Principal Access Boundary-Richtlinien bearbeiten

Mit PAB-Richtlinien (Principal Access Boundary) können Sie die Ressourcen einschränken, auf die eine Gruppe von Hauptkonten zugreifen darf. Auf dieser Seite wird beschrieben, wie Sie vorhandene Principal Access Boundary-Richtlinien und Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, um zu ändern, für wen die Richtlinien gelten.

Hinweise

  • Richten Sie die Authentifizierung ein.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

      Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init

    Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

  • Lesen Sie die Übersicht über Principal Access Boundary-Richtlinien.

Erforderliche Rollen zum Bearbeiten von Principal Access Boundary-Richtlinien

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Admin (roles/iam.principalAccessBoundaryAdmin) für Ihre Organisation zu gewähren, um die Berechtigung zur Bearbeitung von Principal Access Boundary-Richtlinien zu erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung iam.principalaccessboundarypolicies.update, die zum Bearbeiten von Principal Access Boundary-Richtlinien erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Bearbeiten von Bindungen für Principal Access Boundary-Richtlinien erforderlich sind

Welche Berechtigungen Sie zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien benötigen, hängt vom Hauptkontosatz ab, der an die Richtlinie gebunden ist.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien benötigen:

  • Principal Access Boundary User (roles/iam.principalAccessBoundaryUser) für Ihre Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an Pools der Mitarbeiteridentitätsföderation gebunden sind: IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) für den Zielpool der Mitarbeiteridentitätsföderation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an Pools der Workload Identity-Föderation gebunden sind: IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin) für das Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an eine Google Workspace-Domain gebunden sind: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) für die Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptkontensatz eines Projekts gebunden sind: Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptsatz eines Ordners gebunden sind: Folder IAM Admin (roles/resourcemanager.folderIamAdmin) für den Ordner
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptkontosatz einer Organisation gebunden sind: Organization Administrator (roles/resourcemanager.organizationAdmin) für die Organisation

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien erforderlich:

  • iam.principalaccessboundarypolicies.bind für die Organisation
  • Bearbeiten Sie Richtlinienbindungen für Principal Access Boundary-Richtlinien, die an Pools der Mitarbeiteridentitätsföderation gebunden sind: iam.workforcePools.updatePolicyBinding im Zielpool der Mitarbeiteridentitätsföderation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an Pools der Workload Identity-Föderation gebunden sind: iam.workloadIdentityPools.updatePolicyBinding im Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an eine Google Workspace-Domain gebunden sind: iam.workspacePools.updatePolicyBinding für die Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptsatz eines Projekts gebunden sind: resourcemanager.projects.updatePolicyBinding für das Projekt
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an die Hauptkontogruppe eines Ordners gebunden sind: resourcemanager.folders.updatePolicyBinding für den Ordner
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptkontosatz einer Organisation gebunden sind: resourcemanager.organizations.updatePolicyBinding für die Organisation

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Vorhandene Principal Access Boundary-Richtlinie bearbeiten

Wenn Sie einer Principal Access Boundary-Richtlinie Regeln hinzufügen, Regeln aus einer Principal Access Boundary-Richtlinie entfernen oder die Metadaten einer Principal Access Boundary-Richtlinie ändern möchten, bearbeiten Sie die Principal Access Boundary-Richtlinie.

Sie können eine Principal Access Boundary-Richtlinie mit der Google Cloud Console, der gcloud CLI oder der IAM REST API bearbeiten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, die Sie bearbeiten möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, die Sie bearbeiten möchten.

  4. Klicken Sie auf Richtlinie bearbeiten.

  5. So bearbeiten Sie die Regeln der Richtlinie:

    1. Klicken Sie auf die Regel, die Sie bearbeiten möchten.
    2. Bearbeiten Sie die Beschreibung der Regel oder die darin enthaltenen Ressourcen.
    3. Klicken Sie auf Fertig.
  6. Wenn Sie eine Regel aus der Richtlinie löschen möchten, klicken Sie in der Zeile der Regel auf  Löschen.

  7. Wenn Sie den Anzeigenamen der Richtlinie bearbeiten möchten, bearbeiten Sie das Feld Anzeigename.

  8. Wenn Sie die Durchsetzungsversion der Richtlinie bearbeiten möchten, klicken Sie auf die Liste Durchsetzungsversion und wählen Sie einen neuen Wert aus.

