管理对项目、文件夹和组织的访问权限

本页面介绍如何授予、更改和撤消项目、文件夹和组织的访问权限。如需了解如何管理对其他资源的访问权限，请参阅以下指南：

在 Identity and Access Management (IAM) 中，通过允许政策（也称为 IAM 政策）授予访问权限。允许政策已附加到 Google Cloud 资源。每个允许政策都包含一组角色绑定，这些角色绑定会将一个或多个主账号（例如用户或服务账号）与 IAM 角色相关联。这些角色绑定会向主账号授予指定的角色，包括允许政策所关联的资源以及该资源的所有后代。如需详细了解允许政策，请参阅了解允许政策。

您可以使用 Google Cloud 控制台、Google Cloud CLI、REST API 或 Resource Manager 客户端库来管理对项目、文件夹和组织的访问权限。

准备工作

启用 Resource Manager API。
启用 API
设置身份验证。

Select the tab for how you plan to use the samples on this page:
Console

When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud

在 Google Cloud 控制台中，激活 Cloud Shell。

激活 Cloud Shell

Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动，并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
C#

如需在本地开发环境中使用本页面上的 .NET 示例，请安装并初始化 gcloud CLI，然后使用您的用户凭据设置应用默认凭据。
1. 安装 Google Cloud CLI。
2. 如需初始化 gcloud CLI，请运行以下命令：
  
  gcloud init
3. 为您的 Google 账号创建本地身份验证凭据：
  
  gcloud auth application-default login
如需了解详情，请参阅 Google Cloud 身份验证文档中的为本地开发环境设置身份验证。
Java

如需在本地开发环境中使用本页面上的 Java 示例，请安装并初始化 gcloud CLI，然后使用您的用户凭据设置应用默认凭据。
1. 安装 Google Cloud CLI。
2. 如需初始化 gcloud CLI，请运行以下命令：
  
  gcloud init
3. 为您的 Google 账号创建本地身份验证凭据：
  
  gcloud auth application-default login
如需了解详情，请参阅 Google Cloud 身份验证文档中的为本地开发环境设置身份验证。
Python

如需在本地开发环境中使用本页面上的 Python 示例，请安装并初始化 gcloud CLI，然后使用您的用户凭据设置应用默认凭据。
1. 安装 Google Cloud CLI。
2. 如需初始化 gcloud CLI，请运行以下命令：
  
  gcloud init
3. 为您的 Google 账号创建本地身份验证凭据：
  
  gcloud auth application-default login
如需了解详情，请参阅 Google Cloud 身份验证文档中的为本地开发环境设置身份验证。
REST

如需在本地开发环境中使用本页面上的 REST API 示例，请使用您提供给 gcloud CLI 的凭据。
如需了解详情，请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证。

所需的角色

创建项目、文件夹或组织时，系统会自动为您授予一个角色，可让您管理相应资源的访问权限。如需了解详情，请参阅默认政策。

如果您没有创建项目、文件夹或组织，请确保您具有管理相应资源的访问权限所需的角色。

如需获得管理项目、文件夹或组织访问权限所需的权限，请让管理员向您授予您要管理其访问权限的资源（项目、文件夹或组织）的以下 IAM 角色：

Project IAM Admin (roles/resourcemanager.projectIamAdmin)（如需管理项目访问权限）
Folder Admin (roles/resourcemanager.folderAdmin)（如需管理文件夹访问权限）
Organization Admin (roles/resourcemanager.organizationAdmin)（如需管理项目、文件夹和组织的访问权限）
Security Admin (roles/iam.securityAdmin)（如需管理几乎所有 Google Cloud 资源的访问权限）

这些预定义角色包含管理项目、文件夹或组织的访问权限所需的权限。如需查看所需的确切权限，请展开所需权限部分：

所需权限

如需管理对项目、文件夹或组织的访问权限，您必须拥有以下权限：

如需管理项目访问权限：
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.setIamPolicy
如需管理文件夹访问权限：
- resourcemanager.folders.getIamPolicy
- resourcemanager.folders.setIamPolicy
如需管理组织访问权限：
- resourcemanager.organizations.getIamPolicy
- resourcemanager.organizations.setIamPolicy

您也可以使用自定义角色或其他预定义角色来获得这些权限。

查看当前访问权限

您可以使用 Google Cloud 控制台、gcloud CLI、REST API 或 Resource Manager 客户端库来查看谁有权访问您的项目、文件夹或组织。

控制台

在 Google Cloud 控制台中，转到 IAM 页面。

转到 IAM
选择一个项目、文件夹或组织。

Google Cloud 控制台会列出已被授予您的项目、文件夹或组织的角色的所有主账号。此列表包括从父级资源继承资源角色的主账号。如需详细了解政策继承，请参阅政策继承和资源层次结构。
可选：如需查看 Google 管理的服务账号的角色授予，请选中包括 Google 提供的角色授予复选框。

gcloud

在 Google Cloud 控制台中，激活 Cloud Shell。

激活 Cloud Shell

Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动，并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需查看谁有权访问您的项目、文件夹或组织，请获取资源的允许政策。如需了解如何解读允许政策，请参阅了解允许政策。

注意：资源的允许政策不会显示通过政策沿用获得的任何角色。如需查看继承的角色，请使用 Google Cloud 控制台，或按照查看有效的 IAM 政策中的说明操作。

