主體存取邊界 (PAB) 政策可限制一組主體可存取的資源。本頁面說明如何查看主體存取邊界政策和政策繫結。
事前準備
設定驗證方法。
Select the tab for how you plan to use the samples on this page:
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST
如要在本機開發環境中使用本頁的 REST API 範例,請使用您提供給 gcloud CLI 的憑證。
安裝 Google Cloud CLI。 安裝完成後,執行下列指令初始化 Google Cloud CLI:
gcloud init
如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI。
詳情請參閱 Google Cloud 驗證說明文件中的「Authenticate for using REST」。
閱讀主體存取邊界政策總覽。
查看主體存取邊界政策所需的角色
如要取得查看主體存取權範圍政策所需的權限,請要求管理員授予您機構的主體存取權範圍檢視者 (
roles/iam.principalAccessBoundaryViewer
) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。這個預先定義的角色具備查看主體存取邊界政策所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要查看主體存取邊界政策,必須具備下列權限:
-
查看單一主體存取邊界政策:
iam.principalaccessboundarypolicies.get
-
列出機構中的主體存取邊界政策:
iam.principalaccessboundarypolicies.list
查看政策繫結所需的角色
如要取得查看政策繫結所需的權限,請要求管理員在政策繫結的父項資源上,授予您下列 IAM 角色:
-
查看專案中的政策繫結:
專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin
) -
查看資料夾中的政策繫結:
資料夾 IAM 管理員 (
roles/resourcemanager.folderIamAdmin
) -
查看機構中的政策繫結:
機構管理員 (
roles/resourcemanager.organizationAdmin
)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這些預先定義的角色具備查看政策繫結所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要查看政策繫結,必須具備下列權限:
-
查看單一政策繫結:
iam.policybindings.get
-
列出專案、資料夾或機構中的政策繫結:
iam.policybindings.list
查看主體存取邊界政策所有政策繫結所需的角色
如要取得權限,查看主體存取權範圍政策的所有政策繫結,請要求管理員授予您機構的主體存取權範圍檢視者 (
roles/iam.principalAccessBoundaryViewer
) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。這個預先定義的角色具備
iam.principalaccessboundarypolicies.searchIamPolicyBindings
權限,可查看主體存取權範圍政策的所有政策繫結。查看主體組合政策繫結所需的角色
如要查看主體集的所有政策繫結,您必須具備的權限取決於要查看政策的主體集。
如要取得查看政策繫結所需的權限,請要求管理員授予下列 IAM 角色:
-
查看員工身分聯盟集區的政策繫結:
目標員工身分聯盟集區的「身分與存取權管理工作團隊集區管理員」 (
roles/iam.workforcePoolAdmin
) -
查看 Workload Identity Federation 集區的政策繫結:
在擁有目標 Workforce Identity Federation 集區的專案中,身分與存取權管理 Workload Identity 集區管理員 (
roles/iam.workloadIdentityPoolAdmin
) -
查看 Google Workspace 網域的政策繫結:
Workspace 集區 IAM 管理員 (
roles/iam.workspacePoolAdmin
) 機構 -
查看專案主體組合的政策繫結:
專案的專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin
) -
查看資料夾主體集的政策繫結:
資料夾的資料夾 IAM 管理員 (
roles/resourcemanager.folderIamAdmin
) -
查看機構主體集的政策繫結:
機構管理員 (
roles/resourcemanager.organizationAdmin
) 機構
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這些預先定義的角色具備查看政策繫結所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要查看政策繫結,必須具備下列權限:
-
查看員工身分聯盟集區的政策繫結:
iam.workforcePools.searchPolicyBindings
在目標員工身分聯盟集區上 -
查看 Workload Identity Federation 集區的政策繫結:
iam.workloadIdentityPools.searchPolicyBindings
在擁有目標 Workforce Identity Federation 集區的專案中 -
查看 Google Workspace 網域的政策繫結:
iam.workspacePools.searchPolicyBindings
在機構上 -
查看專案主體組合的政策繫結:
resourcemanager.projects.searchPolicyBindings
在專案上 -
查看資料夾主體組合的政策繫結:
resourcemanager.folders.searchPolicyBindings
在資料夾上 -
查看機構主體集的政策繫結:
resourcemanager.organizations.searchPolicyBindings
在機構上
列出機構的主體存取邊界政策
如要查看機構中建立的所有主體存取邊界政策,請列出機構中的主體存取邊界政策。
您可以使用Google Cloud 主控台、gcloud CLI 或 IAM REST API,列出機構中的主體存取權界線政策。
控制台
前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。
選取要建立主體存取權範圍政策的機構。
Google Cloud 控制台會列出所選機構中的所有政策。
gcloud
gcloud iam principal-access-boundary-policies list
指令會列出機構中的所有主體存取邊界政策。使用下列任何指令資料之前,請先替換以下項目:
-
ORG_ID
:您要列出主體存取邊界政策的 Google Cloud 機構 ID。機構 ID 為數字,例如123456789012
。 FORMAT
:回覆格式。使用json
或yaml
。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies list --organization=ORG_ID \ --location=global --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ` --location=global --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^ --location=global --format=FORMAT
回應會包含指定機構中的主體存取邊界政策。
