Auf dieser Seite wird erläutert, wie Sie den Zugriff von Hauptkonten verweigern, indem Sie verhindern, dass sie bestimmte IAM-Berechtigungen (Identity and Access Management) verwenden.
In IAM verweigern Sie den Zugriff mithilfe von Ablehnungsrichtlinien. Jede Ablehnungsrichtlinie ist mit einer Google Cloud-Organisation, einem Google Cloud-Ordner oder einem Google Cloud-Projekt verknüpft. Eine Ablehnungsrichtlinie enthält Ablehnungsregeln, die Hauptkonten identifizieren und die Berechtigungen auflisten, die nicht von den Hauptkonten verwendet werden können.
Ablehnungsrichtlinien unterscheiden sich von Zulassungsrichtlinien, die auch als IAM-Richtlinien bezeichnet werden. Eine Zulassungsrichtlinie ermöglicht Zugriff auf Ressourcen, indem sie Hauptkonten IAM-Rollen zuweist.
Sie können Ablehnungsrichtlinien mit der Google Cloud CLI oder der IAM v2
REST API verwalten.
Hinweise
Enable the IAM API.
Richten Sie die Authentifizierung ein.
Select the tab for how you plan to use the samples on this page:
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Terraform
Wenn Sie die Terraform-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
Go
Wenn Sie die Go Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
Java
Wenn Sie die Java Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
Node.js
Wenn Sie die Node.js Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
Python
Wenn Sie die Python Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
REST
Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.
Lesen Sie die Übersicht über Ablehnungsrichtlinien.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Ablehnungsrichtlinien benötigen:
-
Zum Aufrufen von Ablehnungsrichtlinien:
Deny Reviewer (
roles/iam.denyReviewer
) -
Zum Aufrufen, Erstellen, Aktualisieren und Löschen von Ablehnungsrichtlinien:
Deny Admin (
roles/iam.denyAdmin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Ablehnungsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind zum Verwalten von Ablehnungsrichtlinien erforderlich:
-
So rufen Sie Ablehnungsrichtlinien auf:
-
iam.denypolicies.get
-
iam.denypolicies.list
-
-
So erstellen, aktualisieren und löschen Sie Richtlinien:
-
iam.denypolicies.create
-
iam.denypolicies.delete
-
iam.denypolicies.get
-
iam.denypolicies.update
-
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Berechtigungen zum Ablehnen identifizieren
Bevor Sie eine Ablehnungsrichtlinie erstellen, müssen Sie entscheiden, welche Berechtigungen Sie verweigern möchten und welchen Hauptkonten Sie diese Berechtigungen verweigern möchten.
Nur bestimmte Berechtigungen können abgelehnt werden. Eine Liste der Berechtigungen, die Sie ablehnen können, finden Sie unter In Ablehnungsrichtlinien unterstützte Berechtigungen.
In einigen Fällen können Sie mit Berechtigungsgruppen Berechtigungssätze ablehnen. Weitere Informationen finden Sie unter Berechtigungsgruppen.
