I criteri di Principal Access Boundary (PAB) consentono di limitare le risorse impostate di entità idonee all'accesso. In questa pagina viene spiegato come creare e applicare i criteri di Principal Access Boundary.
Prima di iniziare
Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per saperne di più, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Leggi la panoramica dei criteri di Principal Access Boundary.
Ruoli necessari per creare criteri di Principal Access Boundary
Per ottenere l'autorizzazione necessaria per creare criteri di Principal Access Boundary, chiedi all'amministratore di concederti Ruolo IAM Amministratore Principal Access Boundary (
roles/iam.principalAccessBoundaryAdmin
) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.Questo ruolo predefinito contiene
iam.principalaccessboundarypolicies.create
autorizzazione, che è obbligatorio crea criteri di Principal Access Boundary.Potresti anche riuscire a ottenere questa autorizzazione con ruoli personalizzati e altri ruoli predefiniti.
Ruoli necessari per applicare i criteri di Principal Access Boundary
Le autorizzazioni necessarie per applicare un criterio di Principal Access Boundary dipendono dal set di entità a cui vuoi applicare il criterio.
Per ottenere le autorizzazioni necessarie per applicare i criteri di Principal Access Boundary, chiedi all'amministratore di concederti seguenti ruoli IAM:
-
Utente di confine dell'accesso dell'entità (
roles/iam.principalAccessBoundaryUser
) nell'organizzazione -
Applica i criteri di Principal Access Boundary ai pool della federazione delle identità per la forza lavoro:
Amministratore pool di forza lavoro IAM (
roles/iam.workforcePoolAdmin
) nel pool federazione delle identità per la forza lavoro di destinazione -
Applica i criteri di confine di accesso dei principali ai pool di federazione delle identità per il carico di lavoro:
Amministratore pool Workload Identity IAM (
roles/iam.workloadIdentityPoolAdmin
) nel progetto proprietario del pool di federazione delle identità per la forza lavoro di destinazione -
Applica i criteri di Principal Access Boundary a un dominio Google Workspace:
Amministratore IAM pool di aree di lavoro (
roles/iam.workspacePoolAdmin
) dell'organizzazione -
Applica i criteri di confine di accesso delle entità al set di entità di un progetto:
Amministratore IAM del progetto (
roles/resourcemanager.projectIamAdmin
) nel progetto -
Applica i criteri di Principal Access Boundary all'insieme di entità di una cartella:
Amministratore IAM cartella (
roles/resourcemanager.folderIamAdmin
) nella cartella -
Applica i criteri di Principal Access Boundary al set di entità di un'organizzazione:
Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
) dell'organizzazione
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per applicare i criteri di Principal Access Boundary. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per applicare i criteri di Principal Access Boundary sono necessarie le seguenti autorizzazioni:
-
iam.principalaccessboundarypolicies.bind
sull'organizzazione -
Applica i criteri di Principal Access Boundary ai pool della federazione delle identità per la forza lavoro:
iam.workforcePools.createPolicyBinding
nel pool federazione delle identità per la forza lavoro di destinazione -
Applica i criteri di Principal Access Boundary ai pool della federazione di Workload Identity:
iam.workloadIdentityPools.createPolicyBinding
sul progetto proprietario del pool federazione delle identità per la forza lavoro di destinazione -
Applica i criteri di Principal Access Boundary a un dominio Google Workspace:
iam.workspacePools.createPolicyBinding
dell'organizzazione -
Applica i criteri di Principal Access Boundary al set di entità di un progetto:
resourcemanager.projects.createPolicyBinding
del progetto -
Applica i criteri di Principal Access Boundary a un set di entità di una cartella:
resourcemanager.folders.createPolicyBinding
sulla cartella -
Applica i criteri di Principal Access Boundary al set di entità di un'organizzazione:
resourcemanager.organizations.createPolicyBinding
dell'organizzazione
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati e altri ruoli predefiniti.
Crea un criterio di Principal Access Boundary
Per creare un criterio di Principal Access Boundary, puoi utilizzare la console Google Cloud gcloud CLI o l'API REST IAM.
Console
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione per la quale vuoi creare criteri di Principal Access Boundary .
Fai clic su
Crea criterio.Aggiungi al criterio le regole di Principal Access Boundary:
- Fai clic su Aggiungi regola di confine.
