REST Resource: roleAssignments

Recurso: RoleAssignment

Define la asignación de un rol.

Representación JSON
{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}
Campos
roleAssignmentId

string (int64 format)

ID de este rolAssignment.

roleId

string (int64 format)

El ID de la función que se asigna.

kind

string

Tipo de recurso de la API. Siempre es admin#directory#roleAssignment.

etag

string

ETag del recurso.

assignedTo

string

El ID único de la entidad a la que se asigna este rol, ya sea el userId de un usuario, el groupId de un grupo o el uniqueId de una cuenta de servicio, como se define en Identity and Access Management (IAM).

assigneeType

enum (AssigneeType)

Solo salida. Es el tipo de usuario asignado (USER o GROUP).

scopeType

string

El permiso en el que se asigna este rol.

Los valores aceptables son:

  • CUSTOMER
  • ORG_UNIT
orgUnitId

string

Si el rol está restringido a una unidad organizativa, este contiene el ID de la unidad organizativa a la que está restringido el ejercicio.

condition

string

Opcional. (versión beta abierta: disponible en la versión /admin/directory/v1.1beta1 de la API)

Nota: La función está disponible para clientes de Enterprise Standard, Enterprise Plus, Google Workspace for Education Plus y Cloud Identity Premium. No se necesita ninguna configuración adicional para usar la función. Actualmente, en la versión beta, aún no se respeta el elemento RoleAssignment asociado a condition en la Consola del administrador (http://admin.google.com).

La condición asociada con esta asignación de rol. Una RoleAssignment con el campo condition configurado solo se aplicará cuando el recurso al que se accede cumpla la condición. Si el campo condition está vacío, el rol (roleId) se aplica al actor (assignedTo) en el alcance (scopeType) de forma incondicional.

Actualmente, solo se admiten dos condiciones:

  • Para que RoleAssignment solo se aplique a los grupos de seguridad, haz lo siguiente: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

  • Para que RoleAssignment no sea aplicable a los grupos de seguridad, haz lo siguiente: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

Actualmente, las dos strings de condición deben ser literales y solo funcionan con los siguientes roles de administrador predefinidos:

  • Editor de grupos
  • Lector de grupos

La condición sigue la sintaxis de condición de Cloud IAM.

AssigneeType

El tipo de identidad a la que se asigna una función.

Enumeradores
USER Es un usuario individual dentro del dominio.
GROUP Es un grupo dentro del dominio.

Métodos

delete

Borra una asignación de rol.

get

Recupera una asignación de función.

insert

Crea una asignación de rol.

list

Recupera una lista paginada de todos los rolesAssignments.