REST Resource: roleAssignments

{
  "roleAssignmentId": string,
  "roleId": string,
  "kind": string,
  "etag": string,
  "assignedTo": string,
  "assigneeType": enum (AssigneeType),
  "scopeType": string,
  "orgUnitId": string,
  "condition": string
}

string (int64 format)

このロール割り当ての ID。

string (int64 format)

割り当てられているロールの ID。

string

API リソースのタイプ。これは常に admin#directory#roleAssignment です。

string

リソースの ETag。

string

このロールが割り当てられているエンティティの一意の ID（ユーザーの userId、グループの groupId、または Identity and Access Management（IAM）で定義されているサービス アカウントの uniqueId のいずれか）。

enum (AssigneeType)

出力のみ。割り当て先のタイプ（USER または GROUP）。

string

このロールが割り当てられているスコープ。

有効な値は次のとおりです。

• CUSTOMER
• ORG_UNIT

string

ロールが組織部門に制限されている場合は、このロールの実行が制限されている組織部門の ID が含まれます。

string

（省略可）（オープンベータ版 - /admin/directory/v1.1beta1 バージョンの API で利用可能）

注: この機能は、Enterprise Standard、Enterprise Plus、Google Workspace for Education Plus、Cloud Identity Premium でご利用いただけます。この機能を使用するにあたって、追加の設定は必要ありません。現在ベータ版では、condition に関連付けられた RoleAssignment は管理コンソール（http://admin.google.com）でまだ適用されていません。

このロールの割り当てに関連付けられている条件。condition フィールドが設定された RoleAssignment は、アクセスされるリソースが条件を満たしている場合にのみ有効になります。condition が空の場合、ロール（roleId）がスコープ（scopeType）のアクター（assignedTo）に無条件に適用されます。

現時点では、次の 2 つの条件のみがサポートされています。

• RoleAssignment をセキュリティ グループにのみ適用するには: api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

• RoleAssignment をセキュリティ グループに適用できないようにするには: !api.getAttribute('cloudidentity.googleapis.com/groups.labels', []).hasAny(['groups.security']) && resource.type == 'cloudidentity.googleapis.com/Group'

現在、2 つの条件文字列は完全にそのままを使う必要があり、次の既定の管理者ロールでのみ機能します。

• グループ エディタ
• グループ読み取り

条件は Cloud IAM の条件構文に従います。