Policy

Kebijakan Identity and Access Management (IAM), yang menentukan kontrol akses untuk resource Google Cloud.

Policy adalah kumpulan bindings. binding mengikat satu atau beberapa members, atau akun utama, ke satu role. Akun utama dapat berupa akun pengguna, akun layanan, grup Google, dan domain (seperti G Suite). role adalah daftar izin yang memiliki nama; setiap role dapat berupa peran IAM yang telah ditetapkan atau peran khusus yang dibuat pengguna.

Untuk beberapa jenis resource Google Cloud, binding juga dapat menentukan condition, yang merupakan ekspresi logis yang mengizinkan akses ke resource hanya jika ekspresi bernilai true. Kondisi dapat menambahkan batasan berdasarkan atribut permintaan, resource, atau keduanya. Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.

Contoh JSON:

    {
      "bindings": [
        {
          "role": "roles/resourcemanager.organizationAdmin",
          "members": [
            "user:mike@example.com",
            "group:admins@example.com",
            "domain:google.com",
            "serviceAccount:my-project-id@appspot.gserviceaccount.com"
          ]
        },
        {
          "role": "roles/resourcemanager.organizationViewer",
          "members": [
            "user:eve@example.com"
          ],
          "condition": {
            "title": "expirable access",
            "description": "Does not grant access after Sep 2020",
            "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
          }
        }
      ],
      "etag": "BwWWja0YfJA=",
      "version": 3
    }

Contoh YAML:

    bindings:
    - members:
      - user:mike@example.com
      - group:admins@example.com
      - domain:google.com
      - serviceAccount:my-project-id@appspot.gserviceaccount.com
      role: roles/resourcemanager.organizationAdmin
    - members:
      - user:eve@example.com
      role: roles/resourcemanager.organizationViewer
      condition:
        title: expirable access
        description: Does not grant access after Sep 2020
        expression: request.time < timestamp('2020-10-01T00:00:00.000Z')
    etag: BwWWja0YfJA=
    version: 3

Untuk deskripsi tentang IAM dan fiturnya, lihat dokumentasi IAM.

Representasi JSON 
{
  "version": integer,
  "bindings": [
    {
      object (Binding)
    }
  ],
  "auditConfigs": [
    {
      object (AuditConfig)
    }
  ],
  "rules": [
    {
      object (Rule)
    }
  ],
  "etag": string
}
Kolom
version

integer

Menentukan format kebijakan.

Nilai yang valid adalah 0, 1, dan 3. Permintaan yang menentukan nilai yang tidak valid akan ditolak.

Setiap operasi yang memengaruhi binding peran bersyarat harus menentukan versi 3. Persyaratan ini berlaku untuk operasi berikut:

  • Mendapatkan kebijakan yang menyertakan binding peran bersyarat
  • Menambahkan binding peran bersyarat ke kebijakan
  • Mengubah binding peran bersyarat dalam kebijakan
  • Menghapus binding peran apa pun, dengan atau tanpa syarat, dari kebijakan yang menyertakan kondisi

Penting: Jika menggunakan IAM Conditions, Anda harus menyertakan kolom etag setiap kali memanggil setIamPolicy. Jika Anda menghapus kolom ini, IAM memungkinkan Anda menimpa kebijakan 3 versi dengan kebijakan versi 1, dan semua kondisi dalam kebijakan versi 3 akan hilang.

Jika kebijakan tidak menyertakan ketentuan apa pun, operasi pada kebijakan tersebut dapat menentukan versi yang valid atau membiarkan kolom tidak disetel.

Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.
bindings[]

object (Binding)

Mengaitkan daftar members, atau akun utama, dengan role. Secara opsional, dapat menentukan condition yang menentukan cara dan waktu bindings diterapkan. Setiap bindings harus berisi setidaknya satu akun utama.

bindings dalam Policy dapat merujuk hingga 1.500 akun utama; hingga 250 akun utama ini dapat berupa grup Google. Setiap kemunculan akun utama dihitung dalam batas ini. Misalnya, jika bindings memberikan 50 peran yang berbeda ke user:alice@example.com, dan bukan ke akun utama lainnya, Anda dapat menambahkan 1.450 akun utama lainnya ke bindings di Policy.
auditConfigs[]

object (AuditConfig)

Menentukan konfigurasi logging audit cloud untuk kebijakan ini.
rules[]

object (Rule)

