Melihat kebijakan batas akses akun utama

Kebijakan batas akses akun utama (PAB) memungkinkan Anda membatasi resource yang dapat diakses oleh kumpulan akun utama. Halaman ini menjelaskan cara melihat kebijakan batas akses akun utama dan binding kebijakan untuk kebijakan batas akses akun utama.

Sebelum memulai

  • Menyiapkan autentikasi.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    Di konsol Google Cloud, aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

    REST

    Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Untuk informasi selengkapnya, lihat Melakukan autentikasi untuk menggunakan REST dalam dokumentasi autentikasi Google Cloud.

  • Baca ringkasan kebijakan batas akses akun utama.

Peran yang diperlukan untuk melihat kebijakan batas akses akun utama

Untuk mendapatkan izin yang diperlukan untuk melihat kebijakan batas akses akun utama, minta administrator untuk memberi Anda peran IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk melihat kebijakan batas akses akun utama. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk melihat kebijakan batas akses akun utama:

  • Melihat satu kebijakan batas akses akun utama: iam.principalaccessboundarypolicies.get
  • Mencantumkan kebijakan batas akses akun utama di organisasi: iam.principalaccessboundarypolicies.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk melihat binding kebijakan

Untuk mendapatkan izin yang diperlukan guna melihat binding kebijakan, minta administrator untuk memberi Anda peran IAM berikut di resource induk binding kebijakan:

  • Melihat binding kebijakan dalam project: Project IAM Admin (roles/resourcemanager.projectIamAdmin)
  • Melihat binding kebijakan di folder: Folder IAM Admin (roles/resourcemanager.folderIamAdmin)
  • Melihat binding kebijakan di organisasi: Administrator Organisasi (roles/resourcemanager.organizationAdmin)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk melihat binding kebijakan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk melihat binding kebijakan:

  • Melihat satu binding kebijakan: iam.policybindings.get
  • Mencantumkan binding kebijakan di project, folder, atau organisasi: iam.policybindings.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk melihat semua binding kebijakan untuk kebijakan batas akses akun utama

Untuk mendapatkan izin yang diperlukan guna melihat semua binding kebijakan untuk kebijakan batas akses akun utama, minta administrator untuk memberi Anda peran IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin iam.principalaccessboundarypolicies.searchIamPolicyBindings, yang diperlukan untuk melihat semua binding kebijakan untuk kebijakan batas akses akun utama.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk melihat binding kebijakan untuk kumpulan akun utama

Izin yang Anda perlukan untuk melihat semua binding kebijakan untuk set akun utama bergantung pada set akun utama yang ingin Anda lihat kebijakannya.

Untuk mendapatkan izin yang diperlukan guna melihat binding kebijakan, minta administrator untuk memberi Anda peran IAM berikut:

  • Melihat binding kebijakan untuk kumpulan Workforce Identity Federation: IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) di kumpulan Workforce Identity Federation target
  • Melihat binding kebijakan untuk kumpulan Workload Identity Federation: IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin) di project yang memiliki kumpulan Workforce Identity Federation target
  • Melihat binding kebijakan untuk domain Google Workspace: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) di organisasi
  • Melihat binding kebijakan untuk kumpulan akun utama project: Project IAM Admin (roles/resourcemanager.projectIamAdmin) pada project tersebut
  • Melihat binding kebijakan untuk kumpulan akun utama folder: Folder IAM Admin (roles/resourcemanager.folderIamAdmin) di folder tersebut
  • Melihat binding kebijakan untuk kumpulan akun utama organisasi: Administrator Organisasi (roles/resourcemanager.organizationAdmin) pada organisasi tersebut

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk melihat binding kebijakan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk melihat binding kebijakan:

  • Melihat binding kebijakan untuk kumpulan Workforce Identity Federation: iam.workforcePools.searchPolicyBindings di kumpulan Workforce Identity Federation target
  • Lihat binding kebijakan untuk kumpulan Workload Identity Federation: iam.workloadIdentityPools.searchPolicyBindings di project yang memiliki kumpulan Workforce Identity Federation target
  • Melihat binding kebijakan untuk domain Google Workspace: iam.workspacePools.searchPolicyBindings di organisasi
  • Melihat binding kebijakan untuk kumpulan akun utama project: resourcemanager.projects.searchPolicyBindings pada project
  • Melihat binding kebijakan untuk kumpulan akun utama folder: resourcemanager.folders.searchPolicyBindings di folder tersebut
  • Melihat binding kebijakan untuk kumpulan akun utama organisasi: resourcemanager.organizations.searchPolicyBindings di organisasi

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mencantumkan kebijakan batas akses akun utama untuk organisasi

Untuk melihat semua kebijakan batas akses akun utama yang dibuat di organisasi, cantumkan kebijakan batas akses akun utama di organisasi.

