REST Resource: roleAssignments

リソース: RoleAssignment

ロールの割り当てを定義します。

JSON 表現
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
フィールド
roleAssignmentId

string (int64 format)

この roleAssignment の ID。

roleId

string (int64 format)

割り当てられているロールの ID。

kind

string

API リソースのタイプ。これは常に admin#directory#roleAssignment です。

etag

string

リソースの ETag。

assignedTo

string

このロールが割り当てられているエンティティの一意の ID(Identity and Access Management(IAM) で定義されているユーザーの userId、グループの groupId、サービス アカウントの uniqueId)。

assigneeType

enum (AssigneeType)

出力専用。割り当て先のタイプ(USER または GROUP)。

scopeType

string

このロールが割り当てられるスコープ。

有効な値は次のとおりです。

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

ロールが組織部門に制限されている場合、このフィールドには、このロールの行使が制限されている組織部門の ID が含まれます。

condition

string

省略可。このロールの割り当てに関連付けられている条件。

注: この機能は、Enterprise Standard、Enterprise Plus、Google Workspace for Education Plus、Cloud Identity Premium をご利用のお客様が対象です。

condition フィールドが設定された RoleAssignment は、アクセスされるリソースが条件を満たしている場合にのみ有効になります。condition が空の場合、ロール(roleId)はスコープ(scopeType)のアクター(assignedTo)に無条件に適用されます。

現在、次の条件がサポートされています。

  • RoleAssignmentセキュリティ グループにのみ適用するには: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • RoleAssignmentセキュリティ グループに適用しないようにするには: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

現在、条件文字列はそのまま使用する必要があります。この条件は、次の事前構築された管理者ロールでのみ機能します。

  • グループ エディタ
  • グループの閲覧者

条件は Cloud IAM 条件の構文に従います。

ロックされたグループに関連する追加の条件は、オープンベータ版で利用できます。

  • RoleAssignmentロックされたグループに適用しないようにするには: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.locked']) && resource.type == 'cloudidentity.googleapis.com/Group'

この条件は、セキュリティ関連の条件と組み合わせて使用することもできます。

AssigneeType

ロールが割り当てられる ID のタイプ。

列挙型
USER ドメイン内の個々のユーザー。
GROUP ドメイン内のグループ。

メソッド

delete

ロールの割り当てを削除します。

get

ロールの割り当てを取得します。

insert

ロールの割り当てを作成します。

list

すべての roleAssignment のページネーションされたリストを取得します。