Anthos Service Mesh et Traffic Director sont désormais Cloud Service Mesh. Pour en savoir plus, consultez la présentation de Cloud Service Mesh.

Cette page a été traduite par l'API Cloud Translation.

Policy

Représentation JSON

Stratégie IAM (Identity and Access Management) qui spécifie les contrôles d'accès pour les ressources Google Cloud.

Un Policy est une collection de bindings. Un binding associe un ou plusieurs members, ou comptes principaux, à un seul role. Les comptes principaux peuvent être des comptes utilisateur, des comptes de service, des groupes Google et des domaines (tels que G Suite). Un role est une liste nommée d'autorisations. Chaque role peut être un rôle IAM prédéfini ou un rôle personnalisé créé par l'utilisateur.

Pour certains types de ressources Google Cloud, un objet binding peut également spécifier un objet condition, qui est une expression logique autorisant l'accès à une ressource seulement si l'expression renvoie la valeur true. Une condition peut ajouter des contraintes en fonction des attributs de la requête, de la ressource ou des deux. Pour savoir quelles ressources acceptent les conditions dans leurs stratégies IAM, consultez la documentation IAM.

Exemple JSON :

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

Exemple YAML :

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

Pour obtenir une description d'IAM et de ses fonctionnalités, consultez la documentation IAM.

Représentation JSON
{ "version": integer, "bindings": [ { object (`Binding`) } ], "auditConfigs": [ { object (`AuditConfig`) } ], "etag": string }

Champs
`version`	`integer` Spécifie le format de la règle. Les valeurs valides sont `0`, `1` et `3`. Les requêtes spécifiant une valeur non valide sont rejetées. Toute opération qui affecte les liaisons de rôle conditionnelles doit spécifier la version `3`. Cette exigence s'applique aux opérations suivantes : Obtenir une règle qui inclut une liaison de rôle conditionnelle Ajouter une liaison de rôle conditionnelle à une règle Modifier une liaison de rôle conditionnelle dans une règle Suppression de toute liaison de rôle, avec ou sans condition, d'une règle incluant des conditions Important : Si vous utilisez des conditions IAM, vous devez inclure le champ `etag` chaque fois que vous appelez `setIamPolicy`. Si vous omettez ce champ, IAM vous permet de remplacer une règle de version `3` par une règle de version `1`, et toutes les conditions de la règle de version `3` sont perdues. Si une règle n'inclut aucune condition, les opérations associées à cette règle peuvent spécifier une version valide ou laisser le champ non défini. Pour savoir quelles ressources acceptent les conditions dans leurs stratégies IAM, consultez la documentation IAM.
`bindings[]`	`object (Binding)` Associe une liste de `members`, ou des comptes principaux, à un `role`. Si vous le souhaitez, vous pouvez spécifier une `condition` qui détermine comment et quand les `bindings` sont appliqués. Chacun des `bindings` doit contenir au moins un compte principal. Le `bindings` d'une `Policy` peut faire référence à un maximum de 1 500 comptes principaux. Au maximum, 250 de ces comptes principaux peuvent être des groupes Google. Chaque occurrence d'un compte principal est prise en compte dans ces limites. Par exemple, si `bindings` accorde 50 rôles différents à `user:alice@example.com` et non à un autre compte principal, vous pouvez ajouter 1 450 comptes principaux à `bindings` dans `Policy`.
`auditConfigs[]`	`object (AuditConfig)` Spécifie la configuration de journalisation d'audit du cloud pour cette stratégie.
`etag`	`string (bytes format)` `etag` permet d'effectuer un contrôle de simultanéité positive, pour éviter que les mises à jour simultanées d'une stratégie ne s'écrasent les unes les autres. Afin d'éviter les situations de concurrence, il est fortement suggéré que les systèmes utilisent `etag` dans le cycle lecture-modification-écriture pour effectuer des mises à jour de stratégies : un `etag` est renvoyé dans la réponse à `getIamPolicy`, et les systèmes doivent mettre cet élément dans la requête destinée à `setIamPolicy` de sorte à s'assurer que leur modification sera appliquée à la même version de la stratégie. Important : Si vous utilisez des conditions IAM, vous devez inclure le champ `etag` chaque fois que vous appelez `setIamPolicy`. Si vous omettez ce champ, IAM vous permet de remplacer une règle de version `3` par une règle de version `1`, et toutes les conditions de la règle de version `3` sont perdues. Chaîne encodée en base64.