Peran yang ditetapkan ke daftar members, atau akun utama. Misalnya, roles/viewer, roles/editor, atau roles/owner.
Untuk mengetahui ringkasan peran dan izin IAM, lihat dokumentasi IAM. Untuk mengetahui daftar peran bawaan yang tersedia, lihat di sini.
members[]
string
Menentukan akun utama yang meminta akses untuk resource Google Cloud. members dapat memiliki nilai berikut:
allUsers: ID khusus yang mewakili siapa saja yang ada di internet; dengan atau tanpa Akun Google.
allAuthenticatedUsers: ID khusus yang mewakili siapa saja yang diautentikasi dengan Akun Google atau akun layanan. Tidak mencakup identitas yang berasal dari penyedia identitas (IdP) eksternal melalui penggabungan identitas.
user:{emailid}: Alamat email yang mewakili Akun Google tertentu. Misalnya, alice@example.com .
serviceAccount:{emailid}: Alamat email yang mewakili akun layanan Google. Contoh, my-other-app@appspot.gserviceaccount.com.
serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: ID untuk akun layanan Kubernetes. Misalnya, my-project.svc.id.goog[my-namespace/my-kubernetes-sa].
group:{emailid}: Alamat email yang mewakili grup Google. Contoh, admins@example.com.
domain:{domain}: Domain G Suite (primer) yang mewakili semua pengguna domain tersebut. Misalnya google.com atau example.com.
principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: Satu identitas dalam workforce identity pool.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{group_id}: Semua identitas tenaga kerja dalam grup.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}: Semua identitas tenaga kerja dengan nilai atribut tertentu.
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/*: Semua identitas dalam workforce identity pool.
principal://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}: Satu identitas dalam workload identity pool.
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/group/{group_id}: Grup workload identity pool.
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}: Semua identitas dalam workload identity pool dengan atribut tertentu.
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/*: Semua identitas dalam workload identity pool.
deleted:user:{emailid}?uid={uniqueid}: Alamat email (plus ID unik) yang mewakili pengguna yang baru saja dihapus. Misalnya, alice@example.com?uid=123456789012345678901. Jika pengguna dipulihkan, nilai ini akan kembali ke user:{emailid} dan pengguna yang dipulihkan akan mempertahankan peran dalam binding.
deleted:serviceAccount:{emailid}?uid={uniqueid}: Alamat email (plus ID unik) yang mewakili akun layanan yang baru saja dihapus. Contoh, my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. Jika akun layanan dibatalkan penghapusannya, nilai ini akan kembali ke serviceAccount:{emailid} dan akun layanan yang dibatalkan penghapusannya akan mempertahankan peran dalam binding.
deleted:group:{emailid}?uid={uniqueid}: Alamat email (plus ID unik) yang mewakili grup Google yang baru saja dihapus. Contoh, admins@example.com?uid=123456789012345678901. Jika grup dipulihkan, nilai ini akan kembali ke group:{emailid} dan grup yang dipulihkan akan mempertahankan peran dalam binding.
deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: Menghapus identitas tunggal dalam workforce identity pool. Contoh, deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value.
Jika kondisi bernilai true, maka binding ini berlaku untuk permintaan saat ini.
Jika kondisi bernilai false, maka binding ini tidak berlaku untuk permintaan saat ini. Namun, binding peran yang berbeda dapat memberikan peran yang sama kepada satu atau beberapa akun utama dalam binding ini.
Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.
GetIamPolicyRequest
Pesan permintaan untuk metode GetIamPolicy.
Kolom
resource
string
WAJIB: Resource yang kebijakannya sedang diminta. Lihat Nama resource untuk nilai yang sesuai untuk kolom ini.
OPSIONAL: Objek GetPolicyOptions untuk menentukan opsi ke GetIamPolicy.
GetPolicyOptions
Mencakup setelan yang diberikan ke GetIamPolicy.
Kolom
requested_policy_version
int32
Opsional. Versi kebijakan maksimum yang akan digunakan untuk memformat kebijakan.
Nilai yang valid adalah 0, 1, dan 3. Permintaan yang menentukan nilai tidak valid akan ditolak.
Permintaan kebijakan dengan binding peran bersyarat harus menentukan versi 3. Kebijakan tanpa binding peran kondisional dapat menentukan nilai valid apa pun atau membiarkan kolom tidak ditetapkan.
Kebijakan dalam respons dapat menggunakan versi kebijakan yang Anda tentukan, atau dapat menggunakan versi kebijakan yang lebih rendah. Misalnya, jika Anda menentukan versi 3, tetapi kebijakan tidak memiliki binding peran bersyarat, respons menggunakan versi 1.
Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.
