I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Questa pagina spiega come visualizzare le associazioni di criteri e i criteri di Principal Access Boundary.
Prima di iniziare
Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Leggi la panoramica dei criteri di Principal Access Boundary.
Ruoli richiesti per visualizzare i criteri di Principal Access Boundary
Per ottenere le autorizzazioni necessarie per visualizzare i criteri di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Principal Access Boundary Viewer (
roles/iam.principalAccessBoundaryViewer
) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare i criteri di Principal Access Boundary. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per visualizzare i criteri di Principal Access Boundary sono necessarie le seguenti autorizzazioni:
-
Visualizza un singolo criterio di confine dell'accesso dell'entità:
iam.principalaccessboundarypolicies.get
-
Elenca i criteri di Principal Access Boundary in un'organizzazione:
iam.principalaccessboundarypolicies.list
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Ruoli richiesti per visualizzare le associazioni delle norme
Per ottenere le autorizzazioni necessarie per visualizzare le associazioni di criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM nella risorsa principale delle associazioni di criteri:
-
Visualizza le associazioni di norme in un progetto:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin
) -
Visualizza le associazioni di norme in una cartella:
Amministratore IAM cartella (
roles/resourcemanager.folderIamAdmin
) -
Visualizzare le associazioni di norme in un'organizzazione:
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare le associazioni dei criteri. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per visualizzare le associazioni di criteri sono necessarie le seguenti autorizzazioni:
-
Visualizza una singola associazione di criteri:
iam.policybindings.get
-
Elenca le associazioni di criteri in un progetto, una cartella o un'organizzazione:
iam.policybindings.list
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Ruoli richiesti per visualizzare tutte le associazioni dei criteri per un criterio di confine dell'accesso dell'entità
Per ottenere l'autorizzazione necessaria per visualizzare tutte le associazioni di criteri per un criterio di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Principal Access Boundary Viewer (
roles/iam.principalAccessBoundaryViewer
) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.Questo ruolo predefinito contiene l'autorizzazione
iam.principalaccessboundarypolicies.searchIamPolicyBindings
, necessaria per visualizzare tutte le associazioni dei criteri per un criterio di limite di accesso all'entità.Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.
Ruoli richiesti per visualizzare le associazioni dei criteri per un set di entità
Le autorizzazioni necessarie per visualizzare tutte le associazioni dei criteri per un insieme di entità dipendono dall'insieme di entità per cui vuoi visualizzare i criteri.
Per ottenere le autorizzazioni necessarie per visualizzare le associazioni dei criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Visualizza le associazioni di criteri per i pool della federazione delle identità della forza lavoro:
Amministratore pool di forza lavoro IAM (
roles/iam.workforcePoolAdmin
) nel pool della federazione delle identità della forza lavoro di destinazione -
Visualizza le associazioni dei criteri per i pool della federazione delle identità per i workload:
Amministratore pool Workload Identity IAM (
roles/iam.workloadIdentityPoolAdmin
) nel progetto proprietario del pool della federazione delle identità per la forza lavoro di destinazione -
Visualizza le associazioni di criteri per un dominio Google Workspace:
Amministratore IAM del pool di Workspace (
roles/iam.workspacePoolAdmin
) nell'organizzazione -
Visualizza le associazioni dei criteri per il set di entità di un progetto:
Amministratore IAM del progetto (
roles/resourcemanager.projectIamAdmin
) nel progetto -
Visualizza le associazioni dei criteri per l'insieme di principali di una cartella:
Amministratore IAM della cartella (
roles/resourcemanager.folderIamAdmin
) nella cartella -
Visualizza le associazioni dei criteri per il set di entità di un'organizzazione:
Amministratore dell'organizzazione (
roles/resourcemanager.organizationAdmin
) nell'organizzazione
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare le associazioni dei criteri. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per visualizzare le associazioni di criteri sono necessarie le seguenti autorizzazioni:
-
Visualizza le associazioni di criteri per i pool della federazione delle identità per la forza lavoro:
iam.workforcePools.searchPolicyBindings
nel pool della federazione delle identità per la forza lavoro di destinazione -
Visualizza le associazioni di criteri per i pool della federazione delle identità della forza lavoro:
iam.workloadIdentityPools.searchPolicyBindings
nel progetto proprietario del pool della federazione delle identità della forza lavoro di destinazione -
Visualizzare le associazioni di norme per un dominio Google Workspace:
iam.workspacePools.searchPolicyBindings
nell'organizzazione -
Visualizza le associazioni dei criteri per l'insieme di entità di un progetto:
resourcemanager.projects.searchPolicyBindings
nel progetto -
Visualizza le associazioni dei criteri per il set di entità di una cartella:
resourcemanager.folders.searchPolicyBindings
nella cartella -
Visualizza le associazioni di criteri per l'insieme di principali di un'organizzazione:
resourcemanager.organizations.searchPolicyBindings
nell'organizzazione
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Elencare i criteri di Principal Access Boundary per un'organizzazione
Per visualizzare tutti i criteri di confine dell'accesso dell'entità creati in un'organizzazione, elencali.
