Consulta las Políticas de Límite de Acceso de las Principales

Las Políticas de Límite de Acceso de las Principales (PAB) te permiten establecer límites a los recursos a los que puede acceder un conjunto de principales. En esta página, se explica cómo ver las Políticas de Límite de Acceso de las Principales y las vinculaciones de políticas para estas políticas.

Antes de comenzar

Configura la autenticación.

Select the tab for how you plan to use the samples on this page:
gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST

Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.
Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.
Lee la descripción general de las Políticas de Límite de Acceso de las Principales.

Roles necesarios para borrar Políticas de Límite de Acceso de las Principales

Para obtener los permisos que necesitas para ver las políticas de límite de acceso de las principales, pídele a tu administrador que te otorgue el rol de IAM de Visualizador de límites de acceso principal (roles/iam.principalAccessBoundaryViewer) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para ver las políticas de límite de acceso de las principales. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver las políticas de límite de acceso de las principales:

Consulta una sola política de límite de acceso de las principales: iam.principalaccessboundarypolicies.get
Enumera las políticas de límite de acceso de las principales en una organización: iam.principalaccessboundarypolicies.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Roles necesarios para ver vinculaciones de políticas

Para obtener los permisos que necesitas para ver las vinculaciones de políticas, pídele a tu administrador que te otorgue los siguientes roles de IAM en el recurso superior de las vinculaciones de políticas:

Ver vinculaciones de políticas en un proyecto: Administrador de IAM de proyecto (roles/resourcemanager.projectIamAdmin)
Consulta las vinculaciones de políticas en una carpeta: Administrador de IAM de carpetas (roles/resourcemanager.folderIamAdmin)
Ver vinculaciones de políticas en una organización: Administrador de la organización (roles/resourcemanager.organizationAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver las vinculaciones de políticas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver las vinculaciones de políticas:

Cómo ver una sola vinculación de políticas: iam.policybindings.get
Muestra una lista de las vinculaciones de políticas en un proyecto, una carpeta o una organización: iam.policybindings.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Roles necesarios para ver todas las vinculaciones de políticas de una política de límite de acceso de las principales

Para obtener el permiso que necesitas para ver todas las vinculaciones de políticas de una política de límite de acceso de las principales, pídele a tu administrador que te otorgue el rol de IAM de Visualizador de límites de acceso principal (roles/iam.principalAccessBoundaryViewer) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene el permiso iam.principalaccessboundarypolicies.searchIamPolicyBindings, que se requiere para ver todas las vinculaciones de políticas de una política de límite de acceso de las principales.

También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

Roles necesarios para ver vinculaciones de políticas de un conjunto de principales

Los permisos que necesitas para ver todas las vinculaciones de políticas de un conjunto de principales dependen del conjunto de principales para el que deseas ver las políticas.

Para obtener los permisos que necesitas para ver las vinculaciones de políticas, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Consulta las vinculaciones de políticas para los grupos de federación de identidades de personal: Administrador de grupos de trabajadores de IAM (roles/iam.workforcePoolAdmin) en el grupo de federación de identidades de personal de destino
Consulta las vinculaciones de políticas para los grupos de federación de identidades para cargas de trabajo: Administrador de grupos de identidades para cargas de trabajo de IAM (roles/iam.workloadIdentityPoolAdmin) en el proyecto al que pertenece el grupo de federación de identidades de personal de destino
Ver vinculaciones de políticas para un dominio de Google Workspace: Administrador de IAM del grupo de espacios de trabajo (roles/iam.workspacePoolAdmin) en la organización
Visualiza las vinculaciones de políticas para el conjunto principal de un proyecto: Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto
Visualiza las vinculaciones de políticas para el conjunto principal de una carpeta: Administrador de IAM de la carpeta (roles/resourcemanager.folderIamAdmin) en la carpeta
Ver vinculaciones de políticas para el conjunto principal de una organización: Administrador de la organización (roles/resourcemanager.organizationAdmin) en la organización

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver las vinculaciones de políticas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver las vinculaciones de políticas:

Consulta las vinculaciones de políticas para los grupos de federación de identidades de personal: iam.workforcePools.searchPolicyBindings en el grupo de federación de identidades de personal de destino
Consulta las vinculaciones de políticas para los grupos de federación de identidades para cargas de trabajo: iam.workloadIdentityPools.searchPolicyBindings en el proyecto al que pertenece el grupo de federación de identidades de personal de destino
Ver vinculaciones de políticas para un dominio de Google Workspace: iam.workspacePools.searchPolicyBindings en la organización
Visualiza las vinculaciones de políticas para el conjunto principal de un proyecto: resourcemanager.projects.searchPolicyBindings en el proyecto
Visualiza las vinculaciones de políticas para el conjunto principal de una carpeta: resourcemanager.folders.searchPolicyBindings en la carpeta
Ver vinculaciones de políticas para el conjunto principal de una organización: resourcemanager.organizations.searchPolicyBindings en la organización

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Enumera las políticas de límite de acceso de las principales de una organización

Para ver todas las políticas de límite de acceso de las principales creadas en una organización, enumera las políticas de límite de acceso de las principales en la organización.

