Questa pagina spiega come negare l'accesso agli entità impedendo loro di utilizzare autorizzazioni IAM (Identity and Access Management) specifiche.
In IAM, puoi negare l'accesso con i criteri di rifiuto. Ogni criterio di rifiuto è associato a un'organizzazione, a una cartella o a un progetto Google Cloud. Un criterio di negazione contiene regole di negazione, che identificano le entità e elencano le autorizzazioni che non possono utilizzare.
I criteri di rifiuto sono separati dai criteri di autorizzazione, noti anche come criteri IAM. Un criterio di autorizzazione fornisce l'accesso alle risorse concedendo ruoli IAM alle entità.
Puoi gestire i criteri di rifiuto con la console Google Cloud, Google Cloud CLI o l'API REST IAM v2
.
Prima di iniziare
Enable the IAM API.
Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Terraform
Per utilizzare gli esempi di Terraform in questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per saperne di più, consulta Configurare l'ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Vai
Per utilizzare gli Go esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia alla gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per saperne di più, consulta Configurare l'ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Java
Per utilizzare gli Java esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia alla gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per saperne di più, consulta Configurare l'ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Node.js
Per utilizzare gli Node.js esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia alla gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per saperne di più, consulta Configurare l'ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
Python
Per utilizzare gli Python esempi in questa pagina in un ambiente di sviluppo locale, installa e inizializza l'interfaccia alla gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Per saperne di più, consulta Configurare l'ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione di Google Cloud.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Leggi la panoramica delle norme di rifiuto.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire i criteri di rifiuto, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione:
-
Per visualizzare i criteri di rifiuto:
Deny Reviewer (
roles/iam.denyReviewer
) -
Per visualizzare, creare, aggiornare ed eliminare le norme di rifiuto:
Amministratore rifiuto (
roles/iam.denyAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire i criteri di rifiuto. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per gestire le policy di rifiuto sono necessarie le seguenti autorizzazioni:
-
Per visualizzare i criteri di negazione:
-
iam.denypolicies.get
-
iam.denypolicies.list
-
-
Per creare, aggiornare ed eliminare le policy di negazione:
-
iam.denypolicies.create
-
iam.denypolicies.delete
-
iam.denypolicies.get
-
iam.denypolicies.update
-
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Identificare le autorizzazioni da negare
Prima di creare una policy di rifiuto, devi decidere quali autorizzazioni vuoi negare e a quali entità devono essere negate queste autorizzazioni.
Solo alcune autorizzazioni possono essere negate. Per un elenco delle autorizzazioni che puoi negare, consulta Autorizzazioni supportate nei criteri di rifiuto.
In alcuni casi, puoi anche utilizzare i gruppi di autorizzazioni per negare insiemi di autorizzazioni. Per ulteriori informazioni, vedi Gruppi di autorizzazioni.
Gestisci i criteri di rifiuto con l'API REST
v2
, che richiede un formato speciale per i nomi delle autorizzazioni. Ad esempio, l'autorizzazione per creare un ruolo personalizzato IAM è denominata come segue:- API
v1
:iam.roles.create
- API
v2
:iam.googleapis.com/roles.create
Crea una policy di rifiuto
Puoi aggiungere criteri di rifiuto a organizzazioni, cartelle e progetti. Ogni risorsa può avere fino a 500 criteri di rifiuto.
I criteri di rifiuto contengono regole di rifiuto che specificano quanto segue:
- Le autorizzazioni da negare.
- Le entità a cui sono negate queste autorizzazioni.
(Facoltativo) Principali esenti dal rifiuto delle autorizzazioni.
Ad esempio, puoi negare un'autorizzazione a un gruppo, ma esentare utenti specifici che appartengono a quel gruppo.
(Facoltativo) Un'espressione di condizione che specifica quando le entità non possono utilizzare le autorizzazioni. Nei criteri di rifiuto, le espressioni di condizione possono utilizzare solo funzioni per i tag delle risorse. Altre funzioni e altri operatori non sono supportati.
Ogni risorsa può avere fino a 500 regole di rifiuto in tutti i relativi criteri di rifiuto allegati.
