IAM 條件的資源屬性

本主題列出可用於條件中資源屬性的值，包括資源服務和資源類型的字串值，以及資源名稱字串的格式。

您可以使用資源屬性，變更角色繫結提供的授權範圍。當角色包含適用於不同種類資源的權限時，條件可根據資源服務、資源類型和資源名稱，授予角色權限的子集。

資源屬性適用於這個頁面列出的 Trusted Cloud by S3NS 服務和資源類型。其他服務和資源類型無法辨識資源屬性。

如要進一步瞭解 Identity and Access Management (IAM) 條件，請參閱下列文章：

資源服務值

下表列出資源服務屬性可包含的值。

資源服務值	REST 參考資料
`bigquery.googleapis.com`	API 參考資料
`bigqueryreservation.googleapis.com`	API 參考資料
`cloudkms.googleapis.com`	API 參考資料
`cloudresourcemanager.googleapis.com`	API 參考資料
`compute.googleapis.com`	API 參考資料
`logging.googleapis.com`	API 參考資料
`storage.googleapis.com`	API 參考資料

資源類型值

下表列出資源類型屬性可包含的值。

資源類型值	參考資料
`bigquery.googleapis.com/Dataset`	閱讀完整內容
`bigquery.googleapis.com/Model`	閱讀完整內容
`bigquery.googleapis.com/Routine`	閱讀完整內容
`bigquery.googleapis.com/Table`	閱讀完整內容
`bigqueryreservation.googleapis.com/Assignment`	閱讀完整內容
`bigqueryreservation.googleapis.com/BiReservation`	閱讀完整內容
`bigqueryreservation.googleapis.com/CapacityCommitment`	閱讀完整內容
`bigqueryreservation.googleapis.com/Location`	閱讀完整內容
`bigqueryreservation.googleapis.com/Reservation`	閱讀完整內容
`cloud.googleapis.com/Location`¹	閱讀完整內容
`cloudkms.googleapis.com/CryptoKey`	閱讀完整內容
`cloudkms.googleapis.com/CryptoKeyVersion`	閱讀完整內容
`cloudkms.googleapis.com/KeyRing`	閱讀完整內容
`cloudresourcemanager.googleapis.com/Project`	閱讀完整內容
`compute.googleapis.com/BackendService`	閱讀完整內容
`compute.googleapis.com/Disk`	閱讀完整內容
`compute.googleapis.com/Firewall`	閱讀完整內容
`compute.googleapis.com/ForwardingRule`	閱讀完整內容
`compute.googleapis.com/GlobalForwardingRule`	閱讀完整內容
`compute.googleapis.com/Image`	閱讀完整內容
`compute.googleapis.com/Instance`	閱讀完整內容
`compute.googleapis.com/InstanceTemplate`	閱讀完整內容
`compute.googleapis.com/Snapshot`	閱讀完整內容
`compute.googleapis.com/TargetHttpProxy`	閱讀完整內容
`compute.googleapis.com/TargetHttpsProxy`	閱讀完整內容
`compute.googleapis.com/TargetSslProxy`	閱讀完整內容
`compute.googleapis.com/TargetTcpProxy`	閱讀完整內容
`logging.googleapis.com/LogBucket`	閱讀完整內容
`logging.googleapis.com/LogView`	閱讀完整內容
`storage.googleapis.com/Bucket`	閱讀完整內容
`storage.googleapis.com/ManagedFolder`	閱讀完整內容
`storage.googleapis.com/Object`	閱讀完整內容