Jika lebih dari satu aturan ditentukan, aturan diterapkan dengan cara berikut: - Semua aturan LOG yang cocok selalu diterapkan. - Jika ada aturan DENY/DENY_WITH_LOG yang cocok, izin ditolak. Logging akan diterapkan jika satu atau beberapa aturan yang cocok memerlukan logging. - Atau, jika aturan ALLOW/ALLOW_WITH_LOG cocok, izin akan diberikan. Logging akan diterapkan jika satu atau beberapa aturan yang cocok memerlukan logging. - Jika tidak, jika tidak ada aturan yang berlaku, izin ditolak.
etag

string (bytes format)

etag digunakan untuk kontrol konkurensi optimistis sebagai cara untuk membantu mencegah pembaruan kebijakan secara bersamaan agar tidak menimpa satu sama lain. Sangat disarankan agar sistem menggunakan etag dalam siklus baca-modifikasi-tulis untuk melakukan pembaruan kebijakan guna menghindari kondisi race: etag ditampilkan sebagai respons terhadap getIamPolicy, dan sistem diharapkan untuk memasukkan etag tersebut dalam permintaan ke setIamPolicy untuk memastikan bahwa perubahannya akan diterapkan ke versi kebijakan yang sama.

Penting: Jika menggunakan IAM Conditions, Anda harus menyertakan kolom etag setiap kali memanggil setIamPolicy. Jika Anda menghapus kolom ini, IAM memungkinkan Anda menimpa kebijakan 3 versi dengan kebijakan versi 1, dan semua kondisi dalam kebijakan versi 3 akan hilang.

String berenkode base64.

Binding

Mengaitkan members, atau akun utama, dengan role.

Representasi JSON 
{
  "role": string,
  "members": [
    string
  ],
  "condition": {
    object (Expr)
  },
  "bindingId": string
}
Kolom
role

string

Peran yang ditetapkan ke daftar members, atau akun utama. Misalnya, roles/viewer, roles/editor, atau roles/owner.

Untuk mengetahui ringkasan peran dan izin IAM, baca dokumentasi IAM. Untuk daftar peran standar yang tersedia, lihat di sini.
members[]

string

Menentukan akun utama yang meminta akses untuk resource Google Cloud. members dapat memiliki nilai berikut:

  • allUsers: ID khusus yang mewakili siapa saja yang ada di internet; dengan atau tanpa Akun Google.

  • allAuthenticatedUsers: ID khusus yang mewakili siapa saja yang diautentikasi dengan Akun Google atau akun layanan. Tidak mencakup identitas yang berasal dari penyedia identitas (IdP) eksternal melalui penggabungan identitas.

  • user:{emailid}: Alamat email yang mewakili Akun Google tertentu. Contohnya, alice@example.com .

  • serviceAccount:{emailid}: Alamat email yang mewakili akun layanan Google. Contoh, my-other-app@appspot.gserviceaccount.com.

  • serviceAccount:{projectid}.svc.id.goog[{namespace}/{kubernetes-sa}]: ID untuk akun layanan Kubernetes. Misalnya, my-project.svc.id.goog[my-namespace/my-kubernetes-sa].

  • group:{emailid}: Alamat email yang mewakili grup Google. Contoh, admins@example.com.

  • domain:{domain}: Domain G Suite (utama) yang mewakili semua pengguna domain tersebut. Misalnya google.com atau example.com.

  • principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: Satu identitas dalam kumpulan identitas tenaga kerja.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/group/{groupId}: Semua identitas tenaga kerja dalam grup.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/attribute.{attribute_name}/{attribute_value}: Semua identitas tenaga kerja dengan nilai atribut tertentu.

  • principalSet://iam.googleapis.com/locations/global/workforcePools/{pool_id}/*: Semua identitas dalam kumpulan identitas tenaga kerja.

  • principal://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/subject/{subject_attribute_value}: Satu identitas dalam kumpulan workload identity.

  • principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/group/{groupId}: Grup kumpulan workload identity.

  • principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/attribute.{attribute_name}/{attribute_value}: Semua identitas dalam kumpulan identitas beban kerja dengan atribut tertentu.

  • principalSet://iam.googleapis.com/projects/{projectNumber}/locations/global/workloadIdentityPools/{pool_id}/*: Semua identitas dalam kumpulan workload identity.