如需获取资源的允许政策，请运行资源的 get-iam-policy 命令：
```
gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH
```
请提供以下值：
- RESOURCE_TYPE：您要查看访问权限的资源的类型。请使用以下某个值：projects、resource-manager folders 或 organizations。
- RESOURCE_ID：您的 Google Cloud 项目、文件夹或组织 ID。项目 ID 为字母数字，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
- FORMAT：政策所需的格式。请使用 json 或 yaml。
- PATH：指向政策的新输出文件的路径。
例如，以下命令会获取项目 my-project 的政策，并以 JSON 格式将其保存到主目录中：
```
gcloud projects get-iam-policy my-project --format=json > ~/policy.json
```

C#

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

如需查看谁有权访问您的项目、文件夹或组织，请获取相应资源的允许政策。如需了解如何解读允许政策，请参阅了解允许政策。

以下示例展示了如何获取项目的允许政策。如需了解如何获取文件夹或组织的允许政策，请查看适合您的编程语言的 Resource Manager 客户端库文档。


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy GetPolicy(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
            projectId).Execute();
        return policy;
    }
}

Java

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

如需查看谁有权访问您的项目、文件夹或组织，请获取相应资源的允许政策。如需了解如何解读允许政策，请参阅了解允许政策。

以下示例展示了如何获取项目的允许政策。如需了解如何获取文件夹或组织的允许政策，请查看适合您的编程语言的 Resource Manager 客户端库文档。

import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.services.cloudresourcemanager.v3.CloudResourceManager;
import com.google.api.services.cloudresourcemanager.v3.model.GetIamPolicyRequest;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import com.google.api.services.iam.v1.IamScopes;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;

public class GetPolicy {

  // Gets a project's policy.
  public static Policy getPolicy(String projectId) {
    // projectId = "my-project-id"

    Policy policy = null;

    CloudResourceManager service = null;
    try {
      service = createCloudResourceManagerService();
    } catch (IOException | GeneralSecurityException e) {
      System.out.println("Unable to initialize service: \n" + e.toString());
      return policy;
    }

    try {
      GetIamPolicyRequest request = new GetIamPolicyRequest();
      policy = service.projects().getIamPolicy(projectId, request).execute();
      System.out.println("Policy retrieved: " + policy.toString());
      return policy;
    } catch (IOException e) {
      System.out.println("Unable to get policy: \n" + e.toString());
      return policy;
    }
  }

  public static CloudResourceManager createCloudResourceManagerService()
      throws IOException, GeneralSecurityException {
    // Use the Application Default Credentials strategy for authentication. For more info, see:
    // https://cloud.google.com/docs/authentication/production#finding_credentials_automatically
    GoogleCredentials credential =
        GoogleCredentials.getApplicationDefault()
            .createScoped(Collections.singleton(IamScopes.CLOUD_PLATFORM));

    CloudResourceManager service =
        new CloudResourceManager.Builder(
                GoogleNetHttpTransport.newTrustedTransport(),
                GsonFactory.getDefaultInstance(),
                new HttpCredentialsAdapter(credential))
            .setApplicationName("service-accounts")
            .build();
    return service;
  }
}

Python

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

如需查看谁有权访问您的项目、文件夹或组织，请获取相应资源的允许政策。如需了解如何解读允许政策，请参阅了解允许政策。

以下示例展示了如何获取项目的允许政策。如需了解如何获取文件夹或组织的允许政策，请查看适合您的编程语言的 Resource Manager 客户端库文档。

def get_policy(project_id: str, version: int = 1) -> dict:
    """Gets IAM policy for a project."""

    credentials = service_account.Credentials.from_service_account_file(
        filename=os.environ["GOOGLE_APPLICATION_CREDENTIALS"],
        scopes=["https://www.googleapis.com/auth/cloud-platform"],
    )
    service = googleapiclient.discovery.build(
        "cloudresourcemanager", "v1", credentials=credentials
    )
    policy = (
        service.projects()
        .getIamPolicy(
            resource=project_id,
            body={"options": {"requestedPolicyVersion": version}},
        )
        .execute()
    )
    print(policy)
    return policy

REST

要查看谁有权访问您的项目、文件夹或组织，请获取资源的允许政策。如需了解如何解读允许政策，请参阅了解允许政策。

Resource Manager API 的 getIamPolicy 方法可获取项目、文件夹或组织的允许政策。

在使用任何请求数据之前，请先进行以下替换：

API_VERSION：要使用的 API 版本。对于项目和组织，请使用 v1。对于文件夹，请使用 v2。
RESOURCE_TYPE：您要管理其政策的资源类型。使用值 projects、folders 或 organizations。
RESOURCE_ID：您的 Google Cloud 项目、组织或文件夹 ID。项目 ID 是字母数字字符串，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
POLICY_VERSION：要返回的政策版本。请求应指定最新的政策版本，即政策版本 3。如需了解详情，请参阅在获取政策时指定政策版本。

HTTP 方法和网址：

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

请求 JSON 正文：

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy"

PowerShell (Windows)

注意：以下命令假定您已登录gcloud请使用您的用户账号来运行以下命令：gcloud init 或 gcloud auth login . 您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy" | Select-Object -Expand Content

APIs Explorer（浏览器）

复制请求正文并打开方法参考页面。APIs Explorer 面板会在页面右侧打开。您可以与此工具进行交互以发送请求。将请求正文粘贴到此工具中，填写任何其他必填字段，然后点击执行。

响应包含资源的允许政策。例如：

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:owner@example.com"
      ]
    }
  ]
}

