Zugriffsrichtlinie verwalten

Auf dieser Seite wird beschrieben, wie Sie eine vorhandene Zugriffsrichtlinie verwalten können. In diesem Fall können Sie folgende Aktionen ausführen:

Namen und ETag einer Zugriffsrichtlinie abrufen

Console

Die Google Cloud Console unterstützt die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud-Befehlszeilentool oder die API verwenden.

gcloud

Den Namen einer Zugriffsrichtlinie können Sie mit dem Befehl list abrufen. Der Name der Zugriffsrichtlinie wird für alle Befehle auf Zugriffsebene für das gcloud-Befehlszeilentool benötigt.

gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID

Wobei:

  • ORGANIZATION_ID ist die numerische ID Ihrer Organisation.

Die Ausgabe sollte etwa so aussehen:

NAME           ORGANIZATION  TITLE        ETAG
1034095178592  511928527926  Corp Policy  10bc3c76ca809ab2

API

Rufen Sie accessPolicies.list auf, um den Namen Ihrer Zugriffsrichtlinie abzurufen.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies

Anfragetext

Der Anfragetext muss leer sein.

Antworttext

Bei erfolgreicher Ausführung sieht der Antworttext etwa so aus:

{
  "accessPolicies": [
    {
      object(AccessPolicy)
    }
  ],
  "nextPageToken": string
}

Wobei:

Standardzugriffsrichtlinie für das gcloud-Befehlszeilentool festlegen

Wenn Sie das gcloud-Befehlszeilentool verwenden, können Sie eine Standardzugriffsrichtlinie festlegen. Wenn Sie eine Standardrichtlinie festlegen, müssen Sie nicht mehr jedes Mal eine Richtlinie angeben, wenn Sie einen Access Context Manager-Befehl verwenden.

Eine Standard-Zugriffsrichtlinie legen Sie mit dem Befehl config fest.

gcloud config set access_context_manager/policy POLICY_NAME

Wobei:

Zugriffsrichtlinie delegieren

Console

Die Google Cloud Console unterstützt die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud-Befehlszeilentool oder die API verwenden.

gcloud

Verwenden Sie den Befehl add-iam-policy-binding, um die Verwaltung durch Binden eines Prinzips und einer Rolle mit einer Bereichszugriffsrichtlinie zu delegieren.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Wobei:

  • POLICY ist die ID der Richtlinie oder die vollqualifizierte Kennzeichnung für die Richtlinie.

  • PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Geben Sie das folgende Format an: user|group|serviceAccount:email oder domain:domain.

  • ROLE ist der Rollenname, der dem Hauptkonto zugewiesen werden soll. Der Rollenname ist der vollständige Pfad einer vordefinierten Rolle, z. B. roles/accesscontextmanager.policyEditor, oder die Rollen-ID für eine benutzerdefinierte Rolle, z. B. organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

So delegieren Sie die Verwaltung der Bereichszugriffsrichtlinie:

  1. Erstellen Sie einen Anfragetext.

    {
"policy": "IAM_POLICY",
}

    Wobei:

    • IAM_POLICY ist eine Sammlung von Bindungen. Eine Bindung bindet ein oder mehrere Mitglieder oder Hauptkonten an eine einzelne Rolle. Hauptkonten können Nutzerkonten, Dienstkonten, Google-Gruppen und Domains sein. Eine Rolle ist eine benannte Liste von Berechtigungen. Dabei kann es sich um jede vordefinierte IAM-Rolle oder eine vom Nutzer erstellte benutzerdefinierte Rolle handeln.

  2. Delegieren Sie die Zugriffsrichtlinie, indem Sie accessPolicies.setIamPolicy aufrufen.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Antworttext

Wenn der Vorgang erfolgreich abgeschlossen wurde, enthält der Antworttext eine Instanz von policy.

Zugriffsrichtlinie beschreiben

Console

Die Google Cloud Console unterstützt die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud-Befehlszeilentool oder die API verwenden.

gcloud

Verwenden Sie zum Beschreiben einer Zugriffsrichtlinie den Befehl describe.

gcloud access-context-manager policies describe POLICY_NAME

Wobei:

  • POLICY_NAME ist der numerische Name der Richtlinie

Die Ausgabe sieht so aus:

name: accessPolicies/1034095178592
parent: organizations/511928527926
title: Corp Policy

API

Rufen Sie zum Beschreiben Ihrer Zugriffsrichtlinie accessPolicies.get auf.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Wobei:

  • POLICY_NAME ist der numerische Name der Richtlinie

Anfragetext

Der Anfragetext muss leer sein.

Antworttext

Bei Erfolg enthält der Antworttext ein AccessPolicy-Objekt.

Zugriffsrichtlinie aktualisieren

Console

Die Google Cloud Console unterstützt die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud-Befehlszeilentool oder die API verwenden.

gcloud

Aktualisieren Sie Ihre Zugriffsrichtlinie mit dem Befehl update. Derzeit können Sie nur den Titel der Richtlinie ändern.

gcloud access-context-manager policies update POLICY_NAME \
    --title=POLICY_TITLE

Wobei:

  • POLICY_NAME ist der numerische Name der Richtlinie

  • POLICY_TITLE ist ein für Menschen lesbarer Titel für die Richtlinie

Die Ausgabe sieht so aus:

Waiting for PATCH operation [accessPolicies/POLICY_NAME/update/1542234231134882]...done.

API

Derzeit können Sie nur den Titel einer Zugriffsrichtlinie ändern.

So aktualisieren Sie eine Richtlinie:

  1. Erstellen Sie einen Anfragetext.

    {
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}

    Wobei:

    • ORGANIZATION_ID ist die numerische ID Ihrer Organisation.

    • POLICY_TITLE ist ein für Menschen lesbarer Titel für die Richtlinie

  2. Rufen Sie accessPolicies.patch auf.

    PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/UPDATE_MASK

    Wobei:

    • POLICY_NAME ist der numerische Name der Richtlinie

    • UPDATE_MASK ist ein String, der den zu aktualisierenden Wert darstellt. Beispiel: title

    Antworttext

    Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang PATCH.

Zugriffsrichtlinie löschen

Console

Die Google Cloud Console unterstützt derzeit die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud-Befehlszeilentool oder die API verwenden.

gcloud

So löschen Sie eine Zugriffsrichtlinie:

  1. Führen Sie den Befehl delete aus.

    gcloud access-context-manager policies delete POLICY_NAME

    Wobei:

    • POLICY_NAME ist der numerische Name der Richtlinie

  2. Bestätigen Sie, dass Sie die Zugriffsrichtlinie löschen möchten.

    Beispiel:

    You are about to delete policy [POLICY_NAME]

Do you want to continue (Y/n)?

    Die Ausgabe sieht so aus:

    Deleted policy [1034095178592].

API

Rufen Sie accessPolicies.delete auf, um Ihre Zugriffsrichtlinie zu löschen.

DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Wobei:

  • POLICY_NAME ist der numerische Name der Richtlinie

Anfragetext

Der Anfragetext muss leer sein.

Antworttext

Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation mit Informationen zum Vorgang DELETE.

Nächste Schritte