  • deleted:user:{emailid}?uid={uniqueid}: Alamat email (ditambah ID unik) yang mewakili pengguna yang baru-baru ini dihapus. Misalnya, alice@example.com?uid=123456789012345678901. Jika pengguna dipulihkan, nilai ini akan dikembalikan ke user:{emailid} dan pengguna yang dipulihkan akan mempertahankan peran dalam binding.

  • deleted:serviceAccount:{emailid}?uid={uniqueid}: Alamat email (ditambah ID unik) yang mewakili akun layanan yang baru-baru ini dihapus. Contoh, my-other-app@appspot.gserviceaccount.com?uid=123456789012345678901. Jika akun layanan dibatalkan penghapusannya, nilai ini akan dikembalikan ke serviceAccount:{emailid} dan akun layanan yang dibatalkan penghapusannya akan mempertahankan peran dalam binding.

  • deleted:group:{emailid}?uid={uniqueid}: Alamat email (ditambah ID unik) yang mewakili grup Google yang baru-baru ini dihapus. Contoh, admins@example.com?uid=123456789012345678901. Jika grup dipulihkan, nilai ini akan dikembalikan ke group:{emailid} dan grup yang dipulihkan akan mempertahankan peran dalam binding.

  • deleted:principal://iam.googleapis.com/locations/global/workforcePools/{pool_id}/subject/{subject_attribute_value}: Menghapus identitas tunggal di kumpulan identitas tenaga kerja. Contoh, deleted:principal://iam.googleapis.com/locations/global/workforcePools/my-pool-id/subject/my-subject-attribute-value.
condition

object (Expr)

Kondisi yang terkait dengan binding ini.

Jika kondisi bernilai true, binding ini akan berlaku untuk permintaan saat ini.

Jika kondisi bernilai false, binding ini tidak berlaku untuk permintaan saat ini. Namun, binding peran yang berbeda mungkin memberikan peran yang sama ke satu atau beberapa akun utama dalam binding ini.

Untuk mempelajari resource mana yang mendukung kondisi dalam kebijakan IAM-nya, lihat dokumentasi IAM.
bindingId

string

Expr

Mewakili ekspresi tekstual dalam sintaksis Common Expression Language (CEL). CEL adalah bahasa ekspresi seperti C. Sintaksis dan semantik CEL didokumentasikan di https://github.com/google/cel-spec.

Contoh (Perbandingan):

title: "Summary size limit"
description: "Determines if a summary is less than 100 chars"
expression: "document.summary.size() < 100"

Contoh (Persamaan):

title: "Requestor is owner"
description: "Determines if requestor is the document owner"
expression: "document.owner == request.auth.claims.email"

Contoh (Logika):

title: "Public documents"
description: "Determine whether the document should be publicly visible"
expression: "document.type != 'private' && document.type != 'internal'"

Contoh (Manipulasi Data):

title: "Notification string"
description: "Create a notification string with a timestamp."
expression: "'New message received at ' + string(document.create_time)"

Variabel dan fungsi persis yang dapat direferensikan dalam ekspresi ditentukan oleh layanan yang mengevaluasinya. Lihat dokumentasi layanan untuk informasi tambahan.

Representasi JSON 
{
  "expression": string,
  "title": string,
  "description": string,
  "location": string
}
Kolom
expression

string

Representasi tekstual ekspresi dalam sintaksis Common Expression Language.
title

string

Opsional. Judul untuk ekspresi, yaitu string pendek yang menjelaskan tujuannya. Ini dapat digunakan, mis. di UI yang memungkinkan untuk memasukkan ekspresi.
description

string

Opsional. Deskripsi ekspresi. Ini adalah teks yang lebih panjang yang mendeskripsikan ekspresi, misalnya saat kursor diarahkan ke atasnya dalam UI.
location

string

Opsional. String yang menunjukkan lokasi ekspresi untuk pelaporan error, misalnya nama file dan posisi dalam file.

AuditConfig

Menentukan konfigurasi audit untuk layanan. Konfigurasi menentukan jenis izin yang dicatat dalam log, dan identitas apa, jika ada, yang dikecualikan dari logging. AuditConfig harus memiliki satu atau beberapa AuditLogConfigs.

