Stratégie IAM (Identity and Access Management) qui spécifie les contrôles d'accès pour les ressources Google Cloud.
Un Policy
est une collection de bindings
. Un binding
associe un ou plusieurs members
, ou comptes principaux, à un seul role
. Les comptes principaux peuvent être des comptes utilisateur, des comptes de service, des groupes Google et des domaines (tels que G Suite). Un role
est une liste nommée d'autorisations. Chaque role
peut être un rôle IAM prédéfini ou un rôle personnalisé créé par l'utilisateur.
Pour certains types de ressources Google Cloud, un objet binding
peut également spécifier un objet condition
, qui est une expression logique autorisant l'accès à une ressource seulement si l'expression renvoie la valeur true
. Une condition peut ajouter des contraintes en fonction des attributs de la requête, de la ressource ou des deux. Pour savoir quelles ressources acceptent les conditions dans leurs stratégies IAM, consultez la documentation IAM.
Exemple JSON :
{
"bindings": [
{
"role": "roles/resourcemanager.organizationAdmin",
"members": [
"user:mike@example.com",
"group:admins@example.com",
"domain:google.com",
"serviceAccount:my-project-id@appspot.gserviceaccount.com"
]
},
{
"role": "roles/resourcemanager.organizationViewer",
"members": [
"user:eve@example.com"
],
"condition": {
"title": "expirable access",
"description": "Does not grant access after Sep 2020",
"expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
}
}
],
"etag": "BwWWja0YfJA=",
"version": 3
}
Exemple YAML :
bindings:
- members:
- user:mike@example.com
- group:admins@example.com
- domain:google.com
- serviceAccount:my-project-id@appspot.gserviceaccount.com
role: roles/resourcemanager.organizationAdmin
- members:
- user:eve@example.com
role: roles/resourcemanager.organizationViewer
condition:
title: expirable access
description: Does not grant access after Sep 2020
expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
etag: BwWWja0YfJA=
version: 3
Pour obtenir une description d'IAM et de ses fonctionnalités, consultez la documentation IAM.
Représentation JSON |
---|
{ "version": integer, "bindings": [ { object ( |
Champs | |
---|---|
version |
Spécifie le format de la règle. Les valeurs valides sont Toute opération qui affecte les liaisons de rôle conditionnelles doit spécifier la version
Important : Si vous utilisez des conditions IAM, vous devez inclure le champ Si une règle n'inclut aucune condition, les opérations associées à cette règle peuvent spécifier une version valide ou laisser le champ non défini. Pour savoir quelles ressources acceptent les conditions dans leurs stratégies IAM, consultez la documentation IAM. |
bindings[] |
Associe une liste de Le |
auditConfigs[] |
Spécifie la configuration de journalisation d'audit du cloud pour cette stratégie. |
etag |
Important : Si vous utilisez des conditions IAM, vous devez inclure le champ Chaîne encodée en base64. |