此页面由 Cloud Translation API 翻译。

Package google.iam.v1

索引

Binding（消息）
GetIamPolicyRequest（消息）
GetPolicyOptions（消息）
Policy（消息）
SetIamPolicyRequest（消息）

绑定

将 members 或主账号与 role 关联。

字段

字段
`role`	`string` 分配给 `members`（即主账号）列表的角色。例如 `roles/viewer`、`roles/editor` 或 `roles/owner`。如需大致了解 IAM 角色和权限，请参阅 IAM 文档。如需查看可用的预定义角色的列表，请点击此处。
`members[]`	`string` 指定请求访问 Google Cloud 资源的身份。`members` 可以具有以下值： `allUsers`：一个特殊的标识符，表示互联网上的任何人（无论是否拥有 Google 账号）。 `allAuthenticatedUsers`：一个特殊的标识符，表示使用 Google 账号或服务账号进行身份验证的任何用户。不包括来自外部身份提供方 (IdP) 通过身份联合的身份。 `user:{emailid}`：表示特定 Google 账号的电子邮件地址。例如 `alice@example.com`。 `serviceAccount:{emailid}`：表示 Google 服务账号的电子邮件地址。例如 `my-other-app@appspot.gserviceaccount.com`。 `serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]`：Kubernetes 服务账号的标识符。例如 `my-project.svc.id.goog[my-namespace/my-kubernetes-sa]`。 `group:{emailid}`：表示 Google 群组的电子邮件地址。例如 `admins@example.com`。 `domain:{domain}`：G Suite 网域（主网域），表示该网域中的所有用户。例如 `google.com` 或 `example.com`。 `principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}`：员工身份池中的单个身份。 `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{group_id}`：群组中的所有员工身份。 `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}`：具有特定属性值的所有员工身份。 `principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/`：员工身份池中的所有身份。 `principal://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}`：工作负载身份池中的单个身份。 `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/group/{group_id}`：工作负载身份池组。 `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}`：工作负载身份池中具有特定特性的所有身份。 `principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/`：工作负载身份池中的所有身份。 `deleted:user:{emailid}?uid={uniqueid}`：表示最近被删除的用户的电子邮件地址（以及唯一标识符）。例如 `alice@example.com?uid=123456789012345678901`。如果用户已恢复，则此值会恢复为 `user:{emailid}`，而且恢复的用户将保留绑定中的角色。 `deleted:serviceAccount:{emailid}?uid={uniqueid}`：表示最近被删除的服务账号的电子邮件地址（以及唯一标识符）。例如 `my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901`。如果恢复删除的服务账号，则此值会还原为 `serviceAccount:{emailid}`，而且删除的服务账号在恢复后将保留绑定中的角色。 `deleted:group:{emailid}?uid={uniqueid}`：表示最近被删除的 Google 群组的电子邮件地址（以及唯一标识符）。例如 `admins@example.com?uid=123456789012345678901`。如果群组已恢复，则此值会恢复为 `group:{emailid}`，而且恢复的群组将保留绑定中的角色。 `deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}`：员工身份池中已删除的单个身份。例如 `deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value`。
`condition`	`Expr` 与此绑定关联的条件。如果条件的计算结果为 `true`，则此绑定会应用于当前请求。如果条件的计算结果为 `false`，则此绑定不会应用于当前请求。但是，不同的角色绑定可能会向此绑定中的一个或多个主账号授予相同角色。如需了解哪些资源支持在其 IAM 政策中使用条件，请参阅 IAM 文档。

role

string

分配给 members（即主账号）列表的角色。例如 roles/viewer、roles/editor 或 roles/owner。

如需大致了解 IAM 角色和权限，请参阅 IAM 文档。如需查看可用的预定义角色的列表，请点击此处。

members[]

string

指定请求访问 Google Cloud 资源的身份。members 可以具有以下值：

allUsers：一个特殊的标识符，表示互联网上的任何人（无论是否拥有 Google 账号）。
allAuthenticatedUsers：一个特殊的标识符，表示使用 Google 账号或服务账号进行身份验证的任何用户。不包括来自外部身份提供方 (IdP) 通过身份联合的身份。
user:{emailid}：表示特定 Google 账号的电子邮件地址。例如 alice@example.com。

serviceAccount:{emailid}：表示 Google 服务账号的电子邮件地址。例如 my-other-app@appspot.gserviceaccount.com。
serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]：Kubernetes 服务账号的标识符。例如 my-project.svc.id.goog[my-namespace/my-kubernetes-sa]。
group:{emailid}：表示 Google 群组的电子邮件地址。例如 admins@example.com。

