Esta página foi traduzida pela API Cloud Translation.

Conferir as políticas de limite de acesso principal

As políticas de limite de acesso principal (PAB) permitem limitar os recursos que um conjunto de principais pode acessar. Esta página explica como visualizar políticas de limite de acesso principal e vinculações de políticas para políticas de limite de acesso principal.

Antes de começar

Configure a autenticação.

Select the tab for how you plan to use the samples on this page:
gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST

Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.
Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.
Leia a visão geral das políticas de limite de acesso de principal.

Funções necessárias para visualizar políticas de limite de acesso principal

Para receber as permissões necessárias para visualizar as políticas de limite de acesso de principal, peça ao administrador para conceder a você o papel do IAM de Leitor de limite de acesso de principal (roles/iam.principalAccessBoundaryViewer) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para visualizar as políticas de limite de acesso de principal. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para conferir as políticas de limite de acesso de principal:

Conferir uma única política de limite de acesso principal: iam.principalaccessboundarypolicies.get
Liste as políticas de limite de acesso de principal em uma organização: iam.principalaccessboundarypolicies.list

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Funções necessárias para visualizar vinculações de políticas

Para ter as permissões necessárias para visualizar as vinculações de políticas, peça ao administrador para conceder a você os seguintes papéis do IAM no recurso pai das vinculações de políticas:

Visualizar vinculações de políticas em um projeto: Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin)
Conferir as vinculações de políticas em uma pasta: Administrador do IAM da pasta (roles/resourcemanager.folderIamAdmin)
Acessar vinculações de políticas em uma organização: Administrador da organização (roles/resourcemanager.organizationAdmin)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para conferir as vinculações de políticas. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para conferir as vinculações de políticas:

Conferir uma vinculação de política: iam.policybindings.get
Listar vinculações de políticas em um projeto, pasta ou organização: iam.policybindings.list

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Papéis necessários para visualizar todas as vinculações de políticas de limite de acesso de principal

Para receber a permissão necessária para conferir todas as vinculações de políticas de uma política de limite de acesso de principal, peça ao administrador para conceder a você o papel do IAM de Visualizador de limite de acesso de principal (roles/iam.principalAccessBoundaryViewer) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém a permissão iam.principalaccessboundarypolicies.searchIamPolicyBindings, necessária para conferir todas as vinculações de políticas para uma política de limite de acesso de principal.

Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.

Papéis necessários para visualizar vinculações de políticas para um conjunto de principais

As permissões necessárias para conferir todas as vinculações de políticas de um conjunto de principais dependem do conjunto de principais em que você quer conferir as políticas.

Para ter as permissões necessárias para visualizar as vinculações de políticas, peça ao administrador para conceder a você os seguintes papéis do IAM:

Confira as vinculações de políticas para os pools da federação de identidade de colaboradores: Administrador de pool de colaboradores do IAM (roles/iam.workforcePoolAdmin) no pool de federação de identidade de colaboradores de destino
Confira as vinculações de políticas para pools da federação de identidade da carga de trabalho: Administrador de pool de Identidade da carga de trabalho do IAM (roles/iam.workloadIdentityPoolAdmin) no projeto que é proprietário do pool de federação de identidade de colaboradores de destino
Acessar vinculações de políticas para um domínio do Google Workspace: Administrador do IAM do pool do Workspace (roles/iam.workspacePoolAdmin) na organização
Acessar as vinculações de políticas para o conjunto de principais de um projeto: Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto
Visualizar as vinculações de políticas para o conjunto principal de uma pasta: Administrador de IAM da pasta (roles/resourcemanager.folderIamAdmin) na pasta
Acessar as vinculações de políticas para o conjunto principal de uma organização: Administrador da organização (roles/resourcemanager.organizationAdmin) na organização

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Permissões necessárias

As seguintes permissões são necessárias para conferir as vinculações de políticas:

Acessar as vinculações de políticas para os pools da federação de identidade da força de trabalho: iam.workforcePools.searchPolicyBindings no pool de federação da identidade da força de trabalho de destino
Acesse as vinculações de políticas para pools de federação da identidade da carga de trabalho: iam.workloadIdentityPools.searchPolicyBindings no projeto que é proprietário do pool de federação da identidade de colaboradores de destino
Acessar as vinculações de políticas de um domínio do Google Workspace: iam.workspacePools.searchPolicyBindings na organização
Conferir as vinculações de políticas para o conjunto principal de um projeto: resourcemanager.projects.searchPolicyBindings no projeto
Confira as vinculações de políticas para o conjunto principal de uma pasta: resourcemanager.folders.searchPolicyBindings na pasta
Acessar as vinculações de políticas para o conjunto principal de uma organização: resourcemanager.organizations.searchPolicyBindings na organização

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Listar políticas de limite de acesso principal para uma organização

Para conferir todas as políticas de limite de acesso de principal criadas em uma organização, liste as políticas de limite de acesso de principal na organização.

