件付きでロールを付与できます。ただし、独自の許可ポリシーがない Google Cloud リソースや、許可ポリシーに条件付きロール バインディングを追加できない Google Cloud リソースもあります。

このページでは、独自の許可ポリシーがあり、許可ポリシーで条件付きロール バインディングを使用できるリソースタイプの一覧を示します。他のリソースタイプに対して条件付きアクセス権を付与する必要がある場合は、このページの条件を受け入れないリソースタイプをご覧ください。

条件を受け入れるリソースタイプ

次のタイプの Google Cloud リソースについて、許可ポリシーに条件を追加できます。

Google Cloud サービス リソースタイプ
Binary Authorization
  • 認証者
  • ポリシー
Certificate Authority Service
  • CA プール
  • 証明書失効リスト
  • 証明書テンプレート
Bigtable
  • インスタンス
  • テーブル
Cloud Key Management Service(Cloud KMS)
  • 暗号鍵
  • キーリング
Cloud Run
  • サービス
Spanner
  • バックアップ
  • データベース
  • インスタンス
Cloud Storage
  • バケット 1、2
  • 管理対象フォルダ
Compute Engine
  • グローバル バックエンド サービス
  • リージョン バックエンド サービス
  • ファイアウォール
  • イメージ
  • インスタンス テンプレート
  • インスタンス
  • リージョン永続ディスク
  • ゾーン永続ディスク
  • スナップショット
Identity-Aware Proxy(IAP)
  • すべてのウェブサービス
  • 個々のウェブサービス
  • トンネル
  • トンネル インスタンス
  • トンネルゾーン
  • ウェブサービス タイプ
  • ウェブサービスのバージョン
Resource Manager
  • フォルダ
  • 組織
  • プロジェクト
  • タグキー
  • タグの値
Secret Manager
  • Secret

1 均一なバケットレベルのアクセスを使用するバケットで使用できます。均一なバケットレベルのアクセスを有効にできない場合は、プロジェクトなど、上位レベルのリソースの許可ポリシーに条件を追加できます。

2 resource.name 属性を使用して、Cloud Storage バケット内のオブジェクトを参照できます。ただし、バケットやプロジェクトなど、上位レベルのリソースの許可ポリシーに条件を追加する必要があります。

条件を受け入れないリソースタイプ

独自の許可ポリシーがないリソースタイプや、条件付きロール バインディングを受け入れないリソースタイプに条件付きアクセス権を付与するには、組織またはプロジェクトにロールを付与します。他のリソースは、リソース階層を介してこれらのロール バインディングを継承します。