Sie verwalten Ablehnungsrichtlinien mit der REST API
v2
, die ein spezielles Format für Berechtigungsnamen erfordert. Die Berechtigung zum Erstellen einer benutzerdefinierten IAM-Rolle hat beispielsweise folgenden Namen:v1
API:iam.roles.create
v2
API:iam.googleapis.com/roles.create
Verknüpfungspunkt identifizieren
Jede Ablehnungsrichtlinie ist mit einer Organisation, einem Ordner oder einem Projekt verknüpft. Wenn Sie eine Ablehnungsrichtlinie an eine dieser Ressourcen anhängen, wird sie von allen untergeordneten Ressourcen in diesem Projekt, Ordner oder dieser Organisation übernommen. Um mit Ablehnungsrichtlinien zu arbeiten, benötigen Sie eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Diese wird als Anhangspunkt bezeichnet. Diese Kennzeichnung verwendet eines der Formate in der folgenden Tabelle:
Format des Verknüpfungspunkt Organisation cloudresourcemanager.googleapis.com/organizations/ORG_ID
Ersetzen SieORG_ID
durch die numerische Organisations-ID. URL-codieren Sie den gesamten Wert für die REST API.Beispiel für die gcloud CLI:
cloudresourcemanager.googleapis.com/organizations/123456789012
Beispiel für die REST API:
cloudresourcemanager.googleapis.com%2Forganizations%2F123456789012
Ordner cloudresourcemanager.googleapis.com/folders/FOLDER_ID
Ersetzen SieFOLDER_ID
durch die numerische Ordner-ID. URL-codieren Sie den gesamten Wert für die REST API.Beispiel für die gcloud CLI:
cloudresourcemanager.googleapis.com/folders/987654321098
Beispiel für die REST API:
cloudresourcemanager.googleapis.com%2Ffolders%2F987654321098
Projekt cloudresourcemanager.googleapis.com/projects/PROJECT_ID
Ersetzen SiePROJECT_ID
durch die alphanumerische oder numerische Projekt-ID. URL-codieren Sie den gesamten Wert für die REST API.Beispiel für die gcloud CLI:
cloudresourcemanager.googleapis.com/projects/my-project
Beispiel für die REST API:
cloudresourcemanager.googleapis.com%2Fprojects%2Fmy-project
Ablehnungsrichtlinie erstellen
Sie können Ablehnungsrichtlinien für Organisationen, Ordner und Projekte hinzufügen. Jede Ressource kann bis zu 500 Ablehnungsrichtlinien haben.
Ablehnungsrichtlinien enthalten Ablehnungsregeln, die Folgendes festlegen:
- Die Berechtigungen, die abgelehnt werden sollen.
- Die Hauptkonten, denen diese Berechtigungen verweigert werden.
Optional: Hauptkonten, die von der Ablehnung der Berechtigungen ausgenommen sind.
Sie können beispielsweise eine Berechtigung für eine Gruppe ablehnen, aber bestimmte Nutzer ausnehmen, die zu dieser Gruppe gehören.
Optional: Ein Bedingungsausdruck, der festlegt, wann die Hauptkonten die Berechtigungen nicht verwenden können. In Ablehnungsrichtlinien können Bedingungsausdrücke nur Funktionen für Ressourcen-Tags verwenden. Andere Funktionen und Operatoren werden nicht unterstützt.
Jede Ressource kann bis zu 500 Ablehnungsregeln für alle zugehörigen Ablehnungsrichtlinien haben.
Ablehnungsrichtlinien werden über die Ressourcenhierarchie vererbt. Wenn Sie beispielsweise eine Berechtigung auf Organisationsebene ablehnen, wird diese Berechtigung auch für die Ordner und Projekte innerhalb dieser Organisation sowie für die dienstspezifischen Ressourcen innerhalb jedes Projekts abgelehnt.
Ablehnungsrichtlinien überschreiben Zulassungsrichtlinien. Wenn einem Hauptkonto eine Rolle zugewiesen wird, die eine bestimmte Berechtigung enthält, aber eine Ablehnungsrichtlinie besagt, dass das Hauptkonto diese Berechtigung nicht verwenden kann, kann das Hauptkonto die Berechtigung nicht verwenden.
gcloud
Wenn Sie eine Ablehnungsrichtlinie für eine Ressource erstellen möchten, erstellen Sie zuerst eine JSON-Datei, die die Richtlinie enthält. Eine Ablehnungsrichtlinie hat das folgende Format:
{ "displayName": "POLICY_NAME", "rules": [ { "denyRule": DENY_RULE_1 }, { "denyRule": DENY_RULE_2 }, { "denyRule": DENY_RULE_N } ] }
Geben Sie folgende Werte an:
POLICY_NAME
: Anzeigename für die Ablehnungsrichtlinie.-
DENY_RULE_1
,DENY_RULE_2
,...DENY_RULE_N
: Ablehnungsregeln innerhalb der Richtlinie. Jede Ablehnungsregel kann folgende Felder enthalten:-
deniedPermissions
: Liste von Berechtigungen, die die angegebenen Hauptkonten nicht verwenden können. Die Berechtigungen müssen in Ablehnungsrichtlinien unterstützt werden.In einigen Fällen können Sie mit Berechtigungsgruppen Berechtigungssätze ablehnen. Weitere Informationen finden Sie unter Berechtigungsgruppen.
