Principal Access Boundary-Richtlinien erstellen und anwenden

Mit Principal Access Boundary-Richtlinien (PAB) können Sie die Ressourcen einschränken, auf die eine Gruppe von Hauptkonten zugreifen darf. Auf dieser Seite wird beschrieben, wie Sie Principal Access Boundary-Richtlinien erstellen und anwenden.

Hinweise

  • Richten Sie die Authentifizierung ein.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

  • Lesen Sie die Übersicht über Principal Access Boundary-Richtlinien.

Erforderliche Rollen zum Erstellen von Principal Access Boundary-Richtlinien

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Admin (roles/iam.principalAccessBoundaryAdmin) für Ihre Organisation zu gewähren, um die Berechtigung zu erhalten, die Sie zum Erstellen von Principal Access Boundary-Richtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung iam.principalaccessboundarypolicies.create, die zum Erstellen von Principal Access Boundary-Richtlinien erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Anwenden von Principal Access Boundary-Richtlinien erforderlich sind

Welche Berechtigungen Sie zum Anwenden einer Principal Access Boundary-Richtlinie benötigen, hängt von der Hauptkontogruppe ab, auf die Sie die Richtlinie anwenden möchten.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anwenden von Principal Access Boundary-Richtlinien benötigen:

  • Principal Access Boundary User (roles/iam.principalAccessBoundaryUser) für die Organisation
  • Principal Access Boundary-Richtlinien auf Mitarbeiteridentitätsföderationspools anwenden: IAM-Mitarbeiterpool-Administrator (roles/iam.workforcePoolAdmin) für den Ziel-Workforce Identity-Föderationspool
  • Principal Access Boundary-Richtlinien auf Workload Identity-Föderationspools anwenden: IAM Workload Identity-Pool-Administrator (roles/iam.workloadIdentityPoolAdmin) für das Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Principal Access Boundary-Richtlinien auf eine Google Workspace-Domain anwenden: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) für die Organisation
  • Principal Access Boundary-Richtlinie auf den Hauptkontosatz eines Projekts anwenden: Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt
  • Principal Access Boundary-Richtlinien auf den Hauptkontosatz eines Ordners anwenden: Folder IAM Admin (roles/resourcemanager.folderIamAdmin) für den Ordner
  • Principal Access Boundary-Richtlinien auf den Hauptkontosatz einer Organisation anwenden: Organization Administrator (roles/resourcemanager.organizationAdmin) für die Organisation

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Anwenden von Principal Access Boundary-Richtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Principal Access Boundary-Richtlinien anzuwenden:

  • iam.principalaccessboundarypolicies.bind für die Organisation
  • Principal Access Boundary-Richtlinien auf Pools der Mitarbeiteridentitätsföderation anwenden: iam.workforcePools.createPolicyBinding auf den Zielpool der Mitarbeiteridentitätsföderation
  • Principal Access Boundary-Richtlinien auf Workload Identity-Föderation-Pools anwenden: iam.workloadIdentityPools.createPolicyBinding auf das Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Principal Access Boundary-Richtlinien auf eine Google Workspace-Domain anwenden: iam.workspacePools.createPolicyBinding auf die Organisation
  • Principal Access Boundary-Richtlinien auf den Hauptkontosatz eines Projekts anwenden: resourcemanager.projects.createPolicyBinding für das Projekt
  • Principal Access Boundary-Richtlinien auf den Hauptkontosatz eines Ordners anwenden: resourcemanager.folders.createPolicyBinding für den Ordner
  • Principal Access Boundary-Richtlinien auf den Hauptkontosatz einer Organisation anwenden: resourcemanager.organizations.createPolicyBinding auf die Organisation

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Principal Access Boundary-Richtlinie erstellen

Sie können eine Principal Access Boundary-Richtlinie mit der Google Cloud Console, der gcloud CLI oder der IAM REST API erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, für die Sie Principal Access Boundary-Richtlinien erstellen möchten.

  3. Klicken Sie auf Richtlinie erstellen.

  4. Fügen Sie der Richtlinie Regeln für die Begrenzung des Hauptkontozugriffs hinzu:

    1. Klicken Sie auf Begrenzungsregel hinzufügen.
    2. Fügen Sie im Feld Beschreibung eine Beschreibung der Regel für die Principal Access Boundary-Richtlinie hinzu. Die Beschreibung darf maximal 256 Zeichen lang sein.

