I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Se non vuoi più un limite di accesso all'entità da applicare a un set di entità, puoi eliminare l'associazione dei criteri che associa il criterio al set di entità. Se vuoi rimuovere un criterio di confine di accesso principale da tutti i set di entità a cui è associato, puoi eliminarlo.
La rimozione di un criterio di Principal Access Boundary da un set di entità comprende uno dei seguenti elementi i seguenti effetti:
- Se le entità nel set di entità non sono soggette ad altri criteri di confine di accesso delle entità, saranno idonee ad accedere a tutte le risorse Google Cloud.
- Se le entità nel set di entità sono soggette ad altri limiti di accesso all'entità criteri, potranno accedere solo alle risorse in quelle criteri.
Prima di iniziare
Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per saperne di più, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Leggi la panoramica dei criteri di Principal Access Boundary.
Ruoli richiesti per eliminare i criteri di Principal Access Boundary
Per ottenere l'autorizzazione necessaria per eliminare i criteri di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Amministratore di Principal Access Boundary (
roles/iam.principalAccessBoundaryAdmin
) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.Questo ruolo predefinito contiene
iam.principalaccessboundarypolicies.delete
autorizzazione, che è obbligatorio Elimina i criteri di Principal Access Boundary.Potresti anche riuscire a ottenere questa autorizzazione con ruoli personalizzati altri ruoli predefiniti.
Ruoli richiesti per eliminare le associazioni dei criteri di Principal Access Boundary
Le autorizzazioni necessarie per eliminare le associazioni di criteri I criteri di Principal Access Boundary dipendono dall'insieme di entità associato .
Per ottenere le autorizzazioni necessarie per eliminare le associazioni dei criteri per i criteri di limiti di accesso all'entità, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Utente Principal Access Boundary (
roles/iam.principalAccessBoundaryUser
) della tua organizzazione -
Elimina le associazioni dei criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità per la forza lavoro:
IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin
) nel pool di federazione delle identità per la forza lavoro di destinazione -
Elimina le associazioni di criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità per il carico di lavoro:
Amministratore pool Workload Identity IAM (
roles/iam.workloadIdentityPoolAdmin
) nel progetto proprietario del pool di federazione delle identità per la forza lavoro di destinazione -
Elimina le associazioni di criteri per i criteri di Principal Access Boundary associati a un dominio Google Workspace:
Amministratore IAM pool di aree di lavoro (
roles/iam.workspacePoolAdmin
) dell'organizzazione -
Elimina le associazioni di criteri per i criteri di Principal Access Boundary associati al set di entità di un progetto:
Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) del progetto -
Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di una cartella:
Amministratore IAM della cartella (
roles/resourcemanager.folderIamAdmin
) nella cartella -
Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di un'organizzazione:
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin
) nell'organizzazione
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per eliminare le associazioni dei criteri per i criteri di Principal Access Boundary. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per eliminare le associazioni di criteri per i criteri di Principal Access Boundary, sono necessarie le seguenti autorizzazioni:
-
iam.principalaccessboundarypolicies.unbind
sull'organizzazione -
Elimina le associazioni dei criteri per i criteri di confine di accesso dei principali associati ai pool della federazione delle identità per la forza lavoro:
iam.workforcePools.deletePolicyBinding
nel pool della federazione delle identità per la forza lavoro di destinazione -
Elimina le associazioni di criteri per i criteri di limite di accesso all'entità associati ai pool federazione di Workload Identity:
iam.workloadIdentityPools.deletePolicyBinding
sul progetto proprietario del pool federazione delle identità per la forza lavoro di destinazione -
Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati a un dominio Google Workspace:
iam.workspacePools.deletePolicyBinding
nell'organizzazione -
Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di un progetto:
resourcemanager.projects.deletePolicyBinding
nel progetto -
Elimina le associazioni di criteri per i criteri di limite di accesso all'entità associati al set di entità di una cartella:
resourcemanager.folders.deletePolicyBinding
sulla cartella -
Elimina le associazioni dei criteri di Principal Access Boundary associati all'insieme di entità di un'organizzazione:
resourcemanager.organizations.deletePolicyBinding
nell'organizzazione
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Prepararsi a rimuovere un criterio di confine dell'accesso dell'entità
Prima di rimuovere un criterio di Principal Access Boundary, decidi quale delle seguenti opzioni gli obiettivi che vuoi raggiungere:
- Rendi le entità in un insieme di entità idonee ad accedere a tutte le risorse
- Riduci il numero di risorse a cui possono accedere le entità in un insieme di entità
Le seguenti sezioni descrivono i passaggi da seguire per eseguire ciascuna di queste azioni obiettivi.