授予或撤消单个角色

您可以使用 Google Cloud 控制台和 gcloud CLI 快速授予或撤消单个主账号的单个角色，而无需直接修改资源的允许政策。常见的主账号类型包括 Google 账号、服务账号、Google 群组和网域。如需查看所有主账号类型的列表，请参阅与身份相关的概念。

如果您需要帮助来确定最合适的预定义角色，请参阅选择预定义角色。

授予单个角色

如需向主账号授予单个角色，请执行以下操作：

控制台

在 Google Cloud 控制台中，前往 IAM 页面。

转到 IAM
选择一个项目、文件夹或组织。
选择要向其授予一个角色的主账号：
- 如需向已拥有资源的其他角色的主账号授予角色，请找到包含主账号的行，点击该行中的 修改主账号，然后点击 添加其他角色。
  
  要向 Google 代管的服务账号授予角色，请选中包括 Google 提供的角色授予复选框以查看其电子邮件地址。
  
  注意：管理资源访问权限时，您无法修改继承的角色。要修改继承的角色，请找到授予角色的资源。
- 如需向尚未拥有资源的任何角色的主账号授予角色，请点击 授予访问权限，然后输入该主账号的电子邮件地址或其他标识符。
从下拉列表中选择要授予的角色。按照确保安全性的最佳做法，请选择一个仅包含主账号所需权限的角色。
可选：为角色添加条件。
点击保存。将向主账号授予资源上的角色。

如需针对多个项目、文件夹或组织向主账号授予角色，请执行以下操作：

在 Google Cloud 控制台中，转到管理资源页面：

转到“管理资源”
选择要为其授予权限的所有资源。
如果信息面板尚未显示，请点击显示信息面板。然后，点击权限。
选择要向其授予一个角色的主账号：
- 如需向已拥有其他角色的主账号授予角色，请找到包含主账号的行，点击该行中的 修改主账号，然后点击 添加其他角色。
- 如需向尚未拥有其他角色的主账号授予角色，请点击 添加主账号，然后输入该主账号的电子邮件地址或其他标识符。
从下拉列表中选择要授予的角色。
可选：为角色添加条件。
点击保存。系统会为主账号授予各个选中资源上的所选角色。

gcloud

注意：如需向组织外部的用户授予项目的 Owner 角色 (roles/owner)，您必须使用 Google Cloud 控制台，而不能使用 gcloud CLI。如果您的项目不属于组织，则必须使用 Google Cloud 控制台授予 Owner 角色。

在 Google Cloud 控制台中，激活 Cloud Shell。

激活 Cloud Shell

Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动，并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
add-iam-policy-binding 命令使您可以快速向主账号授予角色。

在使用下面的命令数据之前，请先进行以下替换：
- RESOURCE_TYPE：要管理访问权限的资源类型。请使用 projects、resource-manager folders 或 organizations。
- RESOURCE_ID：您的 Google Cloud 项目、文件夹或组织 ID。项目 ID 为字母数字，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
- PRINCIPAL：主账号（或成员）的标识符，通常其格式如下：PRINCIPAL_TYPE:ID。例如 user:my-user@example.com。如需查看 PRINCIPAL 可以采用的值的完整列表，请参阅政策绑定参考文档。
  