- Nel campo Descrizione, aggiungi una descrizione del limite di accesso all'entità regola del criterio. La descrizione può contenere al massimo 256 caratteri.
Nella sezione Risorse, inserisci tutte le risorse di Resource Manager (progetti, cartelle e organizzazioni) a cui vuoi che gli entità possano accedere. Qualsiasi entità soggetta a queste norme è idoneo per accedere a queste risorse.
Ogni criterio di limite di accesso all'entità può fare riferimento a un massimo di 500 risorse in tutte le regole del criterio.
Fai clic su Fine.
Per aggiungere altre regole dei criteri, ripeti questi passaggi. Ogni criterio di Principal Access Boundary può avere fino a 500 regole.
Nella sezione Nome della norma, inserisci il nome della norma. Il nome può essere un massimo di 63 caratteri.
Nell'elenco Versione applicazione, seleziona la versione di applicazione per il regolamento. La versione del criterio di limite di accesso all'entità determina per quali autorizzazioni IAM viene applicato il criterio.
Per saperne di più sulle versioni di applicazione, consulta Versioni di applicazione di Principal Access Boundary.
Fai clic su Crea.
gcloud
Il comando
gcloud beta iam principal-access-boundary-policies create
crea un criterio di confine dell'accesso dell'entità.Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
ORG_ID
: l'ID dell'organizzazione che vuoi il criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.-
PAB_POLICY_ID
: un ID univoco per il criterio di Principal Access Boundary, ad esempioexample-policy
. : DISPLAY_NAME
: facoltativo. Una descrizione in formato leggibile da parte dell'utente del criterio di confine dell'accesso dell'entità, ad esempioExample policy
. Il nome visualizzato può contenere un massimo di 63 caratteri.-
FILE_PATH
: il percorso di un file JSON contenente il criterio di Principal Access Boundary dettagli della regola. Questo file deve avere il seguente formato:{ "description": DESCRIPTION, "resources": [ RESOURCES ], "effect": ALLOW }
Sostituisci i seguenti valori:
DESCRIPTION
: facoltativo. Descrizione del limite di accesso all'entità regola del criterio. La descrizione può contenere al massimo 256 caratteri.-
RESOURCES
: un elenco di risorse Resource Manager (progetti, cartelle e organizzazioni) a cui vuoi che le entità possano accedere. Qualsiasi l'entità soggetta a queste norme è idonea per accedere a queste risorse.Ogni criterio di limite di accesso all'entità può fare riferimento a un massimo di 500 risorse in tutte le regole del criterio.
-
ENFORCEMENT_VERSION
: la versione dei criteri di Principal Access Boundary che IAM per l'applicazione dei criteri. La versione di applicazione determina quali autorizzazioni vengono applicate da IAM il criterio di Principal Access Boundary.I valori accettati sono
1
elatest
.Per saperne di più sulle versioni di applicazione, consulta Applicazione di Principal Access Boundary le versioni secondarie.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json \ --details-enforcement-version=ENFORCEMENT_VERSION
Windows (PowerShell)
gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json ` --details-enforcement-version=ENFORCEMENT_VERSION
Windows (cmd.exe)
gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json ^ --details-enforcement-version=ENFORCEMENT_VERSION
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
Create request issued for: [example-policy] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715373988044-6181fa136df85-3b06a30a-4816d25b] to complete...done. Created principalAccessBoundaryPolicy [example-policy].
REST
La
principalAccessBoundaryPolicies.create
crea un criterio di Principal Access Boundary.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
ORG_ID
: l'ID dell'organizzazione in cui vuoi creare il criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.-
PAB_POLICY_ID
: un ID univoco per il criterio di Principal Access Boundary, ad esempioexample-policy
. DISPLAY_NAME
: facoltativo. Un file leggibile descrizione del criterio di Principal Access Boundary, ad esempioExample policy
. Il display può contenere un massimo di 63 caratteri.-
PAB_RULES
: un elenco di regole di Principal Access Boundary che definiscono le risorse che le entità interessate sono idonee all'accesso. Un criterio di Principal Access Boundary può avere fino a 500 regole. Ogni regola ha il seguente formato:{ "description": "DESCRIPTION", "resources": [ RESOURCES ], "effect": ALLOW }
Sostituisci i seguenti valori:
DESCRIPTION
: facoltativo. Descrizione del limite di accesso all'entità regola del criterio. La descrizione può contenere al massimo 256 caratteri.-
RESOURCES
: un elenco di risorse Resource Manager (progetti, cartelle, e organizzazioni) a cui vuoi che le entità siano idonee ad accedere. Qualsiasi entità soggetto a queste norme è idoneo per accedere a queste risorse.Ogni criterio di Principal Access Boundary può fare riferimento a un massimo di 500 in tutte le regole del criterio.
