Package google.iam.v1

Indeks

IAMPolicy

Ringkasan API

Mengelola kebijakan Identity and Access Management (IAM).

Setiap implementasi API yang menawarkan fitur kontrol akses akan menerapkan antarmuka google.iam.v1.IAMPolicy.

Model data

Kontrol akses diterapkan saat akun utama (pengguna atau akun layanan) melakukan beberapa tindakan pada resource yang ditampilkan oleh layanan. Resource, yang diidentifikasi dengan nama seperti URI, adalah unit spesifikasi kontrol akses. Implementasi layanan dapat memilih perincian kontrol akses dan izin yang didukung untuk resource-nya. Misalnya, satu layanan database mungkin mengizinkan kontrol akses hanya ditentukan di tingkat Tabel, sedangkan layanan lain mungkin mengizinkan kontrol akses juga ditentukan di tingkat Kolom.

Struktur Kebijakan

Lihat google.iam.v1.Policy

Hal ini sengaja bukan API gaya CRUD karena kebijakan kontrol akses dibuat dan dihapus secara implisit dengan resource yang dilampirkan.

GetIamPolicy

rpc GetIamPolicy(GetIamPolicyRequest) returns (Policy)

Mendapatkan kebijakan kontrol akses untuk resource. Menampilkan kebijakan kosong jika resource ada dan tidak memiliki kebijakan yang ditetapkan.

Cakupan otorisasi

Memerlukan cakupan OAuth berikut:

  • https://www.googleapis.com/auth/cloud-platform

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Autentikasi.
SetIamPolicy

rpc SetIamPolicy(SetIamPolicyRequest) returns (Policy)

Menetapkan kebijakan kontrol akses pada resource yang ditentukan. Mengganti kebijakan yang ada.

Dapat menampilkan error NOT_FOUND, INVALID_ARGUMENT, dan PERMISSION_DENIED.

Cakupan otorisasi

Memerlukan cakupan OAuth berikut:

  • https://www.googleapis.com/auth/cloud-platform

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Autentikasi.
TestIamPermissions

rpc TestIamPermissions(TestIamPermissionsRequest) returns (TestIamPermissionsResponse)

Menampilkan izin yang dimiliki pemanggil pada resource yang ditentukan. Jika resource tidak ada, tindakan ini akan menampilkan kumpulan izin kosong, bukan error NOT_FOUND.

Catatan: Operasi ini dirancang untuk digunakan dalam membuat UI yang mengetahui izin dan alat command line, bukan untuk pemeriksaan otorisasi. Operasi ini dapat "gagal terbuka" tanpa peringatan.

Cakupan otorisasi

Memerlukan cakupan OAuth berikut:

  • https://www.googleapis.com/auth/cloud-platform

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Autentikasi.

Binding

Mengaitkan members, atau akun utama, dengan role.

Kolom
role

string

Peran yang ditetapkan ke daftar members, atau akun utama. Misalnya, roles/viewer, roles/editor, atau roles/owner.
members[]

string

Menentukan akun utama yang meminta akses untuk resource Google Cloud. members dapat memiliki nilai berikut:

  • allUsers: ID khusus yang mewakili siapa saja yang ada di internet; dengan atau tanpa Akun Google.

  • allAuthenticatedUsers: ID khusus yang mewakili siapa saja yang diautentikasi dengan Akun Google atau akun layanan. Tidak mencakup identitas yang berasal dari penyedia identitas (IdP) eksternal melalui federasi identitas.

  • user:{emailid}: Alamat email yang mewakili Akun Google tertentu. Misalnya, alice@example.com .

  • serviceAccount:{emailid}: Alamat email yang mewakili akun layanan Google. Contoh, my-other-app@appspot.gserviceaccount.com.

  • serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: ID untuk akun layanan Kubernetes. Misalnya, my-project.svc.id.goog[my-namespace/my-kubernetes-sa].

  • group:{emailid}: Alamat email yang mewakili grup Google. Contoh, admins@example.com.