-
deniedPrincipals
: Liste der Hauptkonten, die die angegebenen Berechtigungen nicht verwenden können. Verwenden Sie dasv2
-API-Format für Hauptkonto-IDs. -
exceptionPrincipals
: Optional. Eine Liste der Hauptkonten, die die angegebenen Berechtigungen verwenden können, auch wenn diese Hauptkonten indeniedPrincipals
enthalten sind. Beispielsweise können Sie mit diesem Feld eine Ausnahme für bestimmte Nutzer festlegen, die zu einer abgelehnten Gruppe gehören. Verwenden Sie dasv2
-API-Format für Hauptkonto-IDs. -
denialCondition
: Optional. Ein Bedingungsausdruck, der festlegt, wann die Hauptkonten die Berechtigungen nicht verwenden können. Er enthält die folgenden Felder:-
expression
: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss die CEL-Funktionen zum Bewerten von Ressourcen-Tags verwenden. Andere Funktionen und Operatoren werden nicht unterstützt. -
title
: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung. -
description
: Optional. Eine längere Beschreibung der Bedingung.
-
Beispiele für Ablehnungsregeln finden Sie unter Häufige Anwendungsfälle.
-
Die folgende Ablehnungsrichtlinie enthält beispielsweise eine Ablehnungsregel, die dem Nutzer die Berechtigung
lucian@example.com
verweigert:{ "displayName": "My deny policy.", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Als Nächstes führen Sie den Befehl
gcloud iam policies create
aus:gcloud iam policies create POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --policy-file=POLICY_FILE
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren. -
POLICY_FILE
: Dateipfad für die JSON-Datei, die die Ablehnungsrichtlinie enthält.
Standardmäßig wird keine Ausgabe gedruckt, wenn dieser Befehl erfolgreich ist. Fügen Sie zum Drucken einer detaillierten Antwort das Flag
--format=json
in den Befehl ein.Mit dem folgenden Befehl wird beispielsweise eine Ablehnungsrichtlinie namens
my-deny-policy
für das Projektmy-project
mit einer Datei namenspolicy.json
erstellt:gcloud iam policies create my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --policy-file=policy.json
Terraform
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle. Weitere Informationen finden Sie in der Anbieterreferenzdokumentation zu Terraform.
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Mit der Methode
policies.createPolicy
wird eine Ablehnungsrichtlinie für eine Ressource erstellt.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.POLICY_NAME
: Anzeigename für die Richtlinie zur Ablehnung.-
DENY_RULE_1
,DENY_RULE_2
,...DENY_RULE_N
: Ablehnungsregeln innerhalb der Richtlinie. Jede Ablehnungsregel kann folgende Felder enthalten:-
deniedPermissions
: Liste von Berechtigungen, die die angegebenen Hauptkonten nicht verwenden können. Die Berechtigungen müssen in Ablehnungsrichtlinien unterstützt werden.In einigen Fällen können Sie mit Berechtigungsgruppen Berechtigungssätze ablehnen. Weitere Informationen finden Sie unter Berechtigungsgruppen.
-
deniedPrincipals
: Liste der Hauptkonten, die die angegebenen Berechtigungen nicht verwenden können. Verwenden Sie dasv2
-API-Format für Hauptkonto-IDs. -
exceptionPrincipals
: Optional. Eine Liste der Hauptkonten, die die angegebenen Berechtigungen verwenden können, auch wenn diese Hauptkonten indeniedPrincipals
enthalten sind. Beispielsweise können Sie mit diesem Feld eine Ausnahme für bestimmte Nutzer festlegen, die zu einer abgelehnten Gruppe gehören. Verwenden Sie dasv2
-API-Format für Hauptkonto-IDs. -
denialCondition
: Optional. Ein Bedingungsausdruck, der festlegt, wann die Hauptkonten die Berechtigungen nicht verwenden können. Er enthält die folgenden Felder:-
expression
: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss die CEL-Funktionen zum Bewerten von Ressourcen-Tags verwenden. Andere Funktionen und Operatoren werden nicht unterstützt. -
title
: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung. -
description
: Optional. Eine längere Beschreibung der Bedingung.
-
Beispiele für Ablehnungsregeln finden Sie unter Häufige Anwendungsfälle.