Jika terdapat AuditConfigs untuk allServices dan layanan tertentu, gabungan dari dua AuditConfigs akan digunakan untuk layanan tersebut: log_types yang ditentukan di setiap AuditConfig diaktifkan, dan anggota yang dikecualikan di setiap AuditLogConfig dikecualikan.

Contoh Kebijakan dengan beberapa AuditConfig:

{
  "auditConfigs": [
    {
      "service": "allServices",
      "auditLogConfigs": [
        {
          "logType": "DATA_READ",
          "exemptedMembers": [
            "user:jose@example.com"
          ]
        },
        {
          "logType": "DATA_WRITE"
        },
        {
          "logType": "ADMIN_READ"
        }
      ]
    },
    {
      "service": "sampleservice.googleapis.com",
      "auditLogConfigs": [
        {
          "logType": "DATA_READ"
        },
        {
          "logType": "DATA_WRITE",
          "exemptedMembers": [
            "user:aliya@example.com"
          ]
        }
      ]
    }
  ]
}

Untuk sampleservice, kebijakan ini memungkinkan logging DATA_READ, DATA_WRITE, dan ADMIN_READ. Kode ini juga mengecualikan jose@example.com dari logging DATA_READ, dan aliya@example.com dari logging DATA_WRITE.

Representasi JSON 
{
  "service": string,
  "auditLogConfigs": [
    {
      object (AuditLogConfig)
    }
  ]
}
Kolom
service

string

Menentukan layanan yang akan diaktifkan untuk logging audit. Misalnya, storage.googleapis.com, cloudsql.googleapis.com. allServices adalah nilai khusus yang mencakup semua layanan.
auditLogConfigs[]

object (AuditLogConfig)

Konfigurasi untuk logging setiap jenis izin.

AuditLogConfig

Menyediakan konfigurasi untuk mencatat jenis izin ke dalam log. Contoh:

{
  "auditLogConfigs": [
    {
      "logType": "DATA_READ",
      "exemptedMembers": [
        "user:jose@example.com"
      ]
    },
    {
      "logType": "DATA_WRITE"
    }
  ]
}

Tindakan ini memungkinkan logging 'DATA_READ' dan 'DATA_WRITE', sekaligus mengecualikan jose@example.com dari logging DATA_READ.

Representasi JSON 
{
  "logType": enum (LogType),
  "exemptedMembers": [
    string
  ],
  "ignoreChildExemptions": boolean
}
Kolom
logType

enum (LogType)

Jenis log yang diaktifkan konfigurasi ini.
exemptedMembers[]

string

Menentukan identitas yang tidak menyebabkan logging untuk jenis izin ini. Mengikuti format Binding.members yang sama.
ignoreChildExemptions

boolean

LogType

Daftar jenis izin valid yang logging dapat dikonfigurasi. Penulisan admin selalu dicatat dalam log, dan tidak dapat dikonfigurasi.

Enum
LOG_TYPE_UNSPECIFIED Huruf besar/kecil default. Tidak boleh seperti ini.
ADMIN_READ yang dibaca admin. Contoh: CloudIAM getIamPolicy
DATA_WRITE Penulisan data. Contoh: Pengguna CloudSQL membuat
DATA_READ Pembacaan data. Contoh: Daftar Pengguna CloudSQL

Aturan

Aturan yang akan diterapkan dalam Kebijakan.

Representasi JSON 
{
  "description": string,
  "permissions": [
    string
  ],
  "action": enum (Action),
  "in": [
    string
  ],
  "notIn": [
    string
  ],
  "conditions": [
    {
      object (Condition)
    }
  ],
  "logConfig": [
    {
      object (LogConfig)
    }
  ]
}
Kolom
description

string

Deskripsi aturan yang dapat dibaca manusia.
permissions[]

string

Izin adalah string bentuk '..' (misalnya, 'storage.buckets.list'). Nilai '*' cocok dengan semua izin, dan bagian kata kerja dari '*' (misalnya, 'storage.buckets.*') cocok dengan semua kata kerja.
action

enum (Action)

Diperlukan
in[]

string

Jika satu atau beberapa klausa 'in' ditentukan, aturan cocok jika PRINCIPAL/AUTHORITY_SELECTOR ada di setidaknya salah satu entri ini.
notIn[]

string

Jika satu atau beberapa klausa 'notIn' ditentukan, aturan akan cocok jika PRINCIPAL/AUTHORITY_SELECTOR tidak ada dalam entri.
conditions[]

object (Condition)

Pembatasan tambahan yang harus dipenuhi. Semua kondisi harus lolos agar aturan cocok.
logConfig[]

object (LogConfig)

Konfigurasi yang ditampilkan ke pemanggil CheckPolicy untuk setiap entri yang cocok dengan tindakan LOG.

