Afficher les stratégies de limite d'accès des comptes principaux

Les stratégies de limite d'accès des comptes principaux (PAB, Principal Access Boundary) vous permettent de limiter les ressources auxquelles un ensemble de comptes principaux est autorisé à accéder. Cette page explique comment afficher les stratégies de limite d'accès des comptes principaux et les liaisons de stratégie pour ces stratégies.

Avant de commencer

  • Configurez l'authentification.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Pour utiliser les exemples d'API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à gcloud CLI.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Pour en savoir plus, consultez la section S'authentifier pour utiliser REST dans la documentation sur l'authentification Google Cloud.

  • Consultez la présentation des stratégies de limite d'accès des comptes principaux.

Rôles requis pour afficher les stratégies de limite d'accès des comptes principaux

Pour obtenir les autorisations nécessaires pour afficher les stratégies de limite d'accès des comptes principaux, demandez à votre administrateur de vous accorder le rôle IAM Lecteur de limites d'accès des comptes principaux (roles/iam.principalAccessBoundaryViewer) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour afficher les stratégies de limite d'accès des comptes principaux. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour afficher les stratégies de limite d'accès des comptes principaux:

  • Afficher une seule stratégie de limite d'accès des comptes principaux : iam.principalaccessboundarypolicies.get
  • Répertoriez les stratégies de limite d'accès des comptes principaux dans une organisation : iam.principalaccessboundarypolicies.list

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Rôles requis pour afficher les liaisons de stratégie

Pour obtenir les autorisations nécessaires pour afficher les liaisons de stratégie, demandez à votre administrateur de vous accorder les rôles IAM suivants sur la ressource parente des liaisons de stratégies :

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour afficher les liaisons de stratégie. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour afficher les liaisons de stratégie :

  • Afficher une seule liaison de stratégie : iam.policybindings.get
  • Afficher la liste des liaisons de stratégie d'un projet, un dossier ou une organisation : iam.policybindings.list

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Rôles requis pour afficher toutes les liaisons de stratégie pour une stratégie de limite d'accès des comptes principaux

Pour obtenir l'autorisation nécessaire pour afficher toutes les liaisons de stratégies pour une stratégie de limite d'accès des comptes principaux, demandez à votre administrateur de vous accorder le rôle IAM Lecteur de limites d'accès des comptes principaux (roles/iam.principalAccessBoundaryViewer) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient l'autorisation iam.principalaccessboundarypolicies.searchIamPolicyBindings, qui est nécessaire pour afficher toutes les liaisons de stratégie pour une stratégie de limite d'accès des comptes principaux.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Rôles requis pour afficher les liaisons de stratégie pour un ensemble de comptes principaux

Les autorisations dont vous avez besoin pour afficher toutes les liaisons de stratégie d'un ensemble de comptes principaux dépendent de l'ensemble de comptes principaux pour lequel vous souhaitez afficher les stratégies.

Pour obtenir les autorisations nécessaires pour afficher les liaisons de stratégie, demandez à votre administrateur de vous accorder les rôles IAM suivants :

  • Afficher les liaisons de stratégie pour les pools de fédération des identités des employés : Administrateur de pools d'employés IAM (roles/iam.workforcePoolAdmin) sur le pool de fédération des identités des employés cible.
  • Affichez les liaisons de stratégie pour les pools de fédération d'identité de charge de travail : Administrateur de pools d'identités de charge de travail IAM (roles/iam.workloadIdentityPoolAdmin) sur le projet qui possède le pool de fédération d'identité Workforce cible.
  • Afficher les liaisons de stratégies pour un domaine Google Workspace : Administrateur IAM de pools d'espaces de travail (roles/iam.workspacePoolAdmin) de l'organisation.
  • Afficher les liaisons de stratégie pour l'ensemble de comptes principaux d'un projet : Administrateur IAM du projet (roles/resourcemanager.projectIamAdmin) sur le projet.
  • Afficher les liaisons de stratégie pour l'ensemble de comptes principaux d'un dossier : Administrateur IAM du dossier (roles/resourcemanager.folderIamAdmin) sur le dossier.
  • Afficher les associations de stratégies pour un ensemble de comptes principaux d'une organisation : Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) de l'organisation.

