Principal Access Boundary-Richtlinien aufrufen

Mit PAB-Richtlinien (Principal Access Boundary) können Sie die Ressourcen einschränken, auf die eine Gruppe von Hauptkonten zugreifen darf. Auf dieser Seite wird beschrieben, wie Sie Principal Access Boundary-Richtlinien und Richtlinienbindungen für Principal Access Boundary-Richtlinien aufrufen.

Hinweise

  • Richten Sie die Authentifizierung ein.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

  • Lesen Sie die Übersicht über Principal Access Boundary-Richtlinien.

Rollen, die zum Ansehen von Principal Access Boundary-Richtlinien erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Ansehen von Principal Access Boundary-Richtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Aufrufen von Principal Access Boundary-Richtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Principal Access Boundary-Richtlinien aufzurufen:

  • So rufen Sie eine einzelne Principal Access Boundary-Richtlinie auf: iam.principalaccessboundarypolicies.get
  • Principal Access Boundary-Richtlinien in einer Organisation auflisten: iam.principalaccessboundarypolicies.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Aufrufen von Richtlinienbindungen erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die übergeordnete Ressource der Richtlinienbindungen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Richtlinienbindungen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen von Richtlinienbindungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für das Aufrufen von Richtlinienbindungen erforderlich:

  • So rufen Sie eine einzelne Richtlinienbindung auf: iam.policybindings.get
  • Richtlinienbindungen in einem Projekt, Ordner oder einer Organisation auflisten: iam.policybindings.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Ansehen aller Richtlinienbindungen für eine Principal Access Boundary-Richtlinie erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) für die Organisation zu gewähren, um die Berechtigung zu erhalten, die Sie zum Aufrufen aller Richtlinienbindungen für eine Principal Access Boundary-Richtlinie benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung iam.principalaccessboundarypolicies.searchIamPolicyBindings, die zum Aufrufen aller Richtlinienbindungen für eine Principal Access Boundary-Richtlinie erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Ansehen von Richtlinienbindungen für eine Hauptkontogruppe erforderlich sind

Welche Berechtigungen Sie benötigen, um alle Richtlinienbindungen für einen Hauptkontensatz aufzurufen, hängt davon ab, für welchen Hauptkontensatz Sie die Richtlinien aufrufen möchten.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Richtlinienbindungen benötigen:

  • Richtlinienbindungen für Mitarbeiteridentitätsföderationspools aufrufen: IAM-Mitarbeiterpool-Administrator (roles/iam.workforcePoolAdmin) für den Ziel-Workforce Identity-Föderationspool
  • Richtlinienbindungen für Workload Identity-Föderationspools aufrufen: IAM Workload Identity-Pool-Administrator (roles/iam.workloadIdentityPoolAdmin) für das Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Richtlinienbindungen für eine Google Workspace-Domain aufrufen: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) für die Organisation
  • Richtlinienbindungen für den Hauptkontensatz eines Projekts aufrufen: Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt
  • Richtlinienbindungen für den Hauptkontosatz eines Ordners aufrufen: Folder IAM Admin (roles/resourcemanager.folderIamAdmin) für den Ordner
  • Richtlinienbindungen für den Hauptkontosatz einer Organisation ansehen: Organization Administrator (roles/resourcemanager.organizationAdmin) für die Organisation

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen von Richtlinienbindungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für das Aufrufen von Richtlinienbindungen erforderlich:

  • Richtlinienbindungen für Pools der Mitarbeiteridentitätsföderation aufrufen: iam.workforcePools.searchPolicyBindings im Zielpool der Mitarbeiteridentitätsföderation
  • Richtlinienbindungen für Pools der Identitätsföderation von Arbeitslasten aufrufen: iam.workloadIdentityPools.searchPolicyBindings im Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Richtlinienbindungen für eine Google Workspace-Domain aufrufen: iam.workspacePools.searchPolicyBindings für die Organisation
  • Richtlinienbindungen für den Hauptkontosatz eines Projekts aufrufen: resourcemanager.projects.searchPolicyBindings für das Projekt
  • Richtlinienbindungen für den Hauptkontosatz eines Ordners aufrufen: resourcemanager.folders.searchPolicyBindings für den Ordner
  • Richtlinienbindungen für den Hauptkontosatz einer Organisation ansehen: resourcemanager.organizations.searchPolicyBindings für die Organisation

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Principal Access Boundary-Richtlinien für eine Organisation auflisten

Wenn Sie alle in einer Organisation erstellten Principal Access Boundary-Richtlinien aufrufen möchten, listen Sie die Principal Access Boundary-Richtlinien in der Organisation auf.

