Esta página se ha traducido con Cloud Translation API.

Package google.iam.v1

Índice

Binding (mensaje)
GetIamPolicyRequest (mensaje)
GetPolicyOptions (mensaje)
Policy (mensaje)
SetIamPolicyRequest (mensaje)

Vinculación

Asocia members (o principales) a un role.

Campos

Campos
`role`	`string` Rol asignado a la lista de `members` o principales. Por ejemplo, `roles/viewer`, `roles/editor` o `roles/owner`. Para obtener una descripción general de los roles y permisos de gestión de identidades y accesos, consulta la documentación de gestión de identidades y accesos. Para ver una lista de los roles predefinidos disponibles, consulta este artículo.
`members[]`	`string` Especifica las entidades que solicitan acceso a un recurso de Google Cloud. `members` puede tener los siguientes valores: `allUsers`: identificador especial que representa a cualquier persona que esté en Internet, con o sin cuenta de Google. `allAuthenticatedUsers`: un identificador especial que representa a cualquier persona autenticada con una cuenta de Google o una cuenta de servicio. No incluye las identidades que proceden de proveedores de identidades externos a través de la federación de identidades. `user:{emailid}`: una dirección de correo que representa una cuenta de Google específica. Por ejemplo, `alice@example.com` . `serviceAccount:{emailid}`: una dirección de correo que representa una cuenta de servicio de Google. Por ejemplo, `my-other-app@appspot.gserviceaccount.com`. `serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]`: identificador de una cuenta de servicio de Kubernetes. Por ejemplo, `my-project.svc.id.goog[my-namespace/my-kubernetes-sa]`. `group:{emailid}`: una dirección de correo que representa un grupo de Google. Por ejemplo, `admins@example.com`. `domain:{domain}`: el dominio de G Suite (principal) que representa a todos los usuarios de ese dominio. Por ejemplo, `google.com` o `example.com`. `principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}`: una sola identidad de un grupo de identidades de Workforce. `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{group_id}`: Todas las identidades de Workforce de un grupo. `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}`: Todas las identidades de los empleados que tengan un valor de atributo específico. `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/`: Todas las identidades de un grupo de identidades de Workforce. `principal://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}`: una sola identidad de un grupo de identidades de carga de trabajo. `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/group/{group_id}`: un grupo de identidades de carga de trabajo. `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}`: Todas las identidades de un grupo de identidades de carga de trabajo con un atributo determinado. `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/`: todas las identidades de un grupo de identidades de carga de trabajo. `deleted:user:{emailid}?uid={uniqueid}`: una dirección de correo electrónico (más un identificador único) que representa a un usuario que se ha eliminado recientemente. Por ejemplo, `alice@example.com?uid=123456789012345678901`. Si se recupera al usuario, este valor vuelve a ser `user:{emailid}` y el usuario recuperado conserva el rol en el enlace. `deleted:serviceAccount:{emailid}?uid={uniqueid}`: una dirección de correo electrónico (más un identificador único) que representa una cuenta de servicio que se ha eliminado recientemente. Por ejemplo, `my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901`. Si se restaura la cuenta de servicio, este valor vuelve a ser `serviceAccount:{emailid}` y la cuenta de servicio restaurada conserva el rol en el enlace. `deleted:group:{emailid}?uid={uniqueid}`: una dirección de correo electrónico (más un identificador único) que representa un grupo de Google que se ha eliminado recientemente. Por ejemplo, `admins@example.com?uid=123456789012345678901`. Si se recupera el grupo, este valor vuelve a ser `group:{emailid}` y el grupo recuperado conserva el rol en la vinculación. `deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}`: se ha eliminado una sola identidad de un grupo de identidades de Workforce. Por ejemplo, `deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value`.
`condition`	`Expr` La condición asociada a este enlace. Si la condición da como resultado `true`, este enlace se aplica a la solicitud actual. Si la condición se evalúa como `false`, este enlace no se aplica a la solicitud actual. Sin embargo, otra vinculación de rol podría conceder el mismo rol a uno o varios de los principales de esta vinculación. Para saber qué recursos admiten condiciones en sus políticas de gestión de identidades y accesos, consulta la documentación de IAM.

role

string

Rol asignado a la lista de members o principales. Por ejemplo, roles/viewer, roles/editor o roles/owner.