{ "principalAccessBoundaryPolicies": [ { "createTime": "2024-05-07T00:05:48.295209Z", "details": [ "enforcementVersion": 1, "rules": { [ "description": "Make principals eligible to access resources in example.com", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" } ] } ], "displayName": "Example policy 1", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1", "uid": "puid_13364150419245236225", "updateTime": "2024-05-07T00:05:48.295209Z" }, { "createTime": "2024-02-29T23:25:01.606730Z", "details": [ "enforcementVersion": 1, "rules": { [ "description": "Make principals eligible to access resources in example-project", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/projects/example-project" } ] } ], "displayName": "Example policy 2", "etag": "d6BJBTsk2+oDCygmr5ANxA==", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2", "uid": "puid_13064942519001808897", "updateTime": "2024-02-29T23:25:01.606730Z" } ] }
REST
principalAccessBoundaryPolicies.list
方法會列出機構中的所有主體存取邊界政策。使用任何要求資料之前,請先替換以下項目:
-
ORG_ID
:您要列出主體存取邊界政策的 Google Cloud 機構 ID。機構 ID 為數字,例如123456789012
。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies
如要傳送要求,請展開以下其中一個選項:
回應會包含指定機構中的主體存取邊界政策。
{ "principalAccessBoundaryPolicies": [ { "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1", "uid": "puid_13364150419245236225", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "displayName": "Example policy 1", "createTime": "2024-05-07T00:05:48.295209Z", "updateTime": "2024-05-07T00:05:48.295209Z", "details": [ "rules": { [ "description": "Make principals eligible to access resources in example.com", "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "effect": ALLOW ] }, "enforcementVersion": 1, ] }, { "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2", "uid": "puid_13064942519001808897", "etag": "d6BJBTsk2+oDCygmr5ANxA==", "displayName": "Example policy 2", "createTime": "2024-02-29T23:25:01.606730Z", "updateTime": "2024-02-29T23:25:01.606730Z", "details": [ "rules": { [ "description": "Make principals eligible to access resources in example-project", "resources": { "//cloudresourcemanager.googleapis.com/projects/example-project" }, "effect": ALLOW ] }, "enforcementVersion": 1 ] } ] }
取得單一主體存取邊界政策
如要查看單一主體存取邊界政策的詳細資料,請使用政策 ID 取得政策。
您可以使用 Google Cloud 控制台、gcloud CLI 或 IAM REST API 取得主體存取權界線政策。
控制台
前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。
選取要建立主體存取權範圍政策的機構。
按一下要查看的主體存取邊界政策 ID。
控制台會顯示所選主體存取邊界政策的詳細資料。 Google Cloud
gcloud
gcloud iam principal-access-boundary-policies describe
指令會取得單一主體存取邊界政策。使用下列任何指令資料之前,請先替換以下項目:
-
PAB_POLICY_ID
:您要取得的主體存取邊界政策 ID,例如example-policy
。 ORG_ID
:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如123456789012
。FORMAT
:回覆格式。使用json
或yaml
。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
回應會包含要求中指定的主體存取邊界政策。
{ "createTime": "2024-05-07T00:05:48.295209Z", "details": [ "enforcementVersion": "1", "rules": { [ "description": "Make principals eligible to access example.com", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" } ] }, ], "displayName": "Example policy", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy", "uid": "puid_13364150419245236225", "updateTime": "2024-05-07T00:05:48.295209Z" }
REST
principalAccessBoundaryPolicies.get
方法會取得單一主體存取邊界政策。使用任何要求資料之前,請先替換以下項目:
ORG_ID
:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如123456789012
。-
PAB_POLICY_ID
:您要取得的主體存取邊界政策 ID,例如example-policy
。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID
如要傳送要求,請展開以下其中一個選項:
回應會包含要求中指定的主體存取邊界政策。
