IAM Conditions のリソース属性

このトピックには、リソース サービスの文字列値、リソースタイプ、リソース名文字列の形式などの条件でリソース属性に使用できる値のリストが含まれています。

リソース属性を使用して、ロール バインディングによって提供される権限の範囲を変更できます。ロールに異なる種類のリソースに適用される権限がある場合、条件では、リソース サービス、リソースタイプ、リソース名に基づいてロールの権限のサブセットを付与できます。

リソース属性は、このページに記載されている Google Cloud サービスとリソースタイプで使用できます。他のサービスとリソースタイプでは、リソース属性は認識されません。

Identity and Access Management(IAM)Conditions の詳細については、次のトピックをご覧ください。

リソース サービスの値

次の表に、リソース サービス属性に設定可能な値を示します。

リソース サービスの値 REST リファレンス
apigee.googleapis.com API リファレンス
backupdr.googleapis.com API リファレンス
bigquery.googleapis.com API リファレンス
bigqueryreservation.googleapis.com API リファレンス
bigtableadmin.googleapis.com API リファレンス
binaryauthorization.googleapis.com API リファレンス
clouddeploy.googleapis.com API リファレンス
cloudkms.googleapis.com API リファレンス
cloudresourcemanager.googleapis.com API リファレンス
compute.googleapis.com API リファレンス
container.googleapis.com API リファレンス
connectors.googleapis.com API リファレンス
dataform.googleapis.com API リファレンス
firestore.googleapis.com API リファレンス
iap.googleapis.com API リファレンス
integrations.googleapis.com API リファレンス
logging.googleapis.com API リファレンス
managedkafka.googleapis.com API リファレンス
pubsublite.googleapis.com API リファレンス
secretmanager.googleapis.com API リファレンス
spanner.googleapis.com API リファレンス
sqladmin.googleapis.com API リファレンス
storage.googleapis.com API リファレンス

