REST Resource: roleAssignments

Ресурс: РолеНазначение

Определяет назначение роли.

JSON-представление 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Поля
role Assignment Id

string ( int64 format)

Идентификатор этого назначения роли.

role Id

string ( int64 format)

Идентификатор назначенной роли.

kind

string

Тип ресурса API. Это всегда admin#directory#roleAssignment .

etag

string

ETag ресурса.

assigned To

string

Уникальный идентификатор объекта, которому назначена эта роль — либо userId пользователя, groupId группы, либо uniqueId учетной записи службы, как определено в Identity and Access Management (IAM) .

assignee Type

enum ( AssigneeType )

Только вывод. Тип правопреемника ( USER или GROUP ).

scope Type

string

Область, в которой назначена эта роль.

Приемлемые значения:

  • CUSTOMER
  • ORG_UNIT
org Unit Id

string

Если роль ограничена организационным подразделением, здесь содержится идентификатор организационного подразделения, которым ограничено выполнение этой роли.

condition

string

Необязательный. Условие, связанное с этим назначением роли.

Примечание. Функция доступна клиентам Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus и Cloud Identity Premium.

RoleAssignment с набором полей condition вступит в силу только в том случае, если ресурс, к которому осуществляется доступ, соответствует условию. Если condition пустое, роль ( roleId ) применяется к актеру ( assignedTo ) в области ( scopeType ) безоговорочно.

На данный момент поддерживаются следующие условия:

  • Чтобы сделать RoleAssignment применимым только к группам безопасности : api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Чтобы сделать RoleAssignment неприменимым к группам безопасности : !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

В настоящее время строки условий должны быть дословными и работают только со следующими заранее созданными ролями администратора :

  • Редактор групп
  • Читатель групп

Условие соответствует синтаксису условия Cloud IAM .

Дополнительные условия, связанные с заблокированными группами, доступны в рамках открытого бета-тестирования.

  • Чтобы сделать RoleAssignment неприменимым к заблокированным группам : !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.locked']) && resource.type == 'cloudidentity.googleapis.com/Group'

Это условие также можно использовать в сочетании с условием, связанным с безопасностью.

Тип правопреемника

Тип удостоверения, которому назначена роль.

Перечисления
USER Отдельный пользователь в домене.
GROUP Группа внутри домена.

Методы

delete

 Удаляет назначение роли.

get

 Получает назначение роли.

insert

 Создает назначение роли.

list

 Получает разбитый на страницы список всех назначений ролей.