インデックス
AuditConfig(メッセージ)AuditLogConfig(メッセージ)AuditLogConfig.LogType(列挙型)Binding(メッセージ)GetIamPolicyRequest(メッセージ)Policy(メッセージ)SetIamPolicyRequest(メッセージ)TestIamPermissionsRequest(メッセージ)TestIamPermissionsResponse(メッセージ)
AuditConfig
サービスの監査構成を指定します。この構成により、ログに記録される権限タイプとロギングから除外される ID が決まります。AuditConfig には 1 つ以上の AuditLogConfig が必要です。
allServices と特定のサービスの両方に AuditConfig がある場合、このサービスには 2 つの AuditConfig のユニオンが使用されます。各 AuditConfig で指定された log_types が有効になり、各 AuditLogConfig の exempted_members が除外されます。
複数の AuditConfig を使用したポリシーの例:
{
"audit_configs": [
{
"service": "allServices"
"audit_log_configs": [
{
"log_type": "DATA_READ",
"exempted_members": [
"user:foo@gmail.com"
]
},
{
"log_type": "DATA_WRITE",
},
{
"log_type": "ADMIN_READ",
}
]
},
{
"service": "fooservice.googleapis.com"
"audit_log_configs": [
{
"log_type": "DATA_READ",
},
{
"log_type": "DATA_WRITE",
"exempted_members": [
"user:bar@gmail.com"
]
}
]
}
]
}
fooservice の場合、このポリシーを使用すると、DATA_READ、DATA_WRITE、ADMIN_READ のロギングが有効になります。また、DATA_READ ロギングから foo@gmail.com が除外され、DATA_WRITE ロギングから bar@gmail.com が除外されます。
| 項目 | |
|---|---|
service |
監査ロギングの対象となるサービスを指定します。たとえば、 |
audit_log_configs[] |
権限のタイプごとのロギングの構成。 |
AuditLogConfig
特定の権限タイプをロギングする場合の構成を指定します。次に例を示します。
{
"audit_log_configs": [
{
"log_type": "DATA_READ",
"exempted_members": [
"user:foo@gmail.com"
]
},
{
"log_type": "DATA_WRITE",
}
]
}
DATA_READ と DATA_WRITE のロギングが有効になり、foo@gmail.com は DATA_READ のロギングから除外されます。
| 項目 | |
|---|---|
log_type |
この構成で有効にするログタイプ。 |
exempted_members[] |
この権限タイプのロギングが発生しない ID を指定します。 |
LogType
ロギングを有効にする権限タイプの一覧です。管理者の書き込みは常にロギングされますが、設定はできません。
| 列挙型 | |
|---|---|
LOG_TYPE_UNSPECIFIED |
デフォルト。これを使用することはありません。 |
ADMIN_READ |
管理者読み取り。例: CloudIAM getIamPolicy |
DATA_WRITE |
データ書き込み。例: CloudSQL Users create |
DATA_READ |
データ読み取り。例: CloudSQL Users list |
Binding
members を role に関連付けます。
| フィールド | |
|---|---|
role |
|
members[] |
Cloud Platform リソースへのアクセスをリクエストする ID を指定します。
|
GetIamPolicyRequest
GetIamPolicy メソッドに対するリクエスト メッセージ。
| 項目 | |
|---|---|
resource |
必須: ポリシーがリクエストされているリソース。このフィールドに適切な値については、オペレーション ドキュメントをご覧ください。 |
Policy
Identity and Access Management(IAM)ポリシーを定義します。アクセス制御ポリシーを Cloud Platform リソースに指定するのに用いられます。
Policy は bindings のリストです。binding は members のリストを role に結合し、メンバーはユーザー アカウント、Google グループ、Google ドメイン、およびサービス アカウントになることができるようになります。role は IAM で定義された権限の名前付きリストです。
JSON の例
{
"bindings": [
{
"role": "roles/owner",
"members": [
"user:mike@example.com",
"group:admins@example.com",
"domain:google.com",
"serviceAccount:my-other-app@appspot.gserviceaccount.com"
]
},
{
"role": "roles/viewer",
"members": ["user:sean@example.com"]
}
]
}
YAML の例
bindings:
- members:
- user:mike@example.com
- group:admins@example.com
- domain:google.com
- serviceAccount:my-other-app@appspot.gserviceaccount.com
role: roles/owner
- members:
- user:sean@example.com
role: roles/viewer
IAM とその機能については、IAM デベロッパー ガイドをご覧ください。
| 項目 | |
|---|---|
version |
非推奨 |
bindings[] |
|
audit_configs[] |
このポリシーに対する Cloud Audit Logging の監査ログを指定します。 |
etag |
|
SetIamPolicyRequest
SetIamPolicy メソッドに対するリクエスト メッセージ。
| 項目 | |
|---|---|
resource |
必須: ポリシーが指定されているリソースが存在すること。このフィールドに適切な値については、オペレーション ドキュメントをご覧ください。 |
policy |
必須: |
update_mask |
省略可能: 変更するポリシー フィールドを指定する FieldMask。マスク内のフィールドのみが変更されます。マスクが指定されていない場合、次のデフォルト マスクが使用されます。パス: bindings, etag。このフィールドは、Cloud IAM のみが使用します。 |
TestIamPermissionsRequest
TestIamPermissions メソッドに対するリクエスト メッセージ。
| 項目 | |
|---|---|
resource |
必須: ポリシーの詳細がリクエストされているリソース。このフィールドに適切な値については、オペレーション ドキュメントをご覧ください。 |
permissions[] |
|
TestIamPermissionsResponse
TestIamPermissions メソッドに対するレスポンス メッセージ。
| フィールド | |
|---|---|
permissions[] |
呼び出し元が許可されている |