Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzare i criteri di Principal Access Boundary

I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. In questa pagina viene spiegato come visualizzare criteri di Principal Access Boundary e associazioni di criteri per i criteri di Principal Access Boundary.

Prima di iniziare

Configurare l'autenticazione.

Select the tab for how you plan to use the samples on this page:
gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST

Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Leggi la panoramica dei criteri di Principal Access Boundary.

Ruoli necessari per visualizzare i criteri di Principal Access Boundary

Per ottenere le autorizzazioni necessarie per visualizzare i criteri di Principal Access Boundary, chiedi all'amministratore di concederti Ruolo IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare i criteri di Principal Access Boundary. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare i criteri di Principal Access Boundary, sono necessarie le seguenti autorizzazioni:

Visualizza un singolo criterio di confine dell'accesso dell'entità: iam.principalaccessboundarypolicies.get
Elenca i criteri di Principal Access Boundary in un'organizzazione: iam.principalaccessboundarypolicies.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ruoli necessari per visualizzare le associazioni di criteri

Per ottenere le autorizzazioni necessarie per visualizzare le associazioni di criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM nella risorsa principale delle associazioni di criteri:

Visualizza le associazioni di criteri in un progetto: Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin)
Visualizza le associazioni di criteri in una cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Visualizzare le associazioni di norme in un'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare le associazioni dei criteri. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare le associazioni dei criteri sono necessarie le seguenti autorizzazioni:

Visualizza un'unica associazione di criteri: iam.policybindings.get
Elenca le associazioni di criteri in un progetto, una cartella o un'organizzazione: iam.policybindings.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per visualizzare tutte le associazioni dei criteri per un criterio di confine dell'accesso dell'entità

Per ottenere l'autorizzazione necessaria per visualizzare tutte le associazioni di criteri per un criterio di Principal Access Boundary, chiedi all'amministratore di concederti Ruolo IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene iam.principalaccessboundarypolicies.searchIamPolicyBindings autorizzazione, che è obbligatorio Visualizza tutte le associazioni di criteri per un criterio di Principal Access Boundary.

Potresti anche riuscire a ottenere questa autorizzazione con ruoli personalizzati altri ruoli predefiniti.

Ruoli richiesti per visualizzare le associazioni dei criteri per un set di entità

Le autorizzazioni necessarie per visualizzare tutte le associazioni dei criteri per un insieme di entità dipendono dall'insieme di entità per cui vuoi visualizzare i criteri.

Per ottenere le autorizzazioni necessarie per visualizzare le associazioni dei criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Visualizza le associazioni di criteri per i pool della federazione delle identità della forza lavoro: Amministratore pool di forza lavoro IAM (roles/iam.workforcePoolAdmin) nel pool della federazione delle identità della forza lavoro di destinazione
Visualizza le associazioni dei criteri per i pool della federazione delle identità per i carichi di lavoro: Amministratore pool Workload Identity IAM (roles/iam.workloadIdentityPoolAdmin) nel progetto proprietario del pool della federazione delle identità per la forza lavoro di destinazione
Visualizza le associazioni di criteri per un dominio Google Workspace: Amministratore IAM pool di aree di lavoro (roles/iam.workspacePoolAdmin) dell'organizzazione
Visualizza le associazioni dei criteri per il set di entità di un progetto: Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) nel progetto
Visualizza le associazioni di criteri per un set di entità di una cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin) sulla cartella
Visualizza le associazioni dei criteri per il set di entità di un'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) nell'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti le autorizzazioni necessarie per visualizzare le associazioni di criteri. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare le associazioni dei criteri sono necessarie le seguenti autorizzazioni:

Visualizza le associazioni di criteri per i pool della federazione delle identità per la forza lavoro: iam.workforcePools.searchPolicyBindings nel pool federazione delle identità per la forza lavoro di destinazione
Visualizza le associazioni di criteri per i pool federazione di Workload Identity: iam.workloadIdentityPools.searchPolicyBindings sul progetto proprietario del pool federazione delle identità per la forza lavoro di destinazione
Visualizza le associazioni di criteri per un dominio Google Workspace: iam.workspacePools.searchPolicyBindings dell'organizzazione
Visualizza le associazioni dei criteri per l'insieme di entità di un progetto: resourcemanager.projects.searchPolicyBindings nel progetto
Visualizza le associazioni dei criteri per il set di entità di una cartella: resourcemanager.folders.searchPolicyBindings nella cartella
Visualizza le associazioni di criteri per un set di entità di un'organizzazione: resourcemanager.organizations.searchPolicyBindings dell'organizzazione

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Elencare i criteri di Principal Access Boundary per un'organizzazione

Per visualizzare tutti i criteri di Principal Access Boundary creati in un'organizzazione, elenca i criteri di Principal Access Boundary nell'organizzazione.

