Gerenciar uma política de acesso

Nesta página, você verá como gerenciar uma política de acesso atual. Faça o seguinte:

Como conseguir o nome e a ETag de uma política de acesso

Console

O console do Google Cloud não é compatível com o gerenciamento de políticas de acesso. Se você quiser gerenciar sua política de acesso, use a ferramenta de linha de comando gcloud ou a API.

gcloud

Para ter o nome da sua política de acesso, use o comando list. O nome da política de acesso é necessário para todos os comandos de nível de acesso da ferramenta de linha de comando gcloud.

gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID

Em que:

  • ORGANIZATION_ID é o código numérico da organização.

Você verá uma saída como:

NAME           ORGANIZATION  TITLE        ETAG
1034095178592  511928527926  Corp Policy  10bc3c76ca809ab2

API

Para ter o nome da sua política de acesso, ligue para accessPolicies.list.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo da solicitação

O corpo da solicitação precisa estar vazio.

Corpo da resposta

Se for bem-sucedido, o corpo da resposta será semelhante a:

{
  "accessPolicies": [
    {
      object(AccessPolicy)
    }
  ],
  "nextPageToken": string
}

Em que:

Definir a política de acesso padrão para a ferramenta de linha de comando gcloud

Ao usar a ferramenta de linha de comando gcloud, é possível definir uma política de acesso padrão. Ao definir uma política padrão, você não precisa mais especificar uma política sempre que usar um comando do Access Context Manager.

Para definir uma política de acesso padrão, use o comando config.

gcloud config set access_context_manager/policy POLICY_NAME

Em que:

Delegar uma política de acesso

Console

O console do Google Cloud não é compatível com o gerenciamento de políticas de acesso. Se você quiser gerenciar sua política de acesso, use a ferramenta de linha de comando gcloud ou a API.

gcloud

Para delegar a administração vinculando um principal e um papel a uma política de acesso com escopo, use o comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Em que:

  • POLICY é o ID da política ou o identificador totalmente qualificado da política.

  • PRINCIPAL é o diretor para quem a vinculação deve ser adicionada. Especifique no seguinte formato: user|group|serviceAccount:email ou domain:domain.

  • ROLE é o nome do papel a ser atribuído ao diretor. O nome do papel é o caminho completo de um papel predefinido, como roles/accesscontextmanager.policyEditor, ou o ID do papel, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Para delegar a administração da política de acesso com escopo, faça o seguinte:

  1. Crie um corpo da solicitação.

    {
    "policy": "IAM_POLICY",
    }
    

    Em que:

    • IAM_POLICY é um conjunto de vinculações. Uma vinculação vincula um ou mais membros, ou diretores, a um único papel. Os diretores podem ser contas de usuário, contas de serviço, Grupos do Google e domínios. Um papel é uma lista nomeada de permissões. Cada um pode ser predefinido pelo IAM ou criado pelo usuário.
  2. Delegue a política de acesso chamando accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Se a solicitação for bem-sucedida, o corpo da resposta conterá uma instância de policy.

Descrever uma política de acesso

Console

O console do Google Cloud não é compatível com o gerenciamento de políticas de acesso. Se você quiser gerenciar sua política de acesso, use a ferramenta de linha de comando gcloud ou a API.

gcloud

Para descrever sua política de acesso, use o comando describe.

gcloud access-context-manager policies describe POLICY_NAME

Em que:

  • POLICY_NAME é o nome numérico da política.

A seguinte saída é exibida:

name: accessPolicies/1034095178592
parent: organizations/511928527926
title: Corp Policy

API

Para descrever sua política de acesso, ligue para accessPolicies.get

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Em que:

  • POLICY_NAME é o nome numérico da política.

Corpo da solicitação

O corpo da solicitação precisa estar vazio.

Corpo da resposta

Se for bem-sucedido, o corpo da resposta conterá um objeto AccessPolicy.

Atualizar uma política de acesso

Console

O console do Google Cloud não é compatível com o gerenciamento de políticas de acesso. Se você quiser gerenciar sua política de acesso, use a ferramenta de linha de comando gcloud ou a API.

gcloud

Para atualizar sua política de acesso, use o comando update. Ainda não é possível alterar só o título da política.

gcloud access-context-manager policies update POLICY_NAME \
    --title=POLICY_TITLE

Em que:

  • POLICY_NAME é o nome numérico da política.

  • POLICY_TITLE é um título para a política que seja legível.

A seguinte saída é exibida:

Waiting for PATCH operation [accessPolicies/POLICY_NAME/update/1542234231134882]...done.

API

Ainda não é possível alterar apenas o título da política de acesso.

Para atualizar a política:

  1. Crie um corpo da solicitação.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }
    

    Em que:

    • ORGANIZATION_ID é o código numérico da organização;

    • POLICY_TITLE é um título para a política que seja legível.

  2. Chame accessPolicies.patch.

    PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/UPDATE_MASK
    

    Em que:

    • POLICY_NAME é o nome numérico da política.

    • UPDATE_MASK é uma string que representa o valor a ser atualizado. Por exemplo, title.

    Corpo da resposta

    Caso a chamada seja bem-sucedida, o corpo da resposta incluirá um recurso de Operation que fornece detalhes sobre a operação PATCH.

Excluir uma política de acesso

Console

No momento, o console do Google Cloud não é compatível com o gerenciamento de políticas de acesso. Se você quiser gerenciar sua política de acesso, use a ferramenta de linha de comando gcloud ou a API.

gcloud

Para excluir uma política de acesso:

  1. Use o comando delete.

    gcloud access-context-manager policies delete POLICY_NAME
    

    Em que:

    • POLICY_NAME é o nome numérico da política.
  2. Confirme que quer excluir a política de acesso.

    Exemplo:

    You are about to delete policy [POLICY_NAME]
    
    Do you want to continue (Y/n)?
    

    A seguinte saída é exibida:

    Deleted policy [1034095178592].
    

API

Para excluir sua política de acesso, ligue para accessPolicies.delete.

DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Em que:

  • POLICY_NAME é o nome numérico da política.

Corpo da solicitação

O corpo da solicitação precisa estar vazio.

Corpo da resposta

Caso a chamada seja bem-sucedida, o corpo da resposta incluirá um recurso de Operation que fornece detalhes sobre a operação DELETE.

A seguir