  对于主账号类型 user，标识符中的域名必须是 Google Workspace 网域或 Cloud Identity 网域。如需了解如何设置 Cloud Identity 网域，请参阅 Cloud Identity 概览。
- ROLE_NAME：要撤消的角色的名称。请采用以下某种格式：
  - 预定义角色：roles/SERVICE.IDENTIFIER
  - 项目级自定义角色：projects/PROJECT_ID/roles/IDENTIFIER
  - 组织级自定义角色：organizations/ORG_ID/roles/IDENTIFIER
  如需了解完整的预定义角色的列表，请参阅了解角色。
- CONDITION：要添加到角色绑定的条件。如果您不想添加条件，请使用值 None。如需详细了解条件，请参阅条件概览。
执行以下命令：
Linux、macOS 或 Cloud Shell
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION
```
Windows (PowerShell)
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID `
    --member=PRINCIPAL --role=ROLE_NAME `
    --condition=CONDITION
```
Windows (cmd.exe)
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^
    --member=PRINCIPAL --role=ROLE_NAME ^
    --condition=CONDITION
```
响应中包含更新后的 IAM 政策。

撤消单个角色

如需撤消主账号的单个角色，请执行以下操作：

控制台

在 Google Cloud 控制台中，转到 IAM 页面。

转到 IAM
选择一个项目、文件夹或组织。
找到包含要撤消其访问权限的主账号的行。然后，点击该行中的 修改主账号。

注意：管理资源访问权限时，您无法修改继承的角色。要修改继承的角色，请找到授予角色的资源。
点击要撤消的角色对应的删除按钮，然后点击保存。

gcloud

在 Google Cloud 控制台中，激活 Cloud Shell。

激活 Cloud Shell

Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动，并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需快速撤消用户的角色，请运行 remove-iam-policy-binding 命令：
```
gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME
```
请提供以下值：
- RESOURCE_TYPE：要管理其访问权限的资源类型。请使用 projects、resource-manager folders 或 organizations。
- RESOURCE_ID：您的 Google Cloud 项目、文件夹或组织 ID。项目 ID 为字母数字，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
- PRINCIPAL：主账号（或成员）的标识符，通常其格式如下：PRINCIPAL_TYPE:ID。例如 user:my-user@example.com。如需查看 PRINCIPAL 可以采用的值的完整列表，请参阅政策绑定参考文档。
  
  对于主账号类型 user，标识符中的域名必须是 Google Workspace 网域或 Cloud Identity 网域。如需了解如何设置 Cloud Identity 网域，请参阅 Cloud Identity 概览。
- ROLE_NAME：要撤消的角色的名称。请采用以下某种格式：
  - 预定义角色：roles/SERVICE.IDENTIFIER
  - 项目级自定义角色：projects/PROJECT_ID/roles/IDENTIFIER
  - 组织级自定义角色：organizations/ORG_ID/roles/IDENTIFIER
  如需了解完整的预定义角色的列表，请参阅了解角色。
例如，如需撤消用户 my-user@example.com 在项目 my-project 中的 Project Creator 角色，请使用以下命令：
```
gcloud projects remove-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/resourcemanager.projectCreator
```

为帮助确保不撤消任何必要的角色，您可以启用更改风险建议。如果您尝试撤消 Google Cloud 确定为重要角色的项目级层角色，更改风险建议会生成警告。

使用 Google Cloud 控制台授予或撤消多个角色

您可以使用 Google Cloud 控制台为单个主账号授予和撤销多个角色：

在 Google Cloud 控制台中，转到 IAM 页面。

转到 IAM
选择一个项目、文件夹或组织。
选择要修改其角色的主账号：
- 如需修改已拥有资源角色的主账号的角色，请找到包含该主账号的行，点击该行中的 修改主账号，然后点击 添加其他角色。
  
  如需修改 Google 管理的服务账号的角色，请选中包括 Google 提供的角色授予复选框以查看其电子邮件地址。
  
  注意：管理资源访问权限时，您无法修改继承的角色。要修改继承的角色，请找到授予角色的资源。
- 如需向未拥有资源的任何角色的主账号授予角色，请点击 授予访问权限，然后输入该主账号的电子邮件地址或其他标识符。
修改主账号的角色：
- 如需向尚未拥有资源的任何角色的主账号授予角色，请点击选择角色，然后从下拉列表中选择要授予的角色。
- 如需向主账号授予其他角色，请点击添加其他角色，然后从下拉列表中选择要授予的角色。
- 如需将某个主账号的某个角色替换为其他角色，请点击现有角色，然后从下拉列表中选择要授予的其他角色。
- 如需撤销主账号的某个角色，请点击要撤消的每个角色对应的删除按钮。
您还可以为角色添加条件、修改角色的条件或移除角色的条件。
点击保存。

以编程方式授予或撤销多个角色

如需进行涉及为多个主账号授予和撤销多个角色的大规模访问权限更改，请使用“读取-修改-写入”模式更新资源的允许政策：

通过调用 getIamPolicy() 读取当前允许政策。
使用文本编辑器或以编程方式修改允许政策，以添加或移除任何主账号或角色绑定。
通过调用 setIamPolicy() 写入更新后的允许政策。

您可以使用 gcloud CLI、REST API 或 Resource Manager 客户端库来更新允许政策。

获取当前允许政策

gcloud

在 Google Cloud 控制台中，激活 Cloud Shell。

激活 Cloud Shell

Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动，并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需获取资源的允许政策，请运行资源的 get-iam-policy 命令：
```
gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH
```
请提供以下值：
- RESOURCE_TYPE：要获取允许政策的资源类型。请使用以下某个值：projects、resource-manager folders 或 organizations。
- RESOURCE_ID：您的 Google Cloud 项目、文件夹或组织 ID。项目 ID 为字母数字，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
- FORMAT：允许政策所需的格式。请使用 json 或 yaml。
- PATH：允许政策的新输出文件的路径。
例如，以下命令会获取项目 my-project 的允许政策，并以 JSON 格式将其保存到主目录中：
```
gcloud projects get-iam-policy my-project --format json > ~/policy.json
```

C#

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

以下示例展示了如何获取项目的允许政策。如需了解如何获取文件夹或组织的允许政策，请查看适合您的编程语言的 Resource Manager 客户端库文档。


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy GetPolicy(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
            projectId).Execute();
        return policy;
    }
}

Java

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

以下示例展示了如何获取项目的允许政策。如需了解如何获取文件夹或组织的允许政策，请查看适合您的编程语言的 Resource Manager 客户端库文档。

import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.services.cloudresourcemanager.v3.CloudResourceManager;
import com.google.api.services.cloudresourcemanager.v3.model.GetIamPolicyRequest;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import com.google.api.services.iam.v1.IamScopes;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;

public class GetPolicy {

  // Gets a project's policy.
  public static Policy getPolicy(String projectId) {
    // projectId = "my-project-id"

    Policy policy = null;

    CloudResourceManager service = null;
    try {
      service = createCloudResourceManagerService();
    } catch (IOException | GeneralSecurityException e) {