Anda dapat mencantumkan kebijakan batas akses akun utama di organisasi menggunakan konsol Google Cloud, gcloud CLI, atau IAM REST API.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan Batas Akses Utama.

    Buka kebijakan Principal Access Boundary

  2. Pilih organisasi tempat Anda ingin membuat kebijakan batas akses akun utama.

Konsol Google Cloud mencantumkan semua kebijakan di organisasi yang Anda pilih.

gcloud

Perintah gcloud beta iam principal-access-boundary-policies list mencantumkan semua kebijakan batas akses akun utama di organisasi.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORG_ID: ID organisasi Google Cloud yang ingin Anda cantumkan untuk kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • FORMAT: Format untuk respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

Respons berisi kebijakan batas akses akun utama di organisasi yang ditentukan.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

Metode principalAccessBoundaryPolicies.list mencantumkan semua kebijakan batas akses akun utama di organisasi.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORG_ID: ID organisasi Google Cloud yang ingin Anda cantumkan untuk kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi kebijakan batas akses akun utama di organisasi yang ditentukan.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Mendapatkan kebijakan batas akses akun utama tunggal

Untuk melihat detail satu kebijakan batas akses akun utama, gunakan ID kebijakan untuk mendapatkan kebijakan.

Anda bisa mendapatkan kebijakan batas akses akun utama menggunakan konsol Google Cloud, gcloud CLI, atau IAM REST API.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan Batas Akses Utama.

    Buka kebijakan Principal Access Boundary

  2. Pilih organisasi tempat Anda ingin membuat kebijakan batas akses akun utama.

  3. Klik ID kebijakan kebijakan batas akses akun utama yang ingin Anda lihat.

Konsol Google Cloud menampilkan detail kebijakan batas akses utama yang Anda pilih.

gcloud

Perintah gcloud beta iam principal-access-boundary-policies describe mendapatkan satu kebijakan batas akses akun utama.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • PAB_POLICY_ID: ID kebijakan batas akses akun utama yang ingin Anda dapatkan—misalnya, example-policy.
  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • FORMAT: Format untuk respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

Respons berisi kebijakan batas akses akun utama yang ditentukan dalam permintaan.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

Metode principalAccessBoundaryPolicies.get mendapatkan satu kebijakan batas akses akun utama.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • PAB_POLICY_ID: ID kebijakan batas akses akun utama yang ingin Anda dapatkan—misalnya, example-policy.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi kebijakan batas akses akun utama yang ditentukan dalam permintaan.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Mencantumkan binding kebijakan untuk kebijakan batas akses akun utama

Ada beberapa cara untuk mencantumkan binding kebijakan untuk kebijakan batas akses utama:

Mencantumkan binding kebijakan untuk kebijakan batas akses akun utama

Untuk melihat semua binding kebijakan yang menyertakan kebijakan batas akses akun utama tertentu, telusuri binding untuk kebijakan batas akses akun utama.

Anda dapat melihat semua binding kebijakan untuk kebijakan batas akses akun utama menggunakan konsol Google Cloud, gcloud CLI, atau IAM REST API.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan Batas Akses Utama.

    Buka kebijakan Principal Access Boundary

  2. Pilih organisasi yang memiliki kebijakan batas akses akun utama yang ingin Anda lihat binding-nya.

  3. Klik ID kebijakan kebijakan batas akses akun utama yang ingin Anda lihat binding-nya.

  4. Klik tab Bindings.

Tab Bindings mencantumkan semua binding kebijakan batas akses akun utama yang menyertakan kebijakan batas akses akun utama.

gcloud

Perintah gcloud beta iam principal-access-boundary-policies search-policy-bindings mencantumkan semua binding kebijakan untuk kebijakan batas akses akun utama yang ditentukan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • PAB_POLICY_ID: ID kebijakan batas akses akun utama yang ingin Anda cantumkan untuk binding kebijakan—misalnya, example-policy.
  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • FORMAT: Format untuk respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

Respons berisi binding kebijakan untuk kebijakan batas akses akun utama yang ditentukan.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Metode principalAccessBoundaryPolicies.searchPolicyBindings mencantumkan semua binding kebijakan untuk kebijakan batas akses akun utama yang ditentukan.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • PAB_POLICY_ID: ID kebijakan batas akses akun utama yang ingin Anda cantumkan untuk binding kebijakan—misalnya, example-policy.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi binding kebijakan untuk kebijakan batas akses akun utama yang ditentukan.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Mencantumkan binding kebijakan untuk kumpulan akun utama

Untuk melihat semua binding kebijakan yang menyertakan kumpulan akun utama tertentu, telusuri binding untuk kumpulan akun utama.

