Binding

JSON-Darstellung
Expr
- JSON-Darstellung

Verknüpft members oder Hauptkonten mit einer role.

JSON-Darstellung
{ "role": string, "members": [ string ], "condition": { object (`Expr`) } }

Felder

Felder
`role`	`string` Rolle, die der Liste der `members` oder Hauptkonten zugewiesen ist. Beispiel: `roles/viewer`, `roles/editor` oder `roles/owner`. Eine Übersicht über die IAM-Rollen und ‑Berechtigungen finden Sie in der IAM-Dokumentation. Eine Liste der verfügbaren vordefinierten Rollen finden Sie hier.
`members[]`	`string` Gibt die Hauptkonten an, die Zugriff auf eine Google Cloud-Ressource anfordern. `members` kann die folgenden Werte haben: `allUsers`: eine spezielle Kennung für alle Identitäten im Internet, ob mit oder ohne Google-Konto `allAuthenticatedUsers`: eine spezielle Kennung für alle Identitäten, die sich mit einem Google-Konto oder einem Google-Dienstkonto authentifiziert haben. Enthält keine Identitäten, die von externen Identitätsanbietern (IdPs) über die Identitätsföderation stammen. `user:{emailid}`: eine E-Mail-Adresse, die für ein bestimmtes Google-Konto steht. Beispiel: `alice@example.com` `serviceAccount:{emailid}`: eine E-Mail-Adresse, die für ein Google-Dienstkonto steht. Beispiel: `my-other-app@appspot.gserviceaccount.com` `serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]`: eine Kennung für ein Kubernetes-Dienstkonto. Beispiel: `my-project.svc.id.goog[my-namespace/my-kubernetes-sa]` `group:{emailid}`: eine E-Mail-Adresse, die für eine Google-Gruppe steht. Beispiel: `admins@example.com` `domain:{domain}`: die G Suite-Domain (primäre Domain), die alle Nutzer dieser Domain repräsentiert. Beispiel: `google.com` oder `example.com` `principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}`: einzelne Identität in einem Mitarbeiteridentitätspool `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{groupId}`: alle Mitarbeiteridentitäten in einer Gruppe `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}`: alle Mitarbeiteridentitäten mit einem bestimmten Attributwert `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/`: alle Identitäten in einem Mitarbeiteridentitätspool `principal://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}`: einzelne Identität in einem Workload Identity-Pool `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/group/{groupId}`: eine Workload Identity-Poolgruppe `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}`: alle Identitäten in einem Workload Identity-Pool mit einem bestimmten Attribut `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/`: alle Identitäten in einem Workload Identity-Pool `deleted:user:{emailid}?uid={uniqueid}`: eine E-Mail-Adresse mit einer eindeutigen ID für einen kürzlich gelöschten Nutzer. Beispiel: `alice@example.com?uid=123456789012345678901`. Wenn der Nutzer wiederhergestellt wird, wird dieser Wert in `user:{emailid}` geändert und der wiederhergestellte Nutzer behält die Rolle in der Bindung bei. `deleted:serviceAccount:{emailid}?uid={uniqueid}`: eine E-Mail-Adresse mit einer eindeutigen Kennung für ein kürzlich gelöschtes Dienstkonto. Beispiel: `my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901`. Wenn das Dienstkonto wiederhergestellt wird, wird dieser Wert in `serviceAccount:{emailid}` geändert und das wiederhergestellte Dienstkonto behält die Rolle in der Bindung bei. `deleted:group:{emailid}?uid={uniqueid}`: eine E-Mail-Adresse mit einer eindeutigen ID für eine kürzlich gelöschte Google-Gruppe. Beispiel: `admins@example.com?uid=123456789012345678901` Wenn die Gruppe wiederhergestellt wird, wird dieser Wert in `group:{emailid}` geändert und die wiederhergestellte Gruppe behält die Rolle in der Bindung bei. `deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}`: gelöschte einzelne Identität in einem Mitarbeiteridentitätspool. Beispiel: `deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value`
`condition`	`object (Expr)` Die Bedingung, die dieser Bindung zugeordnet ist. Wenn die Bedingung `true` ergibt, gilt diese Bindung für die aktuelle Anfrage. Wenn die Bedingung `false` ergibt, gilt diese Bindung nicht für die aktuelle Anfrage. Eine andere Rollenbindung kann dieselbe Rolle jedoch einem oder mehreren Hauptkonten dieser Bindung zuweisen. Welche Ressourcen Bedingungen in ihren IAM-Richtlinien unterstützen, erfahren Sie in der IAM-Dokumentation.

role

string

Rolle, die der Liste der members oder Hauptkonten zugewiesen ist. Beispiel: roles/viewer, roles/editor oder roles/owner.

