I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Questa pagina spiega come creare e applicare le policy di Principal Access Boundary.
Prima di iniziare
Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Leggi la panoramica dei criteri di Principal Access Boundary.
Ruoli richiesti per creare criteri di confine dell'accesso dell'entità
Per ottenere l'autorizzazione necessaria per creare criteri di limiti di accesso all'entità, chiedi all'amministratore di concederti il ruolo IAM Amministratore di limiti di accesso all'entità (
roles/iam.principalAccessBoundaryAdmin
) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.Questo ruolo predefinito contiene l'autorizzazione
iam.principalaccessboundarypolicies.create
necessaria per creare criteri di limiti di accesso all'entità.Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Ruoli richiesti per applicare i criteri di Principal Access Boundary
Le autorizzazioni necessarie per applicare un criterio di confine dell'accesso dell'entità dipendono dall'insieme di entità a cui vuoi applicare il criterio.
Per ottenere le autorizzazioni necessarie per applicare i criteri dei limiti di accesso all'entità, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Utente di confine dell'accesso dell'entità (
roles/iam.principalAccessBoundaryUser
) dell'organizzazione -
Applica i criteri di confine di accesso dei principali ai pool di federazione delle identità per la forza lavoro:
Amministratore pool di forza lavoro IAM (
roles/iam.workforcePoolAdmin
) nel pool di federazione delle identità per la forza lavoro di destinazione -
Applica i criteri di confine di accesso dei principali ai pool di federazione delle identità per il carico di lavoro:
Amministratore pool Workload Identity IAM (
roles/iam.workloadIdentityPoolAdmin
) nel progetto proprietario del pool di federazione delle identità per la forza lavoro di destinazione -
Applica i criteri di confine di accesso dei principali a un dominio Google Workspace:
Amministratore IAM del pool di Workspace (
roles/iam.workspacePoolAdmin
) nell'organizzazione -
Applica i criteri di confine di accesso delle entità al set di entità di un progetto:
Amministratore IAM del progetto (
roles/resourcemanager.projectIamAdmin
) nel progetto -
Applica i criteri di Principal Access Boundary all'insieme di entità di una cartella:
Amministratore IAM cartella (
roles/resourcemanager.folderIamAdmin
) nella cartella -
Applica i criteri di confine di accesso delle entità al set di entità di un'organizzazione:
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin
) nell'organizzazione
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per applicare i criteri di Principal Access Boundary. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per applicare le policy di Principal Access Boundary sono necessarie le seguenti autorizzazioni:
-
iam.principalaccessboundarypolicies.bind
sull'organizzazione -
Applica i criteri di confine di accesso dei principali ai pool della federazione delle identità della forza lavoro:
iam.workforcePools.createPolicyBinding
nel pool della federazione delle identità della forza lavoro di destinazione -
Applica i criteri di confine di accesso dei principali ai pool di federazione delle identità della forza lavoro:
iam.workloadIdentityPools.createPolicyBinding
nel progetto proprietario del pool di federazione delle identità della forza lavoro di destinazione -
Applica i criteri di Principal Access Boundary a un dominio Google Workspace:
iam.workspacePools.createPolicyBinding
nell'organizzazione -
Applica i criteri di confine dell'accesso dell'entità al set di entità di un progetto:
resourcemanager.projects.createPolicyBinding
nel progetto -
Applica i criteri di confine dell'accesso dell'entità all'insieme di entità di una cartella:
resourcemanager.folders.createPolicyBinding
sulla cartella -
Applica i criteri di confine di accesso delle entità al set di entità di un'organizzazione:
resourcemanager.organizations.createPolicyBinding
nell'organizzazione
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Crea un criterio di confine dell'accesso dell'entità
Puoi creare un criterio di confine di accesso dei principali utilizzando la console Google Cloud, la gcloud CLI o l'API REST IAM.
Console
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione per cui vuoi creare i criteri di confine dell'accesso dell'entità.
Fai clic su
Crea criterio.Aggiungi regole di Principal Access Boundary al criterio:
- Fai clic su Aggiungi regola di confine.
- Nel campo Descrizione, aggiungi una descrizione della regola del criterio di confine di accesso principale. La descrizione può contenere un massimo di 256 caratteri.
