REST Resource: roleAssignments

資源:RoleAssignment

定義角色指派。

JSON 表示法
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
欄位
roleAssignmentId

string (int64 format)

這個 roleAssignment 的 ID。

roleId

string (int64 format)

已指派角色的 ID。

kind

string

API 資源的類型。一律為 admin#directory#roleAssignment

etag

string

資源的 ETag。

assignedTo

string

這個角色指派給的實體專屬 ID,可能是使用者的 userId、群組的 groupId,或是 身分與存取權管理 (IAM) 中定義的服務帳戶 uniqueId

assigneeType

enum (AssigneeType)

僅供輸出。指派對象的類型 (USERGROUP)。

scopeType

string

獲派這個角色的範圍,

可接受的值如下:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

如果角色僅限於機構單位,則會包含此角色的執行權限僅限於哪個機構單位的 ID。

condition

string

選用設定。(公開測試版 - 適用於 API 的 /admin/directory/v1.1beta1 版本)

注意:這項功能適用於 Enterprise Standard、Enterprise Plus、Google Workspace for Education Plus 和 Cloud Identity 進階版客戶。您不需要額外設定即可使用這項功能。目前在 Beta 版中,管理控制台 (http://admin.google.com) 尚未遵循與 condition 相關聯的 RoleAssignment

與此角色指派相關聯的條件。只有在要存取的資源符合條件時,設定 condition 欄位的 RoleAssignment 才會生效。如果 condition 為空白,系統會無條件地將角色 (roleId) 套用至範圍 (scopeType) 中的角色 (assignedTo)。

目前只支援兩種條件:

  • 如要讓 RoleAssignment 只適用於安全性群組api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • 如要讓 RoleAssignment 不適用於安全性群組!api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

目前,這兩個條件字串必須完整,而且只適用於下列預先建立的管理員角色

  • 群組編輯器
  • 群組讀取者

條件會遵循 Cloud IAM 條件語法

AssigneeType

指派角色的識別類型。

列舉
USER 網域中的單一個人使用者。
GROUP 網域中的群組。

方法

delete

刪除角色指派。

get

擷取角色指派。

insert

建立角色指派。

list

擷取所有 roleAssignment 的頁面式清單。