Remover políticas de limite de acesso de principal

As políticas de limite de acesso principal (PAB) permitem limitar os recursos que um conjunto de principais pode acessar. Se você não quiser mais que uma política de limite de acesso de principal seja aplicada a um conjunto de principais, exclua a vinculação de política que vincula a política ao conjunto de principais. Se você quiser remover uma política de limite de acesso de principal de todos os conjuntos de principais a que ela está vinculada, exclua essa política.

A remoção de uma política de limite de acesso principal de um conjunto de principais tem um dos seguintes efeitos:

  • Se os principais no conjunto não estiverem sujeitos a nenhuma outra política de limite de acesso de principal, eles poderão acessar todos os recursos do Google Cloud.
  • Se os principais no conjunto estiverem sujeitos a outras políticas de limite de acesso principal, eles só poderão acessar os recursos nessas políticas.

Antes de começar

  • Configure a autenticação.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

  • Leia a visão geral das políticas de limite de acesso de principal.

Funções necessárias para excluir políticas de limite de acesso de principal

Para receber a permissão necessária para excluir políticas de limite de acesso de principal, peça ao administrador para conceder a você o papel do IAM de Administrador de limite de acesso de principal (roles/iam.principalAccessBoundaryAdmin) na sua organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém a permissão iam.principalaccessboundarypolicies.delete, necessária para excluir políticas de limite de acesso de principal.

Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.

Papéis necessários para excluir vinculações de políticas de limite de acesso de principal

As permissões necessárias para excluir vinculações de políticas para políticas de limite de acesso de principal dependem do conjunto de principais vinculado à política.

Para ter as permissões necessárias para excluir vinculações de políticas para políticas de limite de acesso de principal, peça ao administrador para conceder a você os seguintes papéis do IAM:

  • Usuário do limite de acesso de principal (roles/iam.principalAccessBoundaryUser) na sua organização
  • Exclua as vinculações de políticas para políticas de limite de acesso de principal vinculadas a pools da federação de identidade de colaboradores: Administrador de pool de colaboradores do IAM (roles/iam.workforcePoolAdmin) no pool de identidade de colaboradores de destino
  • Exclua as vinculações de políticas para políticas de limite de acesso de principal vinculadas a pools de federação de identidade da carga de trabalho: Administrador de pool de Identidade da carga de trabalho do IAM (roles/iam.workloadIdentityPoolAdmin) no projeto que é proprietário do pool de federação de identidade de colaboradores de destino
  • Exclua vinculações de políticas para políticas de limite de acesso de principal vinculadas a um domínio do Google Workspace: Administrador do IAM do pool do Workspace (roles/iam.workspacePoolAdmin) na organização
  • Exclua as vinculações de políticas para políticas de limite de acesso de principal vinculadas ao conjunto de principais de um projeto: Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto
  • Exclua as vinculações de políticas para políticas de limite de acesso de principal vinculadas ao conjunto principal de uma pasta: Administrador de IAM da pasta (roles/resourcemanager.folderIamAdmin) na pasta
  • Exclua as vinculações de políticas para políticas de limite de acesso de principal vinculadas a um conjunto principal de uma organização: Administrador da organização (roles/resourcemanager.organizationAdmin) na organização

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para excluir vinculações de políticas para políticas de limite de acesso de principal. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para excluir vinculações de políticas para políticas de limite de acesso de principal:

  • iam.principalaccessboundarypolicies.unbind na organização
  • Exclua as vinculações de políticas para políticas de limite de acesso de principal vinculadas a pools da federação de identidade de colaboradores: iam.workforcePools.deletePolicyBinding no pool de federação de identidade de colaboradores do destino
  • Exclua as vinculações de políticas para políticas de limite de acesso de principal vinculadas a pools de federação de identidade da carga de trabalho: iam.workloadIdentityPools.deletePolicyBinding no projeto que é proprietário do pool de federação da identidade de colaboradores de destino
  • Exclua as vinculações de políticas de limite de acesso de principal vinculadas a um domínio do Google Workspace: iam.workspacePools.deletePolicyBinding na organização
  • Exclua as vinculações de políticas de limite de acesso de principal vinculadas ao conjunto principal de um projeto: resourcemanager.projects.deletePolicyBinding no projeto
  • Exclua as vinculações de políticas para políticas de limite de acesso de principal vinculadas ao conjunto principal de uma pasta: resourcemanager.folders.deletePolicyBinding na pasta
  • Exclua as vinculações de políticas de limite de acesso de principal vinculadas ao conjunto principal de uma organização: resourcemanager.organizations.deletePolicyBinding na organização

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Preparar-se para remover uma política de limite de acesso de principal

Antes de remover uma política de limite de acesso de principal, decida qual das seguintes metas você quer alcançar:

  • Tornar os principais em um conjunto de principais qualificados para acessar todos os recursos
  • Reduzir o número de recursos que os principais em um conjunto estão qualificados para acessar

As seções a seguir descrevem as etapas necessárias para alcançar cada uma dessas metas.

Tornar os principais qualificados para acessar todos os recursos

Se você quiser que os principais em um conjunto de principais tenham acesso a todos os recursos, faça o seguinte:

  1. Identifique todas as políticas de limite de acesso de principal vinculadas ao conjunto .
  2. Remova todas as políticas de limite de acesso de principal vinculadas ao conjunto excluindo as vinculações de políticas relevantes.

Se um principal não estiver sujeito a nenhuma política de limite de acesso de principal, ele estará qualificado para acessar todos os recursos do Google Cloud.

Ser qualificado para acessar um recurso não significa necessariamente que um usuário pode acessar um recurso. Para mais informações, consulte a Avaliação de políticas.

Reduzir os recursos que os principais podem acessar

Se os principais de um conjunto estiverem sujeitos a várias políticas de limite de acesso de principal, você poderá reduzir o número de recursos que os principais podem acessar removendo uma ou mais políticas de limite de acesso de principal a que eles estão sujeitos. No entanto, não remova todas as políticas de limite de acesso de principal a que eles estão sujeitos. Se você fizer isso, eles vão ter acesso a todos os recursos do Google Cloud.

Para remover uma política de limite de acesso de principal e garantir que os principais em um conjunto estejam sempre sujeitos a pelo menos uma política de limite de acesso de principal, siga estas etapas:

  1. Identifique todas as políticas de limite de acesso de principal vinculadas ao conjunto .

  2. Identifique as políticas de limite de acesso principal que contêm apenas os recursos que você quer que os principais no conjunto possam acessar. Estas são as políticas que você não vai remover do conjunto.

    Se você não tiver nenhuma dessas políticas, crie uma nova política de limite de acesso de principal com apenas os recursos que você quer que eles tenham acesso. Em seguida, anexe a política ao conjunto de principais.

  3. Identifique as políticas de limite de acesso de principal que contêm recursos que você não quer que os principais no conjunto tenham acesso. Em seguida, remova essas políticas de limite de acesso de principal excluindo a vinculação de política relevante.

    Se você quiser reduzir o acesso de principais específicos, adicione uma condição à vinculação de políticas em vez de excluí-la.

Se quiser reduzir o número de recursos que um principal pode acessar, mas não quiser remover nenhuma política de limite de acesso de principal, modifique as políticas de limite de acesso de principal a que o principal está sujeito. Para aprender a modificar as políticas de limite de acesso de principal, consulte Editar políticas de limite de acesso de principal.

Remover uma política de limite de acesso de principal de um conjunto de principais

Antes de remover uma política de limite de acesso principal de um conjunto, prepare-se para a remoção da política. Em seguida, remova a política excluindo a vinculação ao conjunto.

É possível excluir uma vinculação de política usando o console do Google Cloud, a gcloud CLI ou a API REST do IAM.

