Package google.iam.v1

Indice

Associazione

Associa members, o entità, a un role.

Campi
role

string

Ruolo assegnato all'elenco di members o entità. Ad esempio, roles/viewer, roles/editor o roles/owner.

Per una panoramica dei ruoli e delle autorizzazioni IAM, consulta la documentazione IAM. Per un elenco dei ruoli predefiniti disponibili, consulta questa pagina.
members[]

string

Specifica le entità che richiedono l'accesso a una risorsa Google Cloud. members può avere i seguenti valori:

  • allUsers: un identificatore speciale che rappresenta tutti gli utenti di internet, con o senza un Account Google.

  • allAuthenticatedUsers: un identificatore speciale che rappresenta chiunque sia autenticato con un Account Google o un account di servizio. Non include le identità provenienti da provider di identità (IdP) esterni tramite la federazione delle identità.

  • user:{emailid}: Un indirizzo email che rappresenta un Account Google specifico. Ad esempio, alice@example.com .

  • serviceAccount:{emailid}: Un indirizzo email che rappresenta un account di servizio Google. Ad esempio, my-other-app@appspot.gserviceaccount.com.

  • serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: un identificatore per un service account Kubernetes. Ad esempio: my-project.svc.id.goog[my-namespace/my-kubernetes-sa].

  • group:{emailid}: Un indirizzo email che rappresenta un gruppo Google. Ad esempio, admins@example.com.

  • domain:{domain}: il dominio G Suite (principale) che rappresenta tutti gli utenti di quel dominio. Ad esempio, google.com o example.com.

  • principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: Una singola identità in un pool di identità della forza lavoro.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{group_id}: Tutte le identità della forza lavoro in un gruppo.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}: Tutte le identità della forza lavoro con un valore di attributo specifico.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/*: Tutte le identità in un pool di identità della forza lavoro.

  • principal://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}: Una singola identità in un pool di identità del workload.

  • principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/group/{group_id}: Un gruppo di pool di identità del workload.

  • principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}: Tutte le identità in un pool di identità del workload con un determinato attributo.

  • principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/*: Tutte le identità in un pool di identità del workload.

  • deleted:user:{emailid}?uid={uniqueid}: Un indirizzo email (più un identificatore univoco) che rappresenta un utente eliminato di recente. Ad esempio, alice@example.com?uid=123456789012345678901. Se l'utente viene recuperato, questo valore torna a user:{emailid} e l'utente recuperato mantiene il ruolo nell'associazione.

  • deleted:serviceAccount:{emailid}?uid={uniqueid}: Un indirizzo email (più un identificatore univoco) che rappresenta un account di servizio eliminato di recente. Ad esempio, my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. Se il account di servizio viene ripristinato, questo valore torna a serviceAccount:{emailid} e il account di servizio ripristinato mantiene il ruolo nell'associazione.

  • deleted:group:{emailid}?uid={uniqueid}: un indirizzo email (più un identificatore univoco) che rappresenta un gruppo Google eliminato di recente. Ad esempio, admins@example.com?uid=123456789012345678901. Se il gruppo viene recuperato, questo valore torna a group:{emailid} e il gruppo recuperato mantiene il ruolo nell'associazione.

  • deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: Identità singola eliminata in un pool di identità della forza lavoro. Ad esempio, deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value.
condition

Expr

La condizione associata a questa associazione.

Se la condizione restituisce true, questo binding viene applicato alla richiesta corrente.

Se la condizione restituisce false, questo binding non si applica alla richiesta corrente. Tuttavia, un'associazione di ruoli diversa potrebbe concedere lo stesso ruolo a una o più entità in questa associazione.

Per scoprire quali risorse supportano le condizioni nelle relative policy IAM, consulta la documentazione IAM.

GetIamPolicyRequest

Richiesta di messaggio per il metodo GetIamPolicy.

Campi
resource

string

OBBLIGATORIO: la risorsa per cui viene richiesta la policy. Per il valore appropriato per questo campo, consulta Nomi delle risorse.
options

GetPolicyOptions

(FACOLTATIVO) Un oggetto GetPolicyOptions per specificare le opzioni di GetIamPolicy.

GetPolicyOptions

Contiene le impostazioni fornite a GetIamPolicy.

Campi
requested_policy_version

int32

Facoltativo. La versione massima delle norme che verrà utilizzata per formattarle.

I valori validi sono 0, 1 e 3. Le richieste che specificano un valore non valido verranno rifiutate.

Le richieste di norme con associazioni di ruoli condizionali devono specificare la versione 3. I criteri senza binding di ruoli condizionali possono specificare qualsiasi valore valido o lasciare il campo non impostato.

