本頁面由 Cloud Translation API 翻譯而成。

Policy

JSON 表示法
繫結
- JSON 表示法

Identity and Access Management (IAM) 政策，用於指定 Google Cloud 資源的存取權控管。

Policy 是 bindings 的集合。binding 會將一或多個 members 或主體繫結至單一 role。主體可以是使用者帳戶、服務帳戶、Google 群組和網域 (例如 G Suite)。role 是具名權限清單，每個 role 可以是 IAM 預先定義的角色，也可以是使用者建立的自訂角色。

對於某些類型的 Google Cloud 資源，binding 也可以指定 condition，這是邏輯運算式，只有在運算式評估結果為 true 時，才允許存取資源。條件可根據要求、資源或兩者的屬性新增限制。如要瞭解哪些資源支援 IAM 政策中的條件，請參閱 IAM 說明文件。

JSON 範例：

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

YAML 範例：

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

如需 IAM 及其功能的說明，請參閱 IAM 說明文件。

JSON 表示法
{ "version": integer, "bindings": [ { object (`Binding`) } ], "etag": string }

欄位

欄位
`version`	`integer` 指定政策格式。有效值為 `0`、`1` 和 `3`。如果要求指定無效值，系統會拒絕要求。凡是會影響條件式角色繫結的作業，都必須指定版本 `3`。這項規定適用於下列作業：取得包含條件式角色繫結的政策在政策中新增條件角色繫結變更政策中的條件式角色繫結從包含條件的政策中移除任何角色繫結 (無論是否包含條件) 重要事項：如果您使用 IAM 條件，每次呼叫 `setIamPolicy` 時都必須加入 `etag` 欄位。如果省略這個欄位，IAM 允許您以版本 `1` 政策覆寫版本 `3` 政策，且版本 `3` 政策中的所有條件都會遺失。如果政策不含任何條件，對該政策執行的作業可以指定任何有效版本，或將欄位留空。如要瞭解哪些資源支援 IAM 政策中的條件，請參閱 IAM 說明文件。
`bindings[]`	`object (Binding)` 將 `members` 清單或主體與 `role` 建立關聯。(選用) 您可以指定 `condition`，決定 `bindings` 的套用方式和時間。每個 `bindings` 至少必須包含一個主體。 `Policy` 中的 `bindings` 最多可參照 1,500 個主體，其中最多 250 個主體可以是 Google 群組。每個主體例項都會計入這些限制。舉例來說，如果 `bindings` 將 50 個不同的角色授予 `user:alice@example.com`，但未授予任何其他主體，則您可以在 `Policy` 中將另外 1,450 個主體新增至 `bindings`。
`etag`	`string (bytes format)` `etag` 用於開放式並行控制，有助防止政策在同時更新時相互覆寫。強烈建議系統在讀取-修改-寫入週期中使用 `etag` 執行政策更新，以避免發生競爭狀況：系統會在 `getIamPolicy` 的回應中傳回 `etag`，並預期將該 etag 放入 `setIamPolicy` 的要求中，確保變更會套用至相同版本的政策。重要事項：如果您使用 IAM 條件，每次呼叫 `setIamPolicy` 時都必須加入 `etag` 欄位。如果省略這個欄位，IAM 允許您以版本 `1` 政策覆寫版本 `3` 政策，且版本 `3` 政策中的所有條件都會遺失。 Base64 編碼字串。

version

integer

指定政策格式。

有效值為 0、1 和 3。如果要求指定無效值，系統會拒絕要求。

凡是會影響條件式角色繫結的作業，都必須指定版本 3。這項規定適用於下列作業：

取得包含條件式角色繫結的政策
在政策中新增條件角色繫結
變更政策中的條件式角色繫結
從包含條件的政策中移除任何角色繫結 (無論是否包含條件)

重要事項：如果您使用 IAM 條件，每次呼叫 setIamPolicy 時都必須加入 etag 欄位。如果省略這個欄位，IAM 允許您以版本 1 政策覆寫版本 3 政策，且版本 3 政策中的所有條件都會遺失。

如果政策不含任何條件，對該政策執行的作業可以指定任何有效版本，或將欄位留空。

如要瞭解哪些資源支援 IAM 政策中的條件，請參閱 IAM 說明文件。

bindings[]

object (Binding)

