Rimuovere i criteri di Principal Access Boundary

I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Se non vuoi più un limite di accesso all'entità da applicare a un set di entità, puoi eliminare l'associazione dei criteri che associa il criterio al set di entità. Se vuoi rimuovere un criterio di confine di accesso principale da tutti i set di entità a cui è associato, puoi eliminarlo.

La rimozione di un criterio di Principal Access Boundary da un set di entità comprende uno dei seguenti elementi i seguenti effetti:

• Se le entità nel set di entità non sono soggette ad altri criteri di confine di accesso delle entità, saranno idonee ad accedere a tutte le risorse Google Cloud.
• Se le entità nel set di entità sono soggette ad altri limiti di accesso all'entità criteri, potranno accedere solo alle risorse in quelle criteri.

Prima di iniziare

• Configurare l'autenticazione.

  Select the tab for how you plan to use the samples on this page:

  gcloud

  In the Google Cloud console, activate Cloud Shell.

  Activate Cloud Shell

  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  REST

  Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

  Install the Google Cloud CLI, then initialize it by running the following command:

  gcloud init

  Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

• Leggi la panoramica dei criteri di Principal Access Boundary.

Ruoli richiesti per eliminare i criteri di Principal Access Boundary

Per ottenere l'autorizzazione necessaria per eliminare i criteri di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Amministratore di Principal Access Boundary (roles/iam.principalAccessBoundaryAdmin) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene iam.principalaccessboundarypolicies.delete autorizzazione, che è obbligatorio Elimina i criteri di Principal Access Boundary.

Potresti anche riuscire a ottenere questa autorizzazione con ruoli personalizzati altri ruoli predefiniti.

Ruoli richiesti per eliminare le associazioni dei criteri di Principal Access Boundary

Le autorizzazioni necessarie per eliminare le associazioni di criteri I criteri di Principal Access Boundary dipendono dall'insieme di entità associato .

Per ottenere le autorizzazioni necessarie per eliminare le associazioni dei criteri per i criteri di limiti di accesso all'entità, chiedi all'amministratore di concederti i seguenti ruoli IAM:

• Utente Principal Access Boundary (roles/iam.principalAccessBoundaryUser) della tua organizzazione
• Elimina le associazioni dei criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità per la forza lavoro: IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) nel pool di federazione delle identità per la forza lavoro di destinazione
• Elimina le associazioni di criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità per il carico di lavoro: Amministratore pool Workload Identity IAM (roles/iam.workloadIdentityPoolAdmin) nel progetto proprietario del pool di federazione delle identità per la forza lavoro di destinazione
• Elimina le associazioni di criteri per i criteri di Principal Access Boundary associati a un dominio Google Workspace: Amministratore IAM pool di aree di lavoro (roles/iam.workspacePoolAdmin) dell'organizzazione
• Elimina le associazioni di criteri per i criteri di Principal Access Boundary associati al set di entità di un progetto: Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin) del progetto
• Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di una cartella: Amministratore IAM della cartella (roles/resourcemanager.folderIamAdmin) nella cartella
• Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di un'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) nell'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per eliminare le associazioni dei criteri per i criteri di Principal Access Boundary. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Prepararsi a rimuovere un criterio di confine dell'accesso dell'entità

Prima di rimuovere un criterio di Principal Access Boundary, decidi quale delle seguenti opzioni gli obiettivi che vuoi raggiungere:

• Rendi le entità in un insieme di entità idonee ad accedere a tutte le risorse
• Riduci il numero di risorse a cui possono accedere le entità in un insieme di entità

Le seguenti sezioni descrivono i passaggi da seguire per eseguire ciascuna di queste azioni obiettivi.

Rendi le entità idonee ad accedere a tutte le risorse

Se vuoi rendere le entità in un insieme di entità idonee ad accedere a tutte le risorse, procedi nel seguente modo:

1. Identifica tutti i criteri di confine dell'accesso dell'entità associati all'insieme di entità.
2. Rimuovi tutti i criteri di Principal Access Boundary associati al set di entità eliminando le associazioni dei criteri pertinenti.

Se un'entità non è soggetta a criteri di confine di accesso delle entità, è idonea per accedere a tutte le risorse Google Cloud.

Essere idonei ad accedere a una risorsa non significa necessariamente che un utente sia in grado di accedere a una risorsa. Per ulteriori informazioni, consulta le Norme di valutazione.

Riduci le risorse a cui le entità sono idonee ad accedere

Se le entità in un set di entità sono soggette a più criteri di confine di accesso delle entità, puoi ridurre il numero di risorse a cui sono idonee accedendo rimuovendo uno o più dei criteri di confine di accesso delle entità a cui sono soggette. Tuttavia, non rimuovere mai tutti i criteri di confine di accesso delle entità a cui sono soggette le entità, altrimenti queste ultime potranno accedere a tutte le risorse Google Cloud.

Per rimuovere un criterio di Principal Access Boundary, assicurati che le entità in un sono sempre soggetti ad almeno un criterio di Principal Access Boundary. segui questi passaggi:

1. Identifica tutti i criteri di confine dell'accesso dell'entità associati all'insieme di entità.

2. Identifica i criteri di confine dell'accesso dell'entità che contengono solo le risorse a cui vuoi che le entità nell'insieme di entità siano idonee ad accedere. Si tratta di e i criteri che non rimuoverai dal set di entità.

   Se non disponi di queste norme, creane una nuova Principal Access Boundary con solo le risorse che le entità siano idonee ad accedere. Quindi, allega al set di entità.

3. Identifica i criteri di confine dell'accesso dell'entità che contengono risorse a cui non vuoi che le entità nell'insieme di entità siano idonee ad accedere. Quindi, rimuovi i criteri di Principal Access Boundary eliminando l'associazione dei criteri pertinente.

   Se vuoi ridurre l'accesso per entità specifiche, aggiungi un parametro condition all'associazione dei criteri anziché eliminarla.

Se vuoi ridurre il numero di risorse a cui un'entità è idonea ad accedere, ma non vuoi rimuovere i criteri di confine di accesso delle entità, puoi invece modificare i criteri di confine di accesso delle entità a cui è soggetta l'entità. Per scoprire come modificare i criteri di Principal Access Boundary, consulta Modificare i criteri di Principal Access Boundary.

Rimuovi un criterio di Principal Access Boundary da un set di entità

Prima di rimuovere un criterio di limite di accesso all'entità da un set di entità, prepararti alla rimozione delle norme. Quindi, rimuovi il criterio eliminando l'associazione del criterio che lo lega al set di entità.

Puoi eliminare un'associazione di criteri utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.

gcloud beta iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud beta iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud beta iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Elimina un criterio di Principal Access Boundary

Prima di eliminare un criterio di Principal Access Boundary, ti consigliamo di identificare ed eliminare tutte le associazioni dei criteri di Principal Access Boundary che fanno riferimento al criterio di Principal Access Boundary.

Se elimini un criterio di Principal Access Boundary con associazioni di criteri esistenti, quelle associazioni verranno eliminate. Tuttavia, fino a quando non vengono eliminate, le associazioni ai criteri vengono comunque conteggiate ai fini del limite di 10 associazioni che possono fare riferimento a un singolo insieme di entità.

Puoi eliminare un criterio di Principal Access Boundary utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Passaggi successivi

• Creare e applicare criteri di confine dell'accesso dell'entità
• Visualizzare i criteri di Principal Access Boundary
• Modificare i criteri di confine dell'accesso dell'entità