      System.out.println("Unable to initialize service: \n" + e.toString());
      return policy;
    }

    try {
      GetIamPolicyRequest request = new GetIamPolicyRequest();
      policy = service.projects().getIamPolicy(projectId, request).execute();
      System.out.println("Policy retrieved: " + policy.toString());
      return policy;
    } catch (IOException e) {
      System.out.println("Unable to get policy: \n" + e.toString());
      return policy;
    }
  }

  public static CloudResourceManager createCloudResourceManagerService()
      throws IOException, GeneralSecurityException {
    // Use the Application Default Credentials strategy for authentication. For more info, see:
    // https://cloud.google.com/docs/authentication/production#finding_credentials_automatically
    GoogleCredentials credential =
        GoogleCredentials.getApplicationDefault()
            .createScoped(Collections.singleton(IamScopes.CLOUD_PLATFORM));

    CloudResourceManager service =
        new CloudResourceManager.Builder(
                GoogleNetHttpTransport.newTrustedTransport(),
                GsonFactory.getDefaultInstance(),
                new HttpCredentialsAdapter(credential))
            .setApplicationName("service-accounts")
            .build();
    return service;
  }
}

Python

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

以下示例展示了如何获取项目的允许政策。如需了解如何获取文件夹或组织的允许政策，请查看适合您的编程语言的 Resource Manager 客户端库文档。

def get_policy(project_id: str, version: int = 1) -> dict:
    """Gets IAM policy for a project."""

    credentials = service_account.Credentials.from_service_account_file(
        filename=os.environ["GOOGLE_APPLICATION_CREDENTIALS"],
        scopes=["https://www.googleapis.com/auth/cloud-platform"],
    )
    service = googleapiclient.discovery.build(
        "cloudresourcemanager", "v1", credentials=credentials
    )
    policy = (
        service.projects()
        .getIamPolicy(
            resource=project_id,
            body={"options": {"requestedPolicyVersion": version}},
        )
        .execute()
    )
    print(policy)
    return policy

REST

Resource Manager API 的 getIamPolicy 方法可获取项目、文件夹或组织的允许政策。

在使用任何请求数据之前，请先进行以下替换：

API_VERSION：要使用的 API 版本。对于项目和组织，请使用 v1。对于文件夹，请使用 v2。
RESOURCE_TYPE：您要管理其政策的资源类型。使用值 projects、folders 或 organizations。
RESOURCE_ID：您的 Google Cloud 项目、组织或文件夹 ID。项目 ID 是字母数字字符串，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
POLICY_VERSION：要返回的政策版本。请求应指定最新的政策版本，即政策版本 3。如需了解详情，请参阅在获取政策时指定政策版本。

HTTP 方法和网址：

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

请求 JSON 正文：

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy"

PowerShell (Windows)

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy" | Select-Object -Expand Content

APIs Explorer（浏览器）

响应包含资源的允许政策。例如：

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:owner@example.com"
      ]
    }
  ]
}

将响应保存在相应类型（json 或 yaml）的文件中。

修改允许政策

通过编程或文本编辑器修改资源的允许政策的本地副本，以反映您要授予或撤消的角色。

为了确保您不会覆盖其他政策更改，请勿修改或移除允许政策的 etag 字段。etag 字段标识允许政策的当前状态。在您设置更新后的允许政策后，IAM 会将请求中的 etag 值与现有的 etag 进行比较，并且仅当值匹配时才会写入允许政策。

如需修改允许政策授予的角色，您需要修改允许政策中的角色绑定。角色绑定采用以下格式：

{
  "role": "ROLE_NAME",
  "members": [
    "PRINCIPAL_1",
    "PRINCIPAL_2",
    ...
    "PRINCIPAL_N"
  ],
  "conditions:" {
    CONDITIONS
  }
}

占位符具有以下值：

ROLE_NAME：您要授予的角色的名称。请采用以下某种格式：
- 预定义角色：roles/SERVICE.IDENTIFIER
- 项目级自定义角色：projects/PROJECT_ID/roles/IDENTIFIER
- 组织级自定义角色：organizations/ORG_ID/roles/IDENTIFIER
如需了解完整的预定义角色的列表，请参阅了解角色。
PRINCIPAL_1、PRINCIPAL_2、...PRINCIPAL_N：您要向其授予相应角色的主账号的标识符。

主账号标识符通常采用以下格式：PRINCIPAL-TYPE:ID。例如 user:my-user@example.com。如需 PRINCIPAL 可以采用的值的完整列表，请参阅政策绑定参考文档。

对于主账号类型 user，标识符中的域名必须是 Google Workspace 网域或 Cloud Identity 网域。如需了解如何设置 Cloud Identity 网域，请参阅 Cloud Identity 概览。
CONDITIONS：可选。指定何时授予访问权限的任何条件。

授予角色

要向主账号授予角色，请修改允许政策中的角色绑定。如需了解您可以授予哪些角色，请参阅了解角色或查看资源的可授予角色。如果您需要帮助来确定最合适的预定义角色，请参阅选择预定义角色。

（可选）您可以使用条件，仅在满足特定要求时授予角色。

如需授予允许政策中已包含的角色，请将该主账号添加到现有角色绑定：

gcloud

将主账号添加到现有角色绑定，以修改返回的允许政策。请注意，此更改在您设置更新后的允许政策后才会生效。

例如，假设允许政策包含以下角色绑定，它会将 Security Reviewer 角色 (roles/iam.securityReviewer) 授予 kai@example.com：

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com"
  ]
}

如需向 raha@example.com 授予相同的角色，请将 raha@example.com 添加到现有角色绑定：

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

C#

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。


using System.Linq;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy AddMember(Policy policy, string role, string member)
    {
        var binding = policy.Bindings.First(x => x.Role == role);
        binding.Members.Add(member);
        return policy;
    }
}

Go

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

import (
	"fmt"
	"io"

	"google.golang.org/api/iam/v1"
)

// addMember adds a member to a role binding.
func addMember(w io.Writer, policy *iam.Policy, role, member string) {
	for _, binding := range policy.Bindings {