¹ Cloud Key Management Service 會將這個資源類型做為金鑰環資源的父項。

資源名稱格式

下表列出各類型資源名稱屬性的格式。

資源參照	資源名稱格式範本
BigQuery 資料集	`projects/project-id/datasets/dataset-id`
BigQuery 模型	`projects/project-id/datasets/dataset-id/models/model-id`
BigQuery 常式	`projects/project-id/datasets/dataset-id/routines/routine-id`
BigQuery 資料表	`projects/project-id/datasets/dataset-id/tables/table-id`
BigQuery Reservation API 指派	`projects/project-id/locations/location-id/reservations/reservation-id/assignments/assignment-id`
BigQuery Reservation API BI 保留項目	`projects/project-id/locations/location-id/biReservation`
BigQuery Reservation API 容量承諾	`projects/project-id/locations/location-id/capacityCommitments/capacity-commitment-id`
BigQuery Reservation API locations	`projects/project-id/locations/location-id`
BigQuery Reservation API reservations	`projects/project-id/locations/location-id/reservations/reservation-id`
Cloud Key Management Service 加密金鑰	`projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id`
Cloud Key Management Service 加密編譯金鑰版本	`projects/project-id/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id`
Cloud Key Management Service 金鑰環	`projects/project-id/locations/location-id/keyRings/keyring-id`
Cloud Logging 記錄值區	`projects/project-id/locations/location-id/buckets/bucket-id`
Cloud Logging 記錄檢視畫面	`projects/project-id/locations/location-id/buckets/bucket-id/views/view-id`
Cloud Storage buckets¹	`projects/_/buckets/bucket-name`
Cloud Storage 受管理資料夾^1、2	`projects/_/buckets/bucket-name/managedFolders/managed-folder-name`
Cloud Storage 物件^{1, 3}	`projects/_/buckets/bucket-name/objects/object-name`
Compute Engine 全域後端服務	`projects/project-id/global/backendServices/backend-service-id`
Compute Engine 區域後端服務	`projects/project-id/regions/region-id/backendServices/backend-service-id`
Compute Engine 防火牆	`projects/project-id/global/firewalls/firewall-id`
Compute Engine 全域轉送規則	`projects/project-id/global/forwardingRules/forwarding-rule-id`
Compute Engine 區域轉送規則	`projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id`
Compute Engine 映像檔	`projects/project-id/global/images/image-id`
Compute Engine 執行個體範本	`projects/project-id/global/instanceTemplates/instance-template-id`
Compute Engine 執行個體	`projects/project-id/zones/zone-id/instances/instance-id`
Compute Engine 區域永久磁碟	`projects/project-id/regions/region-id/disks/disk-id`
Compute Engine 可用區永久磁碟	`projects/project-id/zones/zone-id/disks/disk-id`
Compute Engine 快照	`projects/project-id/global/snapshots/snapshot-id`
Compute Engine 全域目標 HTTP Proxy	`projects/project-id/global/targetHttpProxies/target-http-proxy-id`
Compute Engine 區域目標 HTTP Proxy	`projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id`
Compute Engine 全域目標 HTTPS Proxy	`projects/project-id/global/targetHttpsProxies/target-https-proxy-id`
Compute Engine 區域目標 HTTPS Proxy	`projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id`
Compute Engine 目標 SSL Proxy	`projects/project-id/global/targetSslProxies/target-ssl-proxy-id`
Compute Engine 目標 TCP Proxy	`projects/project-id/global/targetTcpProxies/target-tcp-proxy-id`
Resource Manager organizations	`organizations/organization-name`

¹ 對於 Cloud Storage，資源名稱包含底線 (_)，而非專案 ID。您無法將底線替換為專案 ID、專案名稱或專案編號。

² 使用完整的受管理資料夾名稱，包括正斜線。在 Cloud Storage 中，這些字元是受管理資料夾名稱的一部分，而非路徑分隔符。

³ 使用完整物件名稱，包括正斜線。在 Cloud Storage 中，這些字元是物件名稱的一部分，而非路徑分隔符。

資源標記

您可以將標記附加至機構、專案和資料夾。任何 Trusted Cloud by S3NS 資源都可以從這些較高層級的資源繼承標記。

您可以使用幾種不同類型的 ID 參照標記鍵和值：

永久 ID：全域不重複，且不得重複使用。舉例來說，標記鍵可能具有永久 ID tagKeys/123456789012，標記值可能具有永久 ID tagValues/567890123456。
簡稱。每個鍵的簡稱在定義鍵的專案或機構中不得重複，且每個值的簡稱在相關聯的鍵中不得重複。舉例來說，標記鍵的簡稱可以是 env，標記值的簡稱可以是 prod。
命名空間名稱：將機構的數字 ID 或專案 ID 新增至標記鍵的簡稱。舉例來說，為機構建立的標記鍵可能具有 123456789012/env 這個命名空間名稱。如要瞭解如何取得機構 ID，請參閱「取得機構資源 ID」。為專案建立的標記鍵可能具有命名空間名稱 myproject/env。如要瞭解如何取得專案 ID，請參閱「識別專案」。

具體 ID 取決於您為貴機構建立的代碼鍵和值。如要瞭解如何列出可用的標記鍵和值，請參閱「列出標記鍵」和「列出標記值」。