Para obtener una descripción general de los roles y permisos de gestión de identidades y accesos, consulta la documentación de gestión de identidades y accesos. Para ver una lista de los roles predefinidos disponibles, consulta este artículo.

members[]

string

Especifica las entidades que solicitan acceso a un recurso de Google Cloud. members puede tener los siguientes valores:

allUsers: identificador especial que representa a cualquier persona que esté en Internet, con o sin cuenta de Google.
allAuthenticatedUsers: un identificador especial que representa a cualquier persona autenticada con una cuenta de Google o una cuenta de servicio. No incluye las identidades que proceden de proveedores de identidades externos a través de la federación de identidades.
user:{emailid}: una dirección de correo que representa una cuenta de Google específica. Por ejemplo, alice@example.com .

serviceAccount:{emailid}: una dirección de correo que representa una cuenta de servicio de Google. Por ejemplo, my-other-app@appspot.gserviceaccount.com.
serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: identificador de una cuenta de servicio de Kubernetes. Por ejemplo, my-project.svc.id.goog[my-namespace/my-kubernetes-sa].
group:{emailid}: una dirección de correo que representa un grupo de Google. Por ejemplo, admins@example.com.

domain:{domain}: el dominio de G Suite (principal) que representa a todos los usuarios de ese dominio. Por ejemplo, google.com o example.com.

principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: una sola identidad de un grupo de identidades de Workforce.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{group_id}: Todas las identidades de Workforce de un grupo.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}: Todas las identidades de los empleados que tengan un valor de atributo específico.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/*: Todas las identidades de un grupo de identidades de Workforce.
principal://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}: una sola identidad de un grupo de identidades de carga de trabajo.
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/group/{group_id}: un grupo de identidades de carga de trabajo.
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}: Todas las identidades de un grupo de identidades de carga de trabajo con un atributo determinado.
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/*: todas las identidades de un grupo de identidades de carga de trabajo.
deleted:user:{emailid}?uid={uniqueid}: una dirección de correo electrónico (más un identificador único) que representa a un usuario que se ha eliminado recientemente. Por ejemplo, alice@example.com?uid=123456789012345678901. Si se recupera al usuario, este valor vuelve a ser user:{emailid} y el usuario recuperado conserva el rol en el enlace.
deleted:serviceAccount:{emailid}?uid={uniqueid}: una dirección de correo electrónico (más un identificador único) que representa una cuenta de servicio que se ha eliminado recientemente. Por ejemplo, my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. Si se restaura la cuenta de servicio, este valor vuelve a ser serviceAccount:{emailid} y la cuenta de servicio restaurada conserva el rol en el enlace.
deleted:group:{emailid}?uid={uniqueid}: una dirección de correo electrónico (más un identificador único) que representa un grupo de Google que se ha eliminado recientemente. Por ejemplo, admins@example.com?uid=123456789012345678901. Si se recupera el grupo, este valor vuelve a ser group:{emailid} y el grupo recuperado conserva el rol en la vinculación.
deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: se ha eliminado una sola identidad de un grupo de identidades de Workforce. Por ejemplo, deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value.

condition

Expr

La condición asociada a este enlace.

Si la condición da como resultado true, este enlace se aplica a la solicitud actual.

Si la condición se evalúa como false, este enlace no se aplica a la solicitud actual. Sin embargo, otra vinculación de rol podría conceder el mismo rol a uno o varios de los principales de esta vinculación.

Para saber qué recursos admiten condiciones en sus políticas de gestión de identidades y accesos, consulta la documentación de IAM.

GetIamPolicyRequest

Mensaje de solicitud del método GetIamPolicy.

Campos

Campos
`resource`	`string` OBLIGATORIO: Recurso para el que se solicita la política. Consulta Nombres de recursos para ver el valor adecuado de este campo.
`options`	`GetPolicyOptions` OPCIONAL: un objeto `GetPolicyOptions` para especificar opciones de `GetIamPolicy`.

resource

string

OBLIGATORIO: Recurso para el que se solicita la política. Consulta Nombres de recursos para ver el valor adecuado de este campo.

options

GetPolicyOptions

OPCIONAL: un objeto GetPolicyOptions para especificar opciones de GetIamPolicy.