リソースタイプの値

次の表に、リソースタイプ属性に含めることができる値を示します。

リソースタイプの値 リファレンス
apigee.googleapis.com/ApiProduct 詳細
apigee.googleapis.com/ApiProductAttribute 詳細
apigee.googleapis.com/Cache 詳細
apigee.googleapis.com/Developer 詳細
apigee.googleapis.com/DeveloperApp 詳細
apigee.googleapis.com/DeveloperAppAttribute 詳細
apigee.googleapis.com/DeveloperAttribute 詳細
apigee.googleapis.com/Export 詳細
apigee.googleapis.com/FlowHook 詳細
apigee.googleapis.com/KeyStore 詳細
apigee.googleapis.com/KeyStoreAlias 詳細
apigee.googleapis.com/KeyValueEntry 詳細
apigee.googleapis.com/KeyValueMap 詳細
apigee.googleapis.com/Proxy 詳細
apigee.googleapis.com/ProxyRevision 詳細
apigee.googleapis.com/Query 詳細
apigee.googleapis.com/RatePlan 詳細
apigee.googleapis.com/Reference 詳細
apigee.googleapis.com/SharedFlow 詳細
apigee.googleapis.com/SharedFlowRevision 詳細
apigee.googleapis.com/TargetServer 詳細
apigee.googleapis.com/TraceSession 詳細
backupdr.googleapis.com/BackupVaults 詳細
bigquery.googleapis.com/Dataset 詳細
bigquery.googleapis.com/Model 詳細
bigquery.googleapis.com/Routine 詳細
bigquery.googleapis.com/Table 詳細
bigqueryreservation.googleapis.com/Assignment 詳細
bigqueryreservation.googleapis.com/BiReservation 詳細
bigqueryreservation.googleapis.com/CapacityCommitment 詳細
bigqueryreservation.googleapis.com/Location 詳細
bigqueryreservation.googleapis.com/Reservation 詳細
bigtableadmin.googleapis.com/AppProfile 詳細
bigtableadmin.googleapis.com/Backup 詳細
bigtableadmin.googleapis.com/Cluster 詳細
bigtableadmin.googleapis.com/Instance 詳細
bigtableadmin.googleapis.com/Table 詳細
binaryauthorization.googleapis.com/Attestor 詳細
binaryauthorization.googleapis.com/ContinuousValidationConfig 詳細
binaryauthorization.googleapis.com/Policy 詳細
cloud.googleapis.com/Location1 詳細
cloudkms.googleapis.com/CryptoKey 詳細
cloudkms.googleapis.com/CryptoKeyVersion 詳細
cloudkms.googleapis.com/KeyRing 詳細
cloudresourcemanager.googleapis.com/Project2 詳細
compute.googleapis.com/BackendService 詳細
compute.googleapis.com/Disk 詳細
compute.googleapis.com/Firewall 詳細
compute.googleapis.com/ForwardingRule 詳細
compute.googleapis.com/GlobalForwardingRule 詳細
compute.googleapis.com/Image 詳細
compute.googleapis.com/Instance 詳細
compute.googleapis.com/InstanceTemplate 詳細
compute.googleapis.com/Snapshot 詳細
compute.googleapis.com/TargetHttpProxy 詳細
compute.googleapis.com/TargetHttpsProxy 詳細
compute.googleapis.com/TargetSslProxy 詳細
compute.googleapis.com/TargetTcpProxy 詳細
connectors.googleapis.com/Connection 詳細
connectors.googleapis.com/ConnectionSchemaMetadata 詳細
connectors.googleapis.com/EndpointAttachment 詳細
connectors.googleapis.com/EventSubscription 詳細
connectors.googleapis.com/ManagedZone 詳細
container.googleapis.com/Clusters 詳細
dataform.googleapis.com/CompilationResult 詳細
dataform.googleapis.com/Location 詳細
dataform.googleapis.com/ReleaseConfig 詳細
dataform.googleapis.com/Repository 詳細
dataform.googleapis.com/WorkflowConfig 詳細
dataform.googleapis.com/WorkflowInvocation 詳細
dataform.googleapis.com/Workspace 詳細
firestore.googleapis.com/Database 詳細
iap.googleapis.com/Tunnel 詳細
iap.googleapis.com/TunnelInstance 詳細
iap.googleapis.com/TunnelZone 詳細
iap.googleapis.com/Web 詳細
iap.googleapis.com/WebService 詳細
iap.googleapis.com/WebServiceVersion 詳細
iap.googleapis.com/WebType 詳細
integrations.googleapis.com/AuthConfig 詳細
integrations.googleapis.com/Execution 詳細
integrations.googleapis.com/Integration 詳細
integrations.googleapis.com/IntegrationVersion 詳細
integrations.googleapis.com/Location なし
integrations.googleapis.com/Suspension 詳細
logging.googleapis.com/LogBucket 詳細
logging.googleapis.com/LogView 詳細
managedkafka.googleapis.com/Cluster 詳細
managedkafka.googleapis.com/ConsumerGroup 詳細
managedkafka.googleapis.com/Operation 詳細
managedkafka.googleapis.com/Topic 詳細
pubsublite.googleapis.com/Location 詳細
pubsublite.googleapis.com/Subscription 詳細
pubsublite.googleapis.com/Topic 詳細
secretmanager.googleapis.com/Secret 詳細
secretmanager.googleapis.com/SecretVersion 詳細
spanner.googleapis.com/Backup 詳細
spanner.googleapis.com/Database 詳細
spanner.googleapis.com/Instance 詳細
sqladmin.googleapis.com/BackupRun 詳細
sqladmin.googleapis.com/Instance 詳細
storage.googleapis.com/Bucket 詳細
storage.googleapis.com/ManagedFolder 詳細
storage.googleapis.com/Object 詳細