Tindakan

Jenis tindakan aturan.

Enum
NO_ACTION Default tidak ada tindakan.
ALLOW Kecocokan akses pemberian 'Entries'.
ALLOW_WITH_LOG Mencocokkan 'Entries', memberikan akses dan pemanggil berjanji untuk mencatat permintaan sesuai dengan log_configs yang dikembalikan.
DENY Mencocokkan akses menolak 'Entries'.
DENY_WITH_LOG Mencocokkan 'Entries' menolak akses dan pemanggil berjanji untuk mencatat permintaan per log_configs yang dikembalikan.
LOG Mencocokkan 'Entri' akan memberi tahu IAM.Check pemanggil untuk membuat log.

Kondisi

Kondisi yang harus dipenuhi.

Representasi JSON 
{
  "op": enum (Operator),
  "values": [
    string
  ],

  // Union field Subject can be only one of the following:
  "iam": enum (Attr),
  "sys": enum (Attr),
  "svc": string
  // End of list of possible types for union field Subject.
}
Kolom
op

enum (Operator)

Operator untuk menerapkan subjek.
values[]

string

Objek kondisi.
Kolom union Subject. Subjek ketentuan. Subject hanya ada berupa salah satu diantara berikut:
iam

enum (Attr)

Atribut tepercaya yang disediakan oleh sistem IAM.
sys

enum (Attr)

Atribut tepercaya yang disediakan oleh layanan apa pun yang memiliki resource dan menggunakan sistem IAM untuk kontrol akses.
svc

string

Atribut tepercaya yang dilepaskan oleh layanan.

ATR

Jenis atribut.

Enum
NO_ATTR Non-atribut default.
AUTHORITY Pemilih otoritas utama atau (jika ada).
ATTRIBUTION Akun utama (meskipun jika ada pemilih otoritas), yang hanya boleh digunakan untuk atribusi, bukan otorisasi.
SECURITY_REALM Setiap realm keamanan dalam IAMContext (go/security-realms). Jika digunakan dengan IN, kondisi tersebut menunjukkan "realm permintaan mana pun cocok dengan salah satu nilai yang diberikan; dengan NOT_IN, "tidak ada realm yang cocok dengan nilai yang diberikan". Perhatikan bahwa nilai dapat berupa: - 'self:campus' (yaitu, klien yang berada di kampus yang sama) - 'self:metro' (yaitu, klien yang berada di metro yang sama) - 'self:cloud-region' (yaitu, mengizinkan koneksi dari klien yang berada di region cloud yang sama) - 'self:metro' (yaitu, klien yang berada dalam metro yang sama) - 'self:cloud-region' (yaitu, mengizinkan koneksi dari klien yang berada di region cloud yang sama) - 'self:prod-region's memungkinkan koneksi yang Lihat go/security-realms-glosarium#guardian untuk informasi selengkapnya.) - 'self' [TIDAK DIGUNAKAN LAGI] (yaitu, mengizinkan koneksi dari klien yang berada di lingkup keamanan yang sama, yang saat ini tetapi tidak dijamin berukuran kampus) - sebuah ranah (misalnya, 'campus-abc') - grup realm (mis., 'realms-for-borg-cell-xx', lihat: go/realm-groups) Pertandingan ditentukan oleh pemeriksaan keanggotaan grup realm yang dilakukan oleh objek RealmAclRep (go/realm-acl-howto). Dilarang memberikan akses berdasarkan ketiadaan realm, sehingga kondisi realm hanya dapat digunakan dalam konteks "positif" (misalnya, ALLOW/IN atau DENY/NOT_IN).
APPROVER Pemberi persetujuan (berbeda dengan pemohon) yang telah memberikan otorisasi untuk permintaan ini. Jika digunakan dengan IN, kondisi tersebut menunjukkan bahwa salah satu pemberi persetujuan yang terkait dengan permintaan cocok dengan akun utama yang ditentukan, atau merupakan anggota grup yang ditentukan. Pemberi persetujuan hanya dapat memberikan akses tambahan, sehingga hanya digunakan dalam konteks yang benar-benar positif (misalnya ALLOW/IN atau DENY/NOT_IN).
JUSTIFICATION_TYPE

Jenis justifikasi apa yang diberikan dalam permintaan ini. Nilai string harus cocok dengan nama enum dari security.credentials.JustificationType, misalnya "MANUAL_STRING". Anda dilarang memberikan akses berdasarkan tidak adanya justifikasi, sehingga kondisi justifikasi hanya dapat digunakan dalam konteks "positif" (misalnya, ALLOW/IN atau DENY/NOT_IN).

