接受条件角色绑定的资源类型

Identity and Access Management (IAM) 可让您有条件地授予角色。但是，某些 Google Cloud 资源没有自己的允许政策，或者不允许您将有条件角色绑定添加到其允许政策中。

本页面列出了有自己的允许政策并且接受允许政策中的有条件角色绑定的资源类型。如果您需要授予对其他资源类型的有条件访问权限，请参阅本页面上不接受条件的资源类型。

接受条件的资源类型

您可以将条件添加到以下类型的 Google Cloud 资源的允许政策：

Google Cloud 服务	资源类型
Binary Authorization	证明者政策
Certificate Authority Service	CA 池证书吊销列表证书模板
Bigtable (Bigtable)	实例表
Cloud Key Management Service (Cloud KMS)	加密密钥密钥环
Cloud Run	服务
Spanner	备份数据库实例
Cloud Storage	存储桶 ^{1, 2} 代管式文件夹
Compute Engine	全局后端服务地区后端服务防火墙映像实例模板实例地区永久性磁盘区域永久性磁盘快照
Identity-Aware Proxy (IAP)	所有 Web 服务个别 Web 服务隧道隧道实例隧道区域 Web 服务类型 Web 服务版本
Resource Manager	文件夹组织项目标记键标记值
Secret Manager	密钥
¹ 适用于使用统一存储分区级访问权限的存储分区。如果您无法启用统一存储桶级访问权限，则可以向更高级层资源（例如项目）的允许政策添加条件。 ² 您可以使用 `resource.name` 特性来引用 Cloud Storage 存储分区中的对象。但是，您必须将条件添加到更高级层的资源（例如存储桶或项目）的允许政策。

如需授予没有自己的允许政策或者不接受有条件角色绑定的资源类型的有条件访问权限，您可以在您的组织或项目上授予角色。其他资源通过资源层次结构继承这些角色绑定。