Rimuovere i criteri di Principal Access Boundary

I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Se non vuoi più un limite di accesso all'entità da applicare a un set di entità, puoi eliminare l'associazione dei criteri che associa il criterio al set di entità. Se vuoi rimuovere un criterio di confine di accesso principale da tutti i set di entità a cui è associato, puoi eliminarlo.

La rimozione di un criterio di Principal Access Boundary da un set di entità comprende uno dei seguenti elementi i seguenti effetti:

  • Se le entità nel set di entità non sono soggette ad altri criteri di confine di accesso delle entità, saranno idonee ad accedere a tutte le risorse Google Cloud.
  • Se le entità nel set di entità sono soggette ad altri limiti di accesso all'entità criteri, potranno accedere solo alle risorse in quelle criteri.

Prima di iniziare

  • Configurare l'autenticazione.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

      Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init

    Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

  • Leggi la panoramica dei criteri di Principal Access Boundary.

Ruoli richiesti per eliminare i criteri di Principal Access Boundary

Per ottenere l'autorizzazione necessaria per eliminare i criteri di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Amministratore di Principal Access Boundary (roles/iam.principalAccessBoundaryAdmin) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene iam.principalaccessboundarypolicies.delete autorizzazione, che è obbligatorio Elimina i criteri di Principal Access Boundary.

Potresti anche riuscire a ottenere questa autorizzazione con ruoli personalizzati altri ruoli predefiniti.

Ruoli richiesti per eliminare le associazioni dei criteri di Principal Access Boundary

Le autorizzazioni necessarie per eliminare le associazioni di criteri I criteri di Principal Access Boundary dipendono dall'insieme di entità associato .

Per ottenere le autorizzazioni necessarie per eliminare le associazioni dei criteri per i criteri di limiti di accesso all'entità, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Utente Principal Access Boundary (roles/iam.principalAccessBoundaryUser) della tua organizzazione
  • Elimina le associazioni dei criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità per la forza lavoro: IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) nel pool di federazione delle identità per la forza lavoro di destinazione
  • Elimina le associazioni di criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità per il carico di lavoro: Amministratore pool Workload Identity IAM (roles/iam.workloadIdentityPoolAdmin) nel progetto proprietario del pool di federazione delle identità per la forza lavoro di destinazione
  • Elimina le associazioni di criteri per i criteri di Principal Access Boundary associati a un dominio Google Workspace: Amministratore IAM pool di aree di lavoro (roles/iam.workspacePoolAdmin) dell'organizzazione
  • Elimina le associazioni di criteri per i criteri di Principal Access Boundary associati al set di entità di un progetto: Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin) del progetto
  • Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di una cartella: Amministratore IAM della cartella (roles/resourcemanager.folderIamAdmin) nella cartella
  • Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di un'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) nell'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per eliminare le associazioni dei criteri per i criteri di Principal Access Boundary. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per eliminare le associazioni di criteri per i criteri di Principal Access Boundary, sono necessarie le seguenti autorizzazioni:

  • iam.principalaccessboundarypolicies.unbind sull'organizzazione
  • Elimina le associazioni dei criteri per i criteri di confine di accesso dei principali associati ai pool della federazione delle identità per la forza lavoro: iam.workforcePools.deletePolicyBinding nel pool della federazione delle identità per la forza lavoro di destinazione
  • Elimina le associazioni di criteri per i criteri di limite di accesso all'entità associati ai pool federazione di Workload Identity: iam.workloadIdentityPools.deletePolicyBinding sul progetto proprietario del pool federazione delle identità per la forza lavoro di destinazione
  • Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati a un dominio Google Workspace: iam.workspacePools.deletePolicyBinding nell'organizzazione
  • Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di un progetto: resourcemanager.projects.deletePolicyBinding nel progetto
  • Elimina le associazioni di criteri per i criteri di limite di accesso all'entità associati al set di entità di una cartella: resourcemanager.folders.deletePolicyBinding sulla cartella
  • Elimina le associazioni dei criteri di Principal Access Boundary associati all'insieme di entità di un'organizzazione: resourcemanager.organizations.deletePolicyBinding nell'organizzazione