Nella sezione Risorse, inserisci tutte le risorse di Resource Manager (progetti, cartelle e organizzazioni) a cui vuoi che gli entità possano accedere. Qualsiasi entità soggetta a questo criterio è idonea ad accedere a queste risorse.
Ogni criterio di limite di accesso all'entità può fare riferimento a un massimo di 500 risorse in tutte le regole della stessa.
Fai clic su Fine.
Per aggiungere altre regole delle norme, ripeti questi passaggi. Ogni criterio di Principal Access Boundary può avere fino a 500 regole.
Nella sezione Nome criterio, inserisci un nome per il criterio. Il nome può contenere un massimo di 63 caratteri.
Nell'elenco Versione applicazione, seleziona la versione di applicazione per il regolamento. La versione del criterio di limite di accesso all'entità determina per quali autorizzazioni IAM applica il criterio di limite di accesso all'entità.
Per saperne di più sulle versioni di applicazione, consulta Versioni di applicazione di Principal Access Boundary.
Fai clic su Crea.
gcloud
Il comando
gcloud beta iam principal-access-boundary-policies create
crea un criterio di confine dell'accesso dell'entità.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ORG_ID
: l'ID dell'organizzazione in cui vuoi creare il criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.-
PAB_POLICY_ID
: un ID univoco per il criterio di Principal Access Boundary, ad esempioexample-policy
. : DISPLAY_NAME
: facoltativo. Una descrizione in formato leggibile da parte dell'utente del criterio di confine dell'accesso dell'entità, ad esempioExample policy
. Il nome visualizzato può contenere un massimo di 63 caratteri.-
FILE_PATH
: il percorso di un file JSON contenente i dettagli della regola del criterio di confine di accesso principale. Questo file deve avere il seguente formato:{ "description": DESCRIPTION, "resources": [ RESOURCES ], "effect": ALLOW }
Sostituisci i seguenti valori:
DESCRIPTION
: facoltativo. La descrizione della regola del criterio di Principal Access Boundary. La descrizione può contenere un massimo di 256 caratteri.-
RESOURCES
: un elenco di risorse Resource Manager (progetti, cartelle e organizzazioni) a cui vuoi che le entità possano accedere. Qualsiasi entità soggetta a questo criterio è idonea ad accedere a queste risorse.Ogni criterio di limite di accesso all'entità può fare riferimento a un massimo di 500 risorse in tutte le regole del criterio.
-
ENFORCEMENT_VERSION
: la versione dei criteri di Principal Access Boundary che IAM utilizza per l'applicazione del criterio. La versione di applicazione determina per quali autorizzazioni IAM viene applicato il criterio di limite di accesso all'entità.I valori accettati sono
1
elatest
.Per saperne di più sulle versioni di applicazione, consulta Versioni di applicazione di Principal Access Boundary.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json \ --details-enforcement-version=ENFORCEMENT_VERSION
Windows (PowerShell)
gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json ` --details-enforcement-version=ENFORCEMENT_VERSION
Windows (cmd.exe)
gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json ^ --details-enforcement-version=ENFORCEMENT_VERSION
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
Create request issued for: [example-policy] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715373988044-6181fa136df85-3b06a30a-4816d25b] to complete...done. Created principalAccessBoundaryPolicy [example-policy].
REST
Il metodo
principalAccessBoundaryPolicies.create
crea un criterio di confine dell'accesso dell'entità.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
ORG_ID
: l'ID dell'organizzazione in cui vuoi creare il criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.-
PAB_POLICY_ID
: un ID univoco per il criterio di Principal Access Boundary, ad esempioexample-policy
. DISPLAY_NAME
: facoltativo. Una descrizione in formato leggibile da parte dell'utente del criterio di confine dell'accesso dell'entità, ad esempioExample policy
. Il nome visualizzato può contenere un massimo di 63 caratteri.-
PAB_RULES
: un elenco di regole dei limiti di accesso all'entità che definiscono le risorse a cui possono accedere le entità interessate. Un criterio di Principal Access Boundary può avere fino a 500 regole. Ogni regola ha il seguente formato:{ "description": "DESCRIPTION", "resources": [ RESOURCES ], "effect": ALLOW }
Sostituisci i seguenti valori:
DESCRIPTION
: facoltativo. La descrizione della regola del criterio di Principal Access Boundary. La descrizione può contenere un massimo di 256 caratteri.-
RESOURCES
: un elenco di risorse Resource Manager (progetti, cartelle e organizzazioni) a cui vuoi che le entità possano accedere. Qualsiasi entità soggetta a questo criterio è idonea ad accedere a queste risorse.Ogni criterio di limite di accesso all'entità può fare riferimento a un massimo di 500 risorse in tutte le regole del criterio.