  9. Klicken Sie auf Speichern.

gcloud

Mit dem Befehl gcloud beta iam principal-access-boundary-policies update wird eine vorhandene Principal Access Boundary-Richtlinie aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie aktualisieren möchten, z. B. example-policy.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • FIELD_TO_UPDATE=UPDATED_VALUE: Die Felder, die Sie aktualisieren möchten, und der entsprechende aktualisierte Wert.

    Im Folgenden finden Sie Beispiele für Flags, mit denen Sie die Felder in der Richtlinie aktualisieren können:

    • --display-name=DISPLAY_NAME: Ersetzen Sie den Anzeigenamen der Richtlinie durch DISPLAY_NAME.
    • --details-enforcement-version=ENFORCEMENT_VERSION: Aktualisieren Sie die Version der Richtlinie für die Erzwingung auf ENFORCEMENT_VERSION.
    • --details-rules=RULES_FILE.json: Ersetzen Sie die Regeln der Principal Access Boundary-Richtlinie durch die Regeln in RULES_FILE.json. Informationen zum Formatieren der Regelndatei finden Sie unter Principal Access Boundary-Richtlinie erstellen.

      Wenn Sie dieses Flag verwenden, können Sie das Flag --add-details-rules nicht verwenden.

    • --add-details-rules=RULES_FILE: Fügen Sie die Regeln in RULES_FILE.json den vorhandenen Regeln der Richtlinie an. Informationen zum Formatieren der Regelndatei finden Sie unter Principal Access Boundary-Richtlinie erstellen.

      Wenn Sie dieses Flag verwenden, können Sie das Flag --details-rules nicht verwenden.

    • --remove-details-rules=RULES_FILE: Entfernen Sie die Regeln in RULES_FILE.json aus den vorhandenen Regeln der Richtlinie. Informationen zum Formatieren der Regelndatei finden Sie unter Principal Access Boundary-Richtlinie erstellen. Es werden nur Regeln entfernt, die genau mit einer der Regeln in RULES_FILE.json übereinstimmen.

      Wenn Sie dieses Flag verwenden, können Sie das Flag --clear-rule-details nicht verwenden.

    • --clear-details-rules: Löschen Sie alle Regeln aus der Principal Access Boundary-Richtlinie.

      Wenn Sie dieses Flag verwenden, können Sie das Flag --remove-rule-details nicht verwenden.

    Eine vollständige Liste der Flags, mit denen Sie eine Principal Access Boundary-Richtlinie aktualisieren können, finden Sie in der gcloud beta iam principal-access-boundary-policies update-Befehlsreferenz.

  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam principal-access-boundary-policies update PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies update PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies update PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Nach Abschluss des Vorgangs wird in der Antwort die aktualisierte Principal Access Boundary-Richtlinie ausgegeben.

Request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374208720-6181fae5e2034-2d8a712b-5c92e5b9] to complete...done.
Updated principalAccessBoundaryPolicy [example-policy].
{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Updated display name",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-10T20:50:09.200421Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

REST

Mit der Methode principalAccessBoundaryPolicies.patch wird eine vorhandene Principal Access Boundary-Richtlinie aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie aktualisieren möchten, z. B. example-policy.
  • FIELDS_TO_UPDATE: Eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Wenn Sie die zu aktualisierenden Felder nicht angeben, ersetzt IAM die vorhandene Richtlinie durch den Inhalt des Anfragetexts.

    Zulässige Werte sind displayName, details, details.rules, details.rules.description, details.rules.resources, details.rules.effect und details.enforcementVersion.

  • DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Principal Access Boundary-Richtlinie, z. B. Example policy. Der Anzeigename darf maximal 63 Zeichen lang sein.
  • PAB_RULES: Liste der Principal Access Boundary-Regeln, die die Ressourcen definieren, auf die die betroffenen Hauptkonten zugreifen dürfen. Eine Principal Access Boundary-Richtlinie kann bis zu 500 Regeln enthalten. Jede Regel hat das folgende Format:

    {
    "description": "DESCRIPTION",
    "resources": [
      RESOURCES
    ],
    "effect": ALLOW
    }

    Ersetzen Sie die folgenden Werte:

    • DESCRIPTION: Optional. Die Beschreibung der Regel der Principal Access Boundary-Richtlinie. Die Beschreibung darf maximal 256 Zeichen lang sein.
    • RESOURCES: Eine Liste der Resource Manager-Ressourcen (Projekte, Ordner und Organisationen), auf die Hauptkonten zugreifen dürfen sollen. Alle Hauptkonten, für die diese Richtlinie gilt, dürfen auf diese Ressourcen zugreifen.