-
ENFORCEMENT_VERSION
: la versione dei criteri di Principal Access Boundary che IAM per l'applicazione dei criteri. La versione di applicazione determina quali autorizzazioni vengono applicate da IAM il criterio di Principal Access Boundary.I valori accettati sono
1
elatest
.Per saperne di più sulle versioni di applicazione, consulta Versioni di applicazione di Principal Access Boundary.
Metodo HTTP e URL:
POST https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID
Corpo JSON della richiesta:
{ "displayName": DISPLAY_NAME, "details": { "rules": [ PAB_RULES ], "effect": ALLOW } ], "enforcementVersion": "ENFORCEMENT_VERSION" }
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:32:00.898809495Z", "target": "organizations/123456789012/locations/global/policyBindings/example-policy", "verb": "create", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Applica un criterio di Principal Access Boundary a un set di entità
Per applicare un criterio di confine dell'accesso dell'entità a un insieme di entità, crea una risorsa di associazione al criterio che associ il criterio all'insieme di entità. Dopo aver creato un criterio associazione, il criterio di Principal Access Boundary nell'associazione viene applicato in modo nell'associazione.
Puoi creare un'associazione di criteri utilizzando la console Google Cloud, la riga di comando gcloud o l'API REST IAM.
Console
Nella console Google Cloud, vai a Principal Access Boundary norme.
Seleziona l'organizzazione proprietaria del criterio di Principal Access Boundary che ti interessa. per cui creare un'associazione.
Fai clic sull'ID del criterio di Principal Access Boundary che vuoi creare un'associazione.
Fai clic sulla scheda Associazioni, quindi su
Aggiungi associazione.Inserisci i dettagli dell'associazione:
- (Facoltativo) Nel campo Nome visualizzato, inserisci un nome visualizzato per l'associazione. Il nome visualizzato può contenere un massimo di 63 caratteri.
- Nel campo ID associazione, inserisci un nome univoco per
associazione, ad esempio
example-binding
. Nella sezione Set di entità di destinazione, inserisci il tipo e l'ID del del set di entità a cui vuoi associare il criterio. Non puoi modificare questo valore dopo aver creato l'associazione dei criteri.
Per saperne di più sugli entità inclusi in ogni set di entità, consulta Set di entità supportati.
(Facoltativo) Per specificare quali entità nel set di entità vengono per cui viene applicato in modo forzato il criterio di Principal Access Boundary. Aggiungi una condizione all'associazione:
- Fai clic su Aggiungi condizione.
- Nel campo Titolo, inserisci un breve riepilogo dello scopo del .
- (Facoltativo) Nel campo Descrizione, inserisci una descrizione più lunga della condizione.
- Nel campo Espressione, inserisci l'espressione della condizione che utilizza la
sintassi del linguaggio Common Expression Language (CEL). La
deve fare riferimento a
principal.type
oprincipal.subject
personalizzati. Altri attributi non sono supportati. - Fai clic su Salva.
Per creare l'associazione, fai clic su Aggiungi.
gcloud
La
gcloud beta iam policy-bindings create
crea un'associazione di criteri.Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
-
BINDING_ID
: un nome univoco per l'associazione di criteri, ad esempioexample-binding
. -
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella, o organizzazione) di cui l'associazione dei criteri è un elemento secondario. Utilizza il valoreproject
,folder
oorganization
Il tipo di risorsa dipende dal set di entità nell'associazione di criteri. Per vedere quale risorsa tipo da utilizzare, consulta Entità supportata di classificazione.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
ORG_ID
: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary da associare al set di entità. Gli ID organizzazione sono numerici, ad esempio123456789012
. -
PAB_POLICY_ID
: l'ID del criterio di Principal Access Boundary che vuoi associare al set di entità, ad esempioexample-pab-policy
. Non puoi modificare questa impostazione dopo aver creato l'associazione dei criteri. -
PRINCIPAL_SET
: il set di entità a cui vuoi associare il criterio. Per un elenco dei tipi di entità validi, consulta Set di entità supportati. Non puoi modificare questo valore dopo aver creato l'associazione dei criteri. DISPLAY_NAME
: facoltativo. R descrizione leggibile dell'associazione, ad esempioExample binding
. La il nome visualizzato può contenere un massimo di 63 caratteri.-
CONDITION_DETAILS
: facoltativo. Un'espressione di condizione che specifica quali entità Nel set di entità viene applicato in modo forzato il criterio di Principal Access Boundary. Contiene i seguenti campi:-
expression
: un'espressione di condizione che utilizza la sintassi di Common Expression Language (CEL). L'espressione deve fare riferimentoprincipal.type
oprincipal.subject
attributi. Gli altri attributi non sono supportati.L'espressione può contenere fino a 10 caratteri logici operatori (
&&
,||
,!