-
ENFORCEMENT_VERSION
: la versione dei criteri di Principal Access Boundary che IAM utilizza per l'applicazione del criterio. La versione di applicazione determina per quali autorizzazioni IAM viene applicato il criterio di limite di accesso all'entità.I valori accettati sono
1
elatest
.Per saperne di più sulle versioni di applicazione, consulta Versioni di applicazione di Principal Access Boundary.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID
Corpo JSON della richiesta:
{ "displayName": DISPLAY_NAME, "details": { "rules": [ PAB_RULES ], "effect": ALLOW } ], "enforcementVersion": "ENFORCEMENT_VERSION" }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:32:00.898809495Z", "target": "organizations/123456789012/locations/global/policyBindings/example-policy", "verb": "create", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Applicare un criterio di Principal Access Boundary a un set di entità
Per applicare un criterio di confine dell'accesso dell'entità a un insieme di entità, crea una risorsa di associazione al criterio che associ il criterio all'insieme di entità. Dopo aver creato un'associazione di criteri, il criterio di confine dell'accesso dell'entità nell'associazione viene applicato alle entità nell'associazione.
Puoi creare un'associazione di criteri utilizzando la console Google Cloud, la riga di comando gcloud o l'API REST IAM.
Console
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità per il quale vuoi creare un'associazione.
Fai clic sull'ID della norma di confine dell'accesso dell'entità per la quale vuoi creare un'associazione.
Fai clic sulla scheda Associazioni e poi su
Aggiungi associazione.Inserisci i dettagli dell'associazione:
- (Facoltativo) Nel campo Nome visualizzato, inserisci un nome visualizzato per la associazione. Il nome visualizzato può contenere un massimo di 63 caratteri.
- Nel campo ID associazione, inserisci un nome univoco per l'associazione, ad esempio
example-binding
. Nella sezione Set di entità target, inserisci il tipo e l'ID del set di entità a cui vuoi associare il criterio. Non puoi modificare questo valore dopo aver creato il vincolo dei criteri.
Per saperne di più sulle entità incluse in ogni set di entità, consulta Set di entità supportati.
(Facoltativo) Per specificare per quali entità nell'insieme di entità viene applicato il criterio di confine dell'accesso dell'entità, aggiungi una condizione all'associazione:
- Fai clic su Aggiungi condizione.
- Nel campo Titolo, inserisci un breve riepilogo dello scopo della condizione.
- (Facoltativo) Nel campo Descrizione, inserisci una descrizione più lunga della condizione.
- Nel campo Espressione, inserisci l'espressione della condizione che utilizza la
sintassi del Common Expression Language (CEL). L'espressione deve fare riferimento agli attributi
principal.type
oprincipal.subject
. Gli altri attributi non sono supportati. - Fai clic su Salva.
Per creare il vincolo, fai clic su Aggiungi.