Sie können die Principal Access Boundary-Richtlinien in einer Organisation mit der Google Cloud Console, der gcloud CLI oder der IAM REST API auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, für die Sie Principal Access Boundary-Richtlinien erstellen möchten.

In der Google Cloud Console werden alle Richtlinien in der von Ihnen ausgewählten Organisation aufgeführt.

gcloud

Mit dem Befehl gcloud beta iam principal-access-boundary-policies list werden alle Principal Access Boundary-Richtlinien in einer Organisation aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORG_ID: Die ID der Google Cloud-Organisation, für die Sie Principal Access Boundary-Richtlinien auflisten möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

Die Antwort enthält die Principal Access Boundary-Richtlinien in der angegebenen Organisation.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

Mit der Methode principalAccessBoundaryPolicies.list werden alle Principal Access Boundary-Richtlinien in einer Organisation aufgelistet.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Google Cloud-Organisation, für die Sie Principal Access Boundary-Richtlinien auflisten möchten. Organisations-IDs sind numerisch, z. B. 123456789012.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Principal Access Boundary-Richtlinien in der angegebenen Organisation.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Einzelne Principal Access Boundary-Richtlinie abrufen

Wenn Sie die Details einer einzelnen Principal Access Boundary-Richtlinie aufrufen möchten, verwenden Sie die ID der Richtlinie, um sie abzurufen.

Sie können eine Principal Access Boundary-Richtlinie mit der Google Cloud Console, der gcloud CLI oder der IAM REST API abrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, für die Sie Principal Access Boundary-Richtlinien erstellen möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, die Sie aufrufen möchten.

In der Google Cloud Console werden die Details der ausgewählten Principal Access Boundary-Richtlinie angezeigt.

gcloud

Mit dem Befehl gcloud beta iam principal-access-boundary-policies describe wird eine einzelne Principal Access Boundary-Richtlinie abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie abrufen möchten, z. B. example-policy.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

Die Antwort enthält die in der Anfrage angegebene Principal Access Boundary-Richtlinie.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

Mit der Methode principalAccessBoundaryPolicies.get wird eine einzelne Principal Access Boundary-Richtlinie abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie abrufen möchten, z. B. example-policy.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die in der Anfrage angegebene Principal Access Boundary-Richtlinie.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Richtlinienbindungen für Principal Access Boundary-Richtlinien auflisten

Es gibt mehrere Möglichkeiten, Richtlinienbindungen für Principal Access Boundary-Richtlinien aufzulisten:

Richtlinienbindungen für eine Principal Access Boundary-Richtlinie auflisten

Wenn Sie alle Richtlinienbindungen mit einer bestimmten Principal Access Boundary-Richtlinie aufrufen möchten, suchen Sie in den Bindungen nach der entsprechenden Richtlinie.

Sie können alle Richtlinienbindungen für eine Principal Access Boundary-Richtlinie mit der Google Cloud Console, der gcloud CLI oder der IAM REST API aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

    Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, für die Sie Bindungen ansehen möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, für die Sie Bindungen ansehen möchten.

  4. Klicken Sie auf den Tab Bindungen.

Auf dem Tab Bindungen sind alle Principal Access Boundary-Richtlinienbindungen aufgeführt, die die Principal Access Boundary-Richtlinie enthalten.

gcloud

Mit dem Befehl gcloud beta iam principal-access-boundary-policies search-policy-bindings werden alle Richtlinienbindungen für die angegebene Principal Access Boundary-Richtlinie aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, für die Sie Richtlinienbindungen auflisten möchten, z. B. example-policy.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

Die Antwort enthält die Richtlinienbindungen für die angegebene Principal Access Boundary-Richtlinie.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Mit der Methode principalAccessBoundaryPolicies.searchPolicyBindings werden alle Richtlinienbindungen für die angegebene Principal Access Boundary-Richtlinie aufgelistet.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, für die Sie Richtlinienbindungen auflisten möchten, z. B. example-policy.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Richtlinienbindungen für die angegebene Principal Access Boundary-Richtlinie.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Richtlinienbindungen für eine Hauptkontogruppe auflisten

Wenn Sie alle Richtlinienbindungen sehen möchten, die eine bestimmte Hauptkontogruppe enthalten, suchen Sie in den Bindungen nach der Hauptkontogruppe.

Diese Bindungen enthalten die IDs der Principal Access Boundary-Richtlinien, die an die Hauptkontogruppe gebunden sind. Wenn Sie die Details dieser Richtlinien sehen möchten, verwenden Sie die Richtlinien-ID, um die Principal Access Boundary-Richtlinie abzurufen.