-
HTTP-Methode und URL:
POST https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies?policyId=POLICY_ID
JSON-Text anfordern:
{ "displayName": "POLICY_NAME", "rules": [ { "denyRule": DENY_RULE_1 }, { "denyRule": DENY_RULE_2 }, { "denyRule": DENY_RULE_N } ] }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/89cb3e508bf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2022-06-28T19:06:12.455151Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-06-28T22:26:21.968687Z" "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] } }
Die Antwort identifiziert einen Vorgang mit langer Ausführungszeit. Sie können den Status des Vorgang mit langer Ausführungszeit überwachen, um festzustellen, ob er abgeschlossen ist. Weitere Informationen finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.
Ablehnungsrichtlinien auflisten
Eine Ressource kann mehrere Ablehnungsrichtlinien haben. Sie können alle Ablehnungsrichtlinien auflisten, die mit einer Ressource verknüpft sind, und dann jede Ablehnungsrichtlinie aufrufen, um die Ablehnungsregeln in jeder Richtlinie anzusehen.
gcloud
Führen Sie den Befehl
gcloud iam policies list
aus, um die Ablehnungsrichtlinien für eine Ressource aufzulisten:gcloud iam policies list \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Geben Sie folgenden Wert an:
-
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren.
Mit dem folgenden Befehl werden beispielsweise Ablehnungsrichtlinien aufgelistet, die mit einer Organisation verknüpft sind, deren numerische ID
123456789012
ist:gcloud iam policies list \ --attachment-point=cloudresourcemanager.googleapis.com/organizations/123456789012 \ --kind=denypolicies \ --format=json
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Mit der Methode
policies.listPolicies
werden die Ablehnungsrichtlinien für eine Ressource aufgelistet.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren.
HTTP-Methode und URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "policies": [ { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-06-28T22:26:21.968687Z" }, { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy-2", "uid": "8465d710-ea20-0a08-d92c-b2a3ebf766ab", "kind": "DenyPolicy", "displayName": "My second deny policy.", "createTime": "2022-06-05T19:21:53.595455Z", "updateTime": "2022-06-05T19:21:53.595455Z" }, { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy-3", "uid": "ee9f7c2f-7e8c-b05c-d4e5-e03bfb2954e0", "kind": "DenyPolicy", "displayName": "My third deny policy.", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z" } ] }
Ablehnungsrichtlinie ansehen
Sie können eine Ablehnungsrichtlinie aufrufen, um die enthaltenen Ablehnungsregeln anzusehen, einschließlich der abgelehnten Berechtigungen und der Hauptkonten, die diese Berechtigungen nicht verwenden können.
gcloud
Führen Sie den Befehl
gcloud iam policies get
aus, um die Ablehnungsrichtlinie für eine Ressource abzurufen:gcloud iam policies get POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren.
Mit dem folgenden Befehl wird beispielsweise die Ablehnungsrichtlinie
my-deny-policy
für das Projektmy-project
abgerufen und in einer Datei namenspolicy.json
gespeichert:gcloud iam policies get my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --format=json \ > ./policy.json
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Die Methode
policies.get
ruft eine Ablehnungsrichtlinie für eine Ressource ab.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.
HTTP-Methode und URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Ablehnungsrichtlinie aktualisieren
Nachdem Sie eine Ablehnungsrichtlinie erstellt haben, können Sie die darin enthaltenen Ablehnungsregeln und deren Anzeigenamen aktualisieren.
Verwenden Sie zum Aktualisieren einer Ablehnungsrichtlinie das Muster Lesen-Ändern-Schreiben:
- Lesen Sie die aktuelle Version der Richtlinie.
- Ändern Sie die Informationen in der Richtlinie nach Bedarf.
- Schreiben Sie die aktualisierte Richtlinie.
Ablehnungsrichtlinie lesen
gcloud
Führen Sie den Befehl
gcloud iam policies get
aus, um die Ablehnungsrichtlinie für eine Ressource abzurufen:gcloud iam policies get POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren.
