Principal Access Boundary-Richtlinien entfernen

Mit Principal Access Boundary-Richtlinien (PAB) können Sie die Ressourcen einschränken, auf die eine Gruppe von Hauptkonten zugreifen darf. Wenn Sie nicht mehr möchten, dass eine Principal Access Boundary-Richtlinie für eine Hauptkontogruppe erzwungen wird, können Sie die Richtlinienbindung löschen, die die Richtlinie an die Hauptkontogruppe bindet. Wenn Sie eine Richtlinie für die Principal Access Boundary-Richtlinie aus allen Hauptkontensätzen entfernen möchten, an die sie gebunden ist, können Sie die Richtlinie löschen.

Wenn Sie eine Principal Access Boundary-Richtlinie aus einem Hauptkontosatz entfernen, hat das eine der folgenden Auswirkungen:

  • Wenn für die Hauptkonten im Hauptkontensatz keine anderen Principal Access Boundary-Richtlinien gelten, können sie auf alle Google Cloud-Ressourcen zugreifen.
  • Wenn die Hauptkonten im Hauptkontensatz anderen Principal Access Boundary-Richtlinien unterliegen, dürfen sie nur auf die Ressourcen in diesen Richtlinien zugreifen.

Hinweise

  • Richten Sie die Authentifizierung ein.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

  • Lesen Sie die Übersicht über Principal Access Boundary-Richtlinien.

Rollen, die zum Löschen von Principal Access Boundary-Richtlinien erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Admin (roles/iam.principalAccessBoundaryAdmin) für Ihre Organisation zu gewähren, um die Berechtigung zum Löschen von Principal Access Boundary-Richtlinien zu erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung iam.principalaccessboundarypolicies.delete, die zum Löschen von Principal Access Boundary-Richtlinien erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Löschen von Bindungen für Principal Access Boundary-Richtlinien erforderlich sind

Welche Berechtigungen Sie zum Löschen von Richtlinienbindungen für Principal Access Boundary-Richtlinien benötigen, hängt vom Hauptkontosatz ab, der an die Richtlinie gebunden ist.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Löschen von Richtlinienbindungen für Principal Access Boundary-Richtlinien benötigen:

  • Nutzer mit Begrenzung des Hauptkontozugriffs (roles/iam.principalAccessBoundaryUser) für Ihre Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinie löschen, die an Mitarbeiteridentitätsföderationspools gebunden sind: IAM-Mitarbeiterpool-Administrator (roles/iam.workforcePoolAdmin) für den Ziel-Workforce Identity-Föderationspool
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an Workload Identity-Föderationspools gebunden sind: IAM Workload Identity-Pool-Administrator (roles/iam.workloadIdentityPoolAdmin) für das Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an eine Google Workspace-Domain gebunden sind: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) für die Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an den Hauptkontensatz eines Projekts gebunden sind: Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an den Hauptsatz eines Ordners gebunden sind: Ordner-IAM-Administrator (roles/resourcemanager.folderIamAdmin) für den Ordner
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an den Hauptkontosatz einer Organisation gebunden sind: Organisationsadministrator (roles/resourcemanager.organizationAdmin) für die Organisation

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Löschen von Richtlinienbindungen für Principal Access Boundary-Richtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Richtlinienbindungen für Principal Access Boundary-Richtlinien zu löschen:

  • iam.principalaccessboundarypolicies.unbind für die Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an Pools der Workforce Identity-Föderation gebunden sind: iam.workforcePools.deletePolicyBinding im Zielpool der Workforce Identity-Föderation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an Pools der Identitätsföderation von Arbeitslasten gebunden sind: iam.workloadIdentityPools.deletePolicyBinding im Projekt, zu dem der Zielpool der Workforce Identity-Föderation gehört
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an eine Google Workspace-Domain gebunden sind: iam.workspacePools.deletePolicyBinding in der Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an den Hauptsatz eines Projekts gebunden sind: resourcemanager.projects.deletePolicyBinding für das Projekt
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an das Hauptkonto eines Ordners gebunden sind: resourcemanager.folders.deletePolicyBinding am Ordner
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an den Hauptkontosatz einer Organisation gebunden sind: resourcemanager.organizations.deletePolicyBinding für die Organisation

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Vorbereitung auf das Entfernen einer Principal Access Boundary-Richtlinie

Bevor Sie eine Principal Access Boundary-Richtlinie entfernen, sollten Sie entscheiden, welches der folgenden Ziele Sie erreichen möchten:

  • Den Hauptkonten in einem Hauptkontosatz Zugriff auf alle Ressourcen gewähren
  • Anzahl der Ressourcen reduzieren, auf die die Hauptkonten in einem Hauptkontensatz zugreifen dürfen

In den folgenden Abschnitten werden die einzelnen Schritte beschrieben.