  • domain:{domain}: Domain G Suite (primer) yang mewakili semua pengguna domain tersebut. Misalnya google.com atau example.com.

  • deleted:user:{emailid}?uid={uniqueid}: Alamat email (plus ID unik) yang mewakili pengguna yang baru-baru ini dihapus. Misalnya, alice@example.com?uid=123456789012345678901. Jika pengguna dipulihkan, nilai ini akan kembali ke user:{emailid} dan pengguna yang dipulihkan akan mempertahankan peran dalam binding.

  • deleted:serviceAccount:{emailid}?uid={uniqueid}: Alamat email (plus ID unik) yang mewakili akun layanan yang baru saja dihapus. Contoh, my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. Jika akun layanan dibatalkan penghapusannya, nilai ini akan dikembalikan ke serviceAccount:{emailid} dan akun layanan yang dibatalkan penghapusannya akan mempertahankan peran dalam binding.

  • deleted:group:{emailid}?uid={uniqueid}: Alamat email (plus ID unik) yang mewakili grup Google yang baru saja dihapus. Contoh, admins@example.com?uid=123456789012345678901. Jika grup dipulihkan, nilai ini akan kembali ke group:{emailid} dan grup yang dipulihkan akan mempertahankan peran dalam binding.
condition

Expr

Kondisi yang terkait dengan binding ini.

Jika kondisi bernilai true, binding ini akan berlaku untuk permintaan saat ini.

Jika kondisi bernilai false, berarti binding ini tidak berlaku untuk permintaan saat ini. Namun, binding peran yang berbeda mungkin memberikan peran yang sama kepada satu atau beberapa akun utama dalam binding ini.

Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.

GetIamPolicyRequest

Pesan permintaan untuk metode GetIamPolicy.

Kolom
resource

string

WAJIB: Resource yang kebijakannya diminta. Lihat Nama resource untuk mengetahui nilai yang sesuai untuk kolom ini.
options

GetPolicyOptions

OPSIONAL: Objek GetPolicyOptions untuk menentukan opsi ke GetIamPolicy.

GetPolicyOptions

mengenkapsulasi setelan yang diberikan ke GetIamPolicy.

Kolom
requested_policy_version

int32

Opsional. Versi kebijakan maksimum yang akan digunakan untuk memformat kebijakan.

Nilai yang valid adalah 0, 1, dan 3. Permintaan yang menentukan nilai yang tidak valid akan ditolak.

Permintaan untuk kebijakan dengan binding peran bersyarat harus menentukan versi 3. Kebijakan tanpa binding peran kondisional dapat menentukan nilai yang valid atau membiarkan kolom tidak ditetapkan.

Kebijakan dalam respons mungkin menggunakan versi kebijakan yang Anda tentukan, atau mungkin menggunakan versi kebijakan yang lebih rendah. Misalnya, jika Anda menentukan versi 3, tetapi kebijakan tidak memiliki binding peran bersyarat, respons akan menggunakan versi 1.

Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.

Kebijakan

Kebijakan Identity and Access Management (IAM), yang menentukan kontrol akses untuk resource Google Cloud.

Policy adalah kumpulan bindings. binding mengikat satu atau beberapa members, atau akun utama, ke role tunggal. Akun utama dapat berupa akun pengguna, akun layanan, grup Google, dan domain (seperti G Suite). role adalah daftar izin yang memiliki nama; setiap role dapat berupa peran bawaan IAM atau peran khusus yang dibuat pengguna.

Untuk beberapa jenis resource Google Cloud, binding juga dapat menentukan condition, yang merupakan ekspresi logis yang mengizinkan akses ke resource hanya jika ekspresi dievaluasi menjadi true. Kondisi dapat menambahkan batasan berdasarkan atribut permintaan, resource, atau keduanya. Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.

Contoh JSON:

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

Contoh YAML:

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

Untuk mengetahui deskripsi IAM dan fitur-fiturnya, lihat dokumentasi IAM.

Kolom
version

int32

Menentukan format kebijakan.