Puedes obtener una lista de las políticas de límite de acceso de las principales en una organización con la consola de Google Cloud, gcloud CLI o la API de REST de IAM.

Console

En la consola de Google Cloud, ve a la página Políticas de límite de acceso de las principales.

Ir a Políticas de Límite de Acceso de las Principales
Selecciona la organización para la que deseas crear políticas de límite de acceso de las principales.

En la consola de Google Cloud, se enumeran todas las políticas de la organización que selecciones.

gcloud

El comando gcloud beta iam principal-access-boundary-policies list enumera todas las políticas de límite de acceso de las principales de una organización.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORG_ID: Es el ID de la organización de Google Cloud para la que deseas enumerar las políticas de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

La respuesta contiene las políticas de límite de acceso de las principales en la organización especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

El método principalAccessBoundaryPolicies.list enumera todas las políticas de límite de acceso de las principales en una organización.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORG_ID: Es el ID de la organización de Google Cloud para la que deseas enumerar las políticas de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.

Método HTTP y URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies" | Select-Object -Expand Content

La respuesta contiene las políticas de límite de acceso de las principales en la organización especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Obtén una sola política de límite de acceso de las principales

Para ver los detalles de una sola política de límite de acceso de las principales, usa el ID de la política para obtenerla.

Puedes obtener una política de límite de acceso de las principales con la consola de Google Cloud, gcloud CLI o la API de REST de IAM.

Console

En la consola de Google Cloud, ve a la página Políticas de límite de acceso de las principales.

Ir a Políticas de Límite de Acceso de las Principales
Selecciona la organización para la que deseas crear políticas de límite de acceso de las principales.
Haz clic en el ID de la Política de Límite de Acceso de las Principales que deseas ver.

En la consola de Google Cloud, se muestran los detalles de la política de límite de acceso de las principales que selecciones.

gcloud

El comando gcloud beta iam principal-access-boundary-policies describe obtiene una sola Política de Límite de Acceso de las Principales.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

PAB_POLICY_ID: El ID de la política de límite de acceso de las principales que deseas obtener, por ejemplo, example-policy.
ORG_ID: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La respuesta contiene la política de límite de acceso de las principales especificada en la solicitud.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

El método principalAccessBoundaryPolicies.get obtiene una sola Política de Límite de Acceso de las Principales.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORG_ID: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
PAB_POLICY_ID: El ID de la política de límite de acceso de las principales que deseas obtener, por ejemplo, example-policy.

Método HTTP y URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" | Select-Object -Expand Content

La respuesta contiene la política de límite de acceso de las principales especificada en la solicitud.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Enumera las vinculaciones de políticas para las políticas de límite de acceso de las principales

Existen varias formas de enumerar las vinculaciones de políticas para las políticas de límite de acceso de las principales:

Enumera las vinculaciones de políticas para una política de límite de acceso de las principales
Enumera las vinculaciones de políticas para un conjunto de principales
Enumera las vinculaciones de políticas para un proyecto, una carpeta o una organización

Enumera las vinculaciones de políticas para una política de límite de acceso de las principales

Para ver todas las vinculaciones de políticas que incluyen una política de límite de acceso de las principales determinada, busca la vinculación de la política de límite de acceso de las principales.

Puedes ver todas las vinculaciones de políticas de una política de límite de acceso de las principales con la consola de Google Cloud, gcloud CLI o la API de REST de IAM.

Console

En la consola de Google Cloud, ve a la página Políticas de límite de acceso de las principales.

Ir a Políticas de Límite de Acceso de las Principales
Selecciona la organización a la que pertenece la Política de Límite de Acceso de las Principales cuyas vinculaciones deseas ver.
Haz clic en el ID de la Política de Límite de Acceso de las Principales para la que deseas ver las vinculaciones.
Haz clic en la pestaña Vinculaciones.

En la pestaña Vinculaciones, se enumeran todas las vinculaciones de la política de límite de acceso de las principales que incluyen la política de límite de acceso de las principales.

gcloud

El comando gcloud beta iam principal-access-boundary-policies search-policy-bindings enumera todas las vinculaciones de políticas para la política de límite de acceso de las principales especificada.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

PAB_POLICY_ID: Es el ID de la política de límite de acceso de las principales para la que deseas enumerar las vinculaciones de políticas, por ejemplo, example-policy.
ORG_ID: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La respuesta contiene las vinculaciones de políticas para la política de límite de acceso de las principales especificada.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

El método principalAccessBoundaryPolicies.searchPolicyBindings enumera todas las vinculaciones de políticas para la política de límite de acceso de las principales especificada.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORG_ID: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
PAB_POLICY_ID: Es el ID de la política de límite de acceso de las principales para la que deseas enumerar las vinculaciones de políticas, por ejemplo, example-policy.

Método HTTP y URL:

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings" | Select-Object -Expand Content

La respuesta contiene las vinculaciones de políticas para la política de límite de acceso de las principales especificada.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Enumera las vinculaciones de políticas para un conjunto de principales

Para ver todas las vinculaciones de políticas que incluyen un conjunto de principales determinado, busca las vinculaciones del conjunto de principales.