1 Cloud Key Management Service は、このリソースタイプをキーリング リソースの親として使用します。

2 Apigee は、このリソースタイプを Apigee 組織に属するリソースの親として使用します。

リソース名の形式

次の表に、リソース名属性の各タイプの形式を示します。

リソースのリファレンス リソース名の形式のテンプレート
Apigee API プロダクト属性 organizations/organization-name/apiproducts/product-id/attributes/attribute-id
Apigee API プロダクト organizations/organization-name/apiproducts/product-id
Apigee API プロキシ organizations/organization-name/apis/proxy-id
Apigee API プロキシの Key-Value マップエントリ organizations/organization-name/api/proxy-id/keyvaluemaps/keyvaluemap-id/entries/entry-id
Apigee API プロキシの Key-Value マップ organizations/organization-name/apis/proxy-id/keyvaluemaps/key-value-map-id
Apigee API プロキシのリビジョン organizations/organization-name/apis/proxy-id/revisions/revision-id
Apigee キャッシュ organizations/organization-name/environments/environment-id/caches/cache-id
Apigee デベロッパー アプリ属性 organizations/organization-name/developers/developer-id/apps/app-id/attributes/attribute-id
Apigee デベロッパー アプリ organizations/organization-name/developers/developer-id/apps/app-id
Apigee デベロッパー属性 organizations/organization-name/developers/developer-id/attributes/attribute-id
Apigee デベロッパー organizations/organization-name/developers/developer-id
Apigee 環境の Key-Value マップエントリ organizations/organization-name/environments/environment-id/keyvaluemaps/keyvaluemap-id/entries/entry-id
Apigee 環境の Key-Value マップ organizations/organization-name/environments/environment/keyvaluemaps/key-value-map-id
Apigee エクスポート organizations/organization-name/environments/environment-id/analytics/exports/export-id
Apigee フローフック organizations/organization-name/environments/environment-id/flowhooks/flowhook-id
Apigee キーストア エイリアス organizations/organization-name/environments/environment-id/keystores/keystore-id/aliases/alias-id
Apigee キーストア organizations/organization-name/environments/environment-id/keystores/keystore-id
Apigee クエリ organizations/organization-name/environments/environment-id/queries/query-id
Apigee 料金プラン organizations/organization-name/apiproducts/product-id/rateplans/rate-plan-id
Apigee リファレンス organizations/organization-name/environments/environment-id/references/reference-id
Apigee 共有フローのリビジョン organizations/organization-name/sharedflows/shared-flow-id/revisions/revision-id
Apigee 共有フロー organizations/organization-name/sharedflows/shared-flow-id
Apigee ターゲット サーバー organizations/organization-name/environments/environment-id/targetservers/targetserver-id
Apigee トレース(デバッグ)セッション organizations/organization-name/environments/environment-id/apis/proxy-id/revisions/revision-id/debugsessions/session-id
Backup and DR Service の backupVaults projects/project-id/locations/location-id/backupVaults/backup-vault-id
BigQuery データセット projects/project-id/datasets/dataset-id
BigQuery モデル projects/project-id/datasets/dataset-id/models/model-id
BigQuery ルーティン projects/project-id/datasets/dataset-id/routines/routine-id
BigQuery テーブル projects/project-id/datasets/dataset-id/tables/table-id
BigQuery Reservation API の割り当て projects/project-id/locations/location-id/reservations/reservation-id/assignments/assignment-id
BigQuery Reservation API の BI 予約 projects/project-id/locations/location-id/biReservation
BigQuery Reservation API の容量コミットメント projects/project-id/locations/location-id/capacityCommitments/capacity-commitment-id
BigQuery Reservation API のロケーション projects/project-id/locations/location-id
BigQuery Reservation API のreservations projects/project-id/locations/location-id/reservations/reservation-id
Binary Authorization 認証者 projects/project-number/attestors/attestor-id
Binary Authorization 継続的検証の構成 projects/project-number/continuousValidationConfig
Binary Authorization ポリシー projects/project-number/policy
Bigtable appProfiles projects/project-number/instances/instance-id/appProfiles/appProfile-id
Bigtable バックアップ projects/project-number/instances/instance-id/clusters/cluster-id/backups/backup-id
Bigtable クラスタ projects/project-number/instances/instance-id/clusters/cluster-id
Bigtable インスタンス projects/project-number/instances/instance-id
Bigtable テーブル projects/project-number/instances/instance-id/tables/table-id
Cloud Deploy の自動化の実行 projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/automationRuns/automation-run-id
Cloud Deploy の自動化 projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/automations/automation-id
Cloud Deploy のカスタム ターゲット タイプ projects/project-id/locations/location-id/customTargetTypes/custom-target-type-id
Cloud Deploy デリバリー パイプライン projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id
Cloud Deploy のジョブ実行 projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id/rollouts/rollout-id/jobRuns/job-run-id
Cloud Deploy のリリース projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id
Cloud Deploy のロールアウト projects/project-id/locations/location-id/deliveryPipelines/delivery-pipeline-id/releases/release-id/rollouts/rollout-id
Cloud Deploy のターゲット projects/project-id/locations/location-id/targets/target-id
