주 구성원 액세스 경계 정책 보기

주 구성원 액세스 경계(PAB) 정책을 사용하면 주 구성원 집합이 액세스할 수 있는 리소스를 제한할 수 있습니다. 이 페이지에서는 주 구성원 액세스 경계 정책 및 주 구성원 액세스 경계 정책의 정책 바인딩을 보는 방법을 설명합니다.

시작하기 전에

  • 인증을 설정합니다.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공한 사용자 인증 정보를 사용합니다.

      Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init

    자세한 내용은 Google Cloud 인증 문서의 REST 사용을 위한 인증을 참고하세요.

  • 주 구성원 액세스 경계 정책 개요를 읽어 보세요.

주 구성원 액세스 경계 정책을 보는 데 필요한 역할

주 구성원 액세스 경계 정책을 보는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 주 구성원 액세스 경계 뷰어(roles/iam.principalAccessBoundaryViewer) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 주 구성원 액세스 경계 정책을 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

주 구성원 액세스 경계 정책을 보려면 다음 권한이 필요합니다.

  • 단일 주 구성원 액세스 경계 정책 보기: iam.principalaccessboundarypolicies.get
  • 조직의 주 구성원 액세스 경계 정책 나열: iam.principalaccessboundarypolicies.list

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

정책 바인딩을 보는 데 필요한 역할

정책 결합을 보는 데 필요한 권한을 얻으려면 관리자에게 정책 결합의 상위 리소스에 다음 IAM 역할을 부여해 달라고 요청하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 정책 결합을 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

정책 바인딩을 보려면 다음 권한이 필요합니다.

  • 단일 정책 바인딩 보기: iam.policybindings.get
  • 프로젝트, 폴더 또는 조직의 정책 바인딩 나열: iam.policybindings.list

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

주 구성원 액세스 경계 정책의 모든 정책 바인딩을 보는 데 필요한 역할

주 구성원 액세스 경계 정책의 모든 정책 바인딩을 보는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 주 구성원 액세스 경계 뷰어(roles/iam.principalAccessBoundaryViewer) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 주 구성원 액세스 경계 정책의 모든 정책 바인딩을 보는 데 필요한 iam.principalaccessboundarypolicies.searchIamPolicyBindings 권한이 포함되어 있습니다.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

주 구성원 집합의 정책 바인딩을 보는 데 필요한 역할

주 구성원 집합의 모든 정책 바인딩을 보려면 필요한 권한은 정책을 보려는 주 구성원 집합에 따라 다릅니다.

정책 결합을 보는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.

  • 직원 ID 제휴 풀의 정책 바인딩 보기: 대상 직원 ID 제휴 풀의 IAM 직원 풀 관리자(roles/iam.workforcePoolAdmin)
  • 워크로드 아이덴티티 제휴 풀의 정책 바인딩 보기: 대상 직원 ID 제휴 풀을 소유한 프로젝트의 IAM 워크로드 아이덴티티 풀 관리자(roles/iam.workloadIdentityPoolAdmin)
  • Google Workspace 도메인의 정책 바인딩 보기: 작업공간 풀 IAM 관리자(roles/iam.workspacePoolAdmin)
  • 프로젝트의 주 구성원 집합에 대한 정책 바인딩 보기: 프로젝트의 프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin)
  • 폴더의 주 구성원 집합에 대한 정책 바인딩 보기: 폴더의 폴더 IAM 관리자(roles/resourcemanager.folderIamAdmin)
  • 조직의 주 구성원 집합에 대한 정책 바인딩 보기: 조직 관리자(roles/resourcemanager.organizationAdmin)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 정책 결합을 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

정책 바인딩을 보려면 다음 권한이 필요합니다.