    3. Geben Sie im Bereich Ressourcen alle Resource Manager-Ressourcen (Projekte, Ordner und Organisationen) ein, auf die Hauptkonten zugreifen sollen. Alle Hauptkonten, die dieser Richtlinie unterliegen, sind berechtigt, auf diese Ressourcen zuzugreifen.

      Jede Principal Access Boundary-Richtlinie kann in allen Regeln der Richtlinie maximal auf 500 Ressourcen verweisen.

    4. Klicken Sie auf Fertig.

    5. Wenn Sie weitere Richtlinienregeln hinzufügen möchten, wiederholen Sie diese Schritte. Jede Principal Access Boundary-Richtlinie kann bis zu 500 Regeln enthalten.

  5. Geben Sie im Bereich Richtlinienname einen Namen für die Richtlinie ein. Der Name darf maximal 63 Zeichen lang sein.

  6. Wählen Sie in der Liste Durchsetzungsversion die Durchsetzungsversion für die Richtlinie aus. Die Version der Principal Access Boundary-Richtlinie bestimmt, für welche Berechtigungen die Principal Access Boundary-Richtlinie von IAM erzwungen wird.

    Weitere Informationen zu Erzwingungsversionen finden Sie unter Erzwungsversionen für Principal Access Boundary.

  7. Klicken Sie auf Erstellen.

gcloud

Mit dem Befehl gcloud beta iam principal-access-boundary-policies create wird eine Principal Access Boundary-Richtlinie erstellt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORG_ID: Die ID der Organisation, in der Sie die Principal Access Boundary-Richtlinie erstellen möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Eine eindeutige ID für die Principal Access Boundary-Richtlinie, z. B. example-policy. :
  • DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Principal Access Boundary-Richtlinie, z. B. Example policy. Der Anzeigename darf maximal 63 Zeichen lang sein.

  • FILE_PATH: Der Pfad zu einer JSON-Datei mit den Regeldetails zur Principal Access Boundary-Richtlinie. Diese Datei muss das folgende Format haben: 

    {
  "description": DESCRIPTION,
  "resources": [
    RESOURCES
  ],
  "effect": ALLOW
}

    Ersetzen Sie die folgenden Werte:

    • DESCRIPTION: Optional. Die Beschreibung der Regel der Principal Access Boundary-Richtlinie. Die Beschreibung darf maximal 256 Zeichen lang sein.

    • RESOURCES: Eine Liste der Ressourcenmanager-Ressourcen (Projekte, Ordner und Organisationen), auf die Hauptkonten zugreifen dürfen sollen. Alle Hauptkonten, für die diese Richtlinie gilt, dürfen auf diese Ressourcen zugreifen.

      Jede Principal Access Boundary-Richtlinie kann in allen Regeln maximal 500 Ressourcen referenzieren.

  • ENFORCEMENT_VERSION: Die Version der Principal Access Boundary-Richtlinie, die von IAM bei der Durchsetzung der Richtlinie verwendet wird. Die Erzwingungsversion bestimmt, für welche Berechtigungen die Principal Access Boundary-Richtlinie von IAM erzwungen wird.

    Zulässige Werte sind 1 und latest.

    Weitere Informationen zu Erzwingungsversionen finden Sie unter Versionen für die Erzwingung von Principal Access Boundary-Regeln.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json \
    --details-enforcement-version=ENFORCEMENT_VERSION

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json `
    --details-enforcement-version=ENFORCEMENT_VERSION

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies create PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json ^
    --details-enforcement-version=ENFORCEMENT_VERSION

Die Antwort enthält einen lang laufenden Vorgang, der Ihre Anfrage darstellt.

Create request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715373988044-6181fa136df85-3b06a30a-4816d25b] to complete...done.
Created principalAccessBoundaryPolicy [example-policy].

REST

Mit der Methode principalAccessBoundaryPolicies.create wird eine Principal Access Boundary-Richtlinie erstellt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Organisation, in der Sie die Principal Access Boundary-Richtlinie erstellen möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Eine eindeutige ID für die Principal Access Boundary-Richtlinie, z. B. example-policy.
  • DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Principal Access Boundary-Richtlinie, z. B. Example policy. Der Anzeigename darf maximal 63 Zeichen lang sein.