I criteri di rifiuto vengono ereditati tramite la gerarchia delle risorse. Ad esempio, se neghi un'autorizzazione a livello di organizzazione, questa verrà negata anche alle cartelle e ai progetti all'interno dell'organizzazione e alle risorse specifiche del servizio all'interno di ogni progetto.
I criteri di rifiuto sostituiscono i criteri di autorizzazione. Se a un'entità viene assegnato un ruolo che contiene un'autorizzazione specifica, ma un criterio di negazione indica che l'entità non può utilizzare l'autorizzazione, l'entità non potrà utilizzarla.
Console
Nella console Google Cloud, vai alla scheda Rifiuta nella pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Fai clic su
Crea criterio di negazione.Nella sezione Nome criterio, definisci l'ID criterio eseguendo una delle seguenti operazioni:
- Nel campo Nome visualizzato, inserisci un nome visualizzato per il criterio. Se compili questo campo, viene compilato automaticamente anche il campo ID. Se vuoi modificare l'ID del criterio, aggiorna il testo nel campo ID.
- Nel campo ID, inserisci un ID per il criterio.
Nella sezione Regole di rifiuto, definisci le regole di rifiuto del criterio. Ogni criterio di rifiuto deve avere almeno una regola di rifiuto. Per aggiungere altre regole di negazione, fai clic su Aggiungi regola di negazione.
Per ogni regola di rifiuto:
- Nel campo Enti negate, aggiungi una o più entità a cui vuoi impedire di utilizzare le autorizzazioni specificate. L'entità può essere uno dei tipi di entità nell'elenco degli identificatori delle entità IAM
v2
, ad eccezione di quelle i cui ID iniziano condeleted:
. - (Facoltativo) Nel campo Enti eccezionali, aggiungi le entità che devono poter utilizzare le autorizzazioni specificate, anche se sono incluse nella sezione Enti negati. Ad esempio, puoi utilizzare questo campo per fare un'eccezione per utenti specifici che appartengono a un gruppo negato.
Nelle sezioni Autorizzazioni negate, aggiungi le autorizzazioni che vuoi negare. Le autorizzazioni devono essere supportate nei criteri di rifiuto.
In alcuni casi, puoi anche utilizzare i gruppi di autorizzazioni per negare insiemi di autorizzazioni. Per ulteriori informazioni, vedi Gruppi di autorizzazioni.
(Facoltativo) Aggiungi le autorizzazioni di eccezione. Le autorizzazioni di eccezione sono quelle che non vuoi che vengano negate da questa regola di rifiuto, anche se sono incluse nell'elenco delle autorizzazioni negate. Ad esempio, puoi utilizzare questo campo per fare eccezioni per autorizzazioni specifiche in un gruppo di autorizzazioni.
Per aggiungere autorizzazioni di eccezione, fai clic su Autorizzazioni di eccezione, poi su
Aggiungi un'altra autorizzazione e inserisci l'autorizzazione nel campo Autorizzazione 1. Continua ad aggiungere autorizzazioni finché non avrai aggiunto tutte quelle che vuoi esentare dal criterio di rifiuto.(Facoltativo) Aggiungi una condizione di rifiuto per specificare quando le entità non possono utilizzare l'autorizzazione. Per aggiungere una condizione di rifiuto, fai clic su
Aggiungi condizione di rifiuto e poi definisci i seguenti campi:- Title: facoltativo. Un breve riepilogo dello scopo della condizione.
- Descrizione: facoltativo. Una descrizione più lunga della condizione.
Espressione condizione: puoi aggiungere un'espressione condizione utilizzando il Generatore di condizioni o l'Editor delle condizioni. Il generatore di condizioni fornisce un'interfaccia interattiva per selezionare il tipo di condizione, l'operatore e altri dettagli applicabili relativi all'espressione. L'editor delle condizioni fornisce un'interfaccia basata su testo per inserire manualmente un'espressione utilizzando la sintassi Common Expression Language (CEL).
Le condizioni di rifiuto devono essere basate sui tag delle risorse. Altre funzioni e altri operatori non sono supportati.