Binding ini berisi ID kebijakan batas akses akun utama yang terikat ke kumpulan akun utama. Untuk melihat detail kebijakan ini, gunakan ID kebijakan untuk mendapatkan kebijakan batas akses akun utama.

Anda dapat melihat semua binding kebijakan untuk kumpulan akun utama menggunakan gcloud CLI atau IAM REST API.

gcloud

Perintah gcloud beta iam policy-bindings search-target-policy-bindings mendapatkan semua kebijakan batas akses akun utama yang terikat ke kumpulan akun utama.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan turunan dari akun utama target. Gunakan nilai project, folder, atau organization

    Jenis resource bergantung pada jenis kumpulan akun utama yang ingin Anda cantumkan binding kebijakannya. Untuk melihat jenis resource yang akan digunakan, lihat Jenis akun utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang merupakan turunan dari kumpulan akun utama target. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • PRINCIPAL_SET: Kumpulan akun utama yang binding kebijakan batas akses akun utama ingin Anda lihat. Untuk daftar jenis akun utama yang valid, lihat Set akun utama yang didukung.
  • FORMAT: Format untuk respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

Respons berisi semua binding kebijakan yang terikat dengan kumpulan akun utama target.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

Metode SearchTargetPolicyBindings.search mendapatkan semua kebijakan batas akses akun utama yang terikat ke kumpulan akun utama.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan turunan dari akun utama target. Gunakan nilai projects, folders, atau organizations

    Jenis resource bergantung pada jenis kumpulan akun utama yang ingin Anda cantumkan binding kebijakannya. Untuk melihat jenis resource yang akan digunakan, lihat Jenis akun utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang merupakan turunan dari kumpulan akun utama target. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

  • PRINCIPAL_SET: Kumpulan akun utama yang pengikatan kebijakan batas akses akun utamanya ingin Anda lihat. Untuk daftar jenis akun utama yang valid, lihat Set akun utama yang didukung.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi semua binding kebijakan yang terikat dengan kumpulan akun utama target.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Mencantumkan binding kebijakan untuk project, folder, atau organisasi

Untuk melihat semua binding kebijakan yang merupakan turunan dari project, folder, atau organisasi tertentu, cantumkan binding kebijakan untuk project, folder, atau organisasi tersebut.

Resource induk binding kebijakan bergantung pada akun utama yang ditetapkan dalam binding kebijakan. Untuk mempelajari lebih lanjut, lihat Jenis akun utama yang didukung.

Anda dapat melihat semua binding kebijakan untuk project, folder, atau organisasi menggunakan gcloud CLI atau IAM REST API.

gcloud

Perintah gcloud beta iam policy-bindings list mencantumkan semua binding kebijakan yang merupakan turunan dari resource tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan turunan dari binding kebijakan. Gunakan nilai project, folder, atau organization

    Jenis resource bergantung pada akun utama yang ditetapkan dalam binding kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang merupakan turunan dari binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • FORMAT: Format untuk respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

Responsnya berisi binding kebijakan yang merupakan turunan dari resource dalam perintah.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Metode policyBindings.list mencantumkan semua binding kebijakan yang merupakan turunan dari resource tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan turunan dari binding kebijakan. Gunakan nilai projects, folders, atau organizations

    Jenis resource bergantung pada akun utama yang ditetapkan dalam binding kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang merupakan turunan dari binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Responsnya berisi binding kebijakan yang merupakan turunan dari resource dalam permintaan.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Mendapatkan binding kebijakan untuk kebijakan batas akses akun utama

Untuk melihat detail satu binding kebijakan, gunakan ID binding kebijakan untuk mendapatkan binding kebijakan.

Anda bisa mendapatkan binding kebijakan menggunakan gcloud CLI atau REST API IAM.

gcloud

Perintah gcloud beta iam policy-bindings describe mendapatkan binding kebijakan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • BINDING_ID: ID binding kebijakan yang ingin Anda dapatkan—misalnya, example-binding.

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan turunan dari binding kebijakan. Gunakan nilai project, folder, atau organization

    Jenis resource bergantung pada akun utama yang ditetapkan dalam binding kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang merupakan turunan dari binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • FORMAT: Format untuk respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

Respons berisi binding kebijakan.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

Metode policyBindings.get mendapatkan binding kebijakan.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan turunan dari binding kebijakan. Gunakan nilai projects, folders, atau organizations

    Jenis resource bergantung pada akun utama yang ditetapkan dalam binding kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang merupakan turunan dari binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • BINDING_ID: ID binding kebijakan yang ingin Anda dapatkan—misalnya, example-binding.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi binding kebijakan.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Langkah selanjutnya