{ "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy", "uid": "puid_13364150419245236225", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "displayName": "Example policy", "createTime": "2024-05-07T00:05:48.295209Z", "updateTime": "2024-05-07T00:05:48.295209Z", "details": [ "rules": { [ "description": "Make principals eligible to access example.com" "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "effect": ALLOW ] }, "enforcementVersion": "1" ] }
列出主體存取邊界政策的政策繫結
您可以透過多種方式列出主體存取邊界政策的政策繫結:
列出主體存取邊界政策的政策繫結
如要查看包含特定主體存取邊界政策的所有政策繫結,請搜尋該政策的繫結。
您可以使用Google Cloud 控制台、gcloud CLI 或 IAM REST API,查看主體存取權界線政策的所有政策繫結。
控制台
前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。
選取擁有您要查看繫結的主體存取權範圍政策的機構。
按一下要查看繫結的主體存取邊界政策 ID。
按一下「Bindings」(繫結) 分頁標籤。
「繫結」分頁會列出所有包含主體存取邊界政策的主體存取邊界政策繫結。
gcloud
gcloud iam principal-access-boundary-policies search-policy-bindings
指令會列出指定主體存取邊界政策的所有政策繫結。使用下列任何指令資料之前,請先替換以下項目:
-
PAB_POLICY_ID
:您要列出政策繫結的主體存取邊界政策 ID,例如example-policy
。 ORG_ID
:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如123456789012
。FORMAT
:回覆格式。使用json
或yaml
。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
回應會包含指定主體存取邊界政策的政策繫結。
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "createTime": "2024-05-07T07:05:06.203861Z", "displayName": "Example binding 2", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }
REST
principalAccessBoundaryPolicies.searchPolicyBindings
方法會列出指定主體存取邊界政策的所有政策繫結。使用任何要求資料之前,請先替換以下項目:
ORG_ID
:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如123456789012
。-
PAB_POLICY_ID
:您要列出政策繫結的主體存取邊界政策 ID,例如example-policy
。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings
如要傳送要求,請展開以下其中一個選項:
回應會包含指定主體存取邊界政策的政策繫結。
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "uid": "buid_4331055466646863873", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-07T07:05:06.203861Z", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }
列出主體組合的政策繫結
如要查看包含特定主體組合的所有政策繫結,請搜尋該主體組合的繫結。
這些繫結包含繫結至主體組合的主體存取邊界政策 ID。如要查看這些政策的詳細資料,請使用政策 ID 取得主體存取邊界政策。
您可以使用 gcloud CLI 或 IAM REST API,查看主體集的所有政策繫結。
gcloud
gcloud iam policy-bindings search-target-policy-bindings
指令會取得繫結至主體組合的所有主體存取邊界政策。使用下列任何指令資料之前,請先替換以下項目:
-
RESOURCE_TYPE
:目標主體集所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project
、folder
或organization
值資源類型取決於您要列出政策繫結的主體組合類型。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID
:目標主體集所屬專案、資料夾或機構的 ID。專案 ID 為英數字元字串,例如my-project
。資料夾和機構 ID 為數字,例如123456789012
。-
PRINCIPAL_SET
:您要查看主體存取邊界政策繫結的主體集。如需有效主體類型清單,請參閱「支援的主體集」。 FORMAT
:回覆格式。使用json
或yaml
。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings search-target-policy-bindings \ --RESOURCE_TYPE=RESOURCE_ID \ --target=PRINCPAL_SET \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings search-target-policy-bindings ` --RESOURCE_TYPE=RESOURCE_ID ` --target=PRINCPAL_SET ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings search-target-policy-bindings ^ --RESOURCE_TYPE=RESOURCE_ID ^ --target=PRINCPAL_SET ^ --format=FORMAT
回應會包含繫結至目標主體組合的所有政策繫結。
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:11:16.798841Z" }, { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 2", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_10358560617928851457", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-06T18:11:16.798841Z" } ] }
REST
SearchTargetPolicyBindings.search
方法會取得繫結至主體組合的所有主體存取邊界政策。使用任何要求資料之前,請先替換以下項目:
-
RESOURCE_TYPE
:目標主體集所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects
、folders
或organizations
值資源類型取決於您要列出政策繫結的主體組合類型。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID
:目標主體集所屬專案、資料夾或機構的 ID。專案 ID 為英數字元字串,例如my-project
。資料夾和機構 ID 為數字,例如123456789012