Puoi elencare i criteri di confine di accesso dei principali in un'organizzazione utilizzando la console Google Cloud, la CLI gcloud o l'API IAM REST.
Console
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione per cui vuoi creare i criteri di confine dell'accesso dell'entità.
La console Google Cloud elenca tutti i criteri dell'organizzazione selezionati.
gcloud
Il comando
gcloud beta iam principal-access-boundary-policies list
elenca tutti i criteri di Principal Access Boundary in un'organizzazione.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORG_ID
: l'ID dell'organizzazione Google Cloud per cui vuoi elencare i criteri di confine di accesso principali. Gli ID organizzazione sono numerici, ad esempio123456789012
. FORMAT
: il formato della risposta. Utilizzajson
oyaml
.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \ --location=global --format=FORMAT
Windows (PowerShell)
gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ` --location=global --format=FORMAT
Windows (cmd.exe)
gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^ --location=global --format=FORMAT
La risposta contiene i criteri di Principal Access Boundary nell'organizzazione specificata.
{ "principalAccessBoundaryPolicies": [ { "createTime": "2024-05-07T00:05:48.295209Z", "details": [ "enforcementVersion": 1, "rules": { [ "description": "Make principals eligible to access resources in example.com", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" } ] } ], "displayName": "Example policy 1", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1", "uid": "puid_13364150419245236225", "updateTime": "2024-05-07T00:05:48.295209Z" }, { "createTime": "2024-02-29T23:25:01.606730Z", "details": [ "enforcementVersion": 1, "rules": { [ "description": "Make principals eligible to access resources in example-project", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/projects/example-project" } ] } ], "displayName": "Example policy 2", "etag": "d6BJBTsk2+oDCygmr5ANxA==", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2", "uid": "puid_13064942519001808897", "updateTime": "2024-02-29T23:25:01.606730Z" } ] }
REST
Il metodo
principalAccessBoundaryPolicies.list
elenca tutte le policy di Principal Access Boundary in un'organizzazione.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORG_ID
: l'ID dell'organizzazione Google Cloud per cui vuoi elencare i criteri di confine di accesso principali. Gli ID organizzazione sono numerici, ad esempio123456789012
.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene i criteri di Principal Access Boundary nell'organizzazione specificata.
{ "principalAccessBoundaryPolicies": [ { "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1", "uid": "puid_13364150419245236225", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "displayName": "Example policy 1", "createTime": "2024-05-07T00:05:48.295209Z", "updateTime": "2024-05-07T00:05:48.295209Z", "details": [ "rules": { [ "description": "Make principals eligible to access resources in example.com", "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "effect": ALLOW ] }, "enforcementVersion": 1, ] }, { "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2", "uid": "puid_13064942519001808897", "etag": "d6BJBTsk2+oDCygmr5ANxA==", "displayName": "Example policy 2", "createTime": "2024-02-29T23:25:01.606730Z", "updateTime": "2024-02-29T23:25:01.606730Z", "details": [ "rules": { [ "description": "Make principals eligible to access resources in example-project", "resources": { "//cloudresourcemanager.googleapis.com/projects/example-project" }, "effect": ALLOW ] }, "enforcementVersion": 1 ] } ] }
Ottenere un singolo criterio di confine dell'accesso dell'entità
Per visualizzare i dettagli di una singola policy di Principal Access Boundary, utilizza l'ID della policy per recuperarla.
Puoi ottenere un criterio di confine di accesso dei principali utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.
Console
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione per cui vuoi creare i criteri di confine dell'accesso dell'entità.
Fai clic sull'ID del criterio di Principal Access Boundary che vuoi visualizzare.
