Las políticas de límite de acceso de las principales (PAB) te permiten limitar los recursos a los que puede acceder un conjunto de principales. Si ya no deseas que se aplique una Política de Límite de Acceso de las Principales para un conjunto de principales, puedes borrar la vinculación de políticas que vincula la política al conjunto de principales. Si deseas quitar una política de límite de acceso de las principales de todos los conjuntos de principales a los que está vinculada, puedes borrarla.
Quitar una política de límite de acceso de las principales de un conjunto de principales tiene uno de los siguientes efectos:
- Si los principales del conjunto de principales no están sujetos a ninguna otra política de límite de acceso de principales, serán aptos para acceder a todos los recursos de Google Cloud.
- Si los principales del conjunto de principales están sujetos a otras políticas de límite de acceso de principales, solo serán aptos para acceder a los recursos de esas políticas.
Antes de comenzar
Configura la autenticación.
Select the tab for how you plan to use the samples on this page:
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST
Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.
Lee la descripción general de las políticas de límite de acceso de las principales.
Roles necesarios para borrar políticas de límite de acceso de las principales
Para obtener el permiso que necesitas para borrar las políticas de límite de acceso de las principales, pídele a tu administrador que te otorgue el rol de IAM de Administrador de límites de acceso principal (
roles/iam.principalAccessBoundaryAdmin
) en tu organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.Este rol predefinido contiene el permiso
iam.principalaccessboundarypolicies.delete
, que se requiere para borrar las políticas de límite de acceso principal.También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Roles necesarios para borrar vinculaciones de políticas de límite de acceso de las principales
Los permisos que necesitas para borrar vinculaciones de políticas para las políticas de límite de acceso de las principales dependen del conjunto de principales vinculado a la política.
Para obtener los permisos que necesitas para borrar vinculaciones de políticas para las políticas de límite de acceso de las principales, pídele a tu administrador que te otorgue los siguientes roles de IAM:
-
Usuario del límite de acceso principal (
roles/iam.principalAccessBoundaryUser
) en tu organización -
Borra las vinculaciones de políticas de las políticas de límite de acceso de las principales vinculadas a los grupos de la federación de identidades de personal:
Administrador de grupos de trabajadores de IAM (
roles/iam.workforcePoolAdmin
) en el grupo de la federación de identidades de personal de destino -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas a los grupos de federación de identidades para cargas de trabajo:
Administrador de grupos de identidades para cargas de trabajo de IAM (
roles/iam.workloadIdentityPoolAdmin
) en el proyecto al que pertenece el grupo de federación de identidades de personal de destino -
Borrar vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas a un dominio de Google Workspace: Administrador de IAM de grupos de espacios de trabajo (
roles/iam.workspacePoolAdmin
) en la organización -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas al conjunto de principales de un proyecto: Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin
) en el proyecto -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas al conjunto de principales de una carpeta:
Administrador de IAM de carpetas (
roles/resourcemanager.folderIamAdmin
) en la carpeta -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas al conjunto de principales de una organización:
Administrador de la organización (
roles/resourcemanager.organizationAdmin
) en la organización
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para borrar las vinculaciones de políticas de las políticas de límite de acceso de las principales. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para borrar las vinculaciones de políticas de las políticas de límite de acceso de las principales:
-
iam.principalaccessboundarypolicies.unbind
en la organización -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas a los grupos de federación de personal:
iam.workforcePools.deletePolicyBinding
en el grupo de federación de identidades de personal de destino -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas a los grupos de federación de identidades para cargas de trabajo:
iam.workloadIdentityPools.deletePolicyBinding
en el proyecto propietario del grupo de federación de personal de destino -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas a un dominio de Google Workspace:
iam.workspacePools.deletePolicyBinding
en la organización. -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas al conjunto principal de un proyecto:
resourcemanager.projects.deletePolicyBinding
en el proyecto -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas al conjunto principal de una carpeta:
resourcemanager.folders.deletePolicyBinding
en la carpeta -
Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas al conjunto de principales de una organización:
resourcemanager.organizations.deletePolicyBinding
en la organización
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Prepárate para quitar una política de límite de acceso de las principales
Antes de quitar una política de límite de acceso de las principales, decide cuál de los siguientes objetivos deseas lograr:
- Hacer que las principales de un conjunto de principales sean aptas para acceder a todos los recursos
- Reduce la cantidad de recursos a los que pueden acceder los principales de un conjunto de principales
En las siguientes secciones, se describen los pasos que debes seguir para lograr cada uno de estos objetivos.