  • 직원 ID 제휴 풀의 정책 바인딩 보기: iam.workforcePools.searchPolicyBindings 대상 직원 ID 제휴 풀
  • 워크로드 아이덴티티 제휴 풀의 정책 바인딩 보기: 대상 직원 ID 제휴 풀을 소유한 프로젝트의 iam.workloadIdentityPools.searchPolicyBindings
  • Google Workspace 도메인의 정책 바인딩 보기: 조직의 iam.workspacePools.searchPolicyBindings
  • 프로젝트의 주 구성원 집합에 대한 정책 바인딩 보기: 프로젝트의 resourcemanager.projects.searchPolicyBindings 권한
  • 폴더의 주 구성원 집합에 대한 정책 바인딩 보기: 폴더의 resourcemanager.folders.searchPolicyBindings
  • 조직의 주 구성원 집합에 대한 정책 바인딩 보기: 조직의 resourcemanager.organizations.searchPolicyBindings

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

조직의 주 구성원 액세스 경계 정책 나열

조직에서 만든 모든 주 구성원 액세스 경계 정책을 보려면 조직의 주 구성원 액세스 경계 정책을 나열합니다.

Google Cloud 콘솔, gcloud CLI 또는 IAM REST API를 사용하여 조직의 주 구성원 액세스 경계 정책을 나열할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.

    주 구성원 액세스 경계 정책으로 이동

  2. 주 구성원 액세스 경계 정책을 만들려는 조직을 선택합니다.

Google Cloud 콘솔에 선택한 조직의 모든 정책이 표시됩니다.

gcloud

gcloud beta iam principal-access-boundary-policies list 명령어는 조직의 모든 주 구성원 액세스 경계 정책을 나열합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORG_ID: 주 구성원 액세스 경계 정책을 나열할 Google Cloud 조직의 ID입니다. 조직 ID는 123456789012와 같은 숫자입니다.
  • FORMAT: 응답 형식입니다. json 또는 yaml을 사용합니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows(PowerShell)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows(cmd.exe)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

응답에는 지정된 조직의 주 구성원 액세스 경계 정책이 포함됩니다.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

principalAccessBoundaryPolicies.list 메서드는 조직의 모든 주 구성원 액세스 경계 정책을 나열합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORG_ID: 주 구성원 액세스 경계 정책을 나열할 Google Cloud 조직의 ID입니다. 조직 ID는 123456789012와 같은 숫자입니다.

HTTP 메서드 및 URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에는 지정된 조직의 주 구성원 액세스 경계 정책이 포함됩니다.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

단일 주 구성원 액세스 경계 정책 가져오기

단일 주 구성원 액세스 경계 정책의 세부정보를 보려면 정책의 ID를 사용하여 정책을 가져옵니다.

Google Cloud 콘솔, gcloud CLI 또는 IAM REST API를 사용하여 주 구성원 액세스 경계 정책을 가져올 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.

    주 구성원 액세스 경계 정책으로 이동

  2. 주 구성원 액세스 경계 정책을 만들려는 조직을 선택합니다.

  3. 확인하려는 주 구성원 액세스 경계 정책의 정책 ID를 클릭합니다.

Google Cloud 콘솔에 선택한 주 구성원 액세스 경계 정책의 세부정보가 표시됩니다.

gcloud

gcloud beta iam principal-access-boundary-policies describe 명령어는 단일 주 구성원 액세스 경계 정책을 가져옵니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • PAB_POLICY_ID: 가져오려는 주 구성원 액세스 경계 정책의 ID입니다(예: example-policy).
  • ORG_ID: 주 구성원 액세스 경계 정책을 소유하는 조직의 ID입니다. 조직 ID는 123456789012와 같은 숫자입니다.
  • FORMAT: 응답 형식입니다. json 또는 yaml을 사용합니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows(PowerShell)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows(cmd.exe)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

응답에는 요청에 지정된 주 구성원 액세스 경계 정책이 포함됩니다.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

principalAccessBoundaryPolicies.get 메서드는 단일 주 구성원 액세스 경계 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORG_ID: 주 구성원 액세스 경계 정책을 소유하는 조직의 ID입니다. 조직 ID는 123456789012와 같은 숫자입니다.
  • PAB_POLICY_ID: 가져오려는 주 구성원 액세스 경계 정책의 ID입니다(예: example-policy).

HTTP 메서드 및 URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에는 요청에 지정된 주 구성원 액세스 경계 정책이 포함됩니다.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

주 구성원 액세스 경계 정책의 정책 바인딩 나열

주 구성원 액세스 경계 정책의 정책 바인딩을 나열하는 방법에는 여러 가지가 있습니다.