É possível listar as políticas de limite de acesso principal em uma organização usando o console do Google Cloud, a CLI gcloud ou a API REST do IAM.

Console

No console do Google Cloud, acesse a página Políticas de limite de acesso de principal.

Acesse as políticas de limite de acesso de principal
Selecione a organização para a qual você quer criar políticas de limite de acesso de principal.

O console do Google Cloud lista todas as políticas na organização que você seleciona.

gcloud

O comando gcloud beta iam principal-access-boundary-policies list lista todas as políticas de limite de acesso de principal em uma organização.

Antes de usar os dados do comando abaixo, faça estas substituições:

ORG_ID: o ID da organização do Google Cloud para a qual você quer listar as políticas de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

A resposta contém as políticas de limite de acesso de principal na organização especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

O método principalAccessBoundaryPolicies.list lista todas as políticas de limite de acesso de principal em uma organização.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORG_ID: o ID da organização do Google Cloud para a qual você quer listar as políticas de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.

Método HTTP e URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies" | Select-Object -Expand Content

A resposta contém as políticas de limite de acesso de principal na organização especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Receber uma única política de limite de acesso de principal

Para conferir os detalhes de uma única política de limite de acesso de principal, use o ID da política para acessá-la.

É possível receber uma política de limite de acesso principal usando o console do Google Cloud, a CLI gcloud ou a API REST do IAM.

Console

No console do Google Cloud, acesse a página Políticas de limite de acesso de principal.

Acesse as políticas de limite de acesso de principal
Selecione a organização para a qual você quer criar políticas de limite de acesso de principal.
Clique no ID da política de limite de acesso de principal que você quer acessar.

O console do Google Cloud mostra os detalhes da política de limite de acesso principal selecionada.

gcloud

O comando gcloud beta iam principal-access-boundary-policies describe recebe uma única política de limite de acesso de principal.

Antes de usar os dados do comando abaixo, faça estas substituições:

PAB_POLICY_ID: o ID da política de limite de acesso de principal que você quer receber, por exemplo, example-policy.
ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

A resposta contém a Política de limite de acesso principal especificada na solicitação.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

O método principalAccessBoundaryPolicies.get recebe uma única política de limite de acesso de principal.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
PAB_POLICY_ID: o ID da política de limite de acesso de principal que você quer receber, por exemplo, example-policy.

Método HTTP e URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" | Select-Object -Expand Content

A resposta contém a Política de limite de acesso principal especificada na solicitação.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Listar vinculações de políticas para políticas de limite de acesso principal

Há várias maneiras de listar vinculações de políticas para políticas de limite de acesso principal:

Listar vinculações de políticas para uma política de limite de acesso de principal
Listar vinculações de políticas para um conjunto de principais
Listar vinculações de políticas para um projeto, pasta ou organização

Listar vinculações de políticas para uma política de limite de acesso principal

Para conferir todas as vinculações de políticas que incluem uma determinada política de limite de acesso principal, pesquise as vinculações para a política de limite de acesso principal.

É possível conferir todas as vinculações de política para uma política de limite de acesso principal usando o console do Google Cloud, a CLI gcloud ou a API REST do IAM.

Console

No console do Google Cloud, acesse a página Políticas de limite de acesso de principal.

Acesse as políticas de limite de acesso de principal
Selecione a organização que tem a política de limite de acesso de principal que você quer ver as vinculações.
Clique no ID da política de limite de acesso de principal que você quer conferir as vinculações.
Clique na guia Vinculações.

A guia Vinculação lista todas as vinculações de políticas de limite de acesso de principal que incluem a política de limite de acesso de principal.

gcloud

O comando gcloud beta iam principal-access-boundary-policies search-policy-bindings lista todas as vinculações de políticas para a política de limite de acesso de principal especificada.

Antes de usar os dados do comando abaixo, faça estas substituições:

PAB_POLICY_ID: o ID da política de limite de acesso de principal que você quer listar as vinculações de política, por exemplo, example-policy.
ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

A resposta contém as vinculações de políticas para a política de limite de acesso de principal especificada.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

O método principalAccessBoundaryPolicies.searchPolicyBindings lista todas as vinculações de políticas para a política de limite de acesso de principal especificada.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
PAB_POLICY_ID: o ID da política de limite de acesso de principal que você quer listar as vinculações de política, por exemplo, example-policy.

