Supprimer les stratégies de limite d'accès des comptes principaux

Les stratégies de limite d'accès des comptes principaux vous permettent de limiter les ressources auxquelles un ensemble de comptes principaux est autorisé à accéder. Si vous ne souhaitez plus qu'une stratégie de limite d'accès des comptes principaux soit appliquée à un ensemble de comptes principaux, vous pouvez supprimer la liaison de stratégie qui lie la stratégie à l'ensemble de comptes principaux. Si vous souhaitez supprimer une stratégie de limite d'accès des comptes principaux de tous les ensembles de comptes principaux auxquels elle est associée, vous pouvez la supprimer.

La suppression d'une stratégie de limite d'accès des comptes principaux d'un ensemble de comptes principaux a l'un des effets suivants :

• Si les comptes principaux de l'ensemble ne sont soumis à aucune autre stratégie de limite d'accès, ils pourront accéder à toutes les ressources Google Cloud.
• Si les comptes principaux de l'ensemble sont soumis à d'autres stratégies de limite d'accès des comptes principaux, ils ne pourront accéder qu'aux ressources de ces stratégies.

Avant de commencer

• Configurez l'authentification.

  Select the tab for how you plan to use the samples on this page:

  gcloud

  In the Google Cloud console, activate Cloud Shell.

  Activate Cloud Shell

  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  REST

  Pour utiliser les exemples d'API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à gcloud CLI.

  Install the Google Cloud CLI, then initialize it by running the following command:

  gcloud init

  Pour en savoir plus, consultez la section S'authentifier pour utiliser REST dans la documentation sur l'authentification Google Cloud.

• Consultez la présentation des stratégies de limite d'accès des comptes principaux.

Rôles requis pour supprimer des stratégies de limite d'accès des comptes principaux

Pour obtenir l'autorisation nécessaire pour supprimer des stratégies de limite d'accès des principaux, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des limites d'accès des principaux (roles/iam.principalAccessBoundaryAdmin) dans votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient l'autorisation iam.principalaccessboundarypolicies.delete, qui est nécessaire pour supprimer les stratégies de limite d'accès des comptes principaux.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Rôles requis pour supprimer des liaisons de stratégie de limite d'accès des comptes principaux

Les autorisations dont vous avez besoin pour supprimer les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux dépendent de l'ensemble de comptes principaux associé à la stratégie.

Pour obtenir les autorisations nécessaires pour supprimer les associations de stratégies pour les stratégies de limite d'accès des principaux, demandez à votre administrateur de vous accorder les rôles IAM suivants :

• Utilisateur de la limite d'accès des comptes principaux (roles/iam.principalAccessBoundaryUser) de votre organisation
• Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées aux pools de fédération des identités des employés : Administrateur de pools d'employés IAM (roles/iam.workforcePoolAdmin) sur le pool de fédération des identités des employés cible
• Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées aux pools de fédération d'identité de charge de travail : Administrateur de pools d'identités de charge de travail IAM (roles/iam.workloadIdentityPoolAdmin) sur le projet qui possède le pool de fédération d'identité de charge de travail cible.
• Supprimer les associations de stratégies pour les stratégies de limite d'accès des comptes principaux associées à un domaine Google Workspace : Administrateur IAM de pools d'espaces de travail (roles/iam.workspacePoolAdmin) de l'organisation
• Supprimer les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées à l'ensemble de comptes principaux d'un projet : Administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) sur le projet
• Supprimez les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux associées à l'ensemble de comptes principaux d'un dossier : Administrateur IAM du dossier (roles/resourcemanager.folderIamAdmin) sur le dossier
• Supprimer les associations de stratégies pour les stratégies de limite d'accès des comptes principaux associées à un ensemble de comptes principaux d'une organisation : Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) de l'organisation

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour supprimer les liaisons de stratégies pour les stratégies de limite d'accès des comptes principaux. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Préparer la suppression d'une stratégie de limite d'accès des comptes principaux

Avant de supprimer une stratégie de limite d'accès des comptes principaux, décidez de l'objectif que vous souhaitez atteindre :

• Autoriser les comptes principaux d'un ensemble de comptes principaux à accéder à toutes les ressources
• Réduire le nombre de ressources auxquelles les comptes principaux d'un ensemble de comptes principaux peuvent accéder

Les sections suivantes décrivent les étapes à suivre pour atteindre chacun de ces objectifs.