Hauptkonten Zugriff auf alle Ressourcen gewähren

Wenn Sie den Hauptkonten in einem Hauptkontosatz Zugriff auf alle Ressourcen gewähren möchten, gehen Sie so vor:

  1. Identifizieren Sie alle Principal Access Boundary-Richtlinien, die an die Hauptkontogruppe gebunden sind.
  2. Entfernen Sie alle Principal Access Boundary-Richtlinien, die an die Hauptkontogruppe gebunden sind, indem Sie die entsprechenden Richtlinienbindungen löschen.

Wenn für ein Hauptkonto keine Principal Access Boundary-Richtlinien gelten, hat es Zugriff auf alle Google Cloud-Ressourcen.

Die Berechtigung zum Zugriff auf eine Ressource bedeutet nicht unbedingt, dass ein Nutzer auch darauf zugreifen kann. Weitere Informationen finden Sie unter Richtlinienbewertung.

Ressourcen einschränken, auf die Hauptkonten zugreifen dürfen

Wenn die Hauptkonten in einer Hauptkontogruppe mehreren Principal Access Boundary-Richtlinien unterliegen, können Sie die Anzahl der Ressourcen reduzieren, auf die die Hauptkonten zugreifen dürfen, indem Sie eine oder mehrere der Principal Access Boundary-Richtlinien entfernen, denen sie unterliegen. Entfernen Sie jedoch niemals alle Principal Access Boundary-Richtlinien, die für die Hauptkonten gelten. Andernfalls erhalten die Hauptkonten Zugriff auf alle Google Cloud-Ressourcen.

So entfernen Sie eine Principal Access Boundary-Richtlinie und sorgen gleichzeitig dafür, dass die Hauptkonten in einem Hauptkontensatz immer mindestens einer Principal Access Boundary-Richtlinie unterliegen:

  1. Identifizieren Sie alle Principal Access Boundary-Richtlinien, die an die Hauptkontogruppe gebunden sind.

  2. Geben Sie die Principal Access Boundary-Richtlinien an, die nur Ressourcen enthalten, auf die Hauptkonten in der Hauptkontogruppe zugreifen dürfen. Das sind die Richtlinien, die Sie nicht aus dem Hauptkontosatz entfernen.

    Wenn Sie keine solchen Richtlinien haben, erstellen Sie eine neue Principal Access Boundary-Richtlinie mit nur den Ressourcen, auf die die Hauptkonten zugreifen sollen. Hängen Sie dann die Richtlinie an die Hauptkontogruppe an.

  3. Geben Sie die Principal Access Boundary-Richtlinien an, die Ressourcen enthalten, auf die Hauptkonten in der Hauptkontogruppe nicht zugreifen dürfen. Entfernen Sie dann diese Principal Access Boundary-Richtlinien, indem Sie die entsprechende Richtlinienbindung löschen.

    Wenn Sie den Zugriff für bestimmte Hauptkonten einschränken möchten, fügen Sie der Richtlinienbindung eine Bedingung hinzu, anstatt sie zu löschen.

Wenn Sie die Anzahl der Ressourcen reduzieren möchten, auf die ein Hauptkonto zugreifen kann, aber keine Principal Access Boundary-Richtlinien entfernen möchten, können Sie stattdessen die Principal Access Boundary-Richtlinien ändern, für die das Hauptkonto gilt. Weitere Informationen zum Ändern von Principal Access Boundary-Richtlinien

Principal Access Boundary-Richtlinie aus einem Hauptkontensatz entfernen

Bevor Sie eine Principal Access Boundary-Richtlinie aus einem Hauptkontensatz entfernen, bereiten Sie das Entfernen der Richtlinie vor. Entfernen Sie dann die Richtlinie, indem Sie die Richtlinienbindung löschen, die die Richtlinie an den Hauptkontensatz bindet.