Cómo hacer que las principales sean aptas para acceder a todos los recursos
Si deseas que los principales de un conjunto de principales sean aptos para acceder a todos los recursos, haz lo siguiente:
- Identifica todas las políticas de límite de acceso de las principales vinculadas al conjunto principal.
- Para quitar todas las políticas de límite de acceso de las principales vinculadas al conjunto de principales, borra las vinculaciones de políticas relevantes.
Si una principal no está sujeta a ninguna política de límite de acceso de las principales, es apta para acceder a todos los recursos de Google Cloud.
Ser apto para acceder a un recurso no significa necesariamente que un usuario pueda acceder a él. Para obtener más información, consulta Evaluación de políticas.
Reduce los recursos a los que pueden acceder las principales
Si los principales de un conjunto de principales están sujetos a varias políticas de límite de acceso de las principales, puedes reducir la cantidad de recursos a los que los principales son aptos para acceder quitando una o más de las políticas de límite de acceso de las principales a las que están sujetos. Sin embargo, no quites, en ningún momento, todas las políticas de límite de acceso de las principales a las que están sujetas. De lo contrario, las principales serán aptas para acceder a todos los recursos de Google Cloud.
Para quitar una política de límite de acceso de las principales y, al mismo tiempo, asegurarte de que las principales de un set de principales siempre estén sujetas a al menos una política de límite de acceso de las principales, sigue estos pasos:
- Identifica todas las políticas de límite de acceso de las principales vinculadas al conjunto principal.
Identifica las políticas de límite de acceso de las principales que contengan solo los recursos a los que deseas que las principales del conjunto de principales puedan acceder. Estas son las políticas que no quitarás del conjunto de principales.
Si no tienes ninguna de esas políticas, crea una nueva política de límite de acceso de las principales con solo los recursos a los que deseas que las principales puedan acceder. Luego, adjunta la política al conjunto de principales.
Identifica las políticas de límite de acceso de las principales que contienen recursos a los que no quieres que los principales del conjunto de principales puedan acceder. Luego, borra la vinculación de políticas relevante para quitar esas políticas de límite de acceso de las principales.
Si deseas reducir el acceso de principales específicos, agrega una condición a la vinculación de políticas en lugar de borrarla.
Si deseas reducir la cantidad de recursos a los que una principal es apta para acceder, pero no quieres quitar ninguna política de límite de acceso de las principales, puedes modificar las políticas de límite de acceso de las principales a las que está sujeta la principal. Para aprender a modificar las políticas de límite de acceso de las principales, consulta Cómo editar las políticas de límite de acceso de las principales.
Quita una política de límite de acceso de las principales de un conjunto de principales
Antes de quitar una política de límite de acceso de las principales de un conjunto de las principales, primero prepárate para quitar la política. Luego, quita la política borrando la vinculación de políticas que la vincula al conjunto de principales.
Puedes borrar una vinculación de políticas con la consola de Google Cloud, gcloud CLI o la API de REST de IAM.
Console
En la consola de Google Cloud, ve a la página Políticas de límite de acceso de las principales.
Selecciona la organización propietaria de la política de límite de acceso de las principales cuya vinculación quieres borrar.
Haz clic en el ID de la política de límite de acceso de las principales cuyas vinculaciones deseas borrar.
Haz clic en la pestaña Vinculaciones.
Busca el ID de la vinculación que quieres borrar. En la fila de esa vinculación, haz clic en
Acciones y, luego, en Borrar vinculación.En el diálogo de confirmación, haz clic en Borrar.
gcloud
El comando
gcloud beta iam policy-bindings delete
borra una vinculación de políticas.Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
BINDING_ID
: Es el ID de la vinculación de políticas que deseas borrar, por ejemplo,example-binding
. -
RESOURCE_TYPE
: Es el tipo de recurso de Resource Manager (proyecto, carpeta o organización) del que es un elemento secundario la vinculación de políticas. Usa el valorproject
,folder
oorganization
El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.