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour afficher les liaisons de stratégie. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour afficher les liaisons de stratégie :

  • Afficher les liaisons de stratégie pour les pools de fédération d'identités de personnel : iam.workforcePools.searchPolicyBindings sur le pool de fédération d'identités de personnel cible
  • Affichez les liaisons de stratégie pour les pools de fédération d'identité de charge de travail : iam.workloadIdentityPools.searchPolicyBindings sur le projet propriétaire du pool de fédération d'identité de personnel cible
  • Affichez les liaisons de stratégie pour un domaine Google Workspace : iam.workspacePools.searchPolicyBindings sur l'organisation
  • Affichez les liaisons de stratégies pour l'ensemble de comptes principaux d'un projet : resourcemanager.projects.searchPolicyBindings sur le projet
  • Afficher les liaisons de stratégie pour l'ensemble de comptes principaux d'un dossier : resourcemanager.folders.searchPolicyBindings sur le dossier
  • Affichez les liaisons de stratégies pour l'ensemble de comptes principaux d'une organisation : resourcemanager.organizations.searchPolicyBindings sur l'organisation

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Répertorier les stratégies de limite d'accès des comptes principaux pour une organisation

Pour afficher toutes les stratégies de limite d'accès des comptes principaux créées dans une organisation, répertoriez-les.

Vous pouvez lister les stratégies de limite d'accès des comptes principaux d'une organisation à l'aide de la console Google Cloud, de gcloud CLI ou de l'API REST IAM.

Console

  1. Dans la console Google Cloud, accédez à la page Stratégies de limite d'accès des principaux.

    Accéder aux stratégies de limite d'accès des comptes principaux

  2. Sélectionnez l'organisation pour laquelle vous souhaitez créer des stratégies de limite d'accès des comptes principaux.

La console Google Cloud répertorie toutes les stratégies de l'organisation que vous sélectionnez.

gcloud

La commande gcloud beta iam principal-access-boundary-policies list liste toutes les stratégies de limite d'accès des comptes principaux d'une organisation.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORG_ID: ID de l'organisation Google Cloud pour laquelle vous souhaitez lister les stratégies de limite d'accès des comptes principaux. Les identifiants des organisations sont numériques, comme 123456789012.
  • FORMAT : format de la réponse. Utilisez json ou yaml.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

La réponse contient les stratégies de limite d'accès des comptes principaux dans l'organisation spécifiée.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

La méthode principalAccessBoundaryPolicies.list liste toutes les stratégies de limite d'accès des comptes principaux d'une organisation.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORG_ID: ID de l'organisation Google Cloud pour laquelle vous souhaitez lister les stratégies de limite d'accès des comptes principaux. Les identifiants des organisations sont numériques, comme 123456789012.

Méthode HTTP et URL : 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient les stratégies de limite d'accès des comptes principaux dans l'organisation spécifiée.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Obtenir une stratégie de limite d'accès des comptes principaux

Pour afficher les détails d'une stratégie de limite d'accès des comptes principaux, utilisez l'ID de la stratégie pour l'obtenir.

Vous pouvez obtenir une stratégie de limite d'accès des comptes principaux à l'aide de la console Google Cloud, de gcloud CLI ou de l'API REST IAM.

Console

  1. Dans la console Google Cloud, accédez à la page Stratégies de limite d'accès des principaux.

    Accéder aux stratégies de limite d'accès des comptes principaux

  2. Sélectionnez l'organisation pour laquelle vous souhaitez créer des stratégies de limite d'accès des comptes principaux.

  3. Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux que vous souhaitez afficher.

La console Google Cloud affiche les détails de la stratégie de limite d'accès des comptes principaux que vous sélectionnez.

gcloud

La commande gcloud beta iam principal-access-boundary-policies describe obtient une seule stratégie de limite d'accès des comptes principaux.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • PAB_POLICY_ID : ID de la stratégie de limite d'accès des comptes principaux que vous souhaitez obtenir (par exemple, example-policy).
  • ORG_ID : ID de l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux. Les identifiants des organisations sont numériques, comme 123456789012.
  • FORMAT : format de la réponse. Utilisez json ou yaml.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La réponse contient la stratégie de limite d'accès des comptes principaux spécifiée dans la requête.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

La méthode principalAccessBoundaryPolicies.get obtient une seule stratégie de limite d'accès des comptes principaux.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORG_ID : ID de l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux. Les identifiants des organisations sont numériques, comme 123456789012.
  • PAB_POLICY_ID : ID de la stratégie de limite d'accès des comptes principaux que vous souhaitez obtenir (par exemple, example-policy).

Méthode HTTP et URL : 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient la stratégie de limite d'accès des comptes principaux spécifiée dans la requête.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Répertorier les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux

Il existe plusieurs façons de lister les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux:

Répertorier les liaisons de stratégie pour une stratégie de limite d'accès des comptes principaux

Pour afficher toutes les liaisons de stratégie incluant une stratégie de limite d'accès des comptes principaux spécifique, recherchez les liaisons de la stratégie de limite d'accès des comptes principaux.