Estas vinculaciones contienen los IDs de las políticas de límite de acceso de las principales que están vinculadas al conjunto de principales. Para ver los detalles de estas políticas, usa el ID de la política para obtener la política de límite de acceso de las principales.

Puedes ver todas las vinculaciones de políticas de un conjunto de principales con gcloud CLI o la API de REST de IAM.

gcloud

El comando gcloud beta iam policy-bindings search-target-policy-bindings obtiene todas las políticas de límite de acceso de las principales vinculadas a un conjunto de principales.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta o organización) del que es un elemento secundario el principal de destino establecido. Usa el valor project, folder o organization

El tipo de recurso depende del tipo de principal establecido del que deseas enumerar las vinculaciones de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario el conjunto de principales de destino. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
PRINCIPAL_SET: Es el conjunto de principales cuyas vinculaciones de políticas de límite de acceso de las principales deseas ver. Para obtener una lista de los tipos de principales válidos, consulta Conjuntos de principales compatibles.
FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

La respuesta contiene todas las vinculaciones de políticas que están vinculadas al conjunto principal de destino.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

El método SearchTargetPolicyBindings.search obtiene todas las Políticas de Límite de Acceso de las Principales vinculadas a un conjunto de principales.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta o organización) del que es un elemento secundario el principal de destino establecido. Usa el valor projects, folders o organizations

El tipo de recurso depende del tipo de principal establecido del que deseas enumerar las vinculaciones de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario el conjunto de principales de destino. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
PRINCIPAL_SET: Es el conjunto de principales cuyas vinculaciones de políticas de límite de acceso de las principales deseas ver. Para obtener una lista de los tipos de principales válidos, consulta Conjuntos de principales compatibles.

Método HTTP y URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET" | Select-Object -Expand Content

La respuesta contiene todas las vinculaciones de políticas que están vinculadas al conjunto principal de destino.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Enumera las vinculaciones de políticas para un proyecto, una carpeta o una organización

Para ver todas las vinculaciones de políticas que son elementos secundarios de un proyecto, una carpeta o una organización específicos, enumera las vinculaciones de políticas de ese proyecto, esa carpeta o esa organización.

El recurso superior de una vinculación de políticas depende del principal establecido en la vinculación de políticas. Para obtener más información, consulta Tipos de principales compatibles.

Puedes ver todas las vinculaciones de políticas de un proyecto, una carpeta o una organización con gcloud CLI o la API de REST de IAM.

gcloud

El comando gcloud beta iam policy-bindings list enumera todas las vinculaciones de políticas que son secundarias de un recurso determinado.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valor project, folder o organization

El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

La respuesta contiene las vinculaciones de políticas que son elementos secundarios del recurso en el comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

El método policyBindings.list enumera todas las vinculaciones de políticas que son elementos secundarios de un recurso determinado.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valor projects, folders o organizations

El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.

Método HTTP y URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings" | Select-Object -Expand Content

La respuesta contiene las vinculaciones de políticas que son elementos secundarios del recurso en la solicitud.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Obtén una vinculación de políticas para una política de límite de acceso de las principales

Para ver los detalles de una sola vinculación de políticas, usa el ID de la vinculación de políticas para obtenerla.

Puedes obtener una vinculación de políticas con gcloud CLI o la API de REST de IAM.

gcloud

El comando gcloud beta iam policy-bindings get obtiene una vinculación de políticas.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

BINDING_ID: Es el ID de la vinculación de políticas que deseas obtener, por ejemplo, example-binding.
RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valor project, folder o organization

El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings get BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings get BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings get BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

La respuesta contiene la vinculación de políticas.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

El método policyBindings.get obtiene una vinculación de políticas.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valor projects, folders o organizations

El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
BINDING_ID: Es el ID de la vinculación de políticas que deseas obtener, por ejemplo, example-binding.

Método HTTP y URL:

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

La respuesta contiene la vinculación de políticas.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Consulta las Políticas de Límite de Acceso de las Principales

Antes de comenzar

gcloud

REST

Roles necesarios para borrar Políticas de Límite de Acceso de las Principales

Permisos necesarios

Roles necesarios para ver vinculaciones de políticas

Permisos necesarios

Roles necesarios para ver todas las vinculaciones de políticas de una política de límite de acceso de las principales

Roles necesarios para ver vinculaciones de políticas de un conjunto de principales

Permisos necesarios

Enumera las políticas de límite de acceso de las principales de una organización

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Obtén una sola política de límite de acceso de las principales

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Enumera las vinculaciones de políticas para las políticas de límite de acceso de las principales

Enumera las vinculaciones de políticas para una política de límite de acceso de las principales

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Enumera las vinculaciones de políticas para un conjunto de principales

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Enumera las vinculaciones de políticas para un proyecto, una carpeta o una organización

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Obtén una vinculación de políticas para una política de límite de acceso de las principales

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

¿Qué sigue?