资源的内置身份

本页介绍了资源的内置身份，您可以通过这些身份在 IAM 允许政策中向资源授予角色。

内置身份

某些资源具有内置身份。这些身份让资源能够充当主账号。因此，具有内置身份的资源可以执行以下操作：

• 使用资源的主账号标识符来获得 IAM 角色
• 在不使用服务代理的情况下访问其他资源

例如，考虑具有内置标识符的 Parameter Manager 参数。参数有时需要访问 Secret Manager 才能正常运行。如要让参数访问 Secret Manager，您可以使用其标识符向其授予 Secret Manager Secret Accessor 角色 (roles/secretmanager.secretAccessor)。然后，该参数可以代表您访问 Secret Manager 密文。

如需查看具有内置身份的资源列表，请参阅具有内置身份的资源。

您无法使用资源的内置身份来验证客户管理的工作负载（例如在 Compute Engine 实例上运行的工作负载）的身份。如果您需要验证工作负载的身份，请使用 Google 的身份验证方法中所述的方法之一。

向具有内置身份的资源授予角色

如果资源具有内置身份，您可以通过在允许政策中添加资源的主账号标识符来向该资源授予角色。如需了解每个资源的主账号标识符所使用的格式，请参阅单个资源的主账号标识符。

IAM 还为内置身份共有特定特征（例如类型或祖先）的资源集提供标识符。您可以在允许政策中使用这些标识符，以便向多个资源授予相同的角色。如需了解支持的格式，请参阅资源集的主账号标识符。