Les stratégies de limite d'accès des comptes principaux vous permettent de limiter les ressources auxquelles un ensemble de comptes principaux est autorisé à accéder. Si vous ne souhaitez plus qu'une stratégie de limite d'accès des comptes principaux soit appliquée à un ensemble de comptes principaux, vous pouvez supprimer la liaison de stratégie qui lie la stratégie à l'ensemble de comptes principaux. Si vous souhaitez supprimer une stratégie de limite d'accès des comptes principaux de tous les ensembles de comptes principaux auxquels elle est associée, vous pouvez la supprimer.
La suppression d'une stratégie de limite d'accès des comptes principaux d'un ensemble de comptes principaux a l'un des effets suivants :
- Si les comptes principaux de l'ensemble ne sont soumis à aucune autre stratégie de limite d'accès, ils pourront accéder à toutes les ressources Google Cloud.
- Si les comptes principaux de l'ensemble sont soumis à d'autres stratégies de limite d'accès des comptes principaux, ils ne pourront accéder qu'aux ressources de ces stratégies.
Avant de commencer
Configurez l'authentification.
Select the tab for how you plan to use the samples on this page:
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST
Pour utiliser les exemples d'API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Pour en savoir plus, consultez la section S'authentifier pour utiliser REST dans la documentation sur l'authentification Google Cloud.
Consultez la présentation des stratégies de limite d'accès des comptes principaux.
Rôles requis pour supprimer des stratégies de limite d'accès des comptes principaux
Pour obtenir l'autorisation nécessaire pour supprimer des stratégies de limite d'accès des principaux, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des limites d'accès des principaux (
roles/iam.principalAccessBoundaryAdmin
) dans votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.Ce rôle prédéfini contient l'autorisation
iam.principalaccessboundarypolicies.delete
, qui est nécessaire pour supprimer les stratégies de limite d'accès des comptes principaux.Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.
Rôles requis pour supprimer des liaisons de stratégie de limite d'accès des comptes principaux
Les autorisations dont vous avez besoin pour supprimer les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux dépendent de l'ensemble de comptes principaux associé à la stratégie.
Pour obtenir les autorisations nécessaires pour supprimer les associations de stratégies pour les stratégies de limite d'accès des principaux, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Utilisateur de la limite d'accès des comptes principaux (
roles/iam.principalAccessBoundaryUser
) de votre organisation -
Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées aux pools de fédération des identités des employés :
Administrateur de pools d'employés IAM (
roles/iam.workforcePoolAdmin
) sur le pool de fédération des identités des employés cible -
Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées aux pools de fédération d'identité de charge de travail :
Administrateur de pools d'identités de charge de travail IAM (
roles/iam.workloadIdentityPoolAdmin
) sur le projet qui possède le pool de fédération d'identité de charge de travail cible. -
Supprimer les associations de stratégies pour les stratégies de limite d'accès des comptes principaux associées à un domaine Google Workspace : Administrateur IAM de pools d'espaces de travail (
roles/iam.workspacePoolAdmin
) de l'organisation -
Supprimer les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées à l'ensemble de comptes principaux d'un projet : Administrateur IAM de projet (
roles/resourcemanager.projectIamAdmin
) sur le projet -
Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées à l'ensemble de comptes principaux d'un dossier : Administrateur IAM du dossier (
roles/resourcemanager.folderIamAdmin
) sur le dossier -
Supprimer les associations de stratégies pour les stratégies de limite d'accès des comptes principaux associées à un ensemble de comptes principaux d'une organisation : Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin
) de l'organisation
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour supprimer les liaisons de stratégies pour les stratégies de limite d'accès des comptes principaux. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour supprimer les liaisons de stratégies pour les stratégies de limite d'accès des comptes principaux :
-
iam.principalaccessboundarypolicies.unbind
sur l'organisation -
Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des principaux associées aux pools de fédération d'identités de personnel :
iam.workforcePools.deletePolicyBinding
sur le pool de fédération d'identités de personnel cible -
Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées aux pools de fédération d'identité de charge de travail :
iam.workloadIdentityPools.deletePolicyBinding
sur le projet propriétaire du pool de fédération d'identité de personnel cible -
Supprimez les liaisons de stratégies pour les stratégies de limite d'accès des comptes principaux associées à un domaine Google Workspace :
iam.workspacePools.deletePolicyBinding
sur l'organisation. -
Supprimez les liaisons de stratégies pour les stratégies de limite d'accès des comptes principaux liées à l'ensemble de comptes principaux d'un projet :
resourcemanager.projects.deletePolicyBinding
sur le projet -
Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux liées à l'ensemble de comptes principaux d'un dossier :
resourcemanager.folders.deletePolicyBinding
sur le dossier -
Supprimez les liaisons de stratégies pour les stratégies de limite d'accès des comptes principaux liées à l'ensemble de comptes principaux d'une organisation :
resourcemanager.organizations.deletePolicyBinding
sur l'organisation
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Préparer la suppression d'une stratégie de limite d'accès des comptes principaux
Avant de supprimer une stratégie de limite d'accès des comptes principaux, décidez de l'objectif que vous souhaitez atteindre :
- Autoriser les comptes principaux d'un ensemble de comptes principaux à accéder à toutes les ressources
- Réduire le nombre de ressources auxquelles les comptes principaux d'un ensemble de comptes principaux peuvent accéder
Les sections suivantes décrivent les étapes à suivre pour atteindre chacun de ces objectifs.