		if binding.Role != role {
			continue
		}
		for _, m := range binding.Members {
			if m != member {
				continue
			}
			fmt.Fprintf(w, "Role %q found. Member already exists.\n", role)
			return
		}
		binding.Members = append(binding.Members, member)
		fmt.Fprintf(w, "Role %q found. Member added.\n", role)
		return
	}
	fmt.Fprintf(w, "Role %q not found. Member not added.\n", role)
}

Java

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

import com.google.api.services.cloudresourcemanager.v3.model.Binding;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import java.util.List;

public class AddMember {

  // Adds a member to a preexisting role.
  public static void addMember(Policy policy) {
    // policy = service.Projects.GetIAmPolicy(new GetIamPolicyRequest(), your-project-id).Execute();

    String role = "roles/existing-role";
    String member = "user:member-to-add@example.com";

    List<Binding> bindings = policy.getBindings();

    for (Binding b : bindings) {
      if (b.getRole().equals(role)) {
        b.getMembers().add(member);
        System.out.println("Member " + member + " added to role " + role);
        return;
      }
    }

    System.out.println("Role not found in policy; member not added");
  }
}

Python

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

def modify_policy_add_member(policy: dict, role: str, member: str) -> dict:
    """Adds a new member to a role binding."""

    binding = next(b for b in policy["bindings"] if b["role"] == role)
    binding["members"].append(member)
    print(binding)
    return policy

REST

将主账号添加到现有角色绑定，以修改返回的允许政策。请注意，此更改在您设置更新后的允许政策后才会生效。

例如，假设允许政策包含以下角色绑定，它会将 Security Reviewer 角色 (roles/iam.securityReviewer) 授予 kai@example.com：

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com"
  ]
}

如需向 raha@example.com 授予相同的角色，请将 raha@example.com 添加到现有角色绑定：

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

如需授予允许政策中未包含的角色，请添加新的角色绑定：

gcloud

通过添加向主账号授予该角色的新角色绑定来修改允许政策。此更改在您设置更新后的允许政策后才会生效。

例如，如需向 raha@example.com 授予 Compute Storage Admin 角色 (roles/compute.storageAdmin)，请将以下角色绑定添加到允许政策的 bindings 数组中：

{
  "role": "roles/compute.storageAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

C#

如需了解如何安装和使用 IAM 客户端库，请参阅 IAM 客户端库。如需了解详情，请参阅 IAM C# API 参考文档。

如需向 IAM 进行身份验证，请设置应用默认凭据。如需了解详情，请参阅准备工作。

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。


using System.Collections.Generic;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy AddBinding(Policy policy, string role, string member)
    {
        var binding = new Binding
        {
            Role = role,
            Members = new List<string> { member }
        };
        policy.Bindings.Add(binding);
        return policy;
    }
}

Java

如需了解如何安装和使用 IAM 客户端库，请参阅 IAM 客户端库。如需了解详情，请参阅 IAM Java API 参考文档。

如需向 IAM 进行身份验证，请设置应用默认凭据。如需了解详情，请参阅准备工作。

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

import com.google.api.services.cloudresourcemanager.v3.model.Binding;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import java.util.ArrayList;
import java.util.List;

public class AddBinding {

  // Adds a member to a role with no previous members.
  public static void addBinding(Policy policy) {
    // policy = service.Projects.GetIAmPolicy(new GetIamPolicyRequest(), your-project-id).Execute();

    String role = "roles/role-to-add";
    List<String> members = new ArrayList<>();
    members.add("user:member-to-add@example.com");

    Binding binding = new Binding();
    binding.setRole(role);
    binding.setMembers(members);

    policy.getBindings().add(binding);
    System.out.println("Added binding: " + binding.toString());
  }
}

Python

如需了解如何安装和使用 IAM 客户端库，请参阅 IAM 客户端库。如需了解详情，请参阅 IAM Python API 参考文档。

如需向 IAM 进行身份验证，请设置应用默认凭据。如需了解详情，请参阅准备工作。

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

def modify_policy_add_role(policy: dict, role: str, member: str) -> dict:
    """Adds a new role binding to a policy."""

    binding = {"role": role, "members": [member]}
    policy["bindings"].append(binding)
    print(policy)
    return policy

REST

通过添加向主账号授予该角色的新角色绑定来修改允许政策。此更改在您设置更新后的允许政策后才会生效。

例如，如需向 raha@example.com 授予 Compute Storage Admin 角色 (roles/compute.storageAdmin)，请将以下角色绑定添加到允许政策的 bindings 数组中：

{
  "role": "roles/compute.storageAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

您只能授予与已激活的 API 服务相关的角色。如果某项服务（例如 Compute Engine）未处于活动状态，则无法授予与其（例如 Compute Engine）相关的特定角色。如需了解详情，请参阅启用和停用 API。

在项目上授予权限时有一些独特的限制，授予 Owner (roles/owner) 角色时尤其如此。如需了解详情，请参阅 projects.setIamPolicy() 参考文档。

撤消角色

如需撤消角色，请从角色绑定中移除该主账号。如果角色绑定中没有其他主账号，请移除整个角色绑定。

gcloud

通过修改由 get-iam-policy 命令返回的 JSON 或 YAML 允许政策来撤消角色。此更改在您设置更新后的允许政策后才会生效。

如需撤消主账号的角色，请在允许政策的 bindings 数组中删除所需的主账号或绑定。

C#

如需了解如何安装和使用 IAM 客户端库，请参阅 IAM 客户端库。如需了解详情，请参阅 IAM C# API 参考文档。

如需向 IAM 进行身份验证，请设置应用默认凭据。如需了解详情，请参阅准备工作。