Sie können alle Richtlinienbindungen für einen Principal-Set mit der gcloud CLI oder der IAM REST API aufrufen.

gcloud

Mit dem Befehl gcloud beta iam policy-bindings search-target-policy-bindings werden alle Principal Access Boundary-Richtlinien abgerufen, die an eine Hauptkontogruppe gebunden sind.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element das Ziel-Hauptkonto ist. Verwenden Sie den Wert project, folder oder organization

    Der Ressourcentyp hängt davon ab, für welche Art von Hauptkontogruppe Sie die Richtlinienbindungen auflisten möchten. Informationen dazu, welchen Ressourcentyp Sie verwenden sollten, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, zu dem bzw. der die Ziel-Hauptkontogruppe ein untergeordnetes Element ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PRINCIPAL_SET: Der Hauptkontosatz, dessen Principal Access Boundary-Richtlinienbindungen Sie aufrufen möchten. Eine Liste der gültigen Hauptkontotypen finden Sie unter Unterstützte Hauptkontosätze.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

Die Antwort enthält alle Richtlinienbindungen, die an die Ziel-Hauptkontogruppe gebunden sind.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

Mit der Methode SearchTargetPolicyBindings.search werden alle Principal Access Boundary-Richtlinien abgerufen, die an eine Hauptkontogruppe gebunden sind.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element das Ziel-Hauptkonto ist. Verwenden Sie den Wert projects, folders oder organizations

    Der Ressourcentyp hängt davon ab, für welche Art von Hauptkontogruppe Sie die Richtlinienbindungen auflisten möchten. Informationen dazu, welchen Ressourcentyp Sie verwenden sollten, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, zu dem bzw. der die Ziel-Hauptkontogruppe ein untergeordnetes Element ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

  • PRINCIPAL_SET: Der Hauptkontosatz, dessen Principal Access Boundary-Richtlinienbindungen Sie aufrufen möchten. Eine Liste der gültigen Hauptkontotypen finden Sie unter Unterstützte Hauptkontosätze.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält alle Richtlinienbindungen, die an die Ziel-Hauptkontogruppe gebunden sind.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Richtlinienbindungen für ein Projekt, einen Ordner oder eine Organisation auflisten

Wenn Sie alle Richtlinienbindungen auflisten möchten, die einem bestimmten Projekt, Ordner oder einer bestimmten Organisation untergeordnet sind, listen Sie die Richtlinienbindungen für dieses Projekt, diesen Ordner oder diese Organisation auf.

Die übergeordnete Ressource einer Richtlinienbindung hängt vom in der Richtlinienbindung festgelegten Hauptkonto ab. Weitere Informationen finden Sie unter Unterstützte Hauptkontotypen.

Mit der gcloud CLI oder der IAM REST API können Sie alle Richtlinienbindungen für ein Projekt, einen Ordner oder eine Organisation aufrufen.

gcloud

Mit dem Befehl gcloud beta iam policy-bindings list werden alle Richtlinienbindungen aufgelistet, die einer bestimmten Ressource untergeordnet sind.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert project, folder oder organization

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

Die Antwort enthält die Richtlinienbindungen, die untergeordnet sind der Ressource im Befehl.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Mit der Methode policyBindings.list werden alle Richtlinienbindungen aufgelistet, die untergeordneten Ressourcen einer bestimmten Ressource sind.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert projects, folders oder organizations

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Richtlinienbindungen, die untergeordnete Elemente der Ressource in der Anfrage sind.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Richtlinienbindung für eine Principal Access Boundary-Richtlinie abrufen

Wenn Sie die Details einer einzelnen Richtlinienbindung aufrufen möchten, verwenden Sie die ID der Richtlinienbindung, um sie abzurufen.

Sie können eine Richtlinienbindung mit der gcloud CLI oder der IAM REST API abrufen.

gcloud

Mit dem Befehl gcloud beta iam policy-bindings describe wird eine Richtlinienbindung abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • BINDING_ID: Die ID der Richtlinienbindung, die Sie abrufen möchten, z. B. example-binding.

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert project, folder oder organization

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

Die Antwort enthält die Richtlinienbindung.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

Mit der Methode policyBindings.get wird eine Richtlinienbindung abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), deren untergeordnetes Element die Richtlinienbindung ist. Verwenden Sie den Wert projects, folders oder organizations

    Der Ressourcentyp hängt von der in der Richtlinienbindung festgelegten Hauptkontogruppe ab. Informationen dazu, welchen Ressourcentyp Sie verwenden müssen, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, deren untergeordnetes Element die Richtlinienbindung ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • BINDING_ID: Die ID der Richtlinienbindung, die Sie abrufen möchten, z. B. example-binding.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Richtlinienbindung.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Nächste Schritte