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Prepararsi a rimuovere un criterio di confine dell'accesso dell'entità

Prima di rimuovere un criterio di Principal Access Boundary, decidi quale delle seguenti opzioni gli obiettivi che vuoi raggiungere:

  • Rendi le entità in un insieme di entità idonee ad accedere a tutte le risorse
  • Riduci il numero di risorse a cui possono accedere le entità in un insieme di entità

Le seguenti sezioni descrivono i passaggi da seguire per eseguire ciascuna di queste azioni obiettivi.

Rendi le entità idonee ad accedere a tutte le risorse

Se vuoi rendere le entità in un insieme di entità idonee ad accedere a tutte le risorse, procedi nel seguente modo:

  1. Identifica tutti i criteri di confine dell'accesso dell'entità associati all'insieme di entità.
  2. Rimuovi tutti i criteri di Principal Access Boundary associati al set di entità eliminando le associazioni dei criteri pertinenti.

Se un'entità non è soggetta a criteri di confine di accesso delle entità, è idonea per accedere a tutte le risorse Google Cloud.

Essere idonei ad accedere a una risorsa non significa necessariamente che un utente sia in grado di accedere a una risorsa. Per ulteriori informazioni, consulta le Norme di valutazione.

Riduci le risorse a cui le entità sono idonee ad accedere

Se le entità in un set di entità sono soggette a più criteri di confine di accesso delle entità, puoi ridurre il numero di risorse a cui sono idonee accedendo rimuovendo uno o più dei criteri di confine di accesso delle entità a cui sono soggette. Tuttavia, non rimuovere mai tutti i criteri di confine di accesso delle entità a cui sono soggette le entità, altrimenti queste ultime potranno accedere a tutte le risorse Google Cloud.

Per rimuovere un criterio di Principal Access Boundary, assicurati che le entità in un sono sempre soggetti ad almeno un criterio di Principal Access Boundary. segui questi passaggi:

  1. Identifica tutti i criteri di confine dell'accesso dell'entità associati all'insieme di entità.
  2. Identifica i criteri di confine dell'accesso dell'entità che contengono solo le risorse a cui vuoi che le entità nell'insieme di entità siano idonee ad accedere. Si tratta di e i criteri che non rimuoverai dal set di entità.

    Se non disponi di queste norme, creane una nuova Principal Access Boundary con solo le risorse che le entità siano idonee ad accedere. Quindi, allega al set di entità.

  3. Identifica i criteri di confine dell'accesso dell'entità che contengono risorse a cui non vuoi che le entità nell'insieme di entità siano idonee ad accedere. Quindi, rimuovi i criteri di Principal Access Boundary eliminando l'associazione dei criteri pertinente.

    Se vuoi ridurre l'accesso per entità specifiche, aggiungi un parametro condition all'associazione dei criteri anziché eliminarla.

Se vuoi ridurre il numero di risorse a cui un'entità è idonea ad accedere, ma non vuoi rimuovere i criteri di confine di accesso delle entità, puoi invece modificare i criteri di confine di accesso delle entità a cui è soggetta l'entità. Per scoprire come modificare i criteri di Principal Access Boundary, consulta Modificare i criteri di Principal Access Boundary.

Rimuovi un criterio di Principal Access Boundary da un set di entità

Prima di rimuovere un criterio di limite di accesso all'entità da un set di entità, prepararti alla rimozione delle norme. Quindi, rimuovi il criterio eliminando l'associazione del criterio che lo lega al set di entità.

Puoi eliminare un'associazione di criteri utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.