주 구성원 액세스 경계 정책의 정책 바인딩 나열

특정 주 구성원 액세스 경계 정책이 포함된 모든 정책 바인딩을 보려면 주 구성원 액세스 경계 정책의 바인딩을 검색합니다.

Google Cloud 콘솔, gcloud CLI 또는 IAM REST API를 사용하여 주 구성원 액세스 경계 정책의 모든 정책 결합을 볼 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.

    주 구성원 액세스 경계 정책으로 이동

  2. 바인딩을 보려는 주 구성원 액세스 경계 정책을 소유한 조직을 선택합니다.

  3. 바인딩을 보려는 주 구성원 액세스 경계 정책의 정책 ID를 클릭합니다.

  4. 바인딩 탭을 클릭합니다.

바인딩 탭에는 주 구성원 액세스 경계 정책을 포함하는 모든 주 구성원 액세스 경계 정책 바인딩이 나열됩니다.

gcloud

gcloud beta iam principal-access-boundary-policies search-policy-bindings 명령어는 지정된 주 구성원 액세스 경계 정책의 모든 정책 바인딩을 나열합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • PAB_POLICY_ID: 정책 바인딩을 나열하려는 주 구성원 액세스 경계 정책의 ID입니다(예: example-policy).
  • ORG_ID: 주 구성원 액세스 경계 정책을 소유하는 조직의 ID입니다. 조직 ID는 123456789012와 같은 숫자입니다.
  • FORMAT: 응답 형식입니다. json 또는 yaml을 사용합니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows(PowerShell)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows(cmd.exe)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

응답에는 지정된 주 구성원 액세스 경계 정책의 정책 바인딩이 포함됩니다.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

principalAccessBoundaryPolicies.searchPolicyBindings 메서드는 지정된 주 구성원 액세스 경계 정책의 모든 정책 바인딩을 나열합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORG_ID: 주 구성원 액세스 경계 정책을 소유하는 조직의 ID입니다. 조직 ID는 123456789012와 같은 숫자입니다.
  • PAB_POLICY_ID: 정책 바인딩을 나열하려는 주 구성원 액세스 경계 정책의 ID입니다(예: example-policy).

HTTP 메서드 및 URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에는 지정된 주 구성원 액세스 경계 정책의 정책 바인딩이 포함됩니다.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

주 구성원 집합의 정책 바인딩 나열

특정 주 구성원 집합이 포함된 모든 정책 바인딩을 보려면 주 구성원 집합의 바인딩을 검색합니다.

이러한 바인딩에는 주 구성원 집합에 바인딩된 주 구성원 액세스 경계 정책의 ID가 포함됩니다. 이러한 정책의 세부정보를 보려면 정책 ID를 사용하여 주 구성원 액세스 경계 정책을 가져옵니다.

gcloud CLI 또는 IAM REST API를 사용하여 주 구성원 집합의 모든 정책 바인딩을 볼 수 있습니다.

gcloud

gcloud beta iam policy-bindings search-target-policy-bindings 명령어는 주 구성원 집합에 바인딩된 모든 주 구성원 액세스 경계 정책을 가져옵니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 대상 주 구성원 집합이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다. project, folder 또는 organization 값을 사용합니다.

    리소스 유형은 정책 바인딩을 나열하려는 주 구성원 집합의 유형에 따라 다릅니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.

  • RESOURCE_ID: 대상 주 구성원 인증 정보 집합이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • PRINCIPAL_SET: 주 구성원 액세스 경계 정책 바인딩을 보려는 주 구성원 집합입니다. 유효한 주 구성원 유형 목록은 지원되는 주 구성원 집합을 참조하세요.
  • FORMAT: 응답 형식입니다. json 또는 yaml을 사용합니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows(PowerShell)

gcloud beta iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows(cmd.exe)

gcloud beta iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

응답에는 대상 주 구성원 집합에 바인딩된 모든 정책 바인딩이 포함됩니다.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

SearchTargetPolicyBindings.search 메서드는 주 구성원 집합에 바인딩된 모든 주 구성원 액세스 경계 정책을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 대상 주 구성원 집합이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다. projects, folders 또는 organizations 값을 사용합니다.