  • PAB_RULES: Liste der Principal Access Boundary-Regeln, die die Ressourcen definieren, auf die die betroffenen Hauptkonten zugreifen dürfen. Eine Principal Access Boundary-Richtlinie kann bis zu 500 Regeln enthalten. Jede Regel hat das folgende Format: 

    {
"description": "DESCRIPTION",
"resources": [
  RESOURCES
],
"effect": ALLOW
}

    Ersetzen Sie die folgenden Werte:

    • DESCRIPTION: Optional. Die Beschreibung der Regel der Principal Access Boundary-Richtlinie. Die Beschreibung darf maximal 256 Zeichen lang sein.

    • RESOURCES: Eine Liste der Ressourcenmanager-Ressourcen (Projekte, Ordner und Organisationen), auf die Hauptkonten zugreifen dürfen sollen. Alle Hauptkonten, für die diese Richtlinie gilt, dürfen auf diese Ressourcen zugreifen.

      Jede Principal Access Boundary-Richtlinie kann in allen Regeln maximal 500 Ressourcen referenzieren.

  • ENFORCEMENT_VERSION: Die Version der Principal Access Boundary-Richtlinie, die von IAM bei der Durchsetzung der Richtlinie verwendet wird. Die Erzwingungsversion bestimmt, für welche Berechtigungen die Principal Access Boundary-Richtlinie von IAM erzwungen wird.

    Zulässige Werte sind 1 und latest.

    Weitere Informationen zu Erzwingungsversionen finden Sie unter Versionen für die Erzwingung von Principal Access Boundary-Regeln.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID

JSON-Text anfordern:

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "effect": ALLOW
    }
  ],
  "enforcementVersion": "ENFORCEMENT_VERSION"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält einen lang laufenden Vorgang, der Ihre Anfrage darstellt.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:32:00.898809495Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Principal Access Boundary-Richtlinie auf eine Hauptkontogruppe anwenden

Wenn Sie eine Principal Access Boundary-Richtlinie auf einen Hauptkontensatz anwenden möchten, erstellen Sie eine Richtlinienbindungsressource, die die Richtlinie an den Hauptkontensatz bindet. Nachdem Sie eine Richtlinienbindung erstellt haben, wird die darin enthaltene Principal Access Boundary-Richtlinie für die Hauptkonten in der Bindung erzwungen.

Sie können eine Richtlinienbindung mit der Google Cloud Console, der gcloud CLI oder der IAM REST API erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, für die Sie eine Bindung erstellen möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, für die Sie eine Bindung erstellen möchten.

  4. Klicken Sie auf den Tab Bindungen und dann auf Bindung hinzufügen.

  5. Geben Sie die Bindungsdetails ein:

    1. Optional: Geben Sie im Feld Anzeigename einen Anzeigenamen für die Bindung ein. Der Anzeigename darf maximal 63 Zeichen lang sein.
    2. Geben Sie im Feld Binding ID (Bindungs-ID) einen eindeutigen Namen für die Bindung ein, z. B. example-binding.

    3. Geben Sie im Abschnitt Ziel-Hauptkontogruppe den Typ und die ID der Hauptkontogruppe ein, an die Sie die Richtlinie binden möchten. Dieser Wert kann nicht mehr geändert werden, nachdem Sie die Richtlinienbindung erstellt haben.

      Weitere Informationen zu den in den einzelnen Hauptkontosätzen enthaltenen Hauptkonten finden Sie unter Unterstützte Hauptkontengruppen.

  6. Optional: Wenn Sie angeben möchten, für welche Hauptkonten im Hauptkontosatz die Principal Access Boundary-Richtlinie erzwungen werden soll, fügen Sie der Bindung eine Bedingung hinzu:

    1. Klicken Sie auf Bedingung hinzufügen.
    2. Geben Sie im Feld Titel eine kurze Zusammenfassung des Zwecks der Bedingung ein.
    3. Optional: Geben Sie im Feld Beschreibung eine ausführlichere Beschreibung der Bedingung ein.
    4. Geben Sie im Feld Expression (Ausdruck) einen Bedingungsausdruck mit der Common Expression Language (CEL)-Syntax ein. Der Ausdruck muss auf die principal.type- oder principal.subject-Attribute verweisen. Andere Attribute werden nicht unterstützt.
    5. Klicken Sie auf Speichern.