將 members 清單或主體與 role 建立關聯。(選用) 您可以指定 condition，決定 bindings 的套用方式和時間。每個 bindings 至少必須包含一個主體。

Policy 中的 bindings 最多可參照 1,500 個主體，其中最多 250 個主體可以是 Google 群組。每個主體例項都會計入這些限制。舉例來說，如果 bindings 將 50 個不同的角色授予 user:alice@example.com，但未授予任何其他主體，則您可以在 Policy 中將另外 1,450 個主體新增至 bindings。

etag

string (bytes format)

etag 用於開放式並行控制，有助防止政策在同時更新時相互覆寫。強烈建議系統在讀取-修改-寫入週期中使用 etag 執行政策更新，以避免發生競爭狀況：系統會在 getIamPolicy 的回應中傳回 etag，並預期將該 etag 放入 setIamPolicy 的要求中，確保變更會套用至相同版本的政策。

Base64 編碼字串。

繫結

將 members (或主體) 與 role 建立關聯。

JSON 表示法
{ "role": string, "members": [ string ], "condition": { object (`Expr`) } }

欄位

欄位
`role`	`string` 指派給 `members` 清單或主體的角色。例如 `roles/viewer`、`roles/editor` 或 `roles/owner`。如要瞭解身分與存取權管理角色和權限，請參閱身分與存取權管理說明文件。如需可用預先定義角色的清單，請參閱這篇文章。
`members[]`	`string` 指定向 Google Cloud 資源要求存取權的主體。`members` 的值可能如下： `allUsers`：這種特殊的身分識別代表網際網路上的所有使用者，無論該使用者是否有 Google 帳戶。 `allAuthenticatedUsers`：這種特殊的身分識別代表任何透過 Google 帳戶或服務帳戶進行驗證的使用者。不包括透過身分聯盟從外部身分提供者 (IdP) 取得的身分。 `user:{emailid}`：代表特定 Google 帳戶的電子郵件地址，例如：`alice@example.com`。 `serviceAccount:{emailid}`：代表 Google 服務帳戶的電子郵件地址，例如：`my-other-app@appspot.gserviceaccount.com`。 `serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]`：Kubernetes 服務帳戶的 ID。例如：`my-project.svc.id.goog[my-namespace/my-kubernetes-sa]`。 `group:{emailid}`：代表 Google 群組的電子郵件地址，例如：`admins@example.com`。 `domain:{domain}`：代表該網域所有使用者的 G Suite 網域 (主要)，例如 `google.com` 或 `example.com`。 `principal://iam.googleapis.com/locations/global/workforcePools/{poolId}/subject/{subject_attribute_value}`：員工身分集區中的單一身分。 `principalSet://iam.googleapis.com/locations/global/workforcePools/{poolId}/group/{groupId}`：群組中的所有員工身分。 `principalSet://iam.googleapis.com/locations/global/workforcePools/{poolId}/attribute.{attributeName}/{attributeValue}`：具有特定屬性值的所有員工身分。 `principalSet://iam.googleapis.com/locations/global/workforcePools/{poolId}/`：員工身分集區中的所有身分。 `principal://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{poolId}/subject/{subject_attribute_value}`：workload identity pool 中的單一身分。 `principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{poolId}/group/{groupId}`：工作負載身分集區群組。 `principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{poolId}/attribute.{attributeName}/{attributeValue}`：特定 workload identity pool 中具有特定屬性的所有身分。 `principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{poolId}/`：Workload Identity Pool 中的所有身分。 `deleted:user:{emailid}?uid={uniqueid}`：代表最近刪除的使用者電子郵件地址 (加上專屬 ID)。例如：`alice@example.com?uid=123456789012345678901`。如果使用者已復原，這個值會還原為 `user:{emailid}`，且復原的使用者會保留繫結中的角色。 `deleted:serviceAccount:{emailid}?uid={uniqueid}`：代表最近刪除的服務帳戶的電子郵件地址 (加上專屬 ID)。例如：`my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901`。如果服務帳戶未刪除，這個值會還原為 `serviceAccount:{emailid}`，且未刪除的服務帳戶會保留繫結中的角色。 `deleted:group:{emailid}?uid={uniqueid}`：代表最近刪除的 Google 群組的電子郵件地址 (加上專屬 ID)。例如，`admins@example.com?uid=123456789012345678901`。如果群組已復原，這個值會還原為 `group:{emailid}`，且復原的群組會保留繫結中的角色。 `deleted:principal://iam.googleapis.com/locations/global/workforcePools/{poolId}/subject/{subject_attribute_value}`：刪除工作團隊身分集區中的單一身分。例如：`deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value`。
`condition`	`object (Expr)` 與此繫結相關聯的條件。如果條件評估結果為 `true`，則這項繫結會套用至目前要求。如果條件評估結果為 `false`，則這項繫結不適用於目前要求。不過，不同的角色繫結可能會將相同角色授予這個繫結中的一或多個主體。如要瞭解哪些資源支援 IAM 政策中的條件，請參閱 IAM 說明文件。