GetPolicyOptions

Encapsula los ajustes proporcionados a GetIamPolicy.

Campos

Campos
`requested_policy_version`	`int32` Opcional. La versión máxima de la política que se usará para darle formato. Los valores válidos son 0, 1 y 3. Las solicitudes que especifiquen un valor no válido se rechazarán. Las solicitudes de políticas con vinculaciones de roles condicionales deben especificar la versión 3. Las políticas sin enlaces de roles condicionales pueden especificar cualquier valor válido o dejar el campo sin definir. La política de la respuesta puede usar la versión de la política que hayas especificado o una versión inferior. Por ejemplo, si especificas la versión 3, pero la política no tiene enlaces de roles condicionales, la respuesta usa la versión 1. Para saber qué recursos admiten condiciones en sus políticas de gestión de identidades y accesos, consulta la documentación de IAM.

requested_policy_version

int32

Opcional. La versión máxima de la política que se usará para darle formato.

Los valores válidos son 0, 1 y 3. Las solicitudes que especifiquen un valor no válido se rechazarán.

Las solicitudes de políticas con vinculaciones de roles condicionales deben especificar la versión 3. Las políticas sin enlaces de roles condicionales pueden especificar cualquier valor válido o dejar el campo sin definir.

La política de la respuesta puede usar la versión de la política que hayas especificado o una versión inferior. Por ejemplo, si especificas la versión 3, pero la política no tiene enlaces de roles condicionales, la respuesta usa la versión 1.

Para saber qué recursos admiten condiciones en sus políticas de gestión de identidades y accesos, consulta la documentación de IAM.

Política

Una política de Gestión de Identidades y Accesos (IAM), que especifica los controles de acceso de los recursos de Google Cloud.

Un Policy es una colección de bindings. Un binding vincula uno o varios members (o principales) a un solo role. Las entidades principales pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios (como G Suite). Un role es una lista de permisos con nombre. Cada role puede ser un rol predefinido de gestión de identidades y accesos o un rol personalizado creado por el usuario.

En algunos tipos de recursos de Google Cloud, un binding también puede especificar un condition, que es una expresión lógica que permite acceder a un recurso solo si la expresión se evalúa como true. Una condición puede añadir restricciones basadas en los atributos de la solicitud, del recurso o de ambos. Para saber qué recursos admiten condiciones en sus políticas de gestión de identidades y accesos, consulta la documentación de IAM.

Ejemplo de JSON:

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

Ejemplo de YAML:

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

Para obtener una descripción de IAM y sus funciones, consulta la documentación de IAM.

Campos

Campos
`version`	`int32` Especifica el formato de la política. Los valores válidos son `0`, `1` y `3`. Las solicitudes que especifican un valor no válido se rechazan. Cualquier operación que afecte a las vinculaciones de roles condicionales debe especificar la versión `3`. Este requisito se aplica a las siguientes operaciones: Obtener una política que incluya una vinculación de rol condicional Añadir una vinculación de roles condicional a una política Cambiar una vinculación de rol condicional en una política Quitar una vinculación de roles, con o sin condición, de una política que incluya condiciones Importante: Si usas condiciones de IAM, debes incluir el campo `etag` cada vez que llames a `setIamPolicy`. Si omite este campo, IAM le permitirá sobrescribir una política de la versión `3` con una política de la versión `1`, y se perderán todas las condiciones de la política de la versión `3`. Si una política no incluye ninguna condición, las operaciones de esa política pueden especificar cualquier versión válida o dejar el campo sin definir. Para saber qué recursos admiten condiciones en sus políticas de gestión de identidades y accesos, consulta la documentación de IAM.
`bindings[]`	`Binding` Asocia una lista de `members` o principales con un `role`. Opcionalmente, puede especificar un `condition` que determine cómo y cuándo se aplican los `bindings`. Cada uno de los `bindings` debe contener al menos un principal. El `bindings` de un `Policy` puede hacer referencia a un máximo de 1500 principales,de los cuales 250 pueden ser grupos de Google. Cada instancia de un principal se tiene en cuenta para calcular estos límites. Por ejemplo, si la concesión `bindings` asigna 50 roles diferentes a `user:alice@example.com` y a ningún otro principal, puedes añadir otros 1450 principales a `bindings` en `Policy`.
`etag`	`bytes` `etag` se usa para el control de concurrencia optimista como una forma de evitar que las actualizaciones simultáneas de una política se sobrescriban entre sí. Se recomienda encarecidamente que los sistemas usen `etag` en el ciclo de lectura-modificación-escritura para llevar a cabo las actualizaciones de las políticas y evitar las condiciones de carrera. Se devuelve un `etag` en la respuesta a `getIamPolicy` y se espera que los sistemas incluyan ese etag en la solicitud a `setIamPolicy` para asegurarse de que el cambio se aplique a la misma versión de la política. Importante: Si usas condiciones de IAM, debes incluir el campo `etag` cada vez que llames a `setIamPolicy`. Si omite este campo, IAM le permitirá sobrescribir una política de la versión `3` con una política de la versión `1`, y se perderán todas las condiciones de la política de la versión `3`.