Vous pouvez afficher toutes les liaisons de stratégie pour une stratégie de limite d'accès des comptes principaux à l'aide de la console Google Cloud, de la gcloud CLI ou de l'API REST IAM.

Console

  1. Dans la console Google Cloud, accédez à la page Stratégies de limite d'accès des principaux.

    Accéder aux stratégies de limite d'accès des comptes principaux

  2. Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez afficher les liaisons.

  3. Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux pour laquelle vous souhaitez afficher les liaisons.

  4. Cliquez sur l'onglet Liaison.

L'onglet Liaison liste toutes les liaisons de stratégie de limite d'accès des comptes principaux qui incluent la stratégie de limite d'accès des comptes principaux.

gcloud

La commande gcloud beta iam principal-access-boundary-policies search-policy-bindings liste toutes les liaisons de stratégie pour la stratégie de limite d'accès des comptes principaux spécifiée.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • PAB_POLICY_ID: ID de la stratégie de limite d'accès des comptes principaux pour laquelle vous souhaitez lister les liaisons de stratégie (par exemple, example-policy).
  • ORG_ID : ID de l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux. Les identifiants des organisations sont numériques, comme 123456789012.
  • FORMAT : format de la réponse. Utilisez json ou yaml.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La réponse contient les liaisons de stratégie pour la stratégie de limite d'accès des comptes principaux spécifiée.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

La méthode principalAccessBoundaryPolicies.searchPolicyBindings liste toutes les liaisons de stratégie pour la stratégie de limite d'accès des comptes principaux spécifiée.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORG_ID : ID de l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux. Les identifiants des organisations sont numériques, comme 123456789012.
  • PAB_POLICY_ID: ID de la stratégie de limite d'accès des comptes principaux pour laquelle vous souhaitez lister les liaisons de stratégie (par exemple, example-policy).

Méthode HTTP et URL : 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient les liaisons de stratégie pour la stratégie de limite d'accès des comptes principaux spécifiée.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Répertorier les liaisons de stratégie pour un ensemble de comptes principaux

Pour afficher toutes les liaisons de stratégie qui incluent un ensemble de comptes principaux spécifique, recherchez les liaisons de cet ensemble.

Ces liaisons contiennent les ID des stratégies de limite d'accès des comptes principaux qui sont liées à l'ensemble de comptes principaux. Pour afficher les détails de ces stratégies, utilisez l'ID de la stratégie afin d'obtenir la stratégie de limite d'accès des comptes principaux.

Vous pouvez afficher toutes les liaisons de stratégie d'un ensemble de comptes principaux à l'aide de gcloud CLI ou de l'API REST IAM.

gcloud

La commande gcloud beta iam policy-bindings search-target-policy-bindings récupère toutes les stratégies de limite d'accès des comptes principaux liées à un ensemble de comptes principaux.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE: type de la ressource Resource Manager (projet, dossier ou organisation) dont l'ensemble de comptes principaux cibles est enfant. Utilisez la valeur project, folder ou organization.

    Le type de ressource dépend du type d'ensemble de comptes principaux dont vous souhaitez lister les liaisons de stratégie. Pour savoir quel type de ressource utiliser, consultez la section Types de comptes principaux compatibles.

  • RESOURCE_ID: ID du projet, du dossier ou de l'organisation dont l'ensemble de comptes principaux cible est enfant. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossiers et d'organisations sont numériques, tels que 123456789012.
  • PRINCIPAL_SET: ensemble de comptes principaux dont vous souhaitez afficher les liaisons de stratégie de limite d'accès des comptes principaux. Pour obtenir la liste des types de comptes principaux valides, consultez la section Ensembles de comptes principaux compatibles.
  • FORMAT : format de la réponse. Utilisez json ou yaml.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud beta iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

La réponse contient toutes les liaisons de stratégie liées à l'ensemble de comptes principaux cibles.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

La méthode SearchTargetPolicyBindings.search récupère toutes les stratégies de limite d'accès des comptes principaux liées à un ensemble de comptes principaux.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE: type de la ressource Resource Manager (projet, dossier ou organisation) dont l'ensemble de comptes principaux cibles est enfant. Utilisez la valeur projects, folders ou organizations.

    Le type de ressource dépend du type d'ensemble de comptes principaux dont vous souhaitez lister les liaisons de stratégie. Pour savoir quel type de ressource utiliser, consultez la section Types de comptes principaux compatibles.

  • RESOURCE_ID: ID du projet, du dossier ou de l'organisation dont l'ensemble de comptes principaux cible est enfant. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossiers et d'organisations sont numériques, tels que 123456789012.

