アクセスポリシーを管理する

このページでは、既存のアクセスポリシーを管理する方法を説明します。以下の操作を行います。

アクセスポリシーの名前と etag を取得する
gcloud コマンドラインツールのデフォルトのアクセスポリシーを設定する
アクセスポリシーについて説明する
アクセスポリシーを更新する
アクセスポリシーを削除する

アクセスポリシーの名前と etag を取得する

Console

Google Cloud コンソールは、アクセスポリシーの管理をサポートしていません。アクセスポリシーを管理する場合は、gcloud コマンドラインツールまたは API を使用する必要があります。

gcloud

アクセスポリシーの名前を取得するには、list コマンドを使用します。アクセスポリシー名は、gcloud コマンドラインツールのすべてのアクセスレベルコマンドに必要です。

gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID

ここで

ORGANIZATION_ID は組織の数値 ID です。

次のような出力が表示されます。

NAME           ORGANIZATION  TITLE        ETAG
1034095178592  511928527926  Corp Policy  10bc3c76ca809ab2

API

アクセスポリシーの名前を取得するには、accessPolicies.list を呼び出します。

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies

リクエストの本文

リクエストの本文は空にする必要があります。

レスポンスの本文

成功すると、レスポンスの本文は次のようになります。

{
  "accessPolicies": [
    {
      object(AccessPolicy)
    }
  ],
  "nextPageToken": string
}

ここで

accessPolicies は AccessPolicy オブジェクトのリストです。

`gcloud` コマンドラインツールのデフォルトのアクセスポリシーを設定する

gcloud コマンドラインツールを使用する場合は、デフォルトのアクセスポリシーを設定できます。デフォルトポリシーを設定すると、Access Context Manager コマンドを使用するたびにポリシーを指定する必要がなくなります。

デフォルトアクセスポリシーを設定するには、config コマンドを使用します。

gcloud config set access_context_manager/policy POLICY_NAME

ここで

POLICY_NAME は、アクセスポリシーの数値名です。

アクセスポリシーを委任する

Console

gcloud

プリンシパルとロールをスコープアクセスポリシーにバインドして管理を委任するには、add-iam-policy-binding コマンドを使用します。

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

ここで

POLICY は、ポリシーの ID または完全修飾 ID です。
PRINCIPAL は、バインディングを追加するプリンシパルです。user|group|serviceAccount:email または domain:domain の形式で指定します。
ROLE は、プリンシパルに割り当てるロール名です。ロール名は、事前定義ロールの完全なパス（roles/accesscontextmanager.policyEditor など）またはカスタムロールのロール ID（organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor など）です。

API

スコープアクセスポリシーの管理を委任するには、次の操作を行います。

リクエストの本文を作成します。
```
{
"policy": "IAM_POLICY",
}
```
ここで
- IAM_POLICY はバインディングのコレクションです。バインディングは、1 つ以上のメンバー（またはプリンシパル）を 1 つのロールにバインドします。プリンシパルは、ユーザーアカウント、サービスアカウント、Google グループ、ドメインです。ロールは権限の名前付きリストです。各ロールは、IAM 事前定義ロールまたはユーザー作成のカスタムロールです。
accessPolicies.setIamPolicy を呼び出して、アクセスポリシーを委任します。
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
```

レスポンスの本文

成功した場合、レスポンスの本文には policy のインスタンスが含まれます。

アクセスポリシーについて説明する

Console

gcloud

アクセスポリシーを説明するには、describe コマンドを使用します。

gcloud access-context-manager policies describe POLICY_NAME

ここで

POLICY_NAME はポリシーの数値名です。

次の出力が表示されます。

name: accessPolicies/1034095178592
parent: organizations/511928527926
title: Corp Policy

API

アクセスポリシーを説明するには、accessPolicies.get を呼び出します

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

ここで

POLICY_NAME はポリシーの数値名です。

リクエストの本文

リクエストの本文は空にする必要があります。

レスポンスの本文

成功した場合、レスポンスの本文には AccessPolicy オブジェクトが含まれます。

アクセスポリシーを更新する

Console

gcloud

アクセスポリシーを更新するには、update コマンドを使用します。現在、ポリシーのタイトルのみを変更できます。

gcloud access-context-manager policies update POLICY_NAME \
    --title=POLICY_TITLE

ここで

POLICY_NAME はポリシーの数値名です。
POLICY_TITLE は、人が読める形式のポリシータイトルです。

次の出力が表示されます。

Waiting for PATCH operation [accessPolicies/POLICY_NAME/update/1542234231134882]...done.

API

現在、アクセスポリシーのタイトルのみを変更できます。

ポリシーを更新するには:

リクエストの本文を作成します。
```
{
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}
```
ここで
- ORGANIZATION_ID は組織の数値 ID です。
- POLICY_TITLE は、人が読める形式のポリシータイトルです。
accessPolicies.patch を呼び出します。
```
PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/UPDATE_MASK
```
ここで
- POLICY_NAME はポリシーの数値名です。
- UPDATE_MASK は、更新対象である値を表す文字列です。例: title
レスポンスの本文

成功した場合は、呼び出しのレスポンス本文に Operation リソースが含まれ、これにより PATCH オペレーションの詳細がわかります。

アクセスポリシーを削除する

Console

現在、Google Cloud コンソールはアクセスポリシーの管理をサポートしていません。アクセスポリシーを管理する場合は、gcloud コマンドラインツールまたは API を使用する必要があります。

gcloud

アクセスポリシーを削除するには:

delete コマンドを使用します。
```
gcloud access-context-manager policies delete POLICY_NAME
```
ここで
- POLICY_NAME はポリシーの数値名です。
アクセスポリシーを削除することを確認します。

次に例を示します。
```
You are about to delete policy [POLICY_NAME]

Do you want to continue (Y/n)?
```
次の出力が表示されます。
```
Deleted policy [1034095178592].
```

API

アクセスポリシーを削除するには、accessPolicies.delete を呼び出します。

DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

ここで

POLICY_NAME はポリシーの数値名です。

リクエストの本文

リクエストの本文は空にする必要があります。

レスポンスの本文

成功した場合は、呼び出しのレスポンス本文に Operation リソースが含まれ、これにより DELETE オペレーションの詳細がわかります。

次のステップ

アクセスレベルの管理

アクセス ポリシーを管理する

アクセス ポリシーの名前と etag を取得する

Console

gcloud

API

リクエストの本文

レスポンスの本文

gcloud コマンドライン ツールのデフォルトのアクセス ポリシーを設定する

アクセス ポリシーを委任する

Console

gcloud

API

レスポンスの本文

アクセス ポリシーについて説明する

Console

gcloud

API

リクエストの本文

レスポンスの本文

アクセス ポリシーを更新する

Console

gcloud

API

レスポンスの本文

アクセス ポリシーを削除する

Console

gcloud

API

リクエストの本文

レスポンスの本文

次のステップ

アクセスポリシーを管理する

アクセスポリシーの名前と etag を取得する

`gcloud` コマンドラインツールのデフォルトのアクセスポリシーを設定する

アクセスポリシーを委任する

アクセスポリシーについて説明する

アクセスポリシーを更新する

アクセスポリシーを削除する