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。


using System.Linq;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy RemoveMember(Policy policy, string role, string member)
    {
        try
        {
            var binding = policy.Bindings.First(x => x.Role == role);
            if (binding.Members.Count != 0 && binding.Members.Contains(member))
            {
                binding.Members.Remove(member);
            }
            if (binding.Members.Count == 0)
            {
                policy.Bindings.Remove(binding);
            }
            return policy;
        }
        catch (System.InvalidOperationException e)
        {
            System.Diagnostics.Debug.WriteLine("Role does not exist in policy: \n" + e.ToString());
            return policy;
        }
    }
}

Go

如需了解如何安装和使用 IAM 客户端库，请参阅 IAM 客户端库。如需了解详情，请参阅 IAM Go API 参考文档。

如需向 IAM 进行身份验证，请设置应用默认凭据。如需了解详情，请参阅准备工作。

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

import (
	"fmt"
	"io"

	"google.golang.org/api/iam/v1"
)

// removeMember removes a member from a role binding.
func removeMember(w io.Writer, policy *iam.Policy, role, member string) {
	bindings := policy.Bindings
	bindingIndex, memberIndex := -1, -1
	for bIdx := range bindings {
		if bindings[bIdx].Role != role {
			continue
		}
		bindingIndex = bIdx
		for mIdx := range bindings[bindingIndex].Members {
			if bindings[bindingIndex].Members[mIdx] != member {
				continue
			}
			memberIndex = mIdx
			break
		}
	}
	if bindingIndex == -1 {
		fmt.Fprintf(w, "Role %q not found. Member not removed.\n", role)
		return
	}
	if memberIndex == -1 {
		fmt.Fprintf(w, "Role %q found. Member not found.\n", role)
		return
	}

	members := removeIdx(bindings[bindingIndex].Members, memberIndex)
	bindings[bindingIndex].Members = members
	if len(members) == 0 {
		bindings = removeIdx(bindings, bindingIndex)
		policy.Bindings = bindings
	}
	fmt.Fprintf(w, "Role %q found. Member removed.\n", role)
}

// removeIdx removes arr[idx] from arr.
func removeIdx[T any](arr []T, idx int) []T {
	return append(arr[:idx], arr[idx+1:]...)
}

Java

如需了解如何安装和使用 IAM 客户端库，请参阅 IAM 客户端库。如需了解详情，请参阅 IAM Java API 参考文档。

如需向 IAM 进行身份验证，请设置应用默认凭据。如需了解详情，请参阅准备工作。

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

import com.google.api.services.cloudresourcemanager.v3.model.Binding;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import java.util.List;

public class RemoveMember {

  // Removes member from a role; removes binding if binding contains 0 members.
  public static void removeMember(Policy policy) {
    // policy = service.Projects.GetIAmPolicy(new GetIamPolicyRequest(), your-project-id).Execute();

    String role = "roles/existing-role";
    String member = "user:member-to-remove@example.com";

    List<Binding> bindings = policy.getBindings();
    Binding binding = null;
    for (Binding b : bindings) {
      if (b.getRole().equals(role)) {
        binding = b;
      }
    }
    if (binding != null && binding.getMembers().contains(member)) {
      binding.getMembers().remove(member);
      System.out.println("Member " + member + " removed from " + role);
      if (binding.getMembers().isEmpty()) {
        policy.getBindings().remove(binding);
      }
      return;
    }

    System.out.println("Role not found in policy; member not removed");
    return;
  }
}

Python

如需了解如何安装和使用 IAM 客户端库，请参阅 IAM 客户端库。如需了解详情，请参阅 IAM Python API 参考文档。

如需向 IAM 进行身份验证，请设置应用默认凭据。如需了解详情，请参阅准备工作。

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

def modify_policy_remove_member(policy: dict, role: str, member: str) -> dict:
    """Removes a  member from a role binding."""
    binding = next(b for b in policy["bindings"] if b["role"] == role)
    if "members" in binding and member in binding["members"]:
        binding["members"].remove(member)
    print(binding)
    return policy

REST

通过修改由 get-iam-policy 命令返回的 JSON 或 YAML 允许政策来撤消角色。此更改在您设置更新后的允许政策后才会生效。

如需撤消主账号的角色，请在允许政策的 bindings 数组中删除所需的主账号或绑定。

设置允许政策

修改允许政策以授予和撤消所需的角色后，请调用 setIamPolicy() 进行更新。

gcloud

在 Google Cloud 控制台中，激活 Cloud Shell。

激活 Cloud Shell

Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动，并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
如需设置资源的允许政策，请针对资源运行 set-iam-policy 命令：
```
gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH
```
请提供以下值：
- RESOURCE_TYPE：您要设置允许政策的资源的类型。请使用以下某个值：projects、resource-manager folders 或 organizations。
- RESOURCE_ID：您的 Google Cloud 项目、文件夹或组织 ID。项目 ID 为字母数字，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
- PATH：包含新允许政策的文件的路径。
响应包含更新后的允许政策。

例如，以下命令将存储在 policy.json 中的允许政策设置为项目 my-project 的允许政策：
```
gcloud projects set-iam-policy my-project ~/policy.json
```

C#


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy SetPolicy(string projectId, Policy policy)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        return service.Projects.SetIamPolicy(new SetIamPolicyRequest