Console

  1. No console do Google Cloud, acesse a página Políticas de limite de acesso de principal.

    Acesse as políticas de limite de acesso de principal

  2. Selecione a organização que é proprietária da política de limite de acesso de principal que você quer excluir.

  3. Clique no ID da política de limite de acesso de principal com as vinculações que você quer excluir.

  4. Clique na guia Vinculações.

  5. Encontre o ID da vinculação que você quer excluir. Na linha da vinculação, clique em Ações e, em seguida, em Excluir vinculação.

  6. Na caixa de diálogo de confirmação, clique em Excluir.

gcloud

O comando gcloud beta iam policy-bindings delete exclui uma vinculação de política.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • BINDING_ID: o ID da vinculação de política que você quer excluir como, por exemplo, example-binding.

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor project, folder ou organization

    O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows (PowerShell)

gcloud beta iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows (cmd.exe)

gcloud beta iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

A resposta contém uma operação de longa duração que representa a solicitação.

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

REST

O método policyBindings.delete exclui uma vinculação de política.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor projects, folders ou organizations

    O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • BINDING_ID: o ID da vinculação de política que você quer excluir como, por exemplo, example-binding.

Método HTTP e URL: 

DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Para enviar a solicitação, expanda uma destas opções:

A resposta contém uma operação de longa duração que representa a solicitação.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Excluir uma política de limite de acesso de principal

Antes de excluir uma política de limite de acesso de principal, recomendamos identificar e excluir todas as vinculações de políticas de limite de acesso de principal que se referem a ela.

Se você excluir uma política de limite de acesso de principal com vinculações de políticas atuais, essas vinculações serão excluídas. No entanto, até que sejam excluídas, as vinculações de políticas ainda contam para o limite de 10 vinculações que podem se referir a um único conjunto.

É possível excluir uma política de limite de acesso de principal usando o console do Google Cloud, a gcloud CLI ou a API REST do IAM.

Console

  1. No console do Google Cloud, acesse a página Políticas de limite de acesso de principal.

    Acesse as políticas de limite de acesso de principal

  2. Selecione a organização que é proprietária da política de limite de acesso de principal que você quer excluir.

  3. Encontre o ID da política que você quer excluir. Na linha da política, clique em Ações e, em seguida, em Excluir política.

  4. Na caixa de diálogo de confirmação, confirme que você quer excluir a política:

    • Para excluir a política somente se ela não tiver vinculações associadas, clique em Excluir.
    • Para excluir a política e todas as vinculações associadas, marque a caixa de seleção Excluir forçadamente a política e clique em Excluir.

gcloud

O comando gcloud iam gcloud beta iam principal-access-boundary-policies delete exclui uma política de limite de acesso de principal e todas as vinculações associadas.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • PAB_POLICY_ID: o ID da política de limite de acesso de principal que você quer excluir como, por exemplo, example-policy.
  • ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
  • FORCE_FLAG: Opcional. Para forçar o comando para excluir uma política, mesmo que ela seja referente a vinculações de políticas, use a flag --force. Se essa flag não for definida e a política estiver presente nas vinculações de políticas atuais, o comando vai falhar.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

A resposta contém uma operação de longa duração que representa a solicitação.

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

REST

O método principalAccessBoundaryPolicies.delete exclui uma política de limite de acesso de principal e todas as vinculações associadas.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
  • PAB_POLICY_ID: o ID da política de limite de acesso de principal que você quer excluir como, por exemplo, example-policy.
  • FORCE_DELETE: opcional. Para forçar a solicitação de excluir a política, mesmo que ela esteja presente em vinculações de políticas, adicione o parâmetro de consulta force=true. Se esse parâmetro de consulta não for definido e a política estiver presente em vinculações de políticas atuais, a solicitação falhará.

Método HTTP e URL: 

DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

Para enviar a solicitação, expanda uma destas opções:

A resposta contém uma operação de longa duração que representa a solicitação.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

A seguir