La console Google Cloud mostra i dettagli del criterio di Principal Access Boundary selezionato.
gcloud
Il comando
gcloud beta iam principal-access-boundary-policies describe
recupera un singolo criterio di confine dell'accesso dell'entità.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PAB_POLICY_ID
: l'ID del criterio di Principal Access Boundary che vuoi recuperare, ad esempioexample-policy
. ORG_ID
: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.FORMAT
: il formato della risposta. Utilizzajson
oyaml
.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.
{ "createTime": "2024-05-07T00:05:48.295209Z", "details": [ "enforcementVersion": "1", "rules": { [ "description": "Make principals eligible to access example.com", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" } ] }, ], "displayName": "Example policy", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy", "uid": "puid_13364150419245236225", "updateTime": "2024-05-07T00:05:48.295209Z" }
REST
Il metodo
principalAccessBoundaryPolicies.get
recupera un singolo criterio di confine dell'accesso dell'entità.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
ORG_ID
: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.-
PAB_POLICY_ID
: l'ID del criterio di Principal Access Boundary che vuoi recuperare, ad esempioexample-policy
.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.
{ "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy", "uid": "puid_13364150419245236225", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "displayName": "Example policy", "createTime": "2024-05-07T00:05:48.295209Z", "updateTime": "2024-05-07T00:05:48.295209Z", "details": [ "rules": { [ "description": "Make principals eligible to access example.com" "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "effect": ALLOW ] }, "enforcementVersion": "1" ] }
Elenca le associazioni delle policy per i criteri di confine dell'accesso dell'entità
Esistono diversi modi per elencare le associazioni dei criteri per le policy di Principal Access Boundary:
- Elenca le associazioni delle policy per un criterio di confine dell'accesso dell'entità
- Elenca le associazioni dei criteri per un set di entità
- Elenca le associazioni dei criteri per un progetto, una cartella o un'organizzazione
Elenca le associazioni di criteri per un criterio di confine dell'accesso dell'entità
Per visualizzare tutte le associazioni di criteri che includono un determinato criterio di Principal Access Boundary, cerca il criterio di Principal Access Boundary nelle associazioni.
Puoi visualizzare tutte le associazioni di criteri per un criterio di confine di accesso del principale utilizzando la console Google Cloud, la CLI gcloud o l'API REST IAM.
Console
Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.
Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità per cui vuoi visualizzare le associazioni.
Fai clic sull'ID del criterio di Principal Access Boundary per cui vuoi visualizzare le associazioni.
Fai clic sulla scheda Vincoli.
La scheda Associazioni elenca tutte le associazioni dei criteri di Principal Access Boundary che includono il criterio di Principal Access Boundary.
gcloud
Il comando
gcloud beta iam principal-access-boundary-policies search-policy-bindings
elenca tutte le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
PAB_POLICY_ID
: l'ID del criterio di confine dell'accesso dell'entità per cui vuoi elencare le associazioni ai criteri, ad esempioexample-policy
. ORG_ID
: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.FORMAT
: il formato della risposta. Utilizzajson
oyaml
.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
La risposta contiene le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "createTime": "2024-05-07T07:05:06.203861Z", "displayName": "Example binding 2", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }
REST
Il metodo
principalAccessBoundaryPolicies.searchPolicyBindings
elenca tutte le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
ORG_ID
: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio123456789012
.-
PAB_POLICY_ID
: l'ID del criterio di confine dell'accesso dell'entità per cui vuoi elencare le associazioni ai criteri, ad esempioexample-policy
.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "uid": "buid_4331055466646863873", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-07T07:05:06.203861Z", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }
Elenca le associazioni dei criteri per un set di entità
Per visualizzare tutte le associazioni dei criteri che includono un determinato set di entità, cerca le associazioni per il set di entità.
Queste associazioni contengono gli ID delle policy di Principal Access Boundary associate al set di entità. Per visualizzare i dettagli di queste norme, utilizza l'ID per ottenere la norma di Principal Access Boundary.
Puoi visualizzare tutte le associazioni dei criteri per un insieme di entità utilizzando l'interfaccia a riga di comando gcloud o l'API REST IAM.
gcloud
Il comando
gcloud beta iam policy-bindings search-target-policy-bindings
recupera tutti i criteri di confine dell'accesso dell'entità associati a un insieme di entità.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento figlio l'entità principale di destinazione. Utilizza il valoreproject
,folder
oorganization
Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario l'entità principale di destinazione impostata. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
PRINCIPAL_SET
: l'insieme di entità di cui vuoi visualizzare le associazioni dei criteri di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Insiemi di entità supportati. FORMAT
: il formato della risposta. Utilizzajson
oyaml
.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam policy-bindings search-target-policy-bindings \ --RESOURCE_TYPE=RESOURCE_ID \ --target=PRINCPAL_SET \ --format=FORMAT
Windows (PowerShell)
gcloud beta iam policy-bindings search-target-policy-bindings ` --RESOURCE_TYPE=RESOURCE_ID ` --target=PRINCPAL_SET ` --format=FORMAT
Windows (cmd.exe)
gcloud beta iam policy-bindings search-target-policy-bindings ^ --RESOURCE_TYPE=RESOURCE_ID ^ --target=PRINCPAL_SET ^ --format=FORMAT
La risposta contiene tutte le associazioni dei criteri associate all'insieme di entità di destinazione.
