REST Resource: roleAssignments

資源:RoleAssignment

定義角色指派。

JSON 表示法 
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
欄位
roleAssignmentId

string (int64 format)

這個 roleAssignment 的 ID。
roleId

string (int64 format)

已指派角色的 ID。
kind

string

API 資源的類型。這個值一律是 admin#directory#roleAssignment
etag

string

資源的 ETag。
assignedTo

string

這個角色指派給的實體專屬 ID,可能是使用者的 userId、群組的 groupId,或是 身分與存取權管理 (IAM) 中定義的服務帳戶 uniqueId
assigneeType

enum (AssigneeType)

僅供輸出。指派對象的類型 (USERGROUP)。
scopeType

string

指派這個角色的範圍。

可接受的值如下:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

如果角色僅限於機構單位,則會包含此角色的執行權限僅限於哪個機構單位的 ID。
condition

string

選用設定。與此角色指派相關聯的條件。

注意:這項功能適用於 Enterprise Standard、Enterprise Plus、Google Workspace for Education Plus 和 Cloud Identity 進階版客戶。

只有在要存取的資源符合條件時,設定 condition 欄位的 RoleAssignment 才會生效。如果 condition 為空白,系統會無條件地將角色 (roleId) 套用至範圍 (scopeType) 中的角色 (assignedTo)。

目前支援的條件如下:

  • 如要讓 RoleAssignment 只適用於安全性群組api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • 如要讓 RoleAssignment 不適用於安全性群組!api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

目前,條件字串必須是逐字輸入,且只能搭配下列預先建立的管理員角色

  • 群組編輯器
  • 群組讀取器

條件會遵循 Cloud IAM 條件語法

如要瞭解與非公開群組相關的其他條件,請參閱公開測試說明。

  • 如要讓 RoleAssignment 不適用於鎖定的群組!api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.locked']) && resource.type == 'cloudidentity.googleapis.com/Group'

這個條件也可以搭配安全性相關條件使用。

AssigneeType

指派角色的識別類型。

列舉
USER 網域中的單一個人使用者。
GROUP 網域中的群組。

方法

delete

 刪除角色指派。

get

 擷取角色指派。

insert

 建立角色指派。

list

 擷取所有 roleAssignment 的頁面式清單。