Puoi elencare i criteri di Principal Access Boundary in un'organizzazione utilizzando Console Google Cloud, gcloud CLI o REST IAM tramite Google Cloud CLI o tramite l'API Compute Engine.

Console

Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

Vai a Principal Access Boundary norme
Seleziona l'organizzazione per cui vuoi creare i criteri di confine dell'accesso dell'entità.

La console Google Cloud elenca tutti i criteri dell'organizzazione selezionati.

gcloud

Il comando gcloud beta iam principal-access-boundary-policies list elenca tutti i criteri di Principal Access Boundary in un'organizzazione.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

ORG_ID: l'ID dell'organizzazione Google Cloud per cui vuoi elencare i criteri di confine di accesso principali. Gli ID organizzazione sono numerici, ad esempio 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

La risposta contiene i criteri di Principal Access Boundary nell'organizzazione specificata.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

La principalAccessBoundaryPolicies.list che elenca tutti i criteri di Principal Access Boundary di un'organizzazione.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORG_ID: l'ID dell'organizzazione Google Cloud per cui vuoi elencare i criteri di confine di accesso principali. Gli ID organizzazione sono numerici, ad esempio 123456789012.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies" | Select-Object -Expand Content

La risposta contiene i criteri di Principal Access Boundary nell'organizzazione specificata.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Ottieni un singolo criterio di Principal Access Boundary

Per visualizzare i dettagli di un singolo criterio di limite di accesso all'entità, utilizza l'ID del criterio per ottenere il criterio.

Puoi ottenere un criterio di confine di accesso dei principali utilizzando la console Google Cloud, la riga di comando gcloud o l'API REST IAM.

Console

Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

Vai ai criteri di Principal Access Boundary
Seleziona l'organizzazione per la quale vuoi creare criteri di Principal Access Boundary .
Fai clic sull'ID del criterio di Principal Access Boundary che vuoi visualizzare.

La console Google Cloud mostra i dettagli del criterio di Principal Access Boundary selezionato.

gcloud

La gcloud beta iam principal-access-boundary-policies describe ottiene un singolo criterio di Principal Access Boundary.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi recuperare, ad esempio example-policy.
ORG_ID: l'ID dell'organizzazione proprietaria della Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

La principalAccessBoundaryPolicies.get ottiene un singolo criterio di Principal Access Boundary.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

ORG_ID: l'ID dell'organizzazione proprietaria della Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi recuperare, ad esempio example-policy.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" | Select-Object -Expand Content

La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Elenca le associazioni dei criteri per i criteri di confine dell'accesso dell'entità

Esistono diversi modi per elencare le associazioni dei criteri per i criteri di Principal Access Boundary:

Elenca le associazioni dei criteri per un criterio di confine dell'accesso dell'entità
Elenca le associazioni di criteri per un set di entità
Elencare le associazioni di criteri per un progetto, una cartella o un'organizzazione

Elenca le associazioni di criteri per un criterio di Principal Access Boundary

Per visualizzare tutte le associazioni di criteri che includono un determinato criterio di Principal Access Boundary, cerca il criterio di Principal Access Boundary nelle associazioni.

Puoi visualizzare tutte le associazioni di criteri per un criterio di Principal Access Boundary utilizzando Console Google Cloud, gcloud CLI o REST IAM tramite Google Cloud CLI o tramite l'API Compute Engine.

Console

Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

Vai a Principal Access Boundary norme
Seleziona l'organizzazione proprietaria del criterio di Principal Access Boundary che vuoi per cui visualizzare le associazioni.
Fai clic sull'ID del criterio di Principal Access Boundary che vuoi visualizzare associate.
Fai clic sulla scheda Associazioni.

La scheda Associazioni elenca tutte le associazioni dei criteri di Principal Access Boundary che includono il criterio di Principal Access Boundary.

gcloud

Il comando gcloud beta iam principal-access-boundary-policies search-policy-bindings elenca tutte le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi elenca le associazioni di criteri per, ad esempio, example-policy.
ORG_ID: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La risposta contiene le associazioni di criteri per il criterio di Principal Access Boundary specificato.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Il metodo principalAccessBoundaryPolicies.searchPolicyBindings elenca tutte le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORG_ID: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
PAB_POLICY_ID: l'ID del criterio di confine dell'accesso dell'entità per cui vuoi elencare le associazioni ai criteri, ad esempio example-policy.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings" | Select-Object -Expand Content

La risposta contiene le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Elenca le associazioni di criteri per un set di entità

Per visualizzare tutte le associazioni di criteri che includono un determinato set di entità, cerca le associazioni per il set di entità.

Queste associazioni contengono gli ID dei criteri di Principal Access Boundary associati al set di entità. Per visualizzare i dettagli di questi criteri, utilizza l'ID criterio per recupera il criterio di Principal Access Boundary.