Mit dem folgenden Befehl wird beispielsweise die Ablehnungsrichtlinie
my-deny-policy
für das Projektmy-project
abgerufen und in einer Datei namenspolicy.json
gespeichert:gcloud iam policies get my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --format=json \ > ./policy.json
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Die Methode
policies.get
ruft eine Ablehnungsrichtlinie für eine Ressource ab.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.
HTTP-Methode und URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Ablehnungsrichtlinie ändern
Um die Ablehnungsrichtlinie zu ändern, ändern Sie die Kopie der Richtlinie, die Sie zuvor aus IAM gelesen haben. Sie können den Anzeigenamen aktualisieren oder Ablehnungsregeln hinzufügen, ändern oder entfernen. Die Änderungen werden erst wirksam, wenn die aktualisierte Richtlinie geschrieben wird.
Sie können beispielsweise einer vorhandenen Ablehnungsregel eine Berechtigung hinzufügen:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2021-10-05T19:22:26.770543Z", "updateTime": "2021-10-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] }
Aktualisierte Ablehnungsrichtlinie schreiben
Nachdem Sie die Ablehnungsrichtlinie lokal geändert haben, müssen Sie die aktualisierte Ablehnungsrichtlinie in IAM schreiben.
Jede Ablehnungsrichtlinie enthält ein
etag
-Feld, das die Richtlinienversion kennzeichnet.etag
ändert sich jedes Mal, wenn Sie die Richtlinie aktualisieren. Wenn Sie die aktualisierte Richtlinie schreiben, mussetag
in Ihrer Anfrage mit dem aktuellenetag
übereinstimmen, das in IAM gespeichert ist. Wenn die Werte nicht übereinstimmen, schlägt die Anfrage fehl. Diese Funktion verhindert, dass sich gleichzeitige Änderungen gegenseitig überschreiben.gcloud
Führen Sie den Befehl
gcloud iam policies update
aus, um die Ablehnungsrichtlinie für eine Ressource zu aktualisieren:gcloud iam policies update POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --policy-file=POLICY_FILE
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren. -
POLICY_FILE
: Dateipfad für die JSON-Datei, die die Ablehnungsrichtlinie enthält.
Standardmäßig wird keine Ausgabe gedruckt, wenn dieser Befehl erfolgreich ist. Fügen Sie zum Drucken einer detaillierten Antwort das Flag
--format=json
in den Befehl ein.Mit dem folgenden Befehl wird beispielsweise eine Ablehnungsrichtlinie namens
my-deny-policy
für das Projektmy-project
mit einer Datei namenspolicy.json
aktualisiert:gcloud iam policies update my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --policy-file=policy.json
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Mit der Methode
policies.update
wird eine Ablehnungsrichtlinie aktualisiert.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.-
POLICY
: Die aktualisierte Ablehnungsrichtlinie.Wenn Sie beispielsweise der im vorherigen Schritt angezeigten Richtlinie eine Berechtigung hinzufügen möchten, ersetzen Sie
POLICY
durch Folgendes:{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] }
HTTP-Methode und URL:
PUT https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
JSON-Text anfordern:
POLICY
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/8b2d0ab2daf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2021-10-05T22:26:21.968687Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTgxNTIxNDE3NTYxNjQxODYxMTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T22:26:21.968687Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] } }
Die Antwort identifiziert einen Vorgang mit langer Ausführungszeit. Sie können den Status des Vorgang mit langer Ausführungszeit überwachen, um festzustellen, ob er abgeschlossen ist. Weitere Informationen finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.
Ablehnungsrichtlinie löschen
Wenn Sie die Regeln in einer Ablehnungsrichtlinie nicht mehr erzwingen möchten, können Sie die Ablehnungsrichtlinie löschen.
Optional können Sie das
etag
für die Richtlinienversion angeben, die Sie löschen möchten. Wenn Sie dasetag
angeben, muss es dem aktuellen von IAM gespeichertenetag
entsprechen. Wenn die Werte nicht übereinstimmen, schlägt die Anfrage fehl. Mit dieser Funktion können Sie dafür sorgen, dass die beabsichtigte Richtlinie anstelle einer aktualisierten Version dieser Richtlinie gelöscht wird.Wenn Sie
etag
in der Anfrage weglassen, löscht IAM die Richtlinie bedingungslos.gcloud
Führen Sie den Befehl
gcloud iam policies delete
aus, um eine Ablehnungsrichtlinie für eine Ressource zu löschen:gcloud iam policies delete POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren.