Beberapa justifikasi, misalnya ID Buganizer dan alasan yang dimasukkan secara manual, bersifat normal dan didukung.
CREDENTIALS_TYPE Jenis kredensial yang diberikan bersama permintaan ini. Nilai string harus cocok dengan nama enum dari security_loas_l2.CredentialsType - saat ini, hanya CREDS_TYPE_EMERGENCY yang didukung. Anda tidak boleh memberikan akses berdasarkan tidak adanya jenis kredensial, sehingga kondisi hanya dapat digunakan dalam konteks "positif" (mis., ALLOW/IN atau DENY/NOT_IN).
CREDS_ASSERTION

CARA BERCERITA EKSPERIMENTAL -- JANGAN DIGUNAKAN.

Kondisi tersebut hanya dapat digunakan dalam konteks "positif" (misalnya, ALLOW/IN atau DENY/NOT_IN).

ATR

Jenis atribut.

Enum
NO_ATTR Jenis non-atribut default
REGION Region resource
SERVICE Nama layanan
NAME Nama fasilitas
IP Alamat IP pemanggil

Operator

Jenis operator kondisi.

Enum
NO_OP Tanpa pengoperasian default.
EQUALS TIDAK DIGUNAKAN LAGI. Sebagai gantinya, gunakan IN.
NOT_EQUALS TIDAK DIGUNAKAN LAGI. Sebagai gantinya, gunakan NOT_IN.
IN Kondisi ini benar jika subjek (atau elemen apa pun darinya jika berupa kumpulan) cocok dengan salah satu nilai yang diberikan.
NOT_IN Kondisi ini benar jika subjek (atau setiap elemennya jika berupa set) tidak cocok dengan nilai yang diberikan.
DISCHARGED Subjek habis

LogConfig

Menentukan jenis log yang harus ditulis pemanggil

Representasi JSON 
{

  // Union field type can be only one of the following:
  "counter": {
    object (CounterOptions)
  },
  "dataAccess": {
    object (DataAccessOptions)
  },
  "cloudAudit": {
    object (CloudAuditOptions)
  }
  // End of list of possible types for union field type.
}
Kolom
Kolom union type. Harus ditetapkan type hanya dapat berupa salah satu dari berikut ini:
counter

object (CounterOptions)

Opsi penghitung.
dataAccess

object (DataAccessOptions)

Opsi akses data.
cloudAudit

object (CloudAuditOptions)

Opsi audit cloud.

CounterOptions

Menambahkan penghitung streamz dengan metrik dan nama kolom yang ditentukan.

Nama metrik harus diawali dengan '/', umumnya hanya berupa huruf kecil, dan diakhiri dengan "_count". Nama kolom tidak boleh berisi garis miring awal. Nama metrik yang diekspor sebenarnya akan diawali dengan "/iam/policy".

Nama kolom sesuai dengan parameter permintaan IAM dan nilai kolom adalah nilainya masing-masing.

Nama kolom yang didukung: - "authority", yaitu "[token]" jika IAMContext.token ada, jika tidak ada nilai IAMContext.authority_selector jika ada, dan merupakan representasi IAMContext.principal; atau - "iamPrincipal", yang merupakan representasi dari IAMContext.principal meskipun ada pemilih token atau otoritas; atau - "" (string kosong), sehingga menghasilkan penghitung tanpa kolom.

Contoh: penghitung { metric: "/debug_access_count" kolom: "iamPrincipal" } ==> penghitung pertambahan /iam/policy/debug_access_count {iamPrincipal=[value of IAMContext.principal]}

Representasi JSON 
{
  "metric": string,
  "field": string,
  "customFields": [
    {
      object (CustomField)
    }
  ]
}
Kolom
metric

string

Metrik yang akan diperbarui.
field

string

Nilai kolom yang akan dikaitkan.
customFields[]

object (CustomField)

Kolom kustom.