Eine Übersicht über die IAM-Rollen und ‑Berechtigungen finden Sie in der IAM-Dokumentation. Eine Liste der verfügbaren vordefinierten Rollen finden Sie hier.

members[]

string

Gibt die Hauptkonten an, die Zugriff auf eine Google Cloud-Ressource anfordern. members kann die folgenden Werte haben:

allUsers: eine spezielle Kennung für alle Identitäten im Internet, ob mit oder ohne Google-Konto
allAuthenticatedUsers: eine spezielle Kennung für alle Identitäten, die sich mit einem Google-Konto oder einem Google-Dienstkonto authentifiziert haben. Enthält keine Identitäten, die von externen Identitätsanbietern (IdPs) über die Identitätsföderation stammen.
user:{emailid}: eine E-Mail-Adresse, die für ein bestimmtes Google-Konto steht. Beispiel: alice@example.com

serviceAccount:{emailid}: eine E-Mail-Adresse, die für ein Google-Dienstkonto steht. Beispiel: my-other-app@appspot.gserviceaccount.com
serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: eine Kennung für ein Kubernetes-Dienstkonto. Beispiel: my-project.svc.id.goog[my-namespace/my-kubernetes-sa]
group:{emailid}: eine E-Mail-Adresse, die für eine Google-Gruppe steht. Beispiel: admins@example.com

domain:{domain}: die G Suite-Domain (primäre Domain), die alle Nutzer dieser Domain repräsentiert. Beispiel: google.com oder example.com

principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: einzelne Identität in einem Mitarbeiteridentitätspool
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{groupId}: alle Mitarbeiteridentitäten in einer Gruppe
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}: alle Mitarbeiteridentitäten mit einem bestimmten Attributwert
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/*: alle Identitäten in einem Mitarbeiteridentitätspool
principal://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}: einzelne Identität in einem Workload Identity-Pool
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/group/{groupId}: eine Workload Identity-Poolgruppe
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}: alle Identitäten in einem Workload Identity-Pool mit einem bestimmten Attribut
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/*: alle Identitäten in einem Workload Identity-Pool
deleted:user:{emailid}?uid={uniqueid}: eine E-Mail-Adresse mit einer eindeutigen ID für einen kürzlich gelöschten Nutzer. Beispiel: alice@example.com?uid=123456789012345678901. Wenn der Nutzer wiederhergestellt wird, wird dieser Wert in user:{emailid} geändert und der wiederhergestellte Nutzer behält die Rolle in der Bindung bei.
deleted:serviceAccount:{emailid}?uid={uniqueid}: eine E-Mail-Adresse mit einer eindeutigen Kennung für ein kürzlich gelöschtes Dienstkonto. Beispiel: my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. Wenn das Dienstkonto wiederhergestellt wird, wird dieser Wert in serviceAccount:{emailid} geändert und das wiederhergestellte Dienstkonto behält die Rolle in der Bindung bei.
deleted:group:{emailid}?uid={uniqueid}: eine E-Mail-Adresse mit einer eindeutigen ID für eine kürzlich gelöschte Google-Gruppe. Beispiel: admins@example.com?uid=123456789012345678901 Wenn die Gruppe wiederhergestellt wird, wird dieser Wert in group:{emailid} geändert und die wiederhergestellte Gruppe behält die Rolle in der Bindung bei.
deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: gelöschte einzelne Identität in einem Mitarbeiteridentitätspool. Beispiel: deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value

condition

object (Expr)

Die Bedingung, die dieser Bindung zugeordnet ist.

Wenn die Bedingung true ergibt, gilt diese Bindung für die aktuelle Anfrage.

Wenn die Bedingung false ergibt, gilt diese Bindung nicht für die aktuelle Anfrage. Eine andere Rollenbindung kann dieselbe Rolle jedoch einem oder mehreren Hauptkonten dieser Bindung zuweisen.

Welche Ressourcen Bedingungen in ihren IAM-Richtlinien unterstützen, erfahren Sie in der IAM-Dokumentation.

Expr

Stellt einen Textausdruck in der CEL-Syntax (Common Expression Language) dar. CEL ist eine C-ähnliche Sprache für Ausdrücke. Weitere Informationen zur Syntax und Semantik von CEL finden Sie unter https://github.com/google/cel-spec.

Beispiel (Vergleich):

title: "Summary size limit"
description: "Determines if a summary is less than 100 chars"
expression: "document.summary.size() < 100"

Beispiel (Gleichheit):

title: "Requestor is owner"
description: "Determines if requestor is the document owner"
expression: "document.owner == request.auth.claims.email"

Beispiel (Logik):

title: "Public documents"
description: "Determine whether the document should be publicly visible"
expression: "document.type != 'private' && document.type != 'internal'"

Beispiel (Datenbearbeitung):

title: "Notification string"
description: "Create a notification string with a timestamp."
expression: "'New message received at ' + string(document.create_time)"

Die genauen Variablen und Funktionen, auf die in einem Ausdruck verwiesen werden kann, werden durch den Dienst bestimmt, der den Ausdruck auswertet. Weitere Informationen finden Sie in der Dokumentation zum Dienst.

JSON-Darstellung
{ "expression": string, "title": string, "description": string, "location": string }

Felder
`expression`	`string` Textdarstellung eines Ausdrucks in der Common Expression Language-Syntax.
`title`	`string` Optional. Titel für den Ausdruck, d. h. ein kurzer String, der seinen Zweck beschreibt. Diese Funktion kann z. B. in UIs verwendet werden, in denen die Eingabe von Ausdrücken zulässig ist.
`description`	`string` Optional. Beschreibung des Ausdrucks. Dies ist ein längerer Text, der den Ausdruck beschreibt, z. B. wenn der Mauszeiger darauf bewegt wird.
`location`	`string` Optional. Ein String, der in Fehlermeldungen den Speicherort des Ausdrucks angibt, z. B. einen Dateinamen und eine Position in der Datei.

Binding Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Expr

Binding