- Nel campo Enti negate, aggiungi una o più entità a cui vuoi impedire di utilizzare le autorizzazioni specificate. L'entità può essere uno dei tipi di entità nell'elenco degli identificatori delle entità IAM
Fai clic su Crea.
gcloud
Per creare un criterio di rifiuto per una risorsa, inizia creando un file JSON che contenga il criterio. Un criterio di rifiuto utilizza il seguente formato:
{ "displayName": "POLICY_NAME", "rules": [ { "denyRule": DENY_RULE_1 }, { "denyRule": DENY_RULE_2 }, { "denyRule": DENY_RULE_N } ] }
Fornisci i seguenti valori:
POLICY_NAME
: il nome visualizzato per il criterio di rifiuto.-
DENY_RULE_1
,DENY_RULE_2
,...DENY_RULE_N
: le regole di rifiuto nel criterio. Ogni regola di negazione può contenere questi campi:-
deniedPermissions
: un elenco di autorizzazioni che le entità specificate non possono utilizzare. Le autorizzazioni devono essere supportate nelle policy di negazione.In alcuni casi, puoi anche utilizzare i gruppi di autorizzazioni per negare insiemi di autorizzazioni. Per ulteriori informazioni, vedi Gruppi di autorizzazioni.
-
exceptionPermissions
: un elenco di autorizzazioni che possono essere utilizzate dalle entità specificate, anche se sono incluse indeniedPermissions
. Ad esempio, puoi utilizzare questo campo per fare eccezioni per autorizzazioni specifiche in un gruppo di autorizzazioni. -
deniedPrincipals
: un elenco di entità che non possono utilizzare le autorizzazioni specificate. Utilizza il formato dell'APIv2
per gli identificatori principali. -
exceptionPrincipals
: facoltativo. Un elenco di entità che possono utilizzare le autorizzazioni specificate, anche se sono incluse indeniedPrincipals
. Ad esempio, puoi utilizzare questo campo per fare un'eccezione per utenti specifici che appartengono a un gruppo di utenti negato. Utilizza il formato dell'APIv2
per gli identificativi principali. -
denialCondition
: facoltativo. Un'espressione di condizione che specifica quando le entità non possono utilizzare le autorizzazioni. Contiene i seguenti campi:-
expression
: un'espressione di condizione che utilizza la sintassi di Common Expression Language (CEL). L'espressione deve utilizzare le funzioni CEL per valutare i tag delle risorse. Non sono supportati altri operatori e funzioni. -
title
: facoltativo. Un breve riepilogo dello scopo della condizione. -
description
: facoltativo. Una descrizione più lunga della condizione.
-
Per esempi di regole di rifiuto, consulta Casi d'uso comuni.
-
Ad esempio, la seguente regola di negazione contiene una regola di negazione che nega un'autorizzazione a Lucian:
{ "displayName": "My deny policy.", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Quindi, esegui il comando
gcloud iam policies create
:gcloud iam policies create POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --policy-file=POLICY_FILE
Fornisci i seguenti valori:
-
POLICY_ID
: l'identificatore del criterio di negazione. -
ATTACHMENT_POINT
: un identificatore della risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco. -
POLICY_FILE
: il percorso del file JSON che contiene il criterio di rifiuto.
Per impostazione predefinita, se questo comando ha esito positivo, non viene stampato alcun output. Per stampare una risposta dettagliata, aggiungi il flag
--format=json
al comando.Ad esempio, il seguente comando crea un criterio di rifiuto denominato
my-deny-policy
per il progettomy-project
, utilizzando un file denominatopolicy.json
:gcloud iam policies create my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --policy-file=policy.json
Terraform
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per ulteriori informazioni, consulta la Terraform documentazione di riferimento del provider.