Il criterio nella risposta potrebbe utilizzare la versione del criterio che hai specificato oppure una versione precedente. Ad esempio, se specifichi la versione 3, ma la norma non ha associazioni di ruoli condizionali, la risposta utilizza la versione 1.

Per scoprire quali risorse supportano le condizioni nelle relative policy IAM, consulta la documentazione IAM.

Norme

Un criterio Identity and Access Management (IAM), che specifica i controlli dell'accesso per le risorse Google Cloud.

Un Policy è una raccolta di bindings. Un binding vincola una o più members, o entità, a un singolo role. Le entità possono essere account utente, service account, gruppi Google e domini (ad esempio G Suite). Un role è un elenco denominato di autorizzazioni; ogni role può essere un ruolo predefinito IAM o un ruolo personalizzato creato dall'utente.

Per alcuni tipi di risorse Google Cloud, un binding può anche specificare un condition, ovvero un'espressione logica che consente l'accesso a una risorsa solo se l'espressione restituisce true. Una condizione può aggiungere vincoli in base agli attributi della richiesta, della risorsa o di entrambi. Per scoprire quali risorse supportano le condizioni nelle relative policy IAM, consulta la documentazione IAM.

Esempio di JSON:

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

Esempio YAML:

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

Per una descrizione di IAM e delle sue funzionalità, consulta la documentazione di IAM.

Campi
version

int32

Specifica il formato della policy.

I valori validi sono 0, 1 e 3. Le richieste che specificano un valore non valido vengono rifiutate.

Qualsiasi operazione che influisce sulle associazioni di ruoli condizionali deve specificare la versione 3. Questo requisito si applica alle seguenti operazioni:

  • Recupero di un criterio che include un'associazione di ruoli condizionale
  • Aggiunta di un'associazione di ruolo condizionale a un criterio
  • Modifica di un'associazione di ruoli condizionale in una policy
  • Rimozione di qualsiasi associazione di ruolo, con o senza condizione, da una policy che include condizioni

Importante:se utilizzi le condizioni IAM, devi includere il campo etag ogni volta che chiami setIamPolicy. Se ometti questo campo, IAM ti consente di sovrascrivere un criterio di versione 3 con un criterio di versione 1 e tutte le condizioni del criterio di versione 3 vengono perse.

Se un criterio non include condizioni, le operazioni su questo criterio possono specificare qualsiasi versione valida o lasciare il campo non impostato.

Per scoprire quali risorse supportano le condizioni nelle relative policy IAM, consulta la documentazione IAM.
bindings[]

Binding

Associa un elenco di members, o entità, a un role. (Facoltativo) Può specificare un condition che determina come e quando vengono applicati i bindings. Ciascuno dei bindings deve contenere almeno un principal.

Il bindings in un Policy può fare riferimento a un massimo di 1500 entità. Di queste,un massimo di 250 possono essere gruppi Google. Ogni occorrenza di un'entità viene conteggiata ai fini di questi limiti. Ad esempio, se la concessione bindings assegna 50 ruoli diversi a user:alice@example.com e a nessun'altra entità, puoi aggiungere altre 1450 entità a bindings in Policy.
etag

bytes

etag viene utilizzato per controllo della contemporaneità ottimistico per evitare che gli aggiornamenti simultanei di una policy si sovrascrivano a vicenda. È consigliabile che i sistemi utilizzino etag nel ciclo di lettura-modifica-scrittura per eseguire gli aggiornamenti delle norme al fine di evitare condizioni di competizione: un etag viene restituito nella risposta a getIamPolicy e i sistemi devono inserire questo etag nella richiesta a setIamPolicy per garantire che la modifica venga applicata alla stessa versione delle norme.

Importante:se utilizzi le condizioni IAM, devi includere il campo etag ogni volta che chiami setIamPolicy. Se ometti questo campo, IAM ti consente di sovrascrivere un criterio di versione 3 con un criterio di versione 1 e tutte le condizioni del criterio di versione 3 vengono perse.

SetIamPolicyRequest

Richiesta di messaggio per il metodo SetIamPolicy.

Campi
resource

string

OBBLIGATORIO: la risorsa per cui viene specificato il criterio. Per il valore appropriato per questo campo, consulta Nomi delle risorse.
policy

Policy

OBBLIGATORIO: la norma completa da applicare a resource. Le dimensioni della policy sono limitate a poche decine di KB. Una policy vuota è una policy valida, ma alcuni servizi Google Cloud (come i progetti) potrebbero rifiutarla.