REST Resource: roleAssignments

Ресурс: РолеНазначение

Определяет назначение роли.

JSON-представление
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Поля
roleAssignmentId

string ( int64 format)

Идентификатор этого назначения роли.

roleId

string ( int64 format)

Идентификатор назначенной роли.

kind

string

Тип ресурса API. Это всегда admin#directory#roleAssignment .

etag

string

ETag ресурса.

assignedTo

string

Уникальный идентификатор объекта, которому назначена эта роль — либо userId пользователя, groupId группы, либо uniqueId учетной записи службы, как определено в управлении идентификацией и доступом (IAM) .

assigneeType

enum ( AssigneeType )

Только вывод. Тип правопреемника ( USER или GROUP ).

scopeType

string

Область, в которой назначена эта роль.

Приемлемые значения:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Если роль ограничена организационным подразделением, здесь содержится идентификатор организационного подразделения, которым ограничено выполнение этой роли.

condition

string

Необязательный. (Открытая бета-версия — доступна в версии API /admin/directory/v1.1beta1 )

Примечание. Функция доступна клиентам Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus и Cloud Identity Premium. Для использования этой функции не требуется никакой дополнительной настройки. В настоящее время в бета-версии RoleAssignment , связанное с condition , еще не учитывается в консоли администратора ( http://admin.google.com ).

Условие, связанное с этим назначением роли. RoleAssignment с набором полей condition вступит в силу только в том случае, если ресурс, к которому осуществляется доступ, соответствует условию. Если condition пустое, роль ( roleId ) применяется к актеру ( assignedTo ) в области ( scopeType ) безоговорочно.

На данный момент поддерживаются только два условия:

  • Чтобы сделать RoleAssignment применимым только к группам безопасности : api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Чтобы сделать RoleAssignment неприменимым к группам безопасности : !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

В настоящее время две строки условий должны быть дословными и работают только со следующими заранее созданными ролями администратора :

  • Редактор групп
  • Читатель групп

Условие соответствует синтаксису условия Cloud IAM .

Тип правопреемника

Тип удостоверения, которому назначена роль.

Перечисления
USER Отдельный пользователь в домене.
GROUP Группа внутри домена.

Методы

delete

Удаляет назначение роли.

get

Получает назначение роли.

insert

Создает назначение роли.

list

Получает разбитый на страницы список всех назначений ролей.