Console

  1. Nella console Google Cloud, vai a Principal Access Boundary norme.

    Vai a Principal Access Boundary norme

  2. Seleziona l'organizzazione proprietaria del criterio di Principal Access Boundary di cui l'associazione da eliminare.

  3. Fai clic sull'ID del criterio di Principal Access Boundary di cui vuoi eliminare le associazioni.

  4. Fai clic sulla scheda Eseguire il binding.

  5. Trova l'ID dell'associazione che vuoi eliminare. Nella riga dell'associazione, fai clic su Azioni e poi fai clic su Elimina associazione.

  6. Nella finestra di dialogo di conferma, fai clic su Elimina.

gcloud

Il comando gcloud beta iam policy-bindings delete elimina un'associazione dei criteri.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • BINDING_ID: l'ID dell'associazione di criteri che vuoi elimina, ad esempio example-binding.
  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.

  • RESOURCE_ID: l'ID del progetto, una cartella o un'organizzazione di cui l'associazione dei criteri è secondaria. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows (PowerShell)

gcloud beta iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows (cmd.exe)

gcloud beta iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

REST

La policyBindings.delete elimina un'associazione di criteri.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.

  • RESOURCE_ID: l'ID del progetto, una cartella o un'organizzazione di cui l'associazione dei criteri è secondaria. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
  • BINDING_ID: l'ID dell'associazione di criteri che vuoi elimina, ad esempio example-binding.

Metodo HTTP e URL:

DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Elimina un criterio di Principal Access Boundary

Prima di eliminare un criterio di Principal Access Boundary, ti consigliamo di identificare ed eliminare tutte le associazioni dei criteri di Principal Access Boundary che fanno riferimento al criterio di Principal Access Boundary.

Se elimini un criterio di Principal Access Boundary con associazioni di criteri esistenti, quelle associazioni verranno eliminate. Tuttavia, fino a quando non vengono eliminate, le associazioni ai criteri vengono comunque conteggiate ai fini del limite di 10 associazioni che possono fare riferimento a un singolo insieme di entità.

Puoi eliminare un criterio di Principal Access Boundary utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.

Console

  1. Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

    Vai a Principal Access Boundary norme

  2. Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità di cui vuoi eliminare l'associazione.

  3. Trova l'ID del criterio da eliminare. Nella riga del criterio, fai clic su Azioni e poi Fai clic su Elimina criterio.

  4. Nella finestra di dialogo di conferma, conferma di voler eliminare il criterio:

    • Per eliminare il criterio solo se non sono associate associazioni, fai clic su Elimina.
    • Per eliminare il criterio e tutte le associazioni associate, seleziona la casella Forzata Elimina criterio, quindi fai clic su Elimina.

gcloud

Il comando gcloud iam gcloud beta iam principal-access-boundary-policies delete elimina un criterio di confine dell'accesso dell'entità e tutte le associazioni associate.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi eliminare, ad esempio example-policy.
  • ORG_ID: l'ID dell'organizzazione proprietaria della Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • FORCE_FLAG: facoltativo. Per forzare il comando a eliminare un criterio, anche se viene fatto riferimento al criterio nelle associazioni di criteri esistenti, utilizza il flag --force. Se questo flag non è impostato e viene fatto riferimento al criterio nelle associazioni di criteri esistenti, il comando non va a buon fine.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

REST

Il metodo principalAccessBoundaryPolicies.delete elimina un criterio di confine dell'accesso dell'entità e tutte le associazioni associate.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione proprietaria della Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi elimina, ad esempio example-policy.
  • FORCE_DELETE: facoltativo. Per forzare la richiesta di eliminazione del criterio, anche se viene fatto riferimento al criterio nelle associazioni di criteri esistenti, aggiungi il parametro di query force=true. Se questo parametro di query non è impostato e il criterio a cui si fa riferimento è presente nelle associazioni di criteri esistenti, la richiesta non va a buon fine.

Metodo HTTP e URL:

DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Passaggi successivi