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:11:16.798841Z" }, { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 2", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_10358560617928851457", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-06T18:11:16.798841Z" } ] }
REST
Il metodo
SearchTargetPolicyBindings.search
recupera tutti i criteri di confine dell'accesso dell'entità associati a un insieme di entità.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento figlio l'entità principale di destinazione. Utilizza il valoreprojects
,folders
oorganizations
Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario l'entità principale di destinazione impostata. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
PRINCIPAL_SET
: l'insieme di entità di cui vuoi visualizzare le associazioni ai criteri di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Insiemi di entità supportati.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene tutte le associazioni dei criteri associate all'insieme di entità di destinazione.
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:11:16.798841Z", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "uid": "buid_4331055466646863873", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:11:16.798841Z", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_10358560617928851457" } ] }
Elenca le associazioni di criteri per un progetto, una cartella o un'organizzazione
Per visualizzare tutte le associazioni di criteri che sono elementi secondari di un progetto, di una cartella o di un'organizzazione specifici, elenca le associazioni di criteri per il progetto, la cartella o l'organizzazione in questione.
La risorsa principale di un'associazione di criteri dipende dall'entità impostata nell'associazione. Per saperne di più, consulta Tipi di principali supportati.
Puoi visualizzare tutte le associazioni di criteri per un progetto, una cartella o un'organizzazione utilizzando l'interfaccia alla gcloud CLI o l'API REST IAM.
gcloud
Il comando
gcloud beta iam policy-bindings list
elenca tutte le associazioni di criteri che sono figli di una determinata risorsa.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valoreproject
,folder
oorganization
Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.FORMAT
: il formato della risposta. Utilizzajson
oyaml
.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ` --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^ --location=global ^ --format=FORMAT
La risposta contiene le associazioni di criteri che sono figli della risorsa nel comando.
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "createTime": "2024-05-07T07:05:06.203861Z", "displayName": "Example binding 2", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_1566408245394800641", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }
REST
Il metodo
policyBindings.list
elenca tutte le associazioni di criteri che sono elementi secondari di una determinata risorsa.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valoreprojects
,folders
oorganizations
Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene le associazioni di criteri che sono figli della risorsa nella richiesta.
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2", "uid": "buid_4331055466646863873", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2", "policyUid": "puid_1566408245394800641", "createTime": "2024-05-07T07:05:06.203861Z", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }
Ottenere un'associazione di criteri per un criterio di confine dell'accesso dell'entità
Per visualizzare i dettagli di una singola associazione di criteri, utilizza l'ID dell'associazione di criteri per recuperarla.
Puoi ottenere un'associazione di criteri utilizzando gcloud CLI o l'API REST IAM.
gcloud
Il comando
gcloud beta iam policy-bindings describe
riceve un'associazione di criteri.Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
BINDING_ID
: l'ID dell'associazione di norme che vuoi recuperare, ad esempioexample-binding
. -
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valoreproject
,folder
oorganization
Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.FORMAT
: il formato della risposta. Utilizzajson
oyaml
.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta iam policy-bindings describe BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud beta iam policy-bindings describe BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud beta iam policy-bindings describe BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global ^ --format=FORMAT
La risposta contiene l'associazione delle norme.
{ "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }
REST
Il metodo
policyBindings.get
riceve un'associazione di criteri.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valoreprojects
,folders
oorganizations
Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
BINDING_ID
: l'ID dell'associazione di norme che vuoi recuperare, ad esempioexample-binding
.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene l'associazione delle norme.
{ "name": "organizations/123456789012/locations/global/policyBindings/example-binding", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }
Passaggi successivi
- Creare e applicare i criteri di confine dell'accesso dell'entità
- Modificare i criteri di confine dell'accesso dell'entità
- Rimuovere i criteri di Principal Access Boundary
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-12-22 UTC.