Rendi le entità idonee ad accedere a tutte le risorse
Se vuoi rendere le entità in un insieme di entità idonee ad accedere a tutte le risorse, procedi nel seguente modo:
- Identifica tutti i criteri di confine dell'accesso dell'entità associati all'insieme di entità.
- Rimuovi tutti i criteri di Principal Access Boundary associati al set di entità eliminando le associazioni dei criteri pertinenti.
Se un'entità non è soggetta a criteri di confine di accesso delle entità, è idonea per accedere a tutte le risorse Google Cloud.
Essere idonei ad accedere a una risorsa non significa necessariamente che un utente sia in grado di accedere a una risorsa. Per ulteriori informazioni, consulta le Norme di valutazione.
Riduci le risorse a cui le entità sono idonee ad accedere
Se le entità in un set di entità sono soggette a più criteri di confine di accesso delle entità, puoi ridurre il numero di risorse a cui sono idonee accedendo rimuovendo uno o più dei criteri di confine di accesso delle entità a cui sono soggette. Tuttavia, non rimuovere mai tutti i criteri di confine di accesso delle entità a cui sono soggette le entità, altrimenti queste ultime potranno accedere a tutte le risorse Google Cloud.
Per rimuovere un criterio di Principal Access Boundary, assicurati che le entità in un sono sempre soggetti ad almeno un criterio di Principal Access Boundary. segui questi passaggi:
- Identifica tutti i criteri di confine dell'accesso dell'entità associati all'insieme di entità.
Identifica i criteri di confine dell'accesso dell'entità che contengono solo le risorse a cui vuoi che le entità nell'insieme di entità siano idonee ad accedere. Si tratta di e i criteri che non rimuoverai dal set di entità.
Se non disponi di queste norme, creane una nuova Principal Access Boundary con solo le risorse che le entità siano idonee ad accedere. Quindi, allega al set di entità.
Identifica i criteri di confine dell'accesso dell'entità che contengono risorse a cui non vuoi che le entità nell'insieme di entità siano idonee ad accedere. Quindi, rimuovi i criteri di Principal Access Boundary eliminando l'associazione dei criteri pertinente.
Se vuoi ridurre l'accesso per entità specifiche, aggiungi un parametro condition all'associazione dei criteri anziché eliminarla.
Se vuoi ridurre il numero di risorse a cui un'entità è idonea ad accedere, ma non vuoi rimuovere i criteri di confine di accesso delle entità, puoi invece modificare i criteri di confine di accesso delle entità a cui è soggetta l'entità. Per scoprire come modificare i criteri di Principal Access Boundary, consulta Modificare i criteri di Principal Access Boundary.
Rimuovi un criterio di Principal Access Boundary da un set di entità
Prima di rimuovere un criterio di limite di accesso all'entità da un set di entità, prepararti alla rimozione delle norme. Quindi, rimuovi il criterio eliminando l'associazione del criterio che lo lega al set di entità.
Puoi eliminare un'associazione di criteri utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.
Console
Nella console Google Cloud, vai a Principal Access Boundary norme.
Seleziona l'organizzazione proprietaria del criterio di Principal Access Boundary di cui l'associazione da eliminare.
Fai clic sull'ID del criterio di Principal Access Boundary di cui vuoi eliminare le associazioni.
Fai clic sulla scheda Eseguire il binding.