      Jede Principal Access Boundary-Richtlinie kann in allen Regeln maximal 500 Ressourcen referenzieren.

  • ENFORCEMENT_VERSION: Die Version der Principal Access Boundary-Richtlinie, die von IAM bei der Durchsetzung der Richtlinie verwendet wird. Die Erzwingungsversion bestimmt, für welche Berechtigungen die Principal Access Boundary-Richtlinie von IAM erzwungen wird.

    Zulässige Werte sind 1 und latest.

    Weitere Informationen zu Erzwingungsversionen finden Sie unter Versionen für die Erzwingung von Principal Access Boundary-Regeln.

HTTP-Methode und URL:

PATCH https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?updateMask=FIELDS_TO_UPDATE

JSON-Text anfordern:

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "enforcementVersion": "ENFORCEMENT_VERSION",
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715626721931-6185a7953ef76-76f80ee4-19cd1bf7",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-13T18:58:43.721277235Z",
    "target": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Ändern, für wen eine Principal Access Boundary-Richtlinie erzwungen wird

Nachdem Sie eine Richtlinienbindung für eine Principal Access Boundary-Richtlinie erstellt haben, können Sie die Richtlinien-ID oder das in der Bindung festgelegte Hauptkonto nicht mehr ändern. Wenn Sie also ändern möchten, für wen eine Principal Access Boundary-Richtlinie erzwungen wird, müssen Sie eine der folgenden Aktionen ausführen:

  • Wenn Sie den Satz Hauptkonten eingrenzen möchten, für die eine Principal Access Boundary-Richtlinie erzwungen wird, können Sie die Bedingungen in der Richtlinienbindung ändern. Wenn Sie die Bedingungen in einer Bindung ändern möchten, bearbeiten Sie die Richtlinienbindung.
  • Wenn Sie die Principal Access Boundary-Richtlinie für einen zusätzlichen Hauptkontosatz erzwingen möchten, erstellen Sie eine neue Richtlinienbindung, die die Richtlinie an diesen Hauptkontosatz bindet.
  • Wenn Sie eine Principal Access Boundary-Richtlinie aus einem Hauptkontensatz entfernen möchten, löschen Sie die Richtlinienbindung, die die Richtlinie an den Hauptkontensatz bindet.

Vorhandene Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten

Nachdem Sie eine Richtlinienbindung erstellt haben, können Sie sie bearbeiten, um die Bedingungen in der Bindung oder den Anzeigenamen der Bindung zu ändern.

Sie können eine Richtlinienbindung mit der Google Cloud Console, der gcloud CLI oder der IAM REST API bearbeiten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, die Sie bearbeiten möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, deren Bindungen Sie bearbeiten möchten.

  4. Klicken Sie auf den Tab Bindungen.

  5. Suchen Sie die ID der Bindung, die Sie bearbeiten möchten. Klicken Sie in der Zeile dieser Bindung auf Aktionen und dann auf Bindung bearbeiten.

  6. Wenn Sie den Anzeigenamen der Bindung aktualisieren möchten, bearbeiten Sie das Feld Anzeigename.

  7. So fügen Sie der Bindung eine Bedingung hinzu:

    1. Klicken Sie auf Bedingung hinzufügen.
    2. Geben Sie im Feld Titel eine kurze Zusammenfassung des Zwecks der Bedingung ein.
    3. Optional: Geben Sie im Feld Beschreibung eine ausführlichere Beschreibung der Bedingung ein.
    4. Geben Sie im Feld Ausdruck einen Bedingungsausdruck mit der Common Expression Language (CEL)-Syntax ein. Der Ausdruck muss auf die principal.type- oder principal.subject-Attribute verweisen. Andere Attribute werden nicht unterstützt.
    5. Klicken Sie auf Speichern.
  8. So aktualisieren Sie eine vorhandene Bedingung:

    1. Klicken Sie neben dem Namen der Bedingung auf  Bedingung bearbeiten.
    2. Aktualisieren Sie den Titel, die Beschreibung oder den Ausdruck der Bedingung.
    3. Klicken Sie auf Speichern.
  9. Um die Änderungen zu speichern, klicken Sie auf Speichern.

gcloud

Mit dem Befehl gcloud beta iam policy-bindings update wird eine vorhandene Richtlinienbindung aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • BINDING_ID: Die ID der Richtlinienbindung, die Sie aktualisieren möchten, z. B. example-binding.
  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert project, folder oder organization

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FIELD_TO_UPDATE=UPDATED_VALUE: Die Felder, die Sie aktualisieren möchten, und der entsprechende aktualisierte Wert.

    Im Folgenden finden Sie Beispiele für Flags, mit denen Sie die Felder in einer Richtlinienbindung aktualisieren können:

    • --display-name=DISPLAY_NAME: Ersetzen Sie den Anzeigenamen der Bindung durch DISPLAY_NAME.
    • --condition-description=CONDITION_DESCRIPTION: Wenn die Bindung eine Bedingung hat, ersetzen Sie die Beschreibung der Bedingung durch CONDITION_DESCRIPTION. Andernfalls fügen Sie der Bindung eine neue Bedingung mit der angegebenen Beschreibung hinzu. Wenn Sie dieses Flag verwenden, um eine Bindung zu aktualisieren, die keine Bedingung hat, müssen Sie auch das Flag --condition-expression setzen.
    • --condition-expression=CONDITION_EXPRESSION: Wenn die Bindung eine Bedingung hat, ersetzen Sie den Ausdruck der Bedingung durch CONDITION_EXPRESSION. Andernfalls fügen Sie der Bindung eine neue Bedingung mit dem angegebenen Ausdruck hinzu.
    • --condition-title=CONDITION_TITLE: Wenn die Bindung eine Bedingung hat, ersetzen Sie den Titel der Bedingung durch CONDITION_TITLE. Andernfalls fügen Sie der Bindung eine neue Bedingung mit dem angegebenen Titel hinzu. Wenn Sie dieses Flag verwenden, um eine Bindung ohne Bedingung zu aktualisieren, müssen Sie auch das Flag --condition-expression setzen.

    Eine vollständige Liste der Felder, die Sie aktualisieren können, finden Sie in der gcloud beta iam policy-bindings update-Befehlsreferenz.

  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam policy-bindings update BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings update BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings update BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt.

Update request issued for: [my-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Updated policyBinding [my-binding].
{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Updated display name",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:11:16.798841Z"
}

REST

Mit der Methode policyBindings.patch wird eine vorhandene Richtlinienbindung aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert projects, folders oder organizations

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • BINDING_ID: Die ID der Richtlinienbindung, die Sie aktualisieren möchten, z. B. example-binding.
  • FIELDS_TO_UPDATE: Eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Wenn Sie die zu aktualisierenden Felder nicht angeben, ersetzt IAM die vorhandene Bindung durch den Inhalt des Anfragetexts.

    Zulässige Werte sind displayName, condition, condition.expression, condition.title und condition.description.

  • DISPLAY_NAME: Optional. Eine für Menschen lesbare Beschreibung der Bindung, z. B. Example binding. Der Anzeigename darf maximal 63 Zeichen lang sein.
  • CONDITION_DETAILS: Optional. Ein Bedingungsausdruck, der angibt, für welche Hauptkonten in der Hauptkontogruppe die Principal Access Boundary-Richtlinie erzwungen wird. Enthält die folgenden Felder:

    • expression: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss auf die Attribute principal.type oder principal.subject verweisen. Andere Attribute werden nicht unterstützt.

      Der Ausdruck kann bis zu 10 logische Operatoren (&&, ||, !) enthalten und bis zu 250 Zeichen lang sein.

    • title: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung.
    • description: Optional. Eine längere Beschreibung der Bedingung.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID?updateMask=FIELDS_TO_UPDATE

JSON-Text anfordern:

{
  "displayName": DISPLAY_NAME,
  "condition": {
    CONDITION_DETAILS
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373159010-6181f6fcccfa7-dcd0055c-00c22cad",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:32:39.254910121Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Nächste Schritte