。-
PRINCIPAL_SET
:您要查看主體存取邊界政策繫結的主體集。如需有效主體類型清單,請參閱「支援的主體集」。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET
如要傳送要求,請展開以下其中一個選項:
回應會包含繫結至目標主體組合的所有政策繫結。
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:11:16.798841Z", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "uid": "buid_4331055466646863873", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:11:16.798841Z", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_10358560617928851457" } ] }
列出專案、資料夾或機構的政策繫結
如要查看特定專案、資料夾或機構的所有子項政策繫結,請列出該專案、資料夾或機構的政策繫結。
政策繫結的父項資源取決於政策繫結中設定的主體。詳情請參閱「支援的主體類型」。
您可以使用 gcloud CLI 或 IAM REST API,查看專案、資料夾或機構的所有政策繫結。
gcloud
gcloud iam policy-bindings list
指令會列出特定資源的所有子項政策繫結。使用下列任何指令資料之前,請先替換以下項目:
-
RESOURCE_TYPE
:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project
、folder
或organization
值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID
:政策繫結所屬的專案、資料夾或機構 ID。專案 ID 為英數字串,例如my-project
。資料夾和機構 ID 為數字,例如123456789012
。FORMAT
:回覆格式。使用json
或yaml
。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ` --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^ --location=global ^ --format=FORMAT
回應包含指令中資源的子項政策繫結。
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "createTime": "2024-05-07T07:05:06.203861Z", "displayName": "Example binding 2", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_1566408245394800641", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }
REST
policyBindings.list
方法會列出特定資源的所有子項政策繫結。使用任何要求資料之前,請先替換以下項目:
-
RESOURCE_TYPE
:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects
、folders
或organizations
值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID
:政策繫結所屬的專案、資料夾或機構 ID。專案 ID 為英數字串,例如my-project
。資料夾和機構 ID 為數字,例如123456789012
。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings
如要傳送要求,請展開以下其中一個選項:
回應包含要求中資源的子項政策繫結。
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2", "uid": "buid_4331055466646863873", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2", "policyUid": "puid_1566408245394800641", "createTime": "2024-05-07T07:05:06.203861Z", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }
取得主體存取邊界政策的政策繫結
如要查看單一政策繫結的詳細資料,請使用政策繫結的 ID 取得政策繫結。
您可以使用 gcloud CLI 或 IAM REST API 取得政策繫結。
gcloud
gcloud iam policy-bindings describe
指令會取得政策繫結。使用下列任何指令資料之前,請先替換以下項目:
-
BINDING_ID
:您要取得的政策繫結 ID,例如example-binding
。 -
RESOURCE_TYPE
:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project
、folder
或organization
值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID
:政策繫結所屬的專案、資料夾或機構 ID。專案 ID 為英數字串,例如my-project
。資料夾和機構 ID 為數字,例如123456789012
。FORMAT
:回覆格式。使用json
或yaml
。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings describe BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings describe BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings describe BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global ^ --format=FORMAT
回應會包含政策繫結。
{ "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }
REST
policyBindings.get
方法會取得政策繫結。使用任何要求資料之前,請先替換以下項目:
-
RESOURCE_TYPE
:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects
、folders
或organizations
值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID
:政策繫結所屬的專案、資料夾或機構 ID。專案 ID 為英數字串,例如my-project
。資料夾和機構 ID 為數字,例如123456789012
。-
BINDING_ID
:您要取得的政策繫結 ID,例如example-binding
。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
如要傳送要求,請展開以下其中一個選項:
回應會包含政策繫結。
{ "name": "organizations/123456789012/locations/global/policyBindings/example-binding", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }
後續步驟
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-09-04 (世界標準時間)。