Go
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Go.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Node.js
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Node.js.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
REST
Il metodo
policies.createPolicy
crea un criterio di rifiuto per una risorsa.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ENCODED_ATTACHMENT_POINT
: un identificatore codificato come URL per la risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco. POLICY_ID
: un identificatore per il criterio di negazione.POLICY_NAME
: il nome visualizzato per il criterio di rifiuto.-
DENY_RULE_1
,DENY_RULE_2
,...DENY_RULE_N
: le regole di rifiuto nel criterio. Ogni regola di negazione può contenere questi campi:-
deniedPermissions
: un elenco di autorizzazioni che le entità specificate non possono utilizzare. Le autorizzazioni devono essere supportate nelle policy di negazione.In alcuni casi, puoi anche utilizzare i gruppi di autorizzazioni per negare insiemi di autorizzazioni. Per ulteriori informazioni, vedi Gruppi di autorizzazioni.
-
exceptionPermissions
: un elenco di autorizzazioni che possono essere utilizzate dalle entità specificate, anche se sono incluse indeniedPermissions
. Ad esempio, puoi utilizzare questo campo per fare eccezioni per autorizzazioni specifiche in un gruppo di autorizzazioni. -
deniedPrincipals
: un elenco di entità che non possono utilizzare le autorizzazioni specificate. Utilizza il formato dell'APIv2
per gli identificatori principali. -
exceptionPrincipals
: facoltativo. Un elenco di entità che possono utilizzare le autorizzazioni specificate, anche se sono incluse indeniedPrincipals
. Ad esempio, puoi utilizzare questo campo per fare un'eccezione per utenti specifici che appartengono a un gruppo di utenti negato. Utilizza il formato dell'APIv2
per gli identificativi principali. -
denialCondition
: facoltativo. Un'espressione di condizione che specifica quando le entità non possono utilizzare le autorizzazioni. Contiene i seguenti campi:-
expression
: un'espressione di condizione che utilizza la sintassi di Common Expression Language (CEL). L'espressione deve utilizzare le funzioni CEL per valutare i tag delle risorse. Non sono supportati altri operatori e funzioni. -
title
: facoltativo. Un breve riepilogo dello scopo della condizione. -
description
: facoltativo. Una descrizione più lunga della condizione.
-
Per esempi di regole di rifiuto, consulta Casi d'uso comuni.
-
Metodo HTTP e URL:
POST https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies?policyId=POLICY_ID
Corpo JSON della richiesta:
{ "displayName": "POLICY_NAME", "rules": [ { "denyRule": DENY_RULE_1 }, { "denyRule": DENY_RULE_2 }, { "denyRule": DENY_RULE_N } ] }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/89cb3e508bf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2022-06-28T19:06:12.455151Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-06-28T22:26:21.968687Z" "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] } }
La risposta identifica un'operazione a lunga esecuzione. Puoi monitorare lo stato dell'operazione di lunga durata per scoprire quando è completata. Per maggiori dettagli, consulta Controllare lo stato di un'operazione di lunga durata in questa pagina.
Elenco dei criteri di rifiuto
Una risorsa può avere più criteri di rifiuto. Puoi elencare tutti i criteri di negazione associati a una risorsa e poi visualizzare ogni criterio di negazione per vedere le regole di negazione in ogni criterio.
Console
Nella console Google Cloud, vai alla scheda Rifiuta nella pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
La console Google Cloud elenca tutti i criteri di rifiuto che si applicano al progetto, alla cartella o all'organizzazione. Sono inclusi i criteri di rifiuto ereditati da altre risorse. Per ulteriori informazioni sull'eredità dei criteri di negazione, consulta Eredità dei criteri di negazione.
gcloud
Per elencare le norme di rifiuto per una risorsa, esegui il comando
gcloud iam policies list
:gcloud iam policies list \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Specifica il seguente valore:
-
ATTACHMENT_POINT
: un identificatore della risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco.