Autoriser les comptes principaux à accéder à toutes les ressources
Si vous souhaitez que les comptes principaux d'un ensemble de comptes principaux puissent accéder à toutes les ressources, procédez comme suit :
- Identifiez toutes les stratégies de limite d'accès des comptes principaux associées à l'ensemble de comptes principaux.
- Supprimez toutes les stratégies de limite d'accès des comptes principaux liées à l'ensemble de comptes principaux en supprimant les liaisons de stratégie pertinentes.
Si un compte principal n'est soumis à aucune stratégie de limite d'accès des comptes principaux, il peut accéder à toutes les ressources Google Cloud.
Le fait d'être éligible à l'accès à une ressource ne signifie pas nécessairement qu'un utilisateur peut y accéder. Pour en savoir plus, consultez Évaluation des stratégies.
Réduire les ressources auxquelles les comptes principaux peuvent accéder
Si les comptes principaux d'un ensemble de comptes principaux sont soumis à plusieurs stratégies de limite d'accès des comptes principaux, vous pouvez réduire le nombre de ressources auxquelles les comptes principaux peuvent accéder en supprimant une ou plusieurs des stratégies de limite d'accès des comptes principaux auxquelles ils sont soumis. Toutefois, ne supprimez jamais toutes les stratégies de limite d'accès des comptes principaux auxquelles ils sont soumis. Sinon, ils pourront accéder à toutes les ressources Google Cloud.
Pour supprimer une stratégie de limite d'accès des comptes principaux tout en veillant à ce que les comptes principaux d'un ensemble de comptes principaux soient toujours soumis à au moins une stratégie de limite d'accès des comptes principaux, procédez comme suit :
- Identifiez toutes les stratégies de limite d'accès des comptes principaux associées à l'ensemble de comptes principaux.
Identifiez les stratégies de limite d'accès des comptes principaux qui ne contiennent que les ressources auxquelles vous souhaitez que les comptes principaux de l'ensemble de comptes principaux puissent accéder. Il s'agit des stratégies que vous ne supprimerez pas de l'ensemble de comptes principaux.
Si vous n'avez pas de telles stratégies, créez une stratégie de limite d'accès des comptes principaux qui ne contienne que les ressources auxquelles vous souhaitez que les comptes principaux puissent accéder. Ensuite, associez la stratégie à l'ensemble de comptes principaux.
Identifiez les stratégies de limite d'accès des comptes principaux contenant des ressources auxquelles vous ne souhaitez pas que les comptes principaux de l'ensemble aient accès. Supprimez ensuite ces stratégies de limite d'accès des comptes principaux en supprimant la liaison de stratégie correspondante.
Si vous souhaitez limiter l'accès à des comptes principaux spécifiques, ajoutez une condition à la liaison de stratégie au lieu de la supprimer.
Si vous souhaitez réduire le nombre de ressources auxquelles un compte principal peut accéder, mais que vous ne souhaitez pas supprimer de stratégies de limite d'accès des comptes principaux, vous pouvez modifier les stratégies de limite d'accès des comptes principaux auxquelles le compte principal est soumis. Pour savoir comment modifier les stratégies de limite d'accès des comptes principaux, consultez Modifier les stratégies de limite d'accès des comptes principaux.
Supprimer une stratégie de limite d'accès des comptes principaux d'un ensemble de comptes principaux
Avant de supprimer une stratégie de limite d'accès des comptes principaux d'un ensemble de comptes principaux, préparez-vous à la suppression de la stratégie. Supprimez ensuite la stratégie en supprimant la liaison de stratégie qui lie la stratégie à l'ensemble de comptes principaux.
Vous pouvez supprimer une association de stratégies à l'aide de la console Google Cloud, de gcloud CLI ou de l'API REST IAM.
Console
Dans la console Google Cloud, accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la liaison.
Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer les liaisons.
Cliquez sur l'onglet Liaison.
Recherchez l'ID de la liaison que vous souhaitez supprimer. Dans la ligne de cette liaison, cliquez sur
Actions, puis sur Supprimer la liaison.Dans la boîte de dialogue de confirmation, cliquez sur Supprimer.
gcloud
La commande
gcloud beta iam policy-bindings delete
supprime une liaison de stratégie.Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
BINDING_ID
: ID de la liaison de stratégie que vous souhaitez supprimer (par exemple,example-binding
). -
RESOURCE_TYPE
: type de la ressource Resource Manager (projet, dossier ou organisation) dont l'association de stratégies est un enfant. Utilisez la valeurproject
,folder
ouorganization
.Le type de ressource dépend de l'ensemble de comptes principaux défini dans la liaison de stratégies. Pour savoir quel type de ressource utiliser, consultez la section Types de comptes principaux compatibles.