  7. Klicken Sie auf Hinzufügen, um die Bindung zu erstellen.

gcloud

Mit dem Befehl gcloud beta iam policy-bindings create wird eine Richtlinienbindung erstellt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • BINDING_ID: Ein eindeutiger Name für die Richtlinienbindung, z. B. example-binding.

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert project, folder oder organization.

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie gehört, die Sie an die Hauptkontogruppe binden möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie an den Hauptsatz binden möchten, z. B. example-pab-policy. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.
  • PRINCIPAL_SET: Der Hauptkontosatz, an den Sie die Richtlinie binden möchten. Eine Liste der gültigen Hauptkontotypen finden Sie unter Unterstützte Hauptkontosätze. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.
  • DISPLAY_NAME: Optional. Eine für Menschen lesbare Beschreibung der Bindung, z. B. Example binding. Der Anzeigename darf maximal 63 Zeichen lang sein.

  • CONDITION_DETAILS: Optional. Ein Bedingungsausdruck, der angibt, für welche Hauptkonten in der Hauptkontogruppe die Principal Access Boundary-Richtlinie erzwungen wird. Enthält die folgenden Felder:

    • expression: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss auf die Attribute principal.type oder principal.subject verweisen. Andere Attribute werden nicht unterstützt.

      Der Ausdruck kann bis zu 10 logische Operatoren (&&, ||, !) enthalten und bis zu 250 Zeichen lang sein.

    • title: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung.
    • description: Optional. Eine längere Beschreibung der Bedingung.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam policy-bindings create BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" \
    --target-principal-set=PRINCIPAL_SET_ID \
    --display-name=DISPLAY_NAME \
    CONDITION_DETAILS

Windows (PowerShell)

gcloud beta iam policy-bindings create BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" `
    --target-principal-set=PRINCIPAL_SET_ID `
    --display-name=DISPLAY_NAME `
    CONDITION_DETAILS

Windows (cmd.exe)

gcloud beta iam policy-bindings create BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" ^
    --target-principal-set=PRINCIPAL_SET_ID ^
    --display-name=DISPLAY_NAME ^
    CONDITION_DETAILS

Die Antwort enthält einen lang laufenden Vorgang, der Ihre Anfrage darstellt.

Create request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Created policyBinding [example-binding].

REST

Mit der Methode policyBindings.create wird eine Richtlinienbindung erstellt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert projects, folders oder organizations.

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • BINDING_ID: Ein eindeutiger Name für die Richtlinienbindung, z. B. example-binding.
  • DISPLAY_NAME: Optional. Eine für Menschen lesbare Beschreibung der Bindung, z. B. Example binding. Der Anzeigename darf maximal 63 Zeichen lang sein.
  • PRINCIPAL_SET: Der Hauptkontosatz, an den Sie die Richtlinie binden möchten. Eine Liste der gültigen Hauptkontotypen finden Sie unter Unterstützte Hauptkontosätze. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie gehört, die Sie an die Hauptkontogruppe binden möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie an den Hauptsatz binden möchten, z. B. example-pab-policy. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.

  • CONDITION_DETAILS: Optional. Ein Bedingungsausdruck, der angibt, für welche Hauptkonten in der Hauptkontogruppe die Principal Access Boundary-Richtlinie erzwungen wird. Enthält die folgenden Felder:

    • expression: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss auf die Attribute principal.type oder principal.subject verweisen. Andere Attribute werden nicht unterstützt.

      Der Ausdruck kann bis zu 10 logische Operatoren (&&, ||, !) enthalten und bis zu 250 Zeichen lang sein.

    • title: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung.
    • description: Optional. Eine längere Beschreibung der Bedingung.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID

JSON-Text anfordern:

{
  "displayName": DISPLAY_NAME,
  "target": {
    "principalSet": PRINCIPAL_SET
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID",
  "condition": {
    CONDITION_DETAILS
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält einen lang laufenden Vorgang, der Ihre Anfrage darstellt.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:32:00.898809495Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Nächste Schritte