Nilai yang valid adalah 0, 1, dan 3. Permintaan yang menentukan nilai yang tidak valid akan ditolak.

Setiap operasi yang memengaruhi binding peran bersyarat harus menentukan versi 3. Persyaratan ini berlaku untuk operasi berikut:

  • Mendapatkan kebijakan yang menyertakan binding peran bersyarat
  • Menambahkan binding peran bersyarat ke kebijakan
  • Mengubah binding peran bersyarat dalam kebijakan
  • Menghapus binding peran, dengan atau tanpa kondisi, dari kebijakan yang menyertakan kondisi

Penting: Jika menggunakan IAM Conditions, Anda harus menyertakan kolom etag setiap kali memanggil setIamPolicy. Jika Anda menghapus kolom ini, IAM memungkinkan Anda menimpa kebijakan versi 3 dengan kebijakan versi 1, dan semua kondisi dalam kebijakan versi 3 akan hilang.

Jika kebijakan tidak menyertakan kondisi apa pun, operasi pada kebijakan tersebut dapat menentukan versi yang valid atau membiarkan kolom tidak ditetapkan.

Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.
bindings[]

Binding

Mengaitkan daftar members, atau akun utama, dengan role. Secara opsional, dapat menentukan condition yang menentukan cara dan waktu penerapan bindings. Setiap bindings harus berisi minimal satu akun utama.

bindings dalam Policy dapat merujuk ke maksimal 1.500 akun utama; hingga 250 akun utama ini dapat berupa grup Google. Setiap kemunculan akun utama akan dihitung dalam batas ini. Misalnya, jika bindings memberikan 50 peran berbeda ke user:alice@example.com, dan bukan ke akun utama lainnya, Anda dapat menambahkan 1.450 akun utama lain ke bindings di Policy.
etag

bytes

etag digunakan untuk kontrol konkurensi optimis sebagai cara untuk membantu mencegah pembaruan kebijakan secara bersamaan agar tidak menimpa satu sama lain. Sebaiknya sistem menggunakan etag dalam siklus read-modify-write untuk melakukan pembaruan kebijakan guna menghindari kondisi perlombaan: etag ditampilkan dalam respons ke getIamPolicy, dan sistem diharapkan menempatkan etag tersebut dalam permintaan ke setIamPolicy untuk memastikan bahwa perubahannya akan diterapkan ke versi kebijakan yang sama.

Penting: Jika menggunakan IAM Conditions, Anda harus menyertakan kolom etag setiap kali memanggil setIamPolicy. Jika Anda menghapus kolom ini, IAM memungkinkan Anda menimpa kebijakan versi 3 dengan kebijakan versi 1, dan semua kondisi dalam kebijakan versi 3 akan hilang.

SetIamPolicyRequest

Pesan permintaan untuk metode SetIamPolicy.

Kolom
resource

string

WAJIB: Resource yang kebijakannya ditentukan. Lihat Nama resource untuk mengetahui nilai yang sesuai untuk kolom ini.
policy

Policy

WAJIB: Kebijakan lengkap yang akan diterapkan ke resource. Ukuran kebijakan dibatasi hingga beberapa 10 KB. Kebijakan kosong adalah kebijakan yang valid, tetapi layanan Google Cloud tertentu (seperti Project) mungkin menolaknya.

TestIamPermissionsRequest

Pesan permintaan untuk metode TestIamPermissions.

Kolom
resource

string

WAJIB: Resource yang detail kebijakannya diminta. Lihat Nama resource untuk mengetahui nilai yang sesuai untuk kolom ini.
permissions[]

string

Kumpulan izin untuk memeriksa resource. Izin dengan karakter pengganti (seperti * atau storage.*) tidak diizinkan. Untuk informasi selengkapnya, lihat Ringkasan IAM.

TestIamPermissionsResponse

Pesan respons untuk metode TestIamPermissions.

Kolom
permissions[]

string

Subkumpulan TestPermissionsRequest.permissions yang diizinkan pemanggil.