RESOURCE_ID
: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, comomy-project
. Los ID de carpeta y organización son numéricos, como123456789012
.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta iam policy-bindings delete BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (PowerShell)
gcloud beta iam policy-bindings delete BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (cmd.exe)
gcloud beta iam policy-bindings delete BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global
La respuesta contiene una operación de larga duración que representa tu solicitud.
Delete request issued for: [example-binding] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done. Deleted policyBinding [example-binding].
REST
Mediante el método
policyBindings.delete
, se borra una vinculación de políticas.Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
RESOURCE_TYPE
: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valorprojects
,folders
oorganizations
El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.
RESOURCE_ID
: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, comomy-project
. Los ID de carpeta y organización son numéricos, como123456789012
.-
BINDING_ID
: Es el ID de la vinculación de políticas que deseas borrar, por ejemplo,example-binding
.
Método HTTP y URL:
DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene una operación de larga duración que representa tu solicitud.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-binding", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Borra una política de límite de acceso de las principales
Antes de borrar una de estas política, te recomendamos que identifiques y borres todas las vinculaciones de políticas de límite de acceso de las principales que hagan referencia a la política de límite de acceso de las principales.
Si borras una política de límite de acceso de las principales con vinculaciones de políticas existentes, esas vinculaciones se borrarán con el tiempo. Sin embargo, hasta que se borran, las vinculaciones de políticas aún se consideran en el límite de 10 vinculaciones que pueden hacer referencia a un solo conjunto de principales.
Puedes borrar una política de límite de acceso de las principales con la consola de Google Cloud, gcloud CLI o la API de REST de IAM.
Console
En la consola de Google Cloud, ve a la página Políticas de límite de acceso de las principales.
Selecciona la organización propietaria de la política de límite de acceso de las principales cuya vinculación quieres borrar.
Busca el ID de la política que quieres borrar. En la fila de esa política, haz clic en
Acciones y, luego, en Borrar política.En el diálogo de confirmación, confirma que deseas borrar la política:
- Para borrar la política solo si no tiene ninguna vinculación asociada, haz clic en Borrar.
- Para borrar la política y todas las vinculaciones asociadas, selecciona la casilla de verificación Eliminar forzosamente la política y, luego, haz clic en Borrar.
gcloud
El comando
gcloud iam gcloud beta iam principal-access-boundary-policies delete
borra una política de límite de acceso de las principales y todas las vinculaciones asociadas.Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
PAB_POLICY_ID
: El ID de la política de límite de acceso de las principales que deseas borrar, por ejemplo,example-policy
. ORG_ID
: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los ID de la organización son numéricos, como123456789012
.FORCE_FLAG
: Opcional Para forzar al comando a borrar una política, incluso si se hace referencia a esa política en vinculaciones de políticas existentes, usa la marca--force
. Si no se establece esta marca y se hace referencia a la política en las vinculaciones de políticas existentes, el comando falla.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \ --organization=ORG_ID --location=global FORCE_FLAG
Windows (PowerShell)
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ` --organization=ORG_ID --location=global FORCE_FLAG
Windows (cmd.exe)
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^ --organization=ORG_ID --location=global FORCE_FLAG
La respuesta contiene una operación de larga duración que representa tu solicitud.
Delete request issued for: [example-policy] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete... Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done. Deleted principalAccessBoundaryPolicy [example-policy].
REST
El método
principalAccessBoundaryPolicies.delete
borra una política de límite de acceso de las principales y todas las vinculaciones asociadas.Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
ORG_ID
: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los ID de la organización son numéricos, como123456789012
.-
PAB_POLICY_ID
: El ID de la política de límite de acceso de las principales que deseas borrar, por ejemplo,example-policy
. -
FORCE_DELETE
: Opcional Para forzar a la solicitud a borrar la política, incluso si se hace referencia a ella en vinculaciones de políticas existentes, agrega el parámetro de consultaforce=true
. Si no se establece este parámetro de consulta y se hace referencia a la política en las vinculaciones de políticas existentes, la solicitud fallará.
Método HTTP y URL:
DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene una operación de larga duración que representa tu solicitud.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-policy", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
¿Qué sigue?
- Crea y aplica Políticas de Límite de Acceso de las Principales
- Consulta las políticas de límite de acceso de las principales
- Edita las políticas de límite de acceso de las principales
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2024-12-22 (UTC)