Package google.iam.v1

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Index

IAMPolicy

Présentation des API

Gère les stratégies de gestion de l'authentification et des accès (IAM).

Toute mise en œuvre d'une API offrant des fonctionnalités de contrôle d'accès emploie l'interface google.iam.v1.IAMPolicy.

Modèle de données

Le contrôle d'accès est appliqué lorsqu'un principal (utilisateur ou compte de service) effectue une action sur une ressource exposée par un service. Les ressources, identifiées par des noms de type URI, constituent l'unité de spécification du contrôle d'accès. Les mises en œuvre de services permettent de choisir la précision du contrôle d'accès ainsi que les autorisations acceptées pour leurs ressources. Par exemple, un service de base de données peut autoriser la spécification du contrôle d'accès seulement au niveau de la table, tandis qu'un autre peut l'autoriser également au niveau de la colonne.

Structure de la stratégie

Voir google.iam.v1.Policy

De manière intentionnelle, il ne s'agit pas d'une API de type CRUD, car les stratégies de contrôle d'accès sont créées et supprimées de manière implicite avec les ressources auxquelles elles sont associées.

GetIamPolicy

rpc GetIamPolicy(GetIamPolicyRequest) renvoie (Policy)

Récupère la stratégie de contrôle d'accès d'une ressource. Renvoie une stratégie vide si la ressource existe, mais qu'elle ne dispose d'aucune stratégie.

Champs d'application des autorisations

Requiert le champ d'application OAuth suivant :

  • https://www.googleapis.com/auth/cloud-platform

Pour en savoir plus, consultez la page Présentation de l'authentification.

SetIamPolicy

rpc SetIamPolicy(SetIamPolicyRequest) renvoie (Policy)

Définit la stratégie de contrôle d'accès de la ressource spécifiée. Remplace toute stratégie existante.

Champs d'application des autorisations

Requiert le champ d'application OAuth suivant :

  • https://www.googleapis.com/auth/cloud-platform

Pour en savoir plus, consultez la page Présentation de l'authentification.

TestIamPermissions

rpc TestIamPermissions(TestIamPermissionsRequest) renvoie (TestIamPermissionsResponse)

Renvoie les autorisations dont appelant dispose sur la ressource spécifiée. Si la ressource n'existe pas, renvoie un ensemble vide d'autorisations. Ne renvoie pas l'erreur NOT_FOUND.

Remarque : Cette opération a été conçue pour créer des interfaces utilisateur et des outils de ligne de commande sensibles aux autorisations, et non pour vérifier des autorisations. Elle peut entraîner un phénomène de "fail open" (configuration ouverte) sans avertissement préalable.

Champs d'application des autorisations

Requiert le champ d'application OAuth suivant :

  • https://www.googleapis.com/auth/cloud-platform

Pour en savoir plus, consultez la page Présentation de l'authentification.

Binding

Associe des members à un role.

Champs
role

string

Rôle attribué aux members. Par exemple, roles/viewer, roles/editor ou roles/owner.

members[]

string

Spécifie les identités demandant l'accès à une ressource Cloud Platform. Les members (membres) peuvent prendre les valeurs suivantes :

  • allUsers : identifiant spécial qui représente toute personne ayant accès à Internet et possédant ou non un compte Google.

  • allAuthenticatedUsers : identifiant spécial qui représente toute personne authentifiée avec un compte Google ou un compte de service.

  • user:{emailid} : adresse e-mail qui représente un compte Google spécifique. Par exemple, alice@gmail.com.

  • serviceAccount:{emailid} : adresse e-mail qui représente un compte de service. Par exemple, my-other-app@appspot.gserviceaccount.com.

  • group:{emailid} : adresse e-mail qui représente un groupe Google. Par exemple, admins@example.com.

  • domain:{domain} : nom de domaine des applications Google qui représente tous les utilisateurs de ce domaine. Par exemple, google.com ou example.com.

condition

Expr

Non mis en œuvre. Condition associée à cette liaison. REMARQUE : Une condition non remplie empêchera l'accès de l'utilisateur via la liaison en cours. Les différentes liaisons, y compris leurs conditions, sont examinées de façon indépendante.

GetIamPolicyRequest

Message de requête pour la méthode GetIamPolicy.

Champs
resource

string

OBLIGATOIRE : Ressource pour laquelle la stratégie est demandée. Consultez la documentation de l'opération pour connaître la valeur appropriée pour ce champ.

Policy

Définit une stratégie de gestion de l'authentification et des accès (IAM, Identity and Access Management). Elle permet de spécifier les stratégies de contrôle des accès aux ressources Cloud Platform.

Une Policy consiste en une liste de bindings. Un élément binding associe une liste de members à un role, où les membres peuvent être des comptes utilisateur, des groupes Google, des domaines Google et des comptes de service. Un role est une liste nommée d'autorisations définies par IAM.

Exemple JSON

{
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:mike@example.com",
        "group:admins@example.com",
        "domain:google.com",
        "serviceAccount:my-other-app@appspot.gserviceaccount.com"
      ]
    },
    {
      "role": "roles/viewer",
      "members": ["user:sean@example.com"]
    }
  ]
}

Exemple YAML

bindings:
- members:
  - user:mike@example.com
  - group:admins@example.com
  - domain:google.com
  - serviceAccount:my-other-app@appspot.gserviceaccount.com
  role: roles/owner
- members:
  - user:sean@example.com
  role: roles/viewer

Pour obtenir une description d'IAM et de ses fonctionnalités, consultez le guide du développeur d'IAM.

Champs
version
(deprecated)

int32

Obsolète.

bindings[]

Binding

Associe une liste de members à un role. Si bindings ne contient pas de membres, une erreur se produira.

etag

bytes

etag permet d'effectuer un contrôle de simultanéité positive, pour éviter que les mises à jour simultanées d'une stratégie ne s'écrasent les unes les autres. Afin d'éviter les situations de concurrence, il est fortement suggéré que les systèmes utilisent etag dans le cycle lecture-modification-écriture pour effectuer des mises à jour de stratégies : un etag est renvoyé dans la réponse à getIamPolicy, et les systèmes doivent mettre cet élément dans la requête destinée à setIamPolicy de sorte à s'assurer que leur modification sera appliquée à la même version de la stratégie.

Si aucun etag n'est fourni dans l'appel de setIamPolicy, la stratégie existante est écrasée à l'aveugle.

SetIamPolicyRequest

Message de requête pour la méthode SetIamPolicy.

Champs
resource

string

OBLIGATOIRE : Ressource pour laquelle la stratégie est spécifiée. Consultez la documentation de l'opération pour connaître la valeur appropriée pour ce champ.

policy

Policy

OBLIGATOIRE : Stratégie complète à appliquer au paramètre resource. La taille de la stratégie est limitée à quelques dizaines de Ko. Une stratégie vide est une stratégie valide, mais certains services Cloud Platform (tels que les projets) peuvent la rejeter.

TestIamPermissionsRequest

Message de requête pour la méthode TestIamPermissions.

Champs
resource

string

OBLIGATOIRE : Ressource pour laquelle vous demandez les détails de la stratégie. Consultez la documentation de l'opération pour connaître la valeur appropriée pour ce champ.

permissions[]

string

Ensemble des autorisations à vérifier pour la resource. Les autorisations comportant des caractères génériques (comme "*" ou "storage.*") ne sont pas acceptées. Pour en savoir plus, consultez la page de présentation d'IAM.

TestIamPermissionsResponse

Message de réponse à la méthode TestIamPermissions.

Champs
permissions[]

string

Sous-ensemble des autorisations TestPermissionsRequest.permissions dont dispose l'appelant.