domain:{domain}：G Suite 网域（主网域），表示该网域中的所有用户。例如 google.com 或 example.com。

principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}：员工身份池中的单个身份。
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{group_id}：群组中的所有员工身份。
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}：具有特定属性值的所有员工身份。
principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/*：员工身份池中的所有身份。
principal://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}：工作负载身份池中的单个身份。
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/group/{group_id}：工作负载身份池组。
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}：工作负载身份池中具有特定特性的所有身份。
principalSet://iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/*：工作负载身份池中的所有身份。
deleted:user:{emailid}?uid={uniqueid}：表示最近被删除的用户的电子邮件地址（以及唯一标识符）。例如 alice@example.com?uid=123456789012345678901。如果用户已恢复，则此值会恢复为 user:{emailid}，而且恢复的用户将保留绑定中的角色。
deleted:serviceAccount:{emailid}?uid={uniqueid}：表示最近被删除的服务账号的电子邮件地址（以及唯一标识符）。例如 my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901。如果恢复删除的服务账号，则此值会还原为 serviceAccount:{emailid}，而且删除的服务账号在恢复后将保留绑定中的角色。
deleted:group:{emailid}?uid={uniqueid}：表示最近被删除的 Google 群组的电子邮件地址（以及唯一标识符）。例如 admins@example.com?uid=123456789012345678901。如果群组已恢复，则此值会恢复为 group:{emailid}，而且恢复的群组将保留绑定中的角色。
deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}：员工身份池中已删除的单个身份。例如 deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value。

condition

Expr

与此绑定关联的条件。

如果条件的计算结果为 true，则此绑定会应用于当前请求。

如果条件的计算结果为 false，则此绑定不会应用于当前请求。但是，不同的角色绑定可能会向此绑定中的一个或多个主账号授予相同角色。

如需了解哪些资源支持在其 IAM 政策中使用条件，请参阅 IAM 文档。

GetIamPolicyRequest

GetIamPolicy 方法的请求消息。

字段

字段
`resource`	`string` 必需字段：要为其请求政策的资源。如需了解此字段的适当值，请参阅资源名称。
`options`	`GetPolicyOptions` 可选：用于指定 `GetIamPolicy` 选项的 `GetPolicyOptions` 对象。

resource

string

必需字段：要为其请求政策的资源。如需了解此字段的适当值，请参阅资源名称。

options

GetPolicyOptions

可选：用于指定 GetIamPolicy 选项的 GetPolicyOptions 对象。

GetPolicyOptions

封装提供给 GetIamPolicy 的设置。

字段

字段
`requested_policy_version`	`int32` 可选。将用于设置政策格式的最高政策版本。有效值包括 0、1 和 3。指定无效值的请求将被拒绝。对具有任何条件角色绑定的政策的请求必须指定版本 3。没有任何条件角色绑定的政策可以指定任何有效值，也可以不设置该字段。响应中的政策可能会使用您指定的政策版本，也可能会使用较低的政策版本。例如，如果您指定版本 3，但政策没有任何条件角色绑定，则响应将使用版本 1。如需了解哪些资源支持在其 IAM 政策中使用条件，请参阅 IAM 文档。

requested_policy_version

int32

可选。将用于设置政策格式的最高政策版本。

有效值包括 0、1 和 3。指定无效值的请求将被拒绝。

对具有任何条件角色绑定的政策的请求必须指定版本 3。没有任何条件角色绑定的政策可以指定任何有效值，也可以不设置该字段。

响应中的政策可能会使用您指定的政策版本，也可能会使用较低的政策版本。例如，如果您指定版本 3，但政策没有任何条件角色绑定，则响应将使用版本 1。

如需了解哪些资源支持在其 IAM 政策中使用条件，请参阅 IAM 文档。

Policy

Identity and Access Management (IAM) 政策，用于指定 Google Cloud 资源的访问权限控制。

Policy 是 bindings 的集合。binding 会将一个或多个 members 或主账号绑定到单个 role。主账号可以是用户账号、服务账号、Google 群组以及网域（例如 G Suite）。role 是命名的权限列表；每个 role 可以是 IAM 预定义角色或用户创建的自定义角色。

对于某些类型的 Google Cloud 资源，binding 还可以指定 condition，这是一个逻辑表达式。只有在此表达式的计算结果为 true 时才允许访问资源。条件可以根据请求和/或资源的特性添加限制条件。如需了解哪些资源支持在其 IAM 政策中使用条件，请参阅 IAM 文档。

