Auf dieser Seite wird beschrieben, wie Sie eine vorhandene Zugriffsrichtlinie verwalten können. In diesem Fall können Sie folgende Aktionen ausführen:
Namen und ETag einer Zugriffsrichtlinie abrufen
Console
Die Google Cloud Console unterstützt die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud
-Befehlszeilentool oder die API verwenden.
gcloud
Den Namen einer Zugriffsrichtlinie können Sie mit dem Befehl list
abrufen. Der Name der Zugriffsrichtlinie wird für alle Befehle auf Zugriffsebene für das gcloud
-Befehlszeilentool benötigt.
gcloud access-context-manager policies list \ --organization ORGANIZATION_ID
Wobei:
- ORGANIZATION_ID ist die numerische ID Ihrer Organisation.
Die Ausgabe sollte etwa so aussehen:
NAME ORGANIZATION TITLE ETAG 1034095178592 511928527926 Corp Policy 10bc3c76ca809ab2
API
Rufen Sie accessPolicies.list
auf, um den Namen Ihrer Zugriffsrichtlinie abzurufen.
GET https://accesscontextmanager.googleapis.com/v1/accessPolicies
Anfragetext
Der Anfragetext muss leer sein.
Antworttext
Bei erfolgreicher Ausführung sieht der Antworttext etwa so aus:
{ "accessPolicies": [ { object(AccessPolicy) } ], "nextPageToken": string }
Wobei:
accessPolicies
ist eine Liste vonAccessPolicy
-Objekten.
Standardzugriffsrichtlinie für das gcloud
-Befehlszeilentool festlegen
Wenn Sie das gcloud
-Befehlszeilentool verwenden, können Sie eine Standardzugriffsrichtlinie festlegen. Wenn Sie eine Standardrichtlinie festlegen, müssen Sie nicht mehr jedes Mal eine Richtlinie angeben, wenn Sie einen Access Context Manager-Befehl verwenden.
Eine Standard-Zugriffsrichtlinie legen Sie mit dem Befehl config
fest.
gcloud config set access_context_manager/policy POLICY_NAME
Wobei:
- POLICY_NAME ist der numerische Name Ihrer Zugriffsrichtlinie.
Zugriffsrichtlinie delegieren
Console
Die Google Cloud Console unterstützt die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud
-Befehlszeilentool oder die API verwenden.
gcloud
Verwenden Sie den Befehl add-iam-policy-binding
, um die Verwaltung durch Binden eines Prinzips und einer Rolle mit einer Bereichszugriffsrichtlinie zu delegieren.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Wobei:
POLICY ist die ID der Richtlinie oder die vollqualifizierte Kennzeichnung für die Richtlinie.
PRINCIPAL ist das Mitglied, für das die Bindung eingefügt werden soll. Geben Sie das folgende Format an:
user|group|serviceAccount:email
oderdomain:domain
.ROLE ist der Rollenname, der dem Hauptkonto zugewiesen werden soll. Der Rollenname ist der vollständige Pfad einer vordefinierten Rolle, z. B.
roles/accesscontextmanager.policyEditor
, oder die Rollen-ID für eine benutzerdefinierte Rolle, z. B.organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor
.
API
So delegieren Sie die Verwaltung der Bereichszugriffsrichtlinie:
Erstellen Sie einen Anfragetext.
{ "policy": "IAM_POLICY", }
Wobei:
- IAM_POLICY ist eine Sammlung von Bindungen. Eine Bindung bindet ein oder mehrere Mitglieder oder Hauptkonten an eine einzelne Rolle. Hauptkonten können Nutzerkonten, Dienstkonten, Google-Gruppen und Domains sein. Eine Rolle ist eine benannte Liste von Berechtigungen. Dabei kann es sich um jede vordefinierte IAM-Rolle oder eine vom Nutzer erstellte benutzerdefinierte Rolle handeln.
Delegieren Sie die Zugriffsrichtlinie, indem Sie
accessPolicies.setIamPolicy
aufrufen.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Antworttext
Wenn der Vorgang erfolgreich abgeschlossen wurde, enthält der Antworttext eine Instanz von policy
.
Zugriffsrichtlinie beschreiben
Console
Die Google Cloud Console unterstützt die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud
-Befehlszeilentool oder die API verwenden.
gcloud
Verwenden Sie zum Beschreiben einer Zugriffsrichtlinie den Befehl describe
.
gcloud access-context-manager policies describe POLICY_NAME
Wobei:
- POLICY_NAME ist der numerische Name der Richtlinie
Die Ausgabe sieht so aus:
name: accessPolicies/1034095178592 parent: organizations/511928527926 title: Corp Policy
API
Rufen Sie zum Beschreiben Ihrer Zugriffsrichtlinie accessPolicies.get
auf.
GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME
Wobei:
- POLICY_NAME ist der numerische Name der Richtlinie
Anfragetext
Der Anfragetext muss leer sein.
Antworttext
Bei Erfolg enthält der Antworttext ein AccessPolicy
-Objekt.
Zugriffsrichtlinie aktualisieren
Console
Die Google Cloud Console unterstützt die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud
-Befehlszeilentool oder die API verwenden.
gcloud
Aktualisieren Sie Ihre Zugriffsrichtlinie mit dem Befehl update
. Derzeit können Sie nur den Titel der Richtlinie ändern.
gcloud access-context-manager policies update POLICY_NAME \ --title=POLICY_TITLE
Wobei:
POLICY_NAME ist der numerische Name der Richtlinie
POLICY_TITLE ist ein für Menschen lesbarer Titel für die Richtlinie
Die Ausgabe sieht so aus:
Waiting for PATCH operation [accessPolicies/POLICY_NAME/update/1542234231134882]...done.
API
Derzeit können Sie nur den Titel einer Zugriffsrichtlinie ändern.
So aktualisieren Sie eine Richtlinie:
Erstellen Sie einen Anfragetext.
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }
Wobei:
ORGANIZATION_ID ist die numerische ID Ihrer Organisation.
POLICY_TITLE ist ein für Menschen lesbarer Titel für die Richtlinie
Rufen Sie
accessPolicies.patch
auf.PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/UPDATE_MASK
Wobei:
POLICY_NAME ist der numerische Name der Richtlinie
UPDATE_MASK ist ein String, der den zu aktualisierenden Wert darstellt. Beispiel:
title
Antworttext
Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource
Operation
mit Informationen zum VorgangPATCH
.
Zugriffsrichtlinie löschen
Console
Die Google Cloud Console unterstützt derzeit die Verwaltung von Zugriffsrichtlinien nicht. Wenn Sie Ihre Zugriffsrichtlinie verwalten möchten, müssen Sie das gcloud
-Befehlszeilentool oder die API verwenden.
gcloud
So löschen Sie eine Zugriffsrichtlinie:
Führen Sie den Befehl
delete
aus.gcloud access-context-manager policies delete POLICY_NAME
Wobei:
- POLICY_NAME ist der numerische Name der Richtlinie
Bestätigen Sie, dass Sie die Zugriffsrichtlinie löschen möchten.
Beispiel:
You are about to delete policy [POLICY_NAME] Do you want to continue (Y/n)?
Die Ausgabe sieht so aus:
Deleted policy [1034095178592].
API
Rufen Sie accessPolicies.delete
auf, um Ihre Zugriffsrichtlinie zu löschen.
DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME
Wobei:
- POLICY_NAME ist der numerische Name der Richtlinie
Anfragetext
Der Anfragetext muss leer sein.
Antworttext
Bei erfolgreichem Ausführen enthält der Antworttext für den Aufruf eine Ressource Operation
mit Informationen zum Vorgang DELETE
.