Ad esempio, il seguente comando elenca i criteri di rifiuto associati a un'organizzazione il cui ID numerico è
123456789012
:gcloud iam policies list \ --attachment-point=cloudresourcemanager.googleapis.com/organizations/123456789012 \ --kind=denypolicies \ --format=json
Go
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Go.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Node.js
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Node.js.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
REST
Il metodo
policies.listPolicies
elenca i criteri di rifiuto per una risorsa.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ENCODED_ATTACHMENT_POINT
: un identificatore codificato come URL per la risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "policies": [ { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-06-28T22:26:21.968687Z" }, { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy-2", "uid": "8465d710-ea20-0a08-d92c-b2a3ebf766ab", "kind": "DenyPolicy", "displayName": "My second deny policy.", "createTime": "2022-06-05T19:21:53.595455Z", "updateTime": "2022-06-05T19:21:53.595455Z" }, { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy-3", "uid": "ee9f7c2f-7e8c-b05c-d4e5-e03bfb2954e0", "kind": "DenyPolicy", "displayName": "My third deny policy.", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z" } ] }
Visualizzare un criterio di rifiuto
Puoi visualizzare un criterio di rifiuto per vedere le regole di rifiuto in esso contenute, incluse le autorizzazioni negate e le entità che non possono utilizzarle.
Console
Nella console Google Cloud, vai alla scheda Rifiuta nella pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Nella colonna ID norma, fai clic sull'ID della norma che vuoi visualizzare.
La console Google Cloud mostra i dettagli della regola di rifiuto, tra cui l'ID, la data di creazione e le regole di rifiuto al suo interno.
gcloud
Per ottenere il criterio di rifiuto per una risorsa, esegui il comando
gcloud iam policies get
:gcloud iam policies get POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Fornisci i seguenti valori:
-
POLICY_ID
: l'identificatore del criterio di negazione. -
ATTACHMENT_POINT
: un identificatore della risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco.
Ad esempio, il seguente comando recupera il criterio di rifiuto denominato
my-deny-policy
per il progettomy-project
e lo salva in un file denominatopolicy.json
:gcloud iam policies get my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --format=json \ > ./policy.json
Go
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Go.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Node.js
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Node.js.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
REST
Il metodo
policies.get
recupera un criterio di rifiuto per una risorsa.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ENCODED_ATTACHMENT_POINT
: un identificatore codificato come URL per la risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco. POLICY_ID
: un identificatore per il criterio di negazione.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Aggiornare un criterio di rifiuto
Dopo aver creato un criterio di rifiuto, puoi aggiornare le regole di rifiuto che contiene, nonché il relativo nome visualizzato.
Puoi aggiornare un criterio di rifiuto utilizzando la console Google Cloud o uno dei seguenti metodi programmatici:
- Gcloud CLI
- L'API REST
- Le librerie client IAM
Aggiornare un criterio di rifiuto utilizzando la console Google Cloud
Nella console Google Cloud, vai alla scheda Rifiuta nella pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Nella colonna ID norma, fai clic sull'ID della norma da modificare.
Fai clic su
Modifica.Aggiorna il criterio di rifiuto:
- Per modificare il nome visualizzato della norma, modifica il campo Nome visualizzato.
- Per modificare una regola di negazione esistente, fai clic sulla regola e poi modifica le entità, le entità di eccezione, le autorizzazioni negate, le autorizzazioni di eccezione o la condizione di negazione della regola.
- Per rimuovere una regola di rifiuto, individua la regola di rifiuto che vuoi eliminare e fai clic su Elimina nella riga corrispondente.
- Per aggiungere una regola di rifiuto, fai clic su Aggiungi regola di rifiuto e poi crea una regola di rifiuto come faresti quando crei un criterio di rifiuto.
Al termine dell'aggiornamento del criterio di rifiuto, fai clic su Salva.
Aggiornare una policy di rifiuto in modo programmatico
Per aggiornare un criterio di rifiuto utilizzando l'interfaccia a riga di comando gcloud CLI'API REST o le librerie client IAM, utilizza il pattern read-modify-write:
- Leggi la versione corrente delle norme.
- Modifica le informazioni nelle norme in base alle esigenze.
- Scrivi le norme aggiornate.
Leggi il criterio di negazione
gcloud
Per ottenere il criterio di rifiuto per una risorsa, esegui il comando
gcloud iam policies get
:gcloud iam policies get POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Fornisci i seguenti valori:
-
POLICY_ID
: l'identificatore del criterio di negazione. -
ATTACHMENT_POINT
: un identificatore della risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco.