    리소스 유형은 정책 바인딩을 나열하려는 주 구성원 집합의 유형에 따라 다릅니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.

  • RESOURCE_ID: 대상 주 구성원 인증 정보 집합이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • PRINCIPAL_SET: 주 구성원 액세스 경계 정책 바인딩을 보려는 주 구성원 집합입니다. 유효한 주 구성원 유형 목록은 지원되는 주 구성원 집합을 참조하세요.

HTTP 메서드 및 URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에는 대상 주 구성원 집합에 바인딩된 모든 정책 바인딩이 포함됩니다.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

프로젝트, 폴더 또는 조직의 정책 바인딩 나열

특정 프로젝트, 폴더 또는 조직의 하위 요소인 모든 정책 바인딩을 보려면 해당 프로젝트, 폴더 또는 조직의 정책 바인딩을 나열합니다.

정책 바인딩의 상위 리소스는 정책 바인딩에 설정된 주 구성원에 따라 다릅니다. 자세한 내용은 지원되는 주 구성원 유형을 참조하세요.

gcloud CLI 또는 IAM REST API를 사용하여 프로젝트, 폴더 또는 조직의 모든 정책 바인딩을 볼 수 있습니다.

gcloud

gcloud beta iam policy-bindings list 명령어는 특정 리소스의 하위 요소인 모든 정책 바인딩을 나열합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 정책 바인딩이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다. project, folder 또는 organization 값을 사용합니다.

    리소스 유형은 정책 바인딩의 주 구성원 집합에 따라 달라집니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.

  • RESOURCE_ID: 정책 바인딩이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • FORMAT: 응답 형식입니다. json 또는 yaml을 사용합니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows(PowerShell)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows(cmd.exe)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

응답에는 명령어의 리소스의 하위 요소인 정책 바인딩이 포함됩니다.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

policyBindings.list 메서드는 특정 리소스의 하위 요소인 모든 정책 바인딩을 나열합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 정책 바인딩이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다. projects, folders 또는 organizations 값을 사용합니다.

    리소스 유형은 정책 바인딩의 주 구성원 집합에 따라 달라집니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.

  • RESOURCE_ID: 정책 바인딩이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

HTTP 메서드 및 URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에는 요청의 리소스의 하위 요소인 정책 바인딩이 포함됩니다.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

주 구성원 액세스 경계 정책의 정책 바인딩 가져오기

단일 정책 바인딩의 세부정보를 보려면 정책 바인딩의 ID를 사용하여 정책 바인딩을 가져옵니다.

gcloud CLI 또는 IAM REST API를 사용하여 정책 바인딩을 가져올 수 있습니다.

gcloud

gcloud beta iam policy-bindings get 명령어는 정책 바인딩을 가져옵니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • BINDING_ID: 가져오려는 정책 바인딩의 ID입니다(예: example-binding).
  • RESOURCE_TYPE: 정책 바인딩이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다. project, folder 또는 organization 값을 사용합니다.

    리소스 유형은 정책 바인딩의 주 구성원 집합에 따라 달라집니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.

  • RESOURCE_ID: 정책 바인딩이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • FORMAT: 응답 형식입니다. json 또는 yaml을 사용합니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta iam policy-bindings get BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows(PowerShell)

gcloud beta iam policy-bindings get BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows(cmd.exe)

gcloud beta iam policy-bindings get BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

응답에 정책 바인딩이 포함됩니다.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

policyBindings.get 메서드는 정책 바인딩을 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 정책 바인딩이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다. projects, folders 또는 organizations 값을 사용합니다.

    리소스 유형은 정책 바인딩의 주 구성원 집합에 따라 달라집니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.

  • RESOURCE_ID: 정책 바인딩이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • BINDING_ID: 가져오려는 정책 바인딩의 ID입니다(예: example-binding).

HTTP 메서드 및 URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에 정책 바인딩이 포함됩니다.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

다음 단계