role

string

指派給 members 清單或主體的角色。例如 roles/viewer、roles/editor 或 roles/owner。

如要瞭解身分與存取權管理角色和權限，請參閱身分與存取權管理說明文件。如需可用預先定義角色的清單，請參閱這篇文章。

members[]

string

指定向 Google Cloud 資源要求存取權的主體。members 的值可能如下：

allUsers：這種特殊的身分識別代表網際網路上的所有使用者，無論該使用者是否有 Google 帳戶。
allAuthenticatedUsers：這種特殊的身分識別代表任何透過 Google 帳戶或服務帳戶進行驗證的使用者。不包括透過身分聯盟從外部身分提供者 (IdP) 取得的身分。
user:{emailid}：代表特定 Google 帳戶的電子郵件地址，例如：alice@example.com。

serviceAccount:{emailid}：代表 Google 服務帳戶的電子郵件地址，例如：my-other-app@appspot.gserviceaccount.com。
serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]：Kubernetes 服務帳戶的 ID。例如：my-project.svc.id.goog[my-namespace/my-kubernetes-sa]。
group:{emailid}：代表 Google 群組的電子郵件地址，例如：admins@example.com。

domain:{domain}：代表該網域所有使用者的 G Suite 網域 (主要)，例如 google.com 或 example.com。

principal://iam.googleapis.com/locations/global/workforcePools/{poolId}/subject/{subject_attribute_value}：員工身分集區中的單一身分。
principalSet://iam.googleapis.com/locations/global/workforcePools/{poolId}/group/{groupId}：群組中的所有員工身分。
principalSet://iam.googleapis.com/locations/global/workforcePools/{poolId}/attribute.{attributeName}/{attributeValue}：具有特定屬性值的所有員工身分。
principalSet://iam.googleapis.com/locations/global/workforcePools/{poolId}/*：員工身分集區中的所有身分。
principal://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{poolId}/subject/{subject_attribute_value}：workload identity pool 中的單一身分。
principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{poolId}/group/{groupId}：工作負載身分集區群組。
principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{poolId}/attribute.{attributeName}/{attributeValue}：特定 workload identity pool 中具有特定屬性的所有身分。
principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{poolId}/*：Workload Identity Pool 中的所有身分。
deleted:user:{emailid}?uid={uniqueid}：代表最近刪除的使用者電子郵件地址 (加上專屬 ID)。例如：alice@example.com?uid=123456789012345678901。如果使用者已復原，這個值會還原為 user:{emailid}，且復原的使用者會保留繫結中的角色。
deleted:serviceAccount:{emailid}?uid={uniqueid}：代表最近刪除的服務帳戶的電子郵件地址 (加上專屬 ID)。例如：my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901。如果服務帳戶未刪除，這個值會還原為 serviceAccount:{emailid}，且未刪除的服務帳戶會保留繫結中的角色。
deleted:group:{emailid}?uid={uniqueid}：代表最近刪除的 Google 群組的電子郵件地址 (加上專屬 ID)。例如，admins@example.com?uid=123456789012345678901。如果群組已復原，這個值會還原為 group:{emailid}，且復原的群組會保留繫結中的角色。
deleted:principal://iam.googleapis.com/locations/global/workforcePools/{poolId}/subject/{subject_attribute_value}：刪除工作團隊身分集區中的單一身分。例如：deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value。

condition

object (Expr)

與此繫結相關聯的條件。

如果條件評估結果為 true，則這項繫結會套用至目前要求。

如果條件評估結果為 false，則這項繫結不適用於目前要求。不過，不同的角色繫結可能會將相同角色授予這個繫結中的一或多個主體。

如要瞭解哪些資源支援 IAM 政策中的條件，請參閱 IAM 說明文件。