Autoriser les comptes principaux à accéder à toutes les ressources

Si vous souhaitez que les comptes principaux d'un ensemble de comptes principaux puissent accéder à toutes les ressources, procédez comme suit :

1. Identifiez toutes les stratégies de limite d'accès des comptes principaux associées à l'ensemble de comptes principaux.
2. Supprimez toutes les stratégies de limite d'accès des comptes principaux liées à l'ensemble de comptes principaux en supprimant les liaisons de stratégie pertinentes.

Si un compte principal n'est soumis à aucune stratégie de limite d'accès des comptes principaux, il peut accéder à toutes les ressources Google Cloud.

Le fait d'être éligible à l'accès à une ressource ne signifie pas nécessairement qu'un utilisateur peut y accéder. Pour en savoir plus, consultez Évaluation des stratégies.

Réduire les ressources auxquelles les comptes principaux peuvent accéder

Si les comptes principaux d'un ensemble de comptes principaux sont soumis à plusieurs stratégies de limite d'accès des comptes principaux, vous pouvez réduire le nombre de ressources auxquelles les comptes principaux peuvent accéder en supprimant une ou plusieurs des stratégies de limite d'accès des comptes principaux auxquelles ils sont soumis. Toutefois, ne supprimez jamais toutes les stratégies de limite d'accès des comptes principaux auxquelles ils sont soumis. Sinon, ils pourront accéder à toutes les ressources Google Cloud.

Pour supprimer une stratégie de limite d'accès des comptes principaux tout en veillant à ce que les comptes principaux d'un ensemble de comptes principaux soient toujours soumis à au moins une stratégie de limite d'accès des comptes principaux, procédez comme suit :

1. Identifiez toutes les stratégies de limite d'accès des comptes principaux associées à l'ensemble de comptes principaux.

2. Identifiez les stratégies de limite d'accès des comptes principaux qui ne contiennent que les ressources auxquelles vous souhaitez que les comptes principaux de l'ensemble de comptes principaux puissent accéder. Il s'agit des stratégies que vous ne supprimerez pas de l'ensemble de comptes principaux.

   Si vous n'avez pas de telles stratégies, créez une stratégie de limite d'accès des comptes principaux qui ne contienne que les ressources auxquelles vous souhaitez que les comptes principaux puissent accéder. Ensuite, associez la stratégie à l'ensemble de comptes principaux.

3. Identifiez les stratégies de limite d'accès des comptes principaux contenant des ressources auxquelles vous ne souhaitez pas que les comptes principaux de l'ensemble aient accès. Supprimez ensuite ces stratégies de limite d'accès des comptes principaux en supprimant la liaison de stratégie correspondante.

   Si vous souhaitez limiter l'accès à des comptes principaux spécifiques, ajoutez une condition à la liaison de stratégie au lieu de la supprimer.

Si vous souhaitez réduire le nombre de ressources auxquelles un compte principal peut accéder, mais que vous ne souhaitez pas supprimer de stratégies de limite d'accès des comptes principaux, vous pouvez modifier les stratégies de limite d'accès des comptes principaux auxquelles le compte principal est soumis. Pour savoir comment modifier les stratégies de limite d'accès des comptes principaux, consultez Modifier les stratégies de limite d'accès des comptes principaux.

Supprimer une stratégie de limite d'accès des comptes principaux d'un ensemble de comptes principaux

Avant de supprimer une stratégie de limite d'accès des comptes principaux d'un ensemble de comptes principaux, préparez-vous à la suppression de la stratégie. Supprimez ensuite la stratégie en supprimant la liaison de stratégie qui lie la stratégie à l'ensemble de comptes principaux.

Vous pouvez supprimer une association de stratégies à l'aide de la console Google Cloud, de gcloud CLI ou de l'API REST IAM.

gcloud beta iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud beta iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud beta iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Supprimer une stratégie de limite d'accès des comptes principaux

Avant de supprimer une stratégie de limite d'accès des comptes principaux, nous vous recommandons d'identifier et de supprimer toutes les associations de stratégie de limite d'accès des comptes principaux qui font référence à la stratégie de limite d'accès des comptes principaux.

Si vous supprimez une stratégie de limite d'accès des comptes principaux avec des liaisons de stratégie existantes, ces liaisons seront supprimées à terme. Toutefois, tant qu'elles ne sont pas supprimées, les associations de stratégies sont toujours comptabilisées dans la limite de 10 associations pouvant faire référence à un seul ensemble de comptes principaux.

Vous pouvez supprimer une stratégie de limite d'accès des comptes principaux à l'aide de la console Google Cloud, de gcloud CLI ou de l'API REST IAM.

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Étape suivante

• Créer et appliquer des stratégies de limite d'accès des comptes principaux
• Afficher les stratégies de limite d'accès des comptes principaux
• Modifier les stratégies de limite d'accès des comptes principaux