RESOURCE_ID
: ID du projet, du dossier ou de l'organisation dont l'association de stratégies est un enfant. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
. Les ID de dossiers et d'organisations sont numériques, tels que123456789012
.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta iam policy-bindings delete BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (PowerShell)
gcloud beta iam policy-bindings delete BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (cmd.exe)
gcloud beta iam policy-bindings delete BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global
La réponse contient une opération de longue durée représentant votre requête.
Delete request issued for: [example-binding] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done. Deleted policyBinding [example-binding].
REST
La méthode
policyBindings.delete
supprime une liaison de stratégie.Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE
: type de la ressource Resource Manager (projet, dossier ou organisation) dont l'association de stratégies est un enfant. Utilisez la valeurprojects
,folders
ouorganizations
.Le type de ressource dépend de l'ensemble de comptes principaux défini dans la liaison de stratégies. Pour savoir quel type de ressource utiliser, consultez la section Types de comptes principaux compatibles.
RESOURCE_ID
: ID du projet, du dossier ou de l'organisation dont l'association de stratégies est un enfant. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
. Les ID de dossiers et d'organisations sont numériques, tels que123456789012
.-
BINDING_ID
: ID de la liaison de stratégie que vous souhaitez supprimer (par exemple,example-binding
).
Méthode HTTP et URL :
DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient une opération de longue durée représentant votre requête.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-binding", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Supprimer une stratégie de limite d'accès des comptes principaux
Avant de supprimer une stratégie de limite d'accès des comptes principaux, nous vous recommandons d'identifier et de supprimer toutes les associations de stratégie de limite d'accès des comptes principaux qui font référence à la stratégie de limite d'accès des comptes principaux.
Si vous supprimez une stratégie de limite d'accès des comptes principaux avec des liaisons de stratégie existantes, ces liaisons seront supprimées à terme. Toutefois, tant qu'elles ne sont pas supprimées, les associations de stratégies sont toujours comptabilisées dans la limite de 10 associations pouvant faire référence à un seul ensemble de comptes principaux.
Vous pouvez supprimer une stratégie de limite d'accès des comptes principaux à l'aide de la console Google Cloud, de gcloud CLI ou de l'API REST IAM.
Console
Dans la console Google Cloud, accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la liaison.
Recherchez l'ID de la stratégie que vous souhaitez supprimer. Dans la ligne de cette stratégie, cliquez sur
Actions, puis sur Supprimer la stratégie.Dans la boîte de dialogue de confirmation, confirmez que vous souhaitez supprimer la stratégie :
- Pour supprimer la stratégie uniquement si aucune liaison ne lui est associée, cliquez sur Supprimer.
- Pour supprimer la stratégie et toutes les liaisons associées, cochez la case Forcer la suppression de la stratégie, puis cliquez sur Supprimer.
gcloud
La commande
gcloud iam gcloud beta iam principal-access-boundary-policies delete
supprime une stratégie de limite d'accès des comptes principaux et toutes les liaisons associées.Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
PAB_POLICY_ID
: ID de la stratégie de limite d'accès des comptes principaux que vous souhaitez supprimer (par exemple,example-policy
). ORG_ID
: ID de l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux. Les identifiants des organisations sont numériques, comme123456789012
.FORCE_FLAG
(Facultatif) Pour forcer la commande à supprimer une stratégie, même si elle est référencée dans des stratégies existantes, utilisez l'indicateur--force
. Si cet indicateur n'est pas défini et que la stratégie est référencée dans des liaisons de stratégies existantes, la commande échoue.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \ --organization=ORG_ID --location=global FORCE_FLAG
Windows (PowerShell)
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ` --organization=ORG_ID --location=global FORCE_FLAG
Windows (cmd.exe)
gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^ --organization=ORG_ID --location=global FORCE_FLAG
La réponse contient une opération de longue durée représentant votre requête.
Delete request issued for: [example-policy] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete... Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done. Deleted principalAccessBoundaryPolicy [example-policy].
REST
La méthode
principalAccessBoundaryPolicies.delete
supprime une stratégie de limite d'accès des comptes principaux et toutes les liaisons associées.Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
ORG_ID
: ID de l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux. Les identifiants des organisations sont numériques, comme123456789012
.-
PAB_POLICY_ID
: ID de la stratégie de limite d'accès des comptes principaux que vous souhaitez supprimer (par exemple,example-policy
). -
FORCE_DELETE
: facultatif. Pour forcer la requête à supprimer la stratégie, même si elle est référencée dans des stratégies existantes, ajoutez le paramètre de requêteforce=true
. Si ce paramètre de requête n'est pas défini et que la stratégie est référencée dans des associations de stratégies existantes, la requête échoue.
Méthode HTTP et URL :
DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient une opération de longue durée représentant votre requête.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-policy", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3beta" }, "done": false }
Étape suivante
- Créer et appliquer des stratégies de limite d'accès des comptes principaux
- Afficher les stratégies de limite d'accès des comptes principaux
- Modifier les stratégies de limite d'accès des comptes principaux
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/12/22 (UTC).