JSON 示例：

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

YAML 示例：

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

如需了解 IAM 及其功能，请参阅 IAM 文档。

字段

字段
`version`	`int32` 指定政策的格式。有效值为 `0`、`1` 和 `3`。指定无效值的请求将被拒绝。任何影响条件角色绑定的操作都必须指定版本 `3`。此要求适用于以下操作：获取包含条件角色绑定的政策向政策添加条件角色绑定更改政策中的条件角色绑定从包含条件的政策中移除任何角色绑定，而无论此绑定是否含有条件重要提示：如果您使用 IAM 条件，则必须在调用 `setIamPolicy` 时包含 `etag` 字段。如果您省略此字段，则 IAM 允许您使用版本 `1` 政策覆盖版本 `3` 政策，而且版本 `3` 政策中的所有条件都会丢失。如果政策不包含任何条件，则对该政策执行的操作可以指定任何有效版本，也可以不设置该字段。如需了解哪些资源支持在其 IAM 政策中使用条件，请参阅 IAM 文档。
`bindings[]`	`Binding` 将一组 `members` 或主账号与一个 `role` 相关联。（可选）可以指定一个 `condition` 以确定如何及何时应用 `bindings`。每个 `bindings` 必须至少包含一个主账号。 `Policy` 中的 `bindings` 最多可以引用 1,500 个主账号；其中，最多有 250 个主账号可以是 Google 群组。主账号的每个实例都会计入相应限制。例如，如果 `bindings` 向 `user:alice@example.com` 授予了 50 个不同的角色且没有向任何其他主账号授予角色，那么您最多还可以向 `Policy` 中的 `bindings` 添加 1,450 个主账号。
`etag`	`bytes` `etag` 用于乐观并发控制，可帮助防止同时对政策进行的更新相互覆盖。强烈建议系统在“读取-修改-写入”周期中使用 `etag` 来执行政策更新以避免冲突：返回 `etag` 来响应 `getIamPolicy`，系统应将该 etag 放入对 `setIamPolicy` 的请求中，以确保其更改将应用于同一版本的政策。重要提示：如果您使用 IAM 条件，则必须在调用 `setIamPolicy` 时包含 `etag` 字段。如果您省略此字段，则 IAM 允许您使用版本 `1` 政策覆盖版本 `3` 政策，而且版本 `3` 政策中的所有条件都会丢失。

version

int32

指定政策的格式。

有效值为 0、1 和 3。指定无效值的请求将被拒绝。

任何影响条件角色绑定的操作都必须指定版本 3。此要求适用于以下操作：

获取包含条件角色绑定的政策
向政策添加条件角色绑定
更改政策中的条件角色绑定
从包含条件的政策中移除任何角色绑定，而无论此绑定是否含有条件

重要提示：如果您使用 IAM 条件，则必须在调用 setIamPolicy 时包含 etag 字段。如果您省略此字段，则 IAM 允许您使用版本 1 政策覆盖版本 3 政策，而且版本 3 政策中的所有条件都会丢失。

如果政策不包含任何条件，则对该政策执行的操作可以指定任何有效版本，也可以不设置该字段。

如需了解哪些资源支持在其 IAM 政策中使用条件，请参阅 IAM 文档。

bindings[]

Binding

将一组 members 或主账号与一个 role 相关联。（可选）可以指定一个 condition 以确定如何及何时应用 bindings。每个 bindings 必须至少包含一个主账号。

Policy 中的 bindings 最多可以引用 1,500 个主账号；其中，最多有 250 个主账号可以是 Google 群组。主账号的每个实例都会计入相应限制。例如，如果 bindings 向 user:alice@example.com 授予了 50 个不同的角色且没有向任何其他主账号授予角色，那么您最多还可以向 Policy 中的 bindings 添加 1,450 个主账号。

etag

bytes

etag 用于乐观并发控制，可帮助防止同时对政策进行的更新相互覆盖。强烈建议系统在“读取-修改-写入”周期中使用 etag 来执行政策更新以避免冲突：返回 etag 来响应 getIamPolicy，系统应将该 etag 放入对 setIamPolicy 的请求中，以确保其更改将应用于同一版本的政策。

SetIamPolicyRequest

SetIamPolicy 方法的请求消息。

字段

字段
`resource`	`string` 必需：要为其指定政策的资源。如需了解此字段的适当值，请参阅资源名称。
`policy`	`Policy` 必需：要应用于 `resource` 的完整政策。政策的大小限制为几十 KB。空政策是有效的政策，但可能被某些 Google Cloud 服务（例如项目）拒绝。

resource

string

必需：要为其指定政策的资源。如需了解此字段的适当值，请参阅资源名称。

policy

Policy

必需：要应用于 resource 的完整政策。政策的大小限制为几十 KB。空政策是有效的政策，但可能被某些 Google Cloud 服务（例如项目）拒绝。

Package google.iam.v1 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

索引

绑定

GetIamPolicyRequest

GetPolicyOptions

Policy

SetIamPolicyRequest

Package google.iam.v1