REST Resource: roleAssignments

Recurso: RoleAssignment

Define la asignación de un rol.

Representación JSON
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campos
roleAssignmentId

string (int64 format)

Es el ID de esta roleAssignment.

roleId

string (int64 format)

El ID del rol asignado.

kind

string

Tipo de recurso de la API. Siempre es admin#directory#roleAssignment.

etag

string

ETag del recurso.

assignedTo

string

El ID único de la entidad a la que se asigna este rol: el userId de un usuario, el groupId de un grupo o el uniqueId de una cuenta de servicio, como se define en Identity and Access Management (IAM).

assigneeType

enum (AssigneeType)

Solo salida. Es el tipo del encargado (USER o GROUP).

scopeType

string

El permiso en el que se asigna este rol.

Los valores aceptables son:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Si el rol está restringido a una unidad organizativa, este contiene el ID de la unidad organizativa a la que se restringe el ejercicio de este rol.

condition

string

Opcional. (Versión beta abierta: Disponible en la versión /admin/directory/v1.1beta1 de la API)

Nota: La función está disponible para clientes de Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus y Cloud Identity Premium. No se requiere ninguna configuración adicional para utilizar la función. Actualmente, en la versión beta, aún no se respeta el RoleAssignment asociado con un condition en la Consola del administrador (http://admin.google.com).

La condición asociada con esta asignación de rol. Un RoleAssignment con el campo condition establecido solo tendrá efecto cuando el recurso al que se accede cumpla con la condición. Si condition está vacío, el rol (roleId) se aplica al actor (assignedTo) en el alcance (scopeType) de forma incondicional.

Actualmente, solo se admiten dos condiciones:

  • Para que RoleAssignment solo se aplique a los grupos de seguridad, haz lo siguiente: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Para que RoleAssignment no se aplique a los grupos de seguridad, haz lo siguiente: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Actualmente, las dos cadenas de condiciones deben ser literales y solo funcionan con los siguientes roles de administrador precompilados:

  • Editor de grupos
  • Lector de grupos

La condición sigue la sintaxis de las condiciones de Cloud IAM.

AssigneeType

Es el tipo de identidad a la que se asigna un rol.

Enumeraciones
USER Un usuario individual dentro del dominio.
GROUP Un grupo dentro del dominio.

Métodos

delete

Borra una asignación de rol.

get

Recupera una asignación de roles.

insert

Crea una asignación de rol.

list

Recupera una lista paginada de todas las roleAssignments.