) e può contenere fino a 250 caratteri lunga. -
title
: facoltativo. Un breve riepilogo dello scopo della condizione. -
description
: facoltativo. Una descrizione più lunga della condizione.
-
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud beta iam policy-bindings create BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global \ --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" \ --target-principal-set=PRINCIPAL_SET_ID \ --display-name=DISPLAY_NAME \ CONDITION_DETAILS
Windows (PowerShell)
gcloud beta iam policy-bindings create BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global ` --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" ` --target-principal-set=PRINCIPAL_SET_ID ` --display-name=DISPLAY_NAME ` CONDITION_DETAILS
Windows (cmd.exe)
gcloud beta iam policy-bindings create BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global ^ --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" ^ --target-principal-set=PRINCIPAL_SET_ID ^ --display-name=DISPLAY_NAME ^ CONDITION_DETAILS
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
Create request issued for: [example-binding] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done. Created policyBinding [example-binding].
REST
La
policyBindings.create
crea un'associazione di criteri.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella, o organizzazione) di cui l'associazione dei criteri è un elemento secondario. Utilizza il valoreprojects
,folders
oorganizations
Il tipo di risorsa dipende dal set di entità nell'associazione di criteri. Per vedere quale risorsa tipo da utilizzare, consulta Entità supportata di classificazione.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
BINDING_ID
: un nome univoco per l'associazione di criteri, ad esempioexample-binding
. DISPLAY_NAME
: facoltativo. Una descrizione leggibile della associazione, ad esempioExample binding
. La il nome visualizzato può contenere un massimo di 63 caratteri.-
PRINCIPAL_SET
: il set di entità a cui vuoi associare il criterio. Per un elenco dei tipi di entità validi, consulta Set di entità supportati. Non puoi modificare questo valore dopo aver creato l'associazione dei criteri. -
ORG_ID
: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary da associare al set di entità. Gli ID organizzazione sono numerici, ad esempio123456789012
. -
PAB_POLICY_ID
: l'ID del criterio di Principal Access Boundary che vuoi associare al set di entità, ad esempioexample-pab-policy
. Non puoi modificare questa impostazione dopo aver creato l'associazione dei criteri. -
CONDITION_DETAILS
: facoltativo. Un'espressione di condizione che specifica quali entità Nel set di entità viene applicato in modo forzato il criterio di Principal Access Boundary. Contiene i seguenti campi:-
expression
: un'espressione di condizione che utilizza la sintassi di Common Expression Language (CEL). L'espressione deve fare riferimentoprincipal.type
oprincipal.subject
attributi. Altri attributi non sono supportati.L'espressione può contenere fino a 10 caratteri logici operatori (
&&
,||
,!
) e può contenere fino a 250 caratteri lunga. -
title
: facoltativo. Un breve riepilogo dello scopo della condizione. -
description
: facoltativo. Una descrizione più lunga della condizione.
-
Metodo HTTP e URL:
POST https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID
Corpo JSON della richiesta:
{ "displayName": DISPLAY_NAME, "target": { "principalSet": PRINCIPAL_SET }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID", "condition": { CONDITION_DETAILS } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:32:00.898809495Z", "target": "organizations/123456789012/locations/global/policyBindings/example-binding", "verb": "create", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Passaggi successivi
- Visualizza i criteri di Principal Access Boundary
- Modifica i criteri di Principal Access Boundary
- Rimuovi i criteri di Principal Access Boundary
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-11-23 UTC.