Kebijakan
Kebijakan Identity and Access Management (IAM), yang menentukan kontrol akses untuk resource Google Cloud.
Policy adalah kumpulan bindings. binding mengikat satu atau beberapa members, atau akun utama, ke role tunggal. Akun utama dapat berupa akun pengguna, akun layanan, grup Google, dan domain (seperti G Suite). role adalah daftar izin yang diberi nama; setiap role dapat berupa peran bawaan IAM atau peran khusus yang dibuat pengguna.
Untuk beberapa jenis resource Google Cloud, binding juga dapat menentukan condition, yang merupakan ekspresi logis yang mengizinkan akses ke resource hanya jika ekspresi dievaluasi menjadi true. Kondisi dapat menambahkan batasan berdasarkan atribut permintaan, resource, atau keduanya. Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.
bindings:
- members:
- user:mike@example.com
- group:admins@example.com
- domain:google.com
- serviceAccount:my-project-id@appspot.gserviceaccount.com
role: roles/resourcemanager.organizationAdmin
- members:
- user:eve@example.com
role: roles/resourcemanager.organizationViewer
condition:
title: expirable access
description: Does not grant access after Sep 2020
expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
etag: BwWWja0YfJA=
version: 3
Untuk mengetahui deskripsi IAM dan fitur-fiturnya, lihat dokumentasi IAM.
Kolom
version
int32
Menentukan format kebijakan.
Nilai yang valid adalah 0, 1, dan 3. Permintaan yang menentukan nilai yang tidak valid akan ditolak.
Setiap operasi yang memengaruhi binding peran bersyarat harus menentukan versi 3. Persyaratan ini berlaku untuk operasi berikut:
Mendapatkan kebijakan yang mencakup binding peran bersyarat
Menambahkan binding peran bersyarat ke kebijakan
Mengubah binding peran bersyarat dalam kebijakan
Menghapus binding peran apa pun, dengan atau tanpa kondisi, dari kebijakan yang menyertakan kondisi
Penting: Jika Anda menggunakan IAM Conditions, Anda harus menyertakan kolom etag setiap kali Anda memanggil setIamPolicy. Jika Anda menghapus kolom ini, IAM memungkinkan Anda menimpa kebijakan versi 3 dengan kebijakan versi 1, dan semua kondisi dalam kebijakan versi 3 akan hilang.
Jika kebijakan tidak menyertakan kondisi apa pun, operasi pada kebijakan tersebut dapat menentukan versi yang valid atau membiarkan kolom tidak disetel.
Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.
Mengaitkan daftar members, atau akun utama, dengan role. Secara opsional, dapat menentukan condition yang menentukan cara dan waktu penerapan bindings. Setiap bindings harus berisi setidaknya satu prinsipal.
bindings dalam Policy dapat merujuk hingga 1.500 akun utama; hingga 250 akun utama ini dapat berupa grup Google. Setiap kemunculan akun utama dihitung dalam batas ini. Misalnya, jika bindings memberikan 50 peran berbeda kepada user:alice@example.com, dan bukan kepada akun utama lain, Anda dapat menambahkan 1.450 akun utama lain ke bindings di Policy.
etag
bytes
etag digunakan untuk kontrol konkurensi optimis sebagai cara untuk membantu mencegah pembaruan kebijakan secara bersamaan agar tidak menimpa satu sama lain. Sangat disarankan agar sistem menggunakan etag dalam siklus read-modify-write untuk melakukan pembaruan kebijakan guna menghindari kondisi persaingan: etag ditampilkan dalam respons terhadap getIamPolicy, dan sistem diharapkan untuk memasukkan etag tersebut dalam permintaan ke setIamPolicy untuk memastikan bahwa perubahan akan diterapkan pada kebijakan versi yang sama.
Penting: Jika Anda menggunakan IAM Conditions, Anda harus menyertakan kolom etag setiap kali Anda memanggil setIamPolicy. Jika Anda menghapus kolom ini, IAM memungkinkan Anda menimpa kebijakan versi 3 dengan kebijakan versi 1, dan semua kondisi dalam kebijakan versi 3 akan hilang.
SetIamPolicyRequest
Pesan permintaan untuk metode SetIamPolicy.
Kolom
resource
string
WAJIB: Resource yang kebijakannya sedang ditentukan. Lihat Nama resource untuk nilai yang sesuai untuk kolom ini.
WAJIB: Kebijakan lengkap yang akan diterapkan ke resource. Ukuran kebijakan dibatasi hingga beberapa puluh KB. Kebijakan kosong adalah kebijakan yang valid, tetapi layanan Google Cloud tertentu (seperti Project) mungkin menolaknya.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-10-19 UTC."],[],[]]