Ad esempio, il seguente comando recupera il criterio di rifiuto denominato
my-deny-policy
per il progettomy-project
e lo salva in un file denominatopolicy.json
:gcloud iam policies get my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --format=json \ > ./policy.json
Go
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Go.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Node.js
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Node.js.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
REST
Il metodo
policies.get
recupera un criterio di rifiuto per una risorsa.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ENCODED_ATTACHMENT_POINT
: un identificatore codificato come URL per la risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco. POLICY_ID
: un identificatore per il criterio di negazione.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Modifica il criterio di rifiuto
Per modificare il criterio di rifiuto, apporta modifiche alla copia del criterio che hai letto in precedenza da IAM. Puoi aggiornare il nome visualizzato o aggiungere, modificare o rimuovere le regole di rifiuto. Le modifiche non vengono applicate finché non scrivi le norme aggiornate.
Ad esempio, puoi aggiungere un'autorizzazione a una regola di rifiuto esistente:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2021-10-05T19:22:26.770543Z", "updateTime": "2021-10-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] }
Scrivi il criterio di negazione aggiornato
Dopo aver modificato il criterio di rifiuto localmente, devi scrivere il criterio di rifiuto aggiornato in IAM.
Ogni criterio di rifiuto contiene un campo
etag
che identifica la versione del criterio. Il valoreetag
cambia ogni volta che aggiorni il criterio. Quando scrivi il policy aggiornato, iletag
nella richiesta deve corrispondere aletag
corrente memorizzato in IAM. Se i valori non corrispondono, la richiesta non va a buon fine. Questa funzionalità consente di evitare che le modifiche simultanee si sovrascrivano a vicenda.gcloud
Per aggiornare la policy di rifiuto per una risorsa, esegui il comando
gcloud iam policies update
:gcloud iam policies update POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --policy-file=POLICY_FILE
Fornisci i seguenti valori:
-
POLICY_ID
: l'identificatore del criterio di negazione. -
ATTACHMENT_POINT
: un identificatore della risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco. -
POLICY_FILE
: il percorso del file JSON che contiene il criterio di rifiuto.
Per impostazione predefinita, se questo comando ha esito positivo, non viene stampato alcun output. Per stampare una risposta dettagliata, aggiungi il flag
--format=json
al comando.Ad esempio, il seguente comando aggiorna un criterio di rifiuto denominato
my-deny-policy
per il progettomy-project
utilizzando un file denominatopolicy.json
:gcloud iam policies update my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --policy-file=policy.json
Go
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Go.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Node.js
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Node.js.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
REST
Il metodo
policies.update
aggiorna una regola di rifiuto.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ENCODED_ATTACHMENT_POINT
: un identificatore codificato come URL per la risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco. POLICY_ID
: un identificatore per il criterio di negazione.-
POLICY
: la norma di rifiuto aggiornata.Ad esempio, per aggiungere un'autorizzazione al criterio mostrato nel passaggio precedente, sostituisci
POLICY
con quanto segue:{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] }
Metodo HTTP e URL:
PUT https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
Corpo JSON della richiesta:
POLICY
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/8b2d0ab2daf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2021-10-05T22:26:21.968687Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTgxNTIxNDE3NTYxNjQxODYxMTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T22:26:21.968687Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] } }
La risposta identifica un'operazione a lunga esecuzione. Puoi monitorare lo stato dell'operazione di lunga durata per scoprire quando è completata. Per maggiori dettagli, consulta Controllare lo stato di un'operazione di lunga durata in questa pagina.
Eliminare un criterio di negazione
Se non vuoi più applicare le regole in un criterio di rifiuto, puoi eliminare il criterio di rifiuto.
Se vuoi, puoi specificare il
etag
per la versione del criterio che stai eliminando. Se specifichietag
, questo deve corrispondere al valoreetag
corrente archiviato da IAM. Se i valori non corrispondono, la richiesta non va a buon fine. Puoi utilizzare questa funzionalità per assicurarti di eliminare il criterio previsto anziché una versione aggiornata.Se ometti
etag
dalla richiesta, IAM elimina il criterio incondizionatamente.Console
Nella console Google Cloud, vai alla scheda Rifiuta nella pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Nella colonna ID norma, fai clic sull'ID della norma da eliminare.