gcloud
Il comando
gcloud beta iam policy-bindings create
crea un'associazione di criteri.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
BINDING_ID
: un nome univoco per l'associazione delle norme, ad esempioexample-binding
. -
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valoreproject
,folder
oorganization
Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
ORG_ID
: l'ID dell'organizzazione proprietaria del criterio di confine dell'accesso dell'entità che vuoi associare al set di entità. Gli ID organizzazione sono numerici, ad esempio123456789012
. -
PAB_POLICY_ID
: l'ID del criterio di Principal Access Boundary che vuoi associare al set di entità, ad esempioexample-pab-policy
. Non puoi modificare questo valore dopo aver creato il vincolo dei criteri. -
PRINCIPAL_SET
: il set di entità a cui vuoi associare il criterio. Per un elenco dei tipi di entità validi, consulta Insiemi di entità supportati. Non puoi modificare questo valore dopo aver creato il vincolo dei criteri. DISPLAY_NAME
: facoltativo. Una descrizione leggibile della associazione, ad esempioExample binding
. Il nome visualizzato può contenere un massimo di 63 caratteri.-
CONDITION_DETAILS
: facoltativo. Un'espressione di condizione che specifica per quali entità nel set di entità viene applicato il criterio di Principal Access Boundary. Contiene i seguenti campi:-
expression
: un'espressione di condizione che utilizza la sintassi di Common Expression Language (CEL). L'espressione deve fare riferimento agli attributiprincipal.type
oprincipal.subject
. Gli altri attributi non sono supportati.L'espressione può contenere fino a 10 operatori logici (
&&
,||
,!
) e può avere una lunghezza massima di 250 caratteri. -
title
: facoltativo. Un breve riepilogo dello scopo della condizione. -
description
: facoltativo. Una descrizione più lunga della condizione.
-
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam policy-bindings create BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global \ --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" \ --target-principal-set=PRINCIPAL_SET_ID \ --display-name=DISPLAY_NAME \ CONDITION_DETAILS
Windows (PowerShell)
gcloud beta iam policy-bindings create BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global ` --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" ` --target-principal-set=PRINCIPAL_SET_ID ` --display-name=DISPLAY_NAME ` CONDITION_DETAILS
Windows (cmd.exe)
gcloud beta iam policy-bindings create BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global ^ --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" ^ --target-principal-set=PRINCIPAL_SET_ID ^ --display-name=DISPLAY_NAME ^ CONDITION_DETAILS
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
Create request issued for: [example-binding] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done. Created policyBinding [example-binding].
REST
Il metodo
policyBindings.create
crea un'associazione di criteri.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valoreprojects
,folders
oorganizations
Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
BINDING_ID
: un nome univoco per l'associazione delle norme, ad esempioexample-binding
. DISPLAY_NAME
: facoltativo. Una descrizione leggibile della associazione, ad esempioExample binding
. Il nome visualizzato può contenere un massimo di 63 caratteri.-
PRINCIPAL_SET
: il set di entità a cui vuoi associare il criterio. Per un elenco dei tipi di entità validi, consulta Insiemi di entità supportati. Non puoi modificare questo valore dopo aver creato il vincolo dei criteri. -
ORG_ID
: l'ID dell'organizzazione proprietaria del criterio di confine dell'accesso dell'entità che vuoi associare al set di entità. Gli ID organizzazione sono numerici, ad esempio123456789012
. -
PAB_POLICY_ID
: l'ID del criterio di Principal Access Boundary che vuoi associare al set di entità, ad esempioexample-pab-policy
. Non puoi modificare questo valore dopo aver creato il vincolo dei criteri. -
CONDITION_DETAILS
: facoltativo. Un'espressione di condizione che specifica per quali entità nel set di entità viene applicato il criterio di Principal Access Boundary. Contiene i seguenti campi:-
expression
: un'espressione di condizione che utilizza la sintassi di Common Expression Language (CEL). L'espressione deve fare riferimento agli attributiprincipal.type
oprincipal.subject
. Gli altri attributi non sono supportati.L'espressione può contenere fino a 10 operatori logici (
&&
,||
,!
) e può avere una lunghezza massima di 250 caratteri. -
title
: facoltativo. Un breve riepilogo dello scopo della condizione. -
description
: facoltativo. Una descrizione più lunga della condizione.
-
Metodo HTTP e URL:
POST https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID
Corpo JSON della richiesta:
{ "displayName": DISPLAY_NAME, "target": { "principalSet": PRINCIPAL_SET }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID", "condition": { CONDITION_DETAILS } }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:32:00.898809495Z", "target": "organizations/123456789012/locations/global/policyBindings/example-binding", "verb": "create", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Passaggi successivi
- Visualizzare i criteri di Principal Access Boundary
- Modificare i criteri di confine dell'accesso dell'entità
- Rimuovere i criteri di Principal Access Boundary
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-12-22 UTC.