Método HTTP e URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings" | Select-Object -Expand Content

A resposta contém as vinculações de políticas para a política de limite de acesso de principal especificada.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Listar vinculações de políticas para um conjunto de principais

Para conferir todas as vinculações de políticas que incluem um determinado conjunto de principais, pesquise as vinculações para o conjunto de principais.

Essas vinculações contêm os IDs das políticas de limite de acesso de principal vinculadas ao conjunto de principais. Para conferir os detalhes dessas políticas, use o ID da política para pegar a política de limite de acesso principal.

É possível conferir todas as vinculações de políticas para um conjunto de principais usando a CLI gcloud ou a API REST do IAM.

gcloud

O comando gcloud beta iam policy-bindings search-target-policy-bindings recebe todas as políticas de limite de acesso de principal vinculadas a um conjunto de principais.

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) de que o principal definido é filho. Use o valor project, folder ou organization

O tipo de recurso depende do tipo de principal definido que você quer listar as vinculações de políticas. Para saber qual tipo de recurso usar, consulte Tipos principais aceitos.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que o conjunto de principal de destino é filho. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
PRINCIPAL_SET: o conjunto de principais com as vinculações de políticas de limite de acesso de principal que você quer consultar. Para conferir uma lista de tipos principais válidos, consulte Conjuntos de principais aceitos.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

A resposta contém todas as vinculações de políticas vinculadas ao conjunto de principais de destino.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

O método SearchTargetPolicyBindings.search recebe todas as políticas de limite de acesso de principal vinculadas a um conjunto de principais.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) de que o principal definido é filho. Use o valor projects, folders ou organizations

O tipo de recurso depende do tipo de principal definido que você quer listar as vinculações de políticas. Para saber qual tipo de recurso usar, consulte Tipos principais aceitos.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que o conjunto de principal de destino é filho. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
PRINCIPAL_SET: o conjunto de principais com as vinculações de política de limite de acesso de principal que você quer consultar. Para conferir uma lista de tipos principais válidos, consulte Conjuntos de principais aceitos.

Método HTTP e URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET" | Select-Object -Expand Content

A resposta contém todas as vinculações de políticas vinculadas ao conjunto de principais de destino.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Listar vinculações de políticas para um projeto, pasta ou organização

Para conferir todas as vinculações de políticas que são filhos de um projeto, pasta ou organização específico, liste as vinculações de políticas para esse projeto, pasta ou organização.

O recurso pai de uma vinculação de política depende do principal definido na vinculação. Para saber mais, consulte Tipos principais compatíveis.

É possível conferir todas as vinculações de políticas de um projeto, pasta ou organização usando a CLI gcloud ou a API REST do IAM.

gcloud

O comando gcloud beta iam policy-bindings list lista todas as vinculações de políticas que são filhos de um determinado recurso.

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor project, folder ou organization

O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

A resposta contém as vinculações de política que são filhos do recurso no comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

O método policyBindings.list lista todas as vinculações de políticas que são filhos de um determinado recurso.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor projects, folders ou organizations

O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.

Método HTTP e URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings" | Select-Object -Expand Content

A resposta contém as vinculações de políticas que são filhos do recurso na solicitação.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Receber uma vinculação de política para uma política de limite de acesso principal

Para conferir os detalhes de uma vinculação de política, use o ID dela para receber a vinculação.

É possível receber uma vinculação de política usando a CLI gcloud ou a API REST do IAM.

gcloud

O comando gcloud beta iam policy-bindings describe recebe uma vinculação de política.

Antes de usar os dados do comando abaixo, faça estas substituições:

BINDING_ID: o ID da vinculação de política que você quer receber, por exemplo, example-binding.
RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor project, folder ou organization

O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud beta iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

A resposta contém a vinculação de política.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

O método policyBindings.get recebe uma vinculação de política.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor projects, folders ou organizations

O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
BINDING_ID: o ID da vinculação de política que você quer receber, por exemplo, example-binding.

Método HTTP e URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

A resposta contém a vinculação de política.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Conferir as políticas de limite de acesso principal

Antes de começar

gcloud

REST

Funções necessárias para visualizar políticas de limite de acesso principal

Permissões necessárias

Funções necessárias para visualizar vinculações de políticas

Permissões necessárias

Papéis necessários para visualizar todas as vinculações de políticas de limite de acesso de principal

Papéis necessários para visualizar vinculações de políticas para um conjunto de principais

Permissões necessárias

Listar políticas de limite de acesso principal para uma organização

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Receber uma única política de limite de acesso de principal

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Listar vinculações de políticas para políticas de limite de acesso principal

Listar vinculações de políticas para uma política de limite de acesso principal

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Listar vinculações de políticas para um conjunto de principais

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Listar vinculações de políticas para um projeto, pasta ou organização

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Receber uma vinculação de política para uma política de limite de acesso principal

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

A seguir