Trova l'ID dell'associazione che vuoi eliminare. Nella riga dell'associazione, fai clic su
Azioni e poi fai clic su Elimina associazione.Nella finestra di dialogo di conferma, fai clic su Elimina.
gcloud
Il comando
gcloud beta iam policy-bindings delete
elimina un'associazione dei criteri.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
BINDING_ID
: l'ID dell'associazione di criteri che vuoi elimina, ad esempioexample-binding
. -
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valoreproject
,folder
oorganization
Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID
: l'ID del progetto, una cartella o un'organizzazione di cui l'associazione dei criteri è secondaria. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam policy-bindings delete BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (PowerShell)
gcloud beta iam policy-bindings delete BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (cmd.exe)
gcloud beta iam policy-bindings delete BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
Delete request issued for: [example-binding] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done. Deleted policyBinding [example-binding].
REST
La
policyBindings.delete
elimina un'associazione di criteri.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valoreprojects
,folders
oorganizations
Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID
: l'ID del progetto, una cartella o un'organizzazione di cui l'associazione dei criteri è secondaria. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
BINDING_ID
: l'ID dell'associazione di criteri che vuoi elimina, ad esempioexample-binding
.
Metodo HTTP e URL:
DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-binding", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Elimina un criterio di Principal Access Boundary
Prima di eliminare un criterio di Principal Access Boundary, ti consigliamo di identificare ed eliminare tutte le associazioni dei criteri di Principal Access Boundary che fanno riferimento al criterio di Principal Access Boundary.
Se elimini un criterio di Principal Access Boundary con associazioni di criteri esistenti, quelle associazioni verranno eliminate. Tuttavia, fino a quando non vengono eliminate, le associazioni ai criteri vengono comunque conteggiate ai fini del limite di 10 associazioni che possono fare riferimento a un singolo insieme di entità.
Puoi eliminare un criterio di Principal Access Boundary utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.
Console
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità di cui vuoi eliminare l'associazione.
Trova l'ID del criterio da eliminare. Nella riga del criterio, fai clic su
Azioni e poi Fai clic su Elimina criterio.Nella finestra di dialogo di conferma, conferma di voler eliminare il criterio:
- Per eliminare il criterio solo se non sono associate associazioni, fai clic su Elimina.
- Per eliminare il criterio e tutte le associazioni associate, seleziona la casella Forzata Elimina criterio, quindi fai clic su Elimina.
gcloud
Il comando
gcloud iam gcloud beta iam principal-access-boundary-policies delete
elimina un criterio di confine dell'accesso dell'entità e tutte le associazioni associate.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PAB_POLICY_ID
: l'ID del criterio di Principal Access Boundary che vuoi eliminare, ad esempioexample-policy
. ORG_ID
: l'ID dell'organizzazione proprietaria della Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.FORCE_FLAG
: facoltativo. Per forzare il comando a eliminare un criterio, anche se viene fatto riferimento al criterio nelle associazioni di criteri esistenti, utilizza il flag--force
. Se questo flag non è impostato e viene fatto riferimento al criterio nelle associazioni di criteri esistenti, il comando non va a buon fine.
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \ --organization=ORG_ID --location=global FORCE_FLAG
Windows (PowerShell)
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ` --organization=ORG_ID --location=global FORCE_FLAG
Windows (cmd.exe)
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^ --organization=ORG_ID --location=global FORCE_FLAG
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
Delete request issued for: [example-policy] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete... Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done. Deleted principalAccessBoundaryPolicy [example-policy].
REST
Il metodo
principalAccessBoundaryPolicies.delete
elimina un criterio di confine dell'accesso dell'entità e tutte le associazioni associate.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
ORG_ID
: l'ID dell'organizzazione proprietaria della Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.-
PAB_POLICY_ID
: l'ID del criterio di Principal Access Boundary che vuoi elimina, ad esempioexample-policy
. -
FORCE_DELETE
: facoltativo. Per forzare la richiesta di eliminazione del criterio, anche se viene fatto riferimento al criterio nelle associazioni di criteri esistenti, aggiungi il parametro di queryforce=true
. Se questo parametro di query non è impostato e il criterio a cui si fa riferimento è presente nelle associazioni di criteri esistenti, la richiesta non va a buon fine.
Metodo HTTP e URL:
DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-policy", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Passaggi successivi
- Creare e applicare criteri di confine dell'accesso dell'entità
- Visualizzare i criteri di Principal Access Boundary
- Modificare i criteri di confine dell'accesso dell'entità
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-11-23 UTC.