REST Resource: roleAssignments

{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}

string (int64 format)

この roleAssignment の ID。

string (int64 format)

割り当てられたロールの ID。

string

API リソースのタイプ。これは常に admin#directory#roleAssignment です。

string

リソースの ETag。

string

このロールが割り当てられているエンティティの一意の ID（ユーザーの userId、グループの groupId、または Identity and Access Management（IAM）で定義されているサービス アカウントの uniqueId）です。

enum (AssigneeType)

出力のみ。割り当て先のタイプ（USER または GROUP）。

string

このロールが割り当てられているスコープ。

有効な値は次のとおりです。

• CUSTOMER
• ORG_UNIT

string

ロールが組織部門に限定されている場合は、このロールの対象が限定される組織部門の ID が含まれます。

string

（オープンベータ版 - /admin/directory/v1.1beta1 バージョンの API で利用可能）

注: この機能は、Enterprise Standard、Enterprise Plus、Google Workspace for Education Plus、Cloud Identity Premium をご利用のお客様がご利用いただけます。この機能を使用するための追加の設定はありません。現時点ではベータ版であり、condition に関連付けられている RoleAssignment は、まだ管理コンソール（http://admin.google.com）に適用されていません。

このロールの割り当てに関連付けられている条件。condition フィールドが設定された RoleAssignment は、アクセスされるリソースが条件を満たしている場合にのみ有効になります。condition が空の場合、ロール（roleId）はスコープ（scopeType）にあるアクター（assignedTo）に無条件に適用されます。

現在、次の 2 つの条件のみがサポートされています。

• RoleAssignment をセキュリティ グループのみに適用するには: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

• RoleAssignment をセキュリティ グループに適用できないようにするには: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

現在、この 2 つの条件文字列は逐語的にする必要があり、次の既定の管理者ロールでのみ機能します。

• グループ編集者
• グループ読み取り

条件は Cloud IAM Conditions 構文に従います。