Optional können Sie das Flag
--etag=ETAG
hinzufügen. Ersetzen SieETAG
durch den aktuellenetag
-Wert für die Ablehnungsrichtlinie.Standardmäßig wird keine Ausgabe gedruckt, wenn dieser Befehl erfolgreich ist. Fügen Sie zum Drucken einer detaillierten Antwort das Flag
--format=json
in den Befehl ein.Mit dem folgenden Befehl wird beispielsweise eine Ablehnungsrichtlinie namens
my-deny-policy
aus dem Projektmy-project
gelöscht:gcloud iam policies delete my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Mit der Methode
policies.delete
wird eine Ablehnungsrichtlinie aus einer Ressource gelöscht.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.-
ETAG
: Optional. Eine Kennzeichnung für die Version der Richtlinie. Wenn vorhanden, muss dieser Wert dem aktuellenetag
-Wert für die Richtlinie entsprechen.
HTTP-Methode und URL:
DELETE https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID?etag=ETAG
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/8223fe308bf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2021-10-05T19:45:00.133311Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-07-05T19:45:00.133311Z", "deleteTime": "2022-07-05T19:45:00.133311Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] } }
Die Antwort identifiziert einen Vorgang mit langer Ausführungszeit. Sie können den Status des Vorgang mit langer Ausführungszeit überwachen, um festzustellen, ob er abgeschlossen ist. Weitere Informationen finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.
Status eines Vorgangs mit langer Ausführungszeit prüfen
Wenn Sie die REST API oder die Clientbibliotheken verwenden, gibt jede Methode, die eine Ablehnungsrichtlinie ändert, einen lang andauernden Vorgang zurück. Der Vorgang mit langer Ausführungszeit verfolgt den Status der Anfrage und gibt an, ob die Änderung der Richtlinie abgeschlossen ist.
Go
Die Codebeispiele auf dieser Seite zeigen, wie Sie auf den Abschluss eines lang andauernden Vorgangs warten und dann auf das Ergebnis zugreifen.
Java
Die Codebeispiele auf dieser Seite zeigen, wie Sie auf den Abschluss eines lang andauernden Vorgangs warten und dann auf das Ergebnis zugreifen.
Node.js
Die Codebeispiele auf dieser Seite zeigen, wie Sie auf den Abschluss eines lang andauernden Vorgangs warten und dann auf das Ergebnis zugreifen.
Python
Die Codebeispiele auf dieser Seite zeigen, wie Sie auf den Abschluss eines lang andauernden Vorgangs warten und dann auf das Ergebnis zugreifen.
REST
Die Methode
policies.operations.get
gibt den Status eines Vorgang mit langer Ausführungszeit zurück.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie auf dieser Seite unter Anhangspunkt identifizieren. -
OPERATION_ID
: Die Kennzeichnung für den Vorgang. Sie erhalten diese Kennzeichnung in der Antwort auf Ihre ursprüngliche Anfrage als Teil des Vorgangsnamens. Verwenden Sie den Hexadezimalwert am Ende des Vorgangsnamens. Beispiel:89cb3e508bf1ff01
.
HTTP-Methode und URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/operations/OPERATION_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/89cb3e508bf1ff01", "done": true }
Wenn das Feld
done
des Vorgangs nicht vorhanden ist, überwachen Sie seinen Status, indem Sie den Vorgang wiederholt abrufen. Verwenden Sie den abgeschnittenen exponentiellen Backoff, um zwischen jeder Anfrage eine Verzögerung einzuführen. Wenn das Felddone
auftrue
gesetzt ist, ist der Vorgang abgeschlossen und Sie können den Vorgang beenden.Nächste Schritte
- Ermitteln Sie die Berechtigungen, die in Ablehnungsrichtlinien unterstützt werden
- Rufen Sie das Format der Hauptkennzeichnungen in Ablehnungsrichtlinien ab.
- Zugriffsprobleme durch Ablehnungsrichtlinien beheben
- Zugriff auf Hauptkonten verweigern
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2024-11-22 (UTC).