Puoi visualizzare tutte le associazioni dei criteri per un insieme di entità utilizzando l'interfaccia a riga di comando gcloud o l'API REST IAM.

gcloud

Il comando gcloud beta iam policy-bindings search-target-policy-bindings recupera tutti i criteri di confine dell'accesso dell'entità associati a un insieme di entità.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui il set di entità di destinazione è un elemento figlio. Utilizza il valore project, folder o organization

Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di criteri. A per vedere il tipo di risorsa da utilizzare, vedi Tipi di entità supportati.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario l'entità principale di destinazione. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
PRINCIPAL_SET: l'insieme di entità di cui vuoi visualizzare le associazioni dei criteri di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Entità supportata di set di dati.
FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

La risposta contiene tutte le associazioni dei criteri associate al set di entità di destinazione.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

Il metodo SearchTargetPolicyBindings.search recupera tutti i criteri di confine dell'accesso dell'entità associati a un insieme di entità.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento figlio l'entità principale di destinazione. Utilizza il valore projects, folders o organizations

Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni ai criteri. A per vedere il tipo di risorsa da utilizzare, vedi Tipi di entità supportati.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario l'entità principale di destinazione. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
PRINCIPAL_SET: il set di entità il cui criterio di Principal Access Boundary associazioni che vuoi visualizzare. Per un elenco dei tipi di entità validi, consulta Insiemi di entità supportati.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET" | Select-Object -Expand Content

La risposta contiene tutte le associazioni dei criteri associate al set di entità di destinazione.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Elenca le associazioni di criteri per un progetto, una cartella o un'organizzazione

Per visualizzare tutte le associazioni di criteri figlio di un progetto, di una cartella o di una cartella specifici organizzazione, elencare le associazioni di criteri per quel progetto, cartella dell'organizzazione.

La risorsa padre di un'associazione di criteri dipende dal set di entità nel criterio associazione. Per saperne di più, consulta Tipi di principali supportati.

Puoi visualizzare tutte le associazioni di criteri per un progetto, una cartella o un'organizzazione utilizzando gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud beta iam policy-bindings list elenca tutte le associazioni di criteri che sono elementi secondari di una determinata risorsa.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore project, folder o organization

Il tipo di risorsa dipende dal set di entità nell'associazione di criteri. Per vedere quale risorsa tipo da utilizzare, consulta Entità supportata di classificazione.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

La risposta contiene le associazioni di criteri figlio della risorsa nel comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

La policyBindings.list elenca tutte le associazioni di criteri figlio di una determinata risorsa.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore projects, folders o organizations

Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings" | Select-Object -Expand Content

La risposta contiene le associazioni di criteri figlio della risorsa nella richiesta.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Ottieni un'associazione di criteri per un criterio di Principal Access Boundary

Per visualizzare i dettagli di una singola associazione criterio, utilizza l'ID dell'associazione criterio per recuperarla.

Puoi ottenere un'associazione di criteri utilizzando l'interfaccia a riga di comando gcloud o l'API REST IAM.

gcloud

La gcloud beta iam policy-bindings get ottiene un'associazione di criteri.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

BINDING_ID: l'ID dell'associazione di criteri che vuoi get, ad esempio example-binding.
RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella, o organizzazione) di cui l'associazione dei criteri è un elemento secondario. Utilizza il valore project, folder o organization

Il tipo di risorsa dipende dal set di entità nell'associazione di criteri. Per vedere quale risorsa tipo da utilizzare, consulta Entità supportata di classificazione.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings get BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings get BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings get BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

La risposta contiene l'associazione dei criteri.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

La policyBindings.get ottiene un'associazione di criteri.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore projects, folders o organizations

Il tipo di risorsa dipende dal set di entità nell'associazione di criteri. Per vedere quale risorsa tipo da utilizzare, consulta Entità supportata di classificazione.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
BINDING_ID: l'ID dell'associazione di criteri che vuoi get, ad esempio example-binding.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

La risposta contiene l'associazione dei criteri.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Visualizzare i criteri di Principal Access Boundary

Prima di iniziare

gcloud

REST

Ruoli necessari per visualizzare i criteri di Principal Access Boundary

Autorizzazioni obbligatorie

Ruoli necessari per visualizzare le associazioni di criteri

Autorizzazioni obbligatorie

Ruoli richiesti per visualizzare tutte le associazioni dei criteri per un criterio di confine dell'accesso dell'entità

Ruoli richiesti per visualizzare le associazioni dei criteri per un set di entità

Autorizzazioni obbligatorie

Elencare i criteri di Principal Access Boundary per un'organizzazione

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Ottieni un singolo criterio di Principal Access Boundary

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Elenca le associazioni dei criteri per i criteri di confine dell'accesso dell'entità

Elenca le associazioni di criteri per un criterio di Principal Access Boundary

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Elenca le associazioni di criteri per un set di entità

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Elenca le associazioni di criteri per un progetto, una cartella o un'organizzazione

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Ottieni un'associazione di criteri per un criterio di Principal Access Boundary

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Passaggi successivi