Firestore データベース projects/project-id/databases/database-id
Cloud Key Management Service 暗号鍵 projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Cloud Key Management Service 暗号鍵バージョン projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Cloud Key Management Service キーリング projects/project-id/locations/location-id/keyRings/keyring-id
Cloud Logging のログ バケット projects/project-id/locations/location-id/buckets/bucket-id
Cloud Logging ログビュー projects/project-id/locations/location-id/buckets/bucket-id/views/view-id
Spanner バックアップ projects/project-id/instances/instance-id/backups/backup-id
Spanner データベース projects/project-id/instances/instance-id/databases/database-id
Spanner インスタンス projects/project-id/instances/instance-id
Cloud SQL バックアップ実行 projects/project-id/instances/instance-id/backupRuns/backup-id
Cloud SQL インスタンス projects/project-id/instances/instance-id
Cloud Storage バケット1 projects/_/buckets/bucket-name
Cloud Storage マネージド フォルダ1、2 projects/_/buckets/bucket-name/managedFolders/managed-folder-name
Cloud Storage オブジェクト1、3 projects/_/buckets/bucket-name/objects/object-name
Compute Engine グローバル バックエンド サービス projects/project-id/global/backendServices/backend-service-id
Compute Engine リージョン バックエンド サービス projects/project-id/regions/region-id/backendServices/backend-service-id
Compute Engine ファイアウォール projects/project-id/global/firewalls/firewall-id
Compute Engine グローバル転送ルール projects/project-id/global/forwardingRules/forwarding-rule-id
Compute Engine リージョン転送ルール projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Compute Engine イメージ projects/project-id/global/images/image-id
Compute Engine インスタンス テンプレート projects/project-id/global/instanceTemplates/instance-template-id
Compute Engine インスタンス projects/project-id/zones/zone-id/instances/instance-id
Compute Engine リージョン永続ディスク projects/project-id/regions/region-id/disks/disk-id
Compute Engine ゾーン永続ディスク projects/project-id/zones/zone-id/disks/disk-id
Compute Engine スナップショット projects/project-id/global/snapshots/snapshot-id
Compute Engine グローバル ターゲット HTTP プロキシ projects/project-id/global/targetHttpProxies/target-http-proxy-id
Compute Engine リージョン ターゲット HTTP プロキシ projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Compute Engine グローバル ターゲット HTTPS プロキシ projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Compute Engine リージョン ターゲット HTTPS プロキシ projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Compute Engine ターゲット SSL プロキシ projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Compute Engine ターゲット TCP プロキシ projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Google Kubernetes Engine クラスタ projects/project-id/locations/location/clusters/cluster-id
Dataform のコンパイル結果 projects/project-id/locations/location/repositories/repository/compilationResults/compilation-result
Dataform のロケーション projects/project-id/locations/location
Dataform のリリース構成 projects/project-id/locations/location/repositories/repository/releaseConfigs/release-config
Dataform のリポジトリ projects/project-id/locations/location/repositories/repository
Dataform のワークフロー構成 projects/project-id/locations/location/repositories/repository/workflowConfigs/workflow-config
Dataform のワークフロー呼び出し projects/project-id/locations/location/repositories/repository/workflowInvocations/workflow-invocation
Dataform のワークスペース projects/project-id/locations/location/repositories/repository/workspaces/workspace
Integration Connectors の接続 projects/project-id/locations/location/connections/connection-name
Integration Connectors の接続スキーマのメタデータ projects/project-id/locations/location/connections/connection-name/connectionSchemaMetadata
Integration Connectors のエンドポイント アタッチメント projects/project-id/locations/location/endpointAttachments/endpoint-attachment-name
Integration Connectors のイベント サブスクリプション projects/project-id/locations/location/eventSubscriptions/event-subscription-name
Integration Connectors のマネージド ゾーン projects/project-id/locations/global/managedZones/managed-zone-name
Google Cloud Managed Service for Apache Kafka clusters projects/project-number/locations/location/clusters/cluster-name
Google Cloud Managed Service for Apache Kafka のコンシューマ グループ projects/project-number/locations/location/clusters/cluster-name/consumerGroups/consumer-group
Google Cloud Managed Service for Apache Kafka のオペレーション projects/project-number/locations/location/operations/operation
Google Cloud Managed Service for Apache Kafka のトピック projects/project-number/locations/location/clusters/cluster-name/topics/topic-name
Pub/Sub Lite ロケーション projects/project-number/locations/location
Pub/Sub Lite サブスクリプション projects/project-number/locations/location/subscriptions/subscription-id
Pub/Sub Lite トピック projects/project-number/locations/location/topics/topic-id
Resource Manager 組織4 organizations/organization-name
Secret Manager シークレット projects/project-number/secrets/secret-id
Secret Manager シークレット バージョン5 projects/project-number/secrets/secret-id/versions/secret-version