        {
            Policy = policy
        }, projectId).Execute();
    }
}

Java

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

以下示例展示了如何设置项目的允许政策。如需了解如何设置文件夹或组织的允许政策，请查看适合您的编程语言的 Resource Manager 客户端库文档。

import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.services.cloudresourcemanager.v3.CloudResourceManager;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import com.google.api.services.cloudresourcemanager.v3.model.SetIamPolicyRequest;
import com.google.api.services.iam.v1.IamScopes;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;

public class SetPolicy {

  // Sets a project's policy.
  public static void setPolicy(Policy policy, String projectId) {
    // policy = service.Projects.GetIAmPolicy(new GetIamPolicyRequest(), your-project-id).Execute();
    // projectId = "my-project-id"

    CloudResourceManager service = null;
    try {
      service = createCloudResourceManagerService();
    } catch (IOException | GeneralSecurityException e) {
      System.out.println("Unable to initialize service: \n" + e.toString());
      return;
    }

    try {
      SetIamPolicyRequest request = new SetIamPolicyRequest();
      request.setPolicy(policy);
      Policy response = service.projects().setIamPolicy(projectId, request).execute();
      System.out.println("Policy set: " + response.toString());
    } catch (IOException e) {
      System.out.println("Unable to set policy: \n" + e.toString());
    }
  }

  public static CloudResourceManager createCloudResourceManagerService()
      throws IOException, GeneralSecurityException {
    // Use the Application Default Credentials strategy for authentication. For more info, see:
    // https://cloud.google.com/docs/authentication/production#finding_credentials_automatically
    GoogleCredentials credential =
        GoogleCredentials.getApplicationDefault()
            .createScoped(Collections.singleton(IamScopes.CLOUD_PLATFORM));

    CloudResourceManager service =
        new CloudResourceManager.Builder(
                GoogleNetHttpTransport.newTrustedTransport(),
                GsonFactory.getDefaultInstance(),
                new HttpCredentialsAdapter(credential))
            .setApplicationName("service-accounts")
            .build();
    return service;
  }
}

Python

如需向 Resource Manager 进行身份验证，请设置应用默认凭据。如需了解更多信息，请参阅准备工作。

如需了解如何安装和使用 Resource Manager 客户端库，请参阅 Resource Manager 客户端库。

以下示例展示了如何设置项目的允许政策。如需了解如何设置文件夹或组织的允许政策，请查看适合您的编程语言的 Resource Manager 客户端库文档。

def set_policy(project_id: str, policy: dict) -> dict:
    """Sets IAM policy for a project."""

    credentials = service_account.Credentials.from_service_account_file(
        filename=os.environ["GOOGLE_APPLICATION_CREDENTIALS"],
        scopes=["https://www.googleapis.com/auth/cloud-platform"],
    )
    service = googleapiclient.discovery.build(
        "cloudresourcemanager", "v1", credentials=credentials
    )

    policy = (
        service.projects()
        .setIamPolicy(resource=project_id, body={"policy": policy})
        .execute()
    )
    print(policy)
    return policy

REST

Resource Manager API 的 setIamPolicy 方法会将请求中的政策设置为项目、文件夹或组织的新允许政策。

在使用任何请求数据之前，请先进行以下替换：

API_VERSION：要使用的 API 版本。对于项目和组织，请使用 v1。对于文件夹，请使用 v2。
RESOURCE_TYPE：您要管理其政策的资源类型。使用值 projects、folders 或 organizations。
RESOURCE_ID：您的 Google Cloud 项目、组织或文件夹 ID。项目 ID 是字母数字字符串，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
POLICY：您要设置的政策的 JSON 格式。如需详细了解政策的格式，请参阅政策参考文档。

HTTP 方法和网址：

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

请求 JSON 正文：

{
  "policy": POLICY
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy"

PowerShell (Windows)

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy" | Select-Object -Expand Content

APIs Explorer（浏览器）

响应包含更新后的允许政策。

后续步骤

了解如何管理对服务账号的访问权限。
了解管理对其他资源的访问权限的一般步骤。
了解如何选择最合适的预定义角色。
使用 Policy Troubleshooter 了解用户有权或无权访问某项资源的原因，或有权调用某个 API 的原因。
了解如何查看您可以针对特定资源授予的角色。
了解如何使用条件角色绑定使主账号的访问权限有条件。
探索使用 Identity-Aware Proxy 保护您的应用的方法。

自行试用

如果您是 Google Cloud 新手，请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金，用于运行、测试和部署工作负载。

免费开始使用

管理对项目、文件夹和组织的访问权限

准备工作

Console

gcloud

C#

Java

Python

REST

所需的角色

所需权限

查看当前访问权限

控制台

gcloud

C#

Java

Python

REST

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

APIs Explorer（浏览器）

授予或撤消单个角色

授予单个角色

控制台

gcloud

Linux、macOS 或 Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

撤消单个角色

控制台

gcloud

使用 Google Cloud 控制台授予或撤消多个角色

以编程方式授予或撤销多个角色

获取当前允许政策

gcloud

C#

Java

Python

REST

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

APIs Explorer（浏览器）

修改允许政策

授予角色

gcloud

C#

Go

Java

Python

REST

gcloud

C#

Java

Python

REST

撤消角色

gcloud

C#

Go

Java

Python

REST

设置允许政策

gcloud

C#

Java

Python

REST

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

APIs Explorer（浏览器）

后续步骤

自行试用