  • PRINCIPAL_SET: ensemble de comptes principaux dont vous souhaitez afficher les liaisons de stratégie de limite d'accès des comptes principaux. Pour obtenir la liste des types de comptes principaux valides, consultez la section Ensembles de comptes principaux compatibles.

Méthode HTTP et URL : 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient toutes les liaisons de stratégie liées à l'ensemble de comptes principaux cibles.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Répertorier les liaisons de stratégie pour un projet, un dossier ou une organisation

Pour afficher toutes les liaisons de stratégie qui sont des enfants d'un projet, d'un dossier ou d'une organisation spécifique, répertoriez les liaisons de stratégie pour ce projet, ce dossier ou cette organisation.

La ressource parente d'une liaison de stratégie dépend de l'ensemble de comptes principaux défini dans la liaison de stratégie. Pour en savoir plus, consultez la section Types de comptes principaux compatibles.

Vous pouvez afficher toutes les liaisons de stratégie pour un projet, un dossier ou une organisation à l'aide de gcloud CLI ou de l'API REST IAM.

gcloud

La commande gcloud beta iam policy-bindings list liste toutes les liaisons de stratégie qui sont enfants d'une certaine ressource.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de la ressource Resource Manager (projet, dossier ou organisation) dont l'association de stratégies est un enfant. Utilisez la valeur project, folder ou organization.

    Le type de ressource dépend de l'ensemble de comptes principaux défini dans la liaison de stratégies. Pour savoir quel type de ressource utiliser, consultez la section Types de comptes principaux compatibles.

  • RESOURCE_ID : ID du projet, du dossier ou de l'organisation dont l'association de stratégies est un enfant. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossiers et d'organisations sont numériques, tels que 123456789012.
  • FORMAT : format de la réponse. Utilisez json ou yaml.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

La réponse contient les liaisons de stratégie qui sont des enfants de la ressource dans la commande.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

La méthode policyBindings.list liste toutes les liaisons de stratégie qui sont enfants d'une certaine ressource.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de la ressource Resource Manager (projet, dossier ou organisation) dont l'association de stratégies est un enfant. Utilisez la valeur projects, folders ou organizations.

    Le type de ressource dépend de l'ensemble de comptes principaux défini dans la liaison de stratégies. Pour savoir quel type de ressource utiliser, consultez la section Types de comptes principaux compatibles.

  • RESOURCE_ID : ID du projet, du dossier ou de l'organisation dont l'association de stratégies est un enfant. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossiers et d'organisations sont numériques, tels que 123456789012.

Méthode HTTP et URL : 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient les liaisons de stratégie qui sont des enfants de la ressource dans la requête.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Obtenir une liaison de stratégie pour une stratégie de limite d'accès des comptes principaux

Pour afficher les détails d'une seule liaison de stratégie, utilisez l'ID de la liaison de stratégie pour l'obtenir.

Vous pouvez obtenir une liaisons de stratégie à l'aide de gcloud CLI ou de l'API REST IAM.

gcloud

La commande gcloud beta iam policy-bindings describe obtient une liaison de stratégie.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • BINDING_ID : ID de la liaison de stratégie que vous souhaitez supprimer (par exemple, example-binding).

  • RESOURCE_TYPE : type de la ressource Resource Manager (projet, dossier ou organisation) dont l'association de stratégies est un enfant. Utilisez la valeur project, folder ou organization.

    Le type de ressource dépend de l'ensemble de comptes principaux défini dans la liaison de stratégies. Pour savoir quel type de ressource utiliser, consultez la section Types de comptes principaux compatibles.

  • RESOURCE_ID : ID du projet, du dossier ou de l'organisation dont l'association de stratégies est un enfant. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossiers et d'organisations sont numériques, tels que 123456789012.
  • FORMAT : format de la réponse. Utilisez json ou yaml.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud beta iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

La réponse contient la liaison de la stratégie.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

La méthode policyBindings.get obtient une liaison de stratégie.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de la ressource Resource Manager (projet, dossier ou organisation) dont l'association de stratégies est un enfant. Utilisez la valeur projects, folders ou organizations.

    Le type de ressource dépend de l'ensemble de comptes principaux défini dans la liaison de stratégies. Pour savoir quel type de ressource utiliser, consultez la section Types de comptes principaux compatibles.

  • RESOURCE_ID : ID du projet, du dossier ou de l'organisation dont l'association de stratégies est un enfant. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossiers et d'organisations sont numériques, tels que 123456789012.
  • BINDING_ID : ID de la liaison de stratégie que vous souhaitez supprimer (par exemple, example-binding).

Méthode HTTP et URL : 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient la liaison de la stratégie.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Étape suivante