REST Resource: roleAssignments

資源:RoleAssignment

定義角色的指派作業。

JSON 表示法
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
欄位
roleAssignmentId

string (int64 format)

這個 roleAssignment 的 ID。

roleId

string (int64 format)

指派給角色的 ID。

kind

string

API 資源的類型。一律為 admin#directory#roleAssignment

etag

string

資源的 ETag。

assignedTo

string

指派給這個角色的實體專屬 ID,可以是使用者的 userId、群組的 groupId,或是服務帳戶 (依 Identity and Access Management (IAM) 定義) 中的 uniqueId

assigneeType

enum (AssigneeType)

僅供輸出。指派對象的類型 (USERGROUP)。

scopeType

string

獲派這個角色的範圍,

可接受的值為:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

如果角色僅限特定機構單位,此 ID 包含此角色行使範圍限制的機構單位 ID。

condition

string

選用設定。(公開測試版 - 適用於 API /admin/directory/v1.1beta1 版)

注意:這項功能適用於 Enterprise Standard、Enterprise Plus、Google Workspace for Education Plus 和 Cloud Identity 進階版客戶。您不需要進行額外設定即可使用這項功能。目前在 Beta 版中,管理控制台 (http://admin.google.com) 尚未遵循與 condition 相關聯的 RoleAssignment

與這個角色指派相關聯的條件。只有在存取的資源符合條件時,具備 condition 欄位組合的 RoleAssignment 才會生效。如果 condition 留空,角色 (roleId) 會無條件套用到範圍 (scopeType) 的執行者 (assignedTo)。

目前僅支援兩個條件:

  • 如何將 RoleAssignment 設為僅適用於安全性群組api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • 如何將 RoleAssignment 不適用於安全性群組!api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

目前,這兩個條件字串必須完整,而且只適用於下列預先建立的管理員角色

  • 群組編輯者
  • 群組讀取者

條件符合 Cloud IAM 條件語法

AssigneeType

獲派角色的身分類型。

列舉
USER 網域中的個別使用者。
GROUP 網域中的群組。

方法

delete

刪除角色指派設定。

get

擷取角色指派作業。

insert

建立角色指派作業。

list

擷取所有 roleAssignments 的分頁清單。