google.iam.v1 软件包

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

索引

IAMPolicy

API 概览

此接口管理 Identity and Access Management (IAM) 政策。

任何提供访问权限控制功能的 API 的实现都会实现 google.iam.v1.IAMPolicy 接口。

数据模型

当主体(用户或服务帐号)对服务提供的资源执行操作时,系统就会执行访问权限控制。由类似 URI 的名称标识的资源是访问权限控制规范的基本单元。服务实现可以选择访问权限控制的粒度以及其资源支持的权限。例如,一个数据库服务可能仅允许在表级层指定访问权限控制,而另一个数据库服务可能还允许在列级层指定访问权限控制。

政策结构

请参阅 google.iam.v1.Policy

我们特意不采用 CRUD 样式的 API,因为访问控制政策是与其附加到的资源一并隐式创建和删除的。

GetIamPolicy

rpc GetIamPolicy(GetIamPolicyRequest) returns (Policy)

获取资源的访问权限控制政策。如果资源存在但未设置政策,则返回空政策。

授权范围

需要以下 OAuth 范围:

  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

SetIamPolicy

rpc SetIamPolicy(SetIamPolicyRequest) returns (Policy)

设置对指定资源的访问权限控制政策。替换任何现有政策。

授权范围

需要以下 OAuth 范围:

  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

TestIamPermissions

rpc TestIamPermissions(TestIamPermissionsRequest) returns (TestIamPermissionsResponse)

返回调用者对指定资源拥有的权限。如果资源不存在,则返回一个空权限集,而非返回 NOT_FOUND 错误。

注意:此操作旨在用于构建权限感知型界面和命令行工具,而不是用于授权检查。此操作可能会在没有警告的情况下“应急开启”。

授权范围

需要以下 OAuth 范围:

  • https://www.googleapis.com/auth/cloud-platform

如需了解详情,请参阅身份验证概览

Binding

membersrole 关联。

字段
role

string

分配给 members 的角色。例如,roles/viewerroles/editorroles/owner

members[]

string

指定请求访问 Cloud Platform 资源的身份。members 可能具有以下值:

  • allUsers:一个特殊的标识符,表示互联网上的任何人(无论是否拥有 Google 帐号)。

  • allAuthenticatedUsers:一个特殊的标识符,表示已使用 Google 帐号或服务帐号进行身份验证的任何人。

  • user:{emailid}:表示特定 Google 帐号的电子邮件地址。例如,alice@gmail.com

  • serviceAccount:{emailid}:表示服务帐号的电子邮件地址。例如,my-other-app@appspot.gserviceaccount.com

  • group:{emailid}:表示 Google 群组的电子邮件地址。例如,admins@example.com

  • domain:{domain}:表示该网域的所有用户的 Google Apps 域名。例如,google.comexample.com

condition

Expr

未实现。与此绑定关联的条件。注意:若不满足条件,则不允许用户通过当前绑定进行访问。不同的绑定(包括其条件)是独立检查的。

GetIamPolicyRequest

GetIamPolicy 方法的请求消息。

字段
resource

string

必需字段:要为其请求政策的资源。如需了解此字段的适当值,请参阅操作文档。

政策

定义 Identity and Access Management (IAM) 政策,用于指定 Cloud Platform 资源的访问权限控制政策。

Policy 由一系列 bindings 组成。binding 会将 members 列表绑定到 role,其中成员可以是用户帐号、Google 群组、Google 网域和服务帐号。role 是 IAM 定义的指定权限的列表。

JSON 示例

{
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:mike@example.com",
        "group:admins@example.com",
        "domain:google.com",
        "serviceAccount:my-other-app@appspot.gserviceaccount.com"
      ]
    },
    {
      "role": "roles/viewer",
      "members": ["user:sean@example.com"]
    }
  ]
}

YAML 示例

bindings:
- members:
  - user:mike@example.com
  - group:admins@example.com
  - domain:google.com
  - serviceAccount:my-other-app@appspot.gserviceaccount.com
  role: roles/owner
- members:
  - user:sean@example.com
  role: roles/viewer

如需了解 IAM 及其功能,请参阅 IAM 开发者指南

字段
version
(deprecated)

int32

已弃用。

bindings[]

Binding

将一系列 members 关联到 role。没有成员的 bindings 将导致错误。

etag

bytes

etag 用于乐观并发控制,可帮助防止同时对政策进行的更新相互覆盖。强烈建议系统在“读取-修改-写入”周期中使用 etag 来执行政策更新以避免冲突:返回 etag 来响应 getIamPolicy,系统应将该 etag 放入对 setIamPolicy 的请求中,以确保其更改将应用于同一版本的政策中。

如果在调用 setIamPolicy 时未提供 etag,则现有政策将被覆盖而毫无提示。

SetIamPolicyRequest

SetIamPolicy 方法的请求消息。

字段
resource

string

必需:要为其指定政策的资源。如需了解此字段的适当值,请参阅操作文档。

policy

Policy

必需:要应用于 resource 的完整政策。政策的大小限制为几十 KB。空政策是有效的政策,但可能被某些 Cloud Platform 服务(例如项目)拒绝。

TestIamPermissionsRequest

TestIamPermissions 方法的请求消息。

字段
resource

string

必需字段:要为其请求政策详情的资源。如需了解此字段的适当值,请参阅操作文档。

permissions[]

string

要用于检查 resource 的权限集。不允许使用带通配符(例如“*”或“storage.*”)的权限。如需了解详情,请参阅 IAM 概览

TestIamPermissionsResponse

TestIamPermissions 方法的响应消息。

字段
permissions[]

string

调用者可以使用的 TestPermissionsRequest.permissions 的子集。