version

int32

Especifica el formato de la política.

Los valores válidos son 0, 1 y 3. Las solicitudes que especifican un valor no válido se rechazan.

Cualquier operación que afecte a las vinculaciones de roles condicionales debe especificar la versión 3. Este requisito se aplica a las siguientes operaciones:

Obtener una política que incluya una vinculación de rol condicional
Añadir una vinculación de roles condicional a una política
Cambiar una vinculación de rol condicional en una política
Quitar una vinculación de roles, con o sin condición, de una política que incluya condiciones

Importante: Si usas condiciones de IAM, debes incluir el campo etag cada vez que llames a setIamPolicy. Si omite este campo, IAM le permitirá sobrescribir una política de la versión 3 con una política de la versión 1, y se perderán todas las condiciones de la política de la versión 3.

Si una política no incluye ninguna condición, las operaciones de esa política pueden especificar cualquier versión válida o dejar el campo sin definir.

Para saber qué recursos admiten condiciones en sus políticas de gestión de identidades y accesos, consulta la documentación de IAM.

bindings[]

Binding

Asocia una lista de members o principales con un role. Opcionalmente, puede especificar un condition que determine cómo y cuándo se aplican los bindings. Cada uno de los bindings debe contener al menos un principal.

El bindings de un Policy puede hacer referencia a un máximo de 1500 principales,de los cuales 250 pueden ser grupos de Google. Cada instancia de un principal se tiene en cuenta para calcular estos límites. Por ejemplo, si la concesión bindings asigna 50 roles diferentes a user:alice@example.com y a ningún otro principal, puedes añadir otros 1450 principales a bindings en Policy.

etag

bytes

etag se usa para el control de concurrencia optimista como una forma de evitar que las actualizaciones simultáneas de una política se sobrescriban entre sí. Se recomienda encarecidamente que los sistemas usen etag en el ciclo de lectura-modificación-escritura para llevar a cabo las actualizaciones de las políticas y evitar las condiciones de carrera. Se devuelve un etag en la respuesta a getIamPolicy y se espera que los sistemas incluyan ese etag en la solicitud a setIamPolicy para asegurarse de que el cambio se aplique a la misma versión de la política.

SetIamPolicyRequest

Mensaje de solicitud del método SetIamPolicy.

Campos

Campos
`resource`	`string` OBLIGATORIO: Recurso para el que se especifica la política. Consulta Nombres de recursos para ver el valor adecuado de este campo.
`policy`	`Policy` OBLIGATORIO: La política completa que se aplicará al `resource`. El tamaño de la política está limitado a unas decenas de KB. Una política vacía es válida, pero es posible que algunos servicios de Google Cloud (como los proyectos) la rechacen.

resource

string

OBLIGATORIO: Recurso para el que se especifica la política. Consulta Nombres de recursos para ver el valor adecuado de este campo.

policy

Policy

OBLIGATORIO: La política completa que se aplicará al resource. El tamaño de la política está limitado a unas decenas de KB. Una política vacía es válida, pero es posible que algunos servicios de Google Cloud (como los proyectos) la rechacen.

Package google.iam.v1 Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Índice

Vinculación

GetIamPolicyRequest

GetPolicyOptions

Política

SetIamPolicyRequest

Package google.iam.v1