CustomField

Kolom kustom. Class ini dapat digunakan untuk membuat penghitung dengan pasangan kolom/nilai arbitrer. Lihat: go/rpcsp-custom-fields.

Representasi JSON 
{
  "name": string,
  "value": string
}
Kolom
name

string

Nama adalah nama kolom.
value

string

Nilai adalah nilai kolom. Perlu diingat bahwa berbeda dengan CounterOptions.field, nilai di sini adalah konstanta yang tidak berasal dari IAMContext.

DataAccessOptions

Menulis log Akses Data (Gin)

Representasi JSON 
{
  "logMode": enum (LogMode),
  "isDirectAuth": boolean
}
Kolom
logMode

enum (LogMode)
isDirectAuth

boolean

Menunjukkan bahwa akses diberikan oleh kebijakan pemberian reguler

LogMode

Menentukan logging Gin wrt perilaku klien.

Enum
LOG_MODE_UNSPECIFIED Klien tidak diwajibkan untuk langsung menulis log Gin parsial setelah pemeriksaan otorisasi. Jika klien memilih untuk menulis salah satunya dan gagal, klien dapat gagal membuka (memungkinkan operasi dilanjutkan) atau gagal ditutup (ditangani sebagai hasil DITOLAK).
LOG_FAIL_CLOSED

Operasi aplikasi dalam konteks dilakukannya pemeriksaan otorisasi ini hanya bisa dilakukan jika berhasil masuk ke Gin. Misalnya, library otorisasi dapat memenuhi kewajiban ini dengan memunculkan entri log parsial pada waktu pemeriksaan otorisasi dan hanya menampilkan ALLOW ke aplikasi jika berhasil.

Jika Aturan yang cocok memiliki perintah ini, tetapi klien belum menunjukkan bahwa ia akan mematuhi persyaratan tersebut, pemeriksaan IAM akan mengakibatkan kegagalan otorisasi dengan menetapkan CheckPolicyResponse.Success=false.

CloudAuditOptions

Menulis log Audit Cloud

Representasi JSON 
{
  "logName": enum (LogName),
  "authorizationLoggingOptions": {
    object (AuthorizationLoggingOptions)
  },
  "permissionType": enum (PermissionType)
}
Kolom
logName

enum (LogName)

LogName yang akan diisi dalam Data Audit Cloud.
authorizationLoggingOptions

object (AuthorizationLoggingOptions)

Informasi yang digunakan oleh pipeline Cloud Audit Logging. Tidak akan digunakan lagi setelah migrasi ke PermissionType selesai (b/201806118).
permissionType

enum (PermissionType)

Jenis yang terkait dengan izin.

LogName

Enum nama log.

Enum
UNSPECIFIED_LOG_NAME Default. Tidak boleh digunakan.
ADMIN_ACTIVITY Sesuai dengan "cloudaudit.googleapis.com/activity"
DATA_ACCESS Sesuai dengan "cloudaudit.googleapis.com/dataAccess"

AuthorizationLoggingOptions

Informasi terkait otorisasi yang digunakan oleh Cloud Audit Logging.

Representasi JSON 
{
  "permissionType": enum (PermissionType)
}
Kolom
permissionType

enum (PermissionType)

Jenis izin yang diperiksa.

PermissionType

Daftar jenis izin valid yang dapat diperiksa.

Enum
PERMISSION_TYPE_UNSPECIFIED Default. Tidak boleh digunakan.
ADMIN_READ Pembacaan data admin (meta).
ADMIN_WRITE Penulisan data admin (meta).
DATA_READ Pembacaan data standar.
DATA_WRITE Penulisan data standar.

PermissionType

Daftar jenis izin valid yang dapat diperiksa.

Enum
PERMISSION_TYPE_UNSPECIFIED Default. Tidak boleh digunakan.
ADMIN_READ Izin yang membatasi pembacaan konfigurasi resource atau metadata.
ADMIN_WRITE Izin yang membatasi modifikasi konfigurasi resource atau metadata.
DATA_READ Izin yang membatasi pembacaan data yang disediakan pengguna.
DATA_WRITE Izin yang membatasi penulisan data yang disediakan pengguna.