Gestire un criterio di accesso

In questa pagina viene descritto come gestire un criterio di accesso esistente. Ecco cosa puoi fare:

Recuperare il nome e l'etag di un criterio di accesso
Imposta il criterio di accesso predefinito per lo strumento a riga di comando gcloud
Descrivere un criterio di accesso
Aggiornare un criterio di accesso
Eliminare un criterio di accesso

Recupero del nome e dell'etag di un criterio di accesso

Console

La console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il tuo criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud o l'API.

gcloud

Per ottenere il nome del criterio di accesso, utilizza il comando list. Il nome del criterio di accesso è obbligatorio per tutti i comandi a livello di accesso per lo strumento a riga di comando gcloud.

gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID

Dove:

ORGANIZATION_ID è l'ID numerico della tua organizzazione.

Dovresti visualizzare un output simile al seguente:

NAME           ORGANIZATION  TITLE        ETAG
1034095178592  511928527926  Corp Policy  10bc3c76ca809ab2

API

Per ottenere il nome del criterio di accesso, chiama accessPolicies.list.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Corpo della risposta

In caso di esito positivo, il corpo della risposta sarà simile a questo:

{
  "accessPolicies": [
    {
      object(AccessPolicy)
    }
  ],
  "nextPageToken": string
}

Dove:

accessPolicies è un elenco di AccessPolicy oggetti.

Imposta il criterio di accesso predefinito per lo strumento a riga di comando `gcloud`

Quando utilizzi lo strumento a riga di comando gcloud, puoi impostare un criterio di accesso predefinito. Quando imposti un criterio predefinito, non è più necessario specificare un criterio ogni volta che utilizzi un comando di Gestore contesto accesso.

Per impostare un criterio di accesso predefinito, utilizza il comando config.

gcloud config set access_context_manager/policy POLICY_NAME

Dove:

POLICY_NAME è il nome numerico del criterio di accesso.

Delegare un criterio di accesso

Console

La console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il tuo criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud o l'API.

gcloud

Per delegare l'amministrazione associando un'entità e un ruolo a un criterio di accesso con ambito, utilizza il comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dove:

POLICY è l'ID del criterio o l'identificatore completo del criterio.
PRINCIPAL è l'entità per cui aggiungere l'associazione. Specifica nel seguente formato: user|group|serviceAccount:email o domain:domain.
ROLE è il nome del ruolo da assegnare all'entità. Il nome del ruolo è il percorso completo di un ruolo predefinito, come roles/accesscontextmanager.policyEditor, o l'ID di un ruolo personalizzato, come organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Per delegare l'amministrazione del criterio di accesso con ambito:

Crea un corpo della richiesta.
```
{
"policy": "IAM_POLICY",
}
```
Dove:
- IAM_POLICY è una raccolta di associazioni. Un'associazione collega uno o più membri, o entità, a un singolo ruolo. Le entità possono essere account utente, account di servizio, gruppi Google e domini. Un ruolo è un elenco denominato di autorizzazioni. Ogni ruolo può essere un ruolo IAM predefinito o un ruolo personalizzato creato dall'utente.

Delega il criterio di accesso chiamando accessPolicies.setIamPolicy.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo della risposta

In caso di esito positivo, il corpo della risposta contiene un'istanza di policy.

Descrivere un criterio di accesso

Console

La console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il tuo criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud o l'API.

gcloud

Per descrivere il criterio di accesso, utilizza il comando describe.

gcloud access-context-manager policies describe POLICY_NAME

Dove:

POLICY_NAME è il nome numerico della tua norma.

Viene visualizzato il seguente output:

name: accessPolicies/1034095178592
parent: organizations/511928527926
title: Corp Policy

API

Per descrivere il tuo criterio di accesso, chiama accessPolicies.get

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Dove:

POLICY_NAME è il nome numerico della tua norma.

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Corpo della risposta

In caso di esito positivo, il corpo della risposta contiene un oggetto AccessPolicy.

Aggiorna un criterio di accesso

Console

La console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il tuo criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud o l'API.

gcloud

Per aggiornare il criterio di accesso, utilizza il comando update. Al momento puoi modificare solo il titolo della norma.

gcloud access-context-manager policies update POLICY_NAME \
    --title=POLICY_TITLE

Dove:

POLICY_NAME è il nome numerico della tua norma.
POLICY_TITLE è un titolo leggibile per le tue norme.

Viene visualizzato il seguente output:

Waiting for PATCH operation [accessPolicies/POLICY_NAME/update/1542234231134882]...done.

API

Al momento puoi modificare solo il titolo del criterio di accesso.

Per aggiornare la norma:

Crea un corpo della richiesta.
```
{
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}
```
Dove:
- ORGANIZATION_ID è l'ID numerico della tua organizzazione.
- POLICY_TITLE è un titolo leggibile per le tue norme.
Chiama il numero accessPolicies.patch.
```
PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/UPDATE_MASK
```
Dove:
- POLICY_NAME è il nome numerico della tua norma.
- UPDATE_MASK è una stringa che rappresenta il valore da aggiornare. Ad esempio, title.
Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation che fornisce i dettagli sull'operazione PATCH.

Eliminare un criterio di accesso

Console

Al momento la console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il tuo criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud o l'API.

gcloud

Per eliminare un criterio di accesso:

Utilizza il comando delete.
```
gcloud access-context-manager policies delete POLICY_NAME
```
Dove:
- POLICY_NAME è il nome numerico della tua norma.

Conferma di voler eliminare il criterio di accesso.

Ad esempio:

You are about to delete policy [POLICY_NAME]

Do you want to continue (Y/n)?

Viene visualizzato il seguente output:

Deleted policy [1034095178592].

API

Per eliminare il criterio di accesso, chiama accessPolicies.delete.

DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Dove:

POLICY_NAME è il nome numerico della tua norma.

Corpo della richiesta

Il corpo della richiesta deve essere vuoto.

Corpo della risposta

In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation che fornisce i dettagli sull'operazione DELETE.

Passaggi successivi

Gestire i livelli di accesso

Gestire un criterio di accesso

Recupero del nome e dell'etag di un criterio di accesso

Console

gcloud

API

Corpo della richiesta

Corpo della risposta

Imposta il criterio di accesso predefinito per lo strumento a riga di comando gcloud

Delegare un criterio di accesso

Console

gcloud

API

Corpo della risposta

Descrivere un criterio di accesso

Console

gcloud

API

Corpo della richiesta

Corpo della risposta

Aggiorna un criterio di accesso

Console

gcloud

API

Corpo della risposta

Eliminare un criterio di accesso

Console

gcloud

API

Corpo della richiesta

Corpo della risposta

Passaggi successivi

Imposta il criterio di accesso predefinito per lo strumento a riga di comando `gcloud`