REST Resource: roleAssignments

{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}

string (int64 format)

この roleAssignment の ID。

string (int64 format)

割り当てられているロールの ID。

string

API リソースのタイプ。これは常に admin#directory#roleAssignment です。

string

リソースの ETag。

string

このロールが割り当てられているエンティティの一意の ID。ユーザーの userId、グループの groupId、または Identity and Access Management（IAM）で定義されているサービス アカウントの uniqueId のいずれかです。

enum (AssigneeType)

出力専用。割り当て先のタイプ（USER または GROUP）。

string

このロールが割り当てられるスコープ。

有効な値は次のとおりです。

• CUSTOMER
• ORG_UNIT

string

ロールが組織部門に制限されている場合、このフィールドには、このロールの行使が制限されている組織部門の ID が含まれます。

string

省略可。（オープンベータ版 - API の /admin/directory/v1.1beta1 バージョンで利用可能）

注: この機能は、Enterprise Standard、Enterprise Plus、Google Workspace for Education Plus、Cloud Identity Premium をご利用のお客様が対象です。この機能を使用するための追加の設定はありません。現在ベータ版では、condition に関連付けられた RoleAssignment は、管理コンソール（http://admin.google.com）でまだ考慮されていません。

このロールの割り当てに関連付けられている条件。condition フィールドが設定された RoleAssignment は、アクセスされるリソースが条件を満たしている場合にのみ有効になります。condition が空の場合、ロール（roleId）はスコープ（scopeType）のアクター（assignedTo）に無条件に適用されます。

現在、次の 2 つの条件のみがサポートされています。

• RoleAssignment をセキュリティ グループにのみ適用するには: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

• RoleAssignment をセキュリティ グループに適用しないようにするには: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

現在、この 2 つの条件文字列は、そのまま使用する必要があります。この条件は、次の既定の管理者ロールでのみ機能します。

• グループ エディタ
• グループ閲覧者

条件は Cloud IAM の条件構文に従います。