In questa pagina viene descritto come gestire un criterio di accesso esistente. Ecco cosa puoi fare:
Recuperare il nome e l'etag di un criterio di accesso
Console
La console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud
o l'API.
gcloud
Per ottenere il nome del criterio di accesso, utilizza il comando list
. Il nome del criterio di accesso è obbligatorio per tutti i comandi a livello di accesso per lo strumento a riga di comando gcloud
.
gcloud access-context-manager policies list \ --organization ORGANIZATION_ID
Dove:
- ORGANIZATION_ID è l'ID numerico della tua organizzazione.
Dovresti visualizzare un output simile al seguente:
NAME ORGANIZATION TITLE ETAG 1034095178592 511928527926 Corp Policy 10bc3c76ca809ab2
API
Per ottenere il nome del criterio di accesso, chiama accessPolicies.list
.
GET https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo della richiesta
Il corpo della richiesta deve essere vuoto.
Corpo della risposta
In caso di esito positivo, il corpo della risposta sarà simile a questo:
{ "accessPolicies": [ { object(AccessPolicy) } ], "nextPageToken": string }
Dove:
accessPolicies
è un elenco diAccessPolicy
oggetti.
Imposta il criterio di accesso predefinito per lo strumento a riga di comando gcloud
Quando utilizzi lo strumento a riga di comando gcloud
, puoi impostare un criterio di accesso predefinito. Quando imposti un criterio predefinito, non è più necessario specificare un criterio ogni volta che utilizzi un comando Gestore contesto accesso.
Per impostare un criterio di accesso predefinito, usa il comando config
.
gcloud config set access_context_manager/policy POLICY_NAME
Dove:
- POLICY_NAME è il nome numerico del criterio di accesso.
Delegare un criterio di accesso
Console
La console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud
o l'API.
gcloud
Per delegare l'amministrazione associando un'entità e un ruolo a un criterio di accesso con ambito, utilizza il comando add-iam-policy-binding
.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Dove:
POLICY è l'ID del criterio o l'identificatore completo del criterio.
PRINCIPAL è l'entità per cui aggiungere l'associazione. Specifica nel seguente formato:
user|group|serviceAccount:email
odomain:domain
.ROLE è il nome del ruolo da assegnare all'entità. Il nome del ruolo è il percorso completo di un ruolo predefinito, come
roles/accesscontextmanager.policyEditor
, o l'ID di un ruolo personalizzato, comeorganizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor
.
API
Per delegare l'amministrazione del criterio di accesso limitato, segui questi passaggi:
Crea un corpo della richiesta.
{ "policy": "IAM_POLICY", }
Dove:
- IAM_POLICY è una raccolta di associazioni. Un'associazione associa uno o più membri, o entità, a un singolo ruolo. Le entità possono essere account utente, account di servizio, gruppi Google e domini. Un ruolo è un elenco denominato di autorizzazioni. Ogni ruolo può essere un ruolo IAM predefinito o personalizzato creato dall'utente.
Delega il criterio di accesso chiamando
accessPolicies.setIamPolicy
.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo della risposta
In caso di esito positivo, il corpo della risposta contiene un'istanza di policy
.
Descrivi un criterio di accesso
Console
La console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud
o l'API.
gcloud
Per descrivere il criterio di accesso, usa il comando describe
.
gcloud access-context-manager policies describe POLICY_NAME
Dove:
- POLICY_NAME è il nome numerico del criterio.
Viene visualizzato il seguente output:
name: accessPolicies/1034095178592 parent: organizations/511928527926 title: Corp Policy
API
Per descrivere il tuo criterio di accesso, chiama accessPolicies.get
GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME
Dove:
- POLICY_NAME è il nome numerico del criterio.
Corpo della richiesta
Il corpo della richiesta deve essere vuoto.
Corpo della risposta
In caso di esito positivo, il corpo della risposta contiene un oggetto AccessPolicy
.
Aggiorna un criterio di accesso
Console
La console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud
o l'API.
gcloud
Per aggiornare il criterio di accesso, utilizza il comando update
. Al momento puoi modificare solo il titolo della norma.
gcloud access-context-manager policies update POLICY_NAME \ --title=POLICY_TITLE
Dove:
POLICY_NAME è il nome numerico del criterio.
POLICY_TITLE è un titolo leggibile per le norme.
Viene visualizzato il seguente output:
Waiting for PATCH operation [accessPolicies/POLICY_NAME/update/1542234231134882]...done.
API
Al momento puoi modificare solo il titolo del criterio di accesso.
Per aggiornare il criterio:
Crea un corpo della richiesta.
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }
Dove:
ORGANIZATION_ID è l'ID numerico della tua organizzazione.
POLICY_TITLE è un titolo leggibile per le norme.
Chiama il numero
accessPolicies.patch
.PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/UPDATE_MASK
Dove:
POLICY_NAME è il nome numerico del criterio.
UPDATE_MASK è una stringa che rappresenta il valore che vuoi aggiornare. Ad esempio,
title
.
Corpo della risposta
In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa
Operation
che fornisce i dettagli sull'operazionePATCH
.
Eliminare un criterio di accesso
Console
Al momento la console Google Cloud non supporta la gestione dei criteri di accesso. Se vuoi gestire il criterio di accesso, devi utilizzare lo strumento a riga di comando gcloud
o l'API.
gcloud
Per eliminare un criterio di accesso:
Utilizza il comando
delete
.gcloud access-context-manager policies delete POLICY_NAME
Dove:
- POLICY_NAME è il nome numerico del criterio.
Conferma di voler eliminare il criterio di accesso.
Ad esempio:
You are about to delete policy [POLICY_NAME] Do you want to continue (Y/n)?
Viene visualizzato il seguente output:
Deleted policy [1034095178592].
API
Per eliminare il criterio di accesso, chiama accessPolicies.delete
.
DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME
Dove:
- POLICY_NAME è il nome numerico del criterio.
Corpo della richiesta
Il corpo della richiesta deve essere vuoto.
Corpo della risposta
In caso di esito positivo, il corpo della risposta alla chiamata contiene una risorsa Operation
che fornisce i dettagli sull'operazione DELETE
.