1 Cloud Storage の場合、リソース名には、プロジェクト ID ではなく、アンダースコア(_)が含まれます。アンダースコアをプロジェクト ID、プロジェクト名、プロジェクト番号に置き換えることはできません。

2 スラッシュを含むマネージド フォルダ名全体を使用します。Cloud Storage では、これらの文字はマネージド フォルダ名の一部であり、パスの区切り文字ではありません。

3 スラッシュを含むオブジェクト名全体を使用します。Cloud Storage では、スラッシュがパスの区切り記号ではなく、オブジェクト名の一部になります。

4 Apigee 組織に属する任意のタイプのリソースをリストするときに、Apigee はこの形式を使用します。

5 リソース名のシークレット バージョンを条件で評価する場合、条件が満たされるには、リクエストのシークレット バージョンが条件のシークレット バージョンと完全に一致している必要があります。たとえば、条件のバージョンが latest の場合、バージョン latest を持つリクエストだけが条件を満たします。3 が最新バージョンであっても、バージョン 3 を持つリクエストは条件を満たしません。

リソースタグ

タグは、組織、プロジェクト、フォルダに追加できます。あらゆる Google Cloud リソースは、こうした上位レベルのリソースからタグを継承できます。

タグキーと値の参照には、数種類の識別子を使用できます。

  • 永続的な ID。グローバルに一意であり、再利用できません。たとえば、タグキーに永続 ID tagKeys/123456789012 を割り当て、タグ値に永続 ID tagValues/567890123456 を持たせることができます。
  • 略称。各キーの略称は、キーが定義されているプロジェクトまたは組織内で一意である必要があり、各値の略称は、関連付けられているキーに対して一意である必要があります。たとえば、タグキーに略称 env を指定し、タグ値に prod という略称を付けることができます。
  • 名前空間名。組織の数値 ID またはプロジェクト ID をタグキーの略称に追加します。たとえば、組織用に作成されたタグキーに名前空間名 123456789012/env を指定できます。組織 ID を取得する方法については、組織リソース ID の取得をご覧ください。プロジェクト用に作成されたタグキーには、名前空間名 myproject/env を指定できます。プロジェクト ID を取得する方法については、プロジェクトの識別をご覧ください。

具体的なの識別子は、組織に作成したタグキーと値によって異なります。利用可能なタグキーと値を一覧表示する方法については、タグキーの一覧表示タグ値の一覧表示をご覧ください。