En esta página, se describe cómo administrar una política de acceso existente. Puedes realizar lo siguiente:
Obtén el nombre y la ETag de una política de acceso
Console
La consola Google Cloud no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.
gcloud
Para obtener el nombre de tu política de acceso, usa el comando list. El nombre de la política de acceso es obligatorio para todos los comandos de nivel de acceso de la herramienta de línea de comandos de gcloud.
gcloud access-context-manager policies list \ --organization ORGANIZATION_ID
Aquí:
- ORGANIZATION_ID es el ID numérico de tu organización.
Deberías ver un resultado similar a este:
NAME ORGANIZATION TITLE ETAG 1034095178592 511928527926 Corp Policy 10bc3c76ca809ab2
API
Para obtener el nombre de tu política de acceso, llama a accessPolicies.list.
GET https://accesscontextmanager.googleapis.com/v1/accessPolicies
Cuerpo de la solicitud
El cuerpo de la solicitud debe estar vacío.
Cuerpo de la respuesta
Si se ejecuta de forma correcta, el cuerpo de la respuesta se verá similar a lo siguiente:
{ "accessPolicies": [ { object(AccessPolicy) } ], "nextPageToken": string }
Aquí:
accessPolicieses una lista de objetosAccessPolicy.
Establece la política de acceso predeterminada para la herramienta de línea de comandos de gcloud
Puedes establecer una política de acceso predeterminada cuando usas la herramienta de línea de comandos de gcloud. Cuando estableces una política predeterminada, ya no necesitas especificar una cada vez que usas un comando de Access Context Manager.
Para establecer una política de acceso predeterminada, usa el comando config.
gcloud config set access_context_manager/policy POLICY_NUMBER
Aquí:
- POLICY_NUMBER es el nombre numérico de tu política de acceso.
Delega una política de acceso
Console
La consola Google Cloud no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.
gcloud
Para delegar la administración mediante la vinculación de una principal y un rol a una política de acceso con alcance, usa el comando add-iam-policy-binding.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Aquí:
POLICY es el ID de la política o el identificador completamente calificado para la política.
PRINCIPAL es el principal al que se agregará la vinculación. Especifica en el siguiente formato:
user|group|serviceAccount:emailodomain:domain.ROLE es el nombre del rol que se asignará al principal. El nombre del rol es la ruta completa de un rol predefinido, como
roles/accesscontextmanager.policyEditor, o el ID de un rol personalizado, comoorganizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.
API
Para delegar la administración de la política de acceso con alcance, haz lo siguiente:
Crea un cuerpo de solicitud.
{ "policy": "IAM_POLICY", }
Aquí:
- IAM_POLICY es una colección de vinculaciones. Una vinculación une uno o más miembros, o principales, a un solo rol. Los principales pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista con nombre de permisos. Cada rol puede ser un rol predefinido de IAM o un rol personalizado creado por el usuario.
Para delegar la política de acceso, llama a
accessPolicies.setIamPolicy.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Cuerpo de la respuesta
Si se ejecuta de forma correcta, el cuerpo de la respuesta contiene una instancia de policy.
Describe una política de acceso
Console
La consola Google Cloud no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.
gcloud
Para describir tu política de acceso, usa el comando describe.
gcloud access-context-manager policies describe POLICY_NUMBER
Aquí:
- POLICY_NUMBER es el nombre numérico de tu política.
Aparece este resultado:
name: accessPolicies/1034095178592 parent: organizations/511928527926 title: Corp Policy
API
Para describir tu política de acceso, llama a accessPolicies.get
GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NUMBER
Aquí:
- POLICY_NUMBER es el nombre numérico de tu política.
Cuerpo de la solicitud
El cuerpo de la solicitud debe estar vacío.
Cuerpo de la respuesta
Si se ejecuta de forma correcta, el cuerpo de la respuesta contiene un objeto AccessPolicy.
Actualiza una política de acceso
Console
La consola Google Cloud no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.
gcloud
Para actualizar tu política de acceso, usa el comando update. Por el momento, solo puedes cambiar el título de la política.
gcloud access-context-manager policies update POLICY_NUMBER \ --title=POLICY_TITLE
Aquí:
POLICY_NUMBER es el nombre numérico de tu política.
POLICY_TITLE es un título legible de tu política.
Aparece este resultado:
Waiting for PATCH operation [accessPolicies/POLICY_NUMBER/update/1542234231134882]...done.
API
Por el momento, solo puedes cambiar el título de tu política de acceso.
Para actualizar tu política, haz lo siguiente:
Crea un cuerpo de solicitud.
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }
Aquí:
ORGANIZATION_ID es el ID numérico de tu organización.
POLICY_TITLE es un título legible de tu política.
Llama a
accessPolicies.patch.PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NUMBER/UPDATE_MASK
Aquí:
POLICY_NUMBER es el nombre numérico de tu política.
UPDATE_MASK es una string que representa el valor que deseas actualizar. Por ejemplo,
title
Cuerpo de la respuesta
Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso
Operationque proporciona detalles sobre la operaciónPATCH.
Borra una política de acceso
Console
En este momento, la consola de Google Cloud no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.
gcloud
Para borrar una política de acceso, haz lo siguiente:
Usa el comando
delete.gcloud access-context-manager policies delete POLICY_NUMBER
Aquí:
- POLICY_NUMBER es el nombre numérico de tu política.
Confirma que deseas borrar la política de acceso.
Por ejemplo:
You are about to delete policy [POLICY_NUMBER] Do you want to continue (Y/n)?
Aparece este resultado:
Deleted policy [1034095178592].
API
Para borrar tu política de acceso, llama a accessPolicies.delete.
DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NUMBER
Aquí:
- POLICY_NUMBER es el nombre numérico de tu política.
Cuerpo de la solicitud
El cuerpo de la solicitud debe estar vacío.
Cuerpo de la respuesta
Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation que proporciona detalles sobre la operación DELETE.