目次
IAMPolicy
(インターフェース)Binding
(メッセージ)GetIamPolicyRequest
(メッセージ)Policy
(メッセージ)SetIamPolicyRequest
(メッセージ)TestIamPermissionsRequest
(メッセージ)TestIamPermissionsResponse
(メッセージ)
IAMPolicy
API の概要
Identity and Access Management(IAM)のポリシーを管理します。
アクセス制御機能を提供する API の任意の実装により、google.iam.v1.IAMPolicy インターフェースを実装します。
データモデル
アクセス制御は、プリンシパル(ユーザーまたはサービス アカウント)がサービスによって公開されているリソースに対して何らかのアクションを実行する際に適用されます。アクセス制御では、URI のような名称で識別されるリソースを単位として指定します。アクセス制御の細かさと各リソースに対してサポートされる権限は、サービスの実装で選択できます。たとえば、あるデータベース サービスではテーブルレベルでのみアクセス制御を指定できるようにしながら、別のデータベース サービスでは列レベルでも指定できるようにすることができます。
ポリシーの構造
google.iam.v1.Policy を参照してください。
アクセス制御ポリシーは、それぞれのアタッチ先となるリソースによって黙示的に作成、削除されるため、これは CRUD スタイルの API ではありません。
GetIamPolicy | |
---|---|
リソースのアクセス制御ポリシーを取得します。リソースが存在し、ポリシーが設定されていない場合は、空のポリシーを返します。
|
SetIamPolicy | |
---|---|
指定したリソースにアクセス制御ポリシーを設定します。既存のポリシーをすべて置き換えます。
|
TestIamPermissions | |
---|---|
指定したリソースに対して呼び出し元が持っている権限を返します。リソースが存在しない場合、NOT_FOUND エラーではなく、空の権限セットが返されます。 注: このオペレーションは、承認チェックではなく、権限に対応した UI とコマンドライン ツールの構築に使用するように設計されています。このオペレーションは警告なしに「フェイル オープン」することがあります。
|
バインディング
members
を role
に関連付けます。
フィールド | |
---|---|
role |
|
members[] |
Cloud Platform リソースにアクセスをリクエストする識別子を指定します。
|
condition |
未実装。このバインディングに関連付けられている条件。注: 条件を満たさないと、ユーザーは現在のバインディングからアクセスできません。条件を含め、各バインディングはそれぞれ個別に検査されます。 |
GetIamPolicyRequest
GetIamPolicy
メソッドに対するリクエスト メッセージ。
項目 | |
---|---|
resource |
必須: ポリシーがリクエストされているリソース。このフィールドに適切な値については、オペレーション ドキュメントをご覧ください。 |
Policy
Identity and Access Management(IAM)ポリシーを定義します。アクセス制御ポリシーを Cloud Platform リソースに指定するのに用いられます。
Policy
は bindings
のリストです。binding
は members
のリストを role
に結合し、メンバーはユーザー アカウント、Google グループ、Google ドメイン、およびサービス アカウントになることができるようになります。role
は IAM で定義された権限の名前付きリストです。
JSON の例
{
"bindings": [
{
"role": "roles/owner",
"members": [
"user:mike@example.com",
"group:admins@example.com",
"domain:google.com",
"serviceAccount:my-other-app@appspot.gserviceaccount.com"
]
},
{
"role": "roles/viewer",
"members": ["user:sean@example.com"]
}
]
}
YAML の例
bindings:
- members:
- user:mike@example.com
- group:admins@example.com
- domain:google.com
- serviceAccount:my-other-app@appspot.gserviceaccount.com
role: roles/owner
- members:
- user:sean@example.com
role: roles/viewer
IAM とその機能については、IAM デベロッパー ガイドをご覧ください。
項目 | |
---|---|
version |
非推奨 |
bindings[] |
|
etag |
|
SetIamPolicyRequest
SetIamPolicy
メソッドに対するリクエスト メッセージ。
項目 | |
---|---|
resource |
必須: ポリシーが指定されているリソースが存在すること。このフィールドに適切な値については、オペレーション ドキュメントをご覧ください。 |
policy |
必須: |
TestIamPermissionsRequest
TestIamPermissions
メソッドに対するリクエスト メッセージ。
項目 | |
---|---|
resource |
必須: ポリシーの詳細がリクエストされているリソース。このフィールドに適切な値については、オペレーション ドキュメントをご覧ください。 |
permissions[] |
|
TestIamPermissionsResponse
TestIamPermissions
メソッドに対するレスポンス メッセージ。
フィールド | |
---|---|
permissions[] |
呼び出し元が許可されている |