Fai clic su
Elimina. Nella finestra di dialogo di conferma, fai clic su Conferma.
gcloud
Per eliminare un criterio di rifiuto da una risorsa, esegui il comando
gcloud iam policies delete
:gcloud iam policies delete POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies
Fornisci i seguenti valori:
-
POLICY_ID
: l'identificatore del criterio di negazione. -
ATTACHMENT_POINT
: un identificatore della risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco.
Se vuoi, puoi aggiungere il flag
--etag=ETAG
. SostituisciETAG
con il valoreetag
corrente per il criterio di rifiuto.Per impostazione predefinita, se questo comando ha esito positivo, non viene stampato alcun output. Per stampare una risposta dettagliata, aggiungi il flag
--format=json
al comando.Ad esempio, il seguente comando elimina un criterio di rifiuto denominato
my-deny-policy
dal progettomy-project
:gcloud iam policies delete my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies
Go
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Go.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Node.js
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Node.js.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per ulteriori informazioni, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
REST
Il metodo
policies.delete
elimina un criterio di rifiuto da una risorsa.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ENCODED_ATTACHMENT_POINT
: un identificatore codificato come URL per la risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco. POLICY_ID
: un identificatore per il criterio di negazione.-
ETAG
: facoltativo. Un identificatore per la versione del criterio. Se presente, questo valore deve corrispondere al valoreetag
corrente per il criterio.
Metodo HTTP e URL:
DELETE https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID?etag=ETAG
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/8223fe308bf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2021-10-05T19:45:00.133311Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-07-05T19:45:00.133311Z", "deleteTime": "2022-07-05T19:45:00.133311Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] } }
La risposta identifica un'operazione a lunga esecuzione. Puoi monitorare lo stato dell'operazione di lunga durata per scoprire quando è completata. Per maggiori dettagli, consulta Controllare lo stato di un'operazione di lunga durata in questa pagina.
Controllare lo stato di un'operazione a lunga esecuzione
Quando utilizzi l'API REST o le librerie client, qualsiasi metodo che modifica un criterio di rifiuto restituisce unoperazione a lunga esecuzione (LRO). L'operazione a lunga esecuzione monitora lo stato della richiesta e indica se la modifica del criterio è completata.
Go
Gli esempi di codice in questa pagina mostrano come attendere il completamento di un'operazione a lunga esecuzione e poi accedere al relativo risultato.
Java
Gli esempi di codice in questa pagina mostrano come attendere il completamento di un'operazione a lunga esecuzione e poi accedere al relativo risultato.
Node.js
Gli esempi di codice in questa pagina mostrano come attendere il completamento di un'operazione a lunga esecuzione e poi accedere al relativo risultato.
Python
Gli esempi di codice in questa pagina mostrano come attendere il completamento di un'operazione a lunga esecuzione e poi accedere al relativo risultato.
REST
Il metodo
policies.operations.get
restituisce lo stato di un'operazione a lunga esecuzione.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ENCODED_ATTACHMENT_POINT
: un identificatore codificato come URL per la risorsa a cui è associato il criterio di rifiuto. Per scoprire come formattare questo valore, consulta Punto di attacco. -
OPERATION_ID
: l'identificatore dell'operazione. Riceverai questo identificatore nella risposta alla tua richiesta originale, all'interno del nome dell'operazione. Utilizza il valore esadecimale alla fine del nome dell'operazione. Ad esempio,89cb3e508bf1ff01
.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/operations/OPERATION_ID
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/89cb3e508bf1ff01", "done": true }
Se il campo
done
dell'operazione non è presente, continua a monitorarne lo stato recuperando l'operazione più volte. Utilizza il backoff esponenziale troncato per introdurre un ritardo tra ogni richiesta. Quando il campodone
è impostato sutrue
, l'operazione è completata e puoi interrompere l'invio dell'operazione.Passaggi successivi
- Identifica le autorizzazioni supportate nelle policy di rifiuto.
- Ottieni il formato degli identificatori delle entità nelle norme di rifiuto.
- Scopri come risolvere i problemi di accesso con i criteri di negazione.
- Scopri di più su come negare l'accesso agli entità.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-12-22 UTC.