Sie können eine Richtlinienbindung mit der Google Cloud Console, der gcloud CLI oder der IAM REST API löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Richtlinien für Principal Access Boundary auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, deren Bindung Sie löschen möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, deren Bindungen Sie löschen möchten.

  4. Klicken Sie auf den Tab Bindungen.

  5. Suchen Sie die ID der Bindung, die Sie löschen möchten. Klicken Sie in der Zeile dieser Bindung auf Aktionen und dann auf Bindung löschen.

  6. Klicken Sie im Bestätigungsdialogfeld auf Löschen.

gcloud

Mit dem Befehl gcloud beta iam policy-bindings delete wird eine Richtlinienbindung gelöscht.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • BINDING_ID: Die ID der Richtlinienbindung, die Sie löschen möchten, z. B. example-binding.

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert project, folder oder organization.

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows (PowerShell)

gcloud beta iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows (cmd.exe)

gcloud beta iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Die Antwort enthält einen lang laufenden Vorgang, der Ihre Anfrage darstellt.

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

REST

Mit der Methode policyBindings.delete wird eine Richtlinienbindung gelöscht.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert projects, folders oder organizations.

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • BINDING_ID: Die ID der Richtlinienbindung, die Sie löschen möchten, z. B. example-binding.

HTTP-Methode und URL:

DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält einen lang laufenden Vorgang, der Ihre Anfrage darstellt.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Principal Access Boundary-Richtlinie löschen

Bevor Sie eine Principal Access Boundary-Richtlinie löschen, sollten Sie alle Principal Access Boundary-Richtlinienbindungen identifizieren und löschen, die auf die Principal Access Boundary-Richtlinie verweisen.

Wenn Sie eine Principal Access Boundary-Richtlinie mit vorhandenen Richtlinienbindungen löschen, werden diese Bindungen nach und nach gelöscht. Bis sie gelöscht werden, werden die Richtlinienbindungen jedoch auf das Limit von zehn Bindungen angerechnet, die sich auf einen einzelnen Hauptkontensatz beziehen können.

Sie können eine Principal Access Boundary-Richtlinie mit der Google Cloud Console, der gcloud CLI oder der IAM REST API löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, deren Bindung Sie löschen möchten.

  3. Suchen Sie die ID der Richtlinie, die Sie löschen möchten. Klicken Sie in der Zeile der Richtlinie auf Aktionen und dann auf Richtlinie löschen.

  4. Bestätigen Sie im Bestätigungsdialogfeld, dass Sie die Richtlinie löschen möchten:

    • Wenn die Richtlinie nur gelöscht werden soll, wenn sie keine Bindungen hat, klicken Sie auf Löschen.
    • Wenn Sie die Richtlinie und alle zugehörigen Bindungen löschen möchten, setzen Sie ein Häkchen in das Kästchen Löschen der Richtlinie erzwingen und klicken Sie dann auf Löschen.

gcloud

Mit dem Befehl gcloud iam gcloud beta iam principal-access-boundary-policies delete werden eine Principal Access Boundary-Richtlinie und alle zugehörigen Bindungen gelöscht.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie löschen möchten, z. B. example-policy.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORCE_FLAG: Optional. Wenn Sie mit dem Befehl eine Richtlinie löschen möchten, auch wenn auf diese Richtlinie in vorhandenen Richtlinienbindungen verwiesen wird, verwenden Sie das Flag --force. Wenn dieses Flag nicht festgelegt ist und die Richtlinie in vorhandenen Richtlinienbindungen referenziert wird, schlägt der Befehl fehl.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

Die Antwort enthält einen lang laufenden Vorgang, der Ihre Anfrage darstellt.

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

REST

Mit der Methode principalAccessBoundaryPolicies.delete wird eine Principal Access Boundary-Richtlinie und alle zugehörigen Bindungen gelöscht.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie löschen möchten, z. B. example-policy.
  • FORCE_DELETE: Optional. Wenn die Richtlinie durch die Anfrage gelöscht werden soll, auch wenn auf sie in vorhandenen Richtlinienbindungen verwiesen wird, fügen Sie den Abfrageparameter force=true hinzu. Wenn dieser Abfrageparameter nicht festgelegt ist und die Richtlinie in vorhandenen Richtlinienbindungen referenziert wird, schlägt die Anfrage fehl.

HTTP-Methode und URL:

DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält einen lang laufenden Vorgang, der Ihre Anfrage darstellt.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Nächste Schritte