Con Gestore contesto accesso, puoi eseguire aggiornamenti collettivi delle risorse che appartengono I criteri di accesso della tua organizzazione, ad esempio livelli di accesso e perimetri di servizio. Le modifiche alle risorse vengono applicate solo se tutte le parti dell'operazione collettiva hanno esito positivo.
Questo argomento descrive solo la sostituzione collettiva dei perimetri di servizio. Per maggiori informazioni informazioni sulla sostituzione collettiva dei livelli di accesso, consulta la documentazione di Gestore contesto accesso.
Prima di iniziare
Poiché le operazioni collettive interessano tutti i perimetri di servizio della tua organizzazione, puoi ottenere un elenco completo dei tuoi perimetri. Puoi anche formattare questo elenco come YAML e usarlo per apportare modifiche collettive ai tuoi perimetri.
Per un elenco formattato dei perimetri di servizio, consulta Elenca i perimetri di servizio (formattati).
Sostituire in blocco i perimetri di servizio
La sezione seguente descrive come sostituire collettivamente i perimetri di servizio.
gcloud
Per sostituire collettivamente tutti i perimetri di servizio, utilizza il metodo
Comando replace-all
.
gcloud access-context-manager perimeters replace-all POLICY_NAME \ --source-file=FILE \ --etag=ETAG \
Dove:
POLICY_NAME è il nome del criterio di accesso della tua organizzazione. Questo valore è obbligatorio solo se non hai impostato criterio di accesso predefinito.
FILE è il nome di un file .yaml che definisce le nuove impostazioni per i perimetri di servizio esistenti.
Ad esempio:
- name: accessPolicies/11271009391/servicePerimeters/storage_perimeter title: Storage Perimeter description: Perimeter to protect Storage resources. perimeterType: PERIMETER_TYPE_REGULAR status: restrictedServices: - storage.googleapis.com - name: accessPolicies/11271009391/servicePerimeters/bigquery_perimeter title: BigQuery Perimeter description: Perimeter to protect BigQuery resources. perimeterType: PERIMETER_TYPE_REGULAR status: restrictedServices: - bigquery.googleapis.com
Per ulteriori informazioni sulla formattazione del file YAML, consulta Struttura JSON del gestore contesto accesso Oggetto
ServicePerimeterConfig
.ETAG (facoltativo) è una stringa che rappresenta il target una versione del criterio di accesso della tua organizzazione. Se non includi un etag, l'operazione collettiva ha come target l'ultima versione del tuo del criterio di accesso dell'organizzazione.
Per ottenere l'etag più recente del tuo criterio di accesso,
list
i tuoi criteri di accesso.
API
Per sostituire collettivamente tutti i perimetri di servizio,
chiama servicePerimeters.replaceAll
.
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/servicePerimeters.replaceAll?alt=json
Dove:
- POLICY_NAME è il nome del criterio di accesso della tua organizzazione.
Corpo della richiesta
Il corpo della richiesta deve includere un elenco di
ServicePerimeterConfig
oggetti che specificano
le modifiche che desideri apportare.
Facoltativamente, scegliere come target una versione specifica dell'accesso dell'organizzazione. puoi includere un etag. Se non includi un etag, il caricamento ha come target la versione più recente del criterio di accesso dell'organizzazione.
Ad esempio:
{ "servicePerimeters": [ object (ServicePerimeterConfig), object (ServicePerimeterConfig), ... ] "etag": string }
Corpo della risposta
In caso di esito positivo, il corpo della risposta per la chiamata contiene una
Operation
che fornisce dettagli sul
di Google Cloud.
Esempio di risposta:
{
"name": "operations/accessPolicies/11271009391/replacePerimeters/1583523447707087",
"done": true,
"response": {
"@type": "type.googleapis.com/google.identity.accesscontextmanager.v1.ReplaceServicePerimetersResponse",
"servicePerimeters": [
{
"name": "accessPolicies/11271009391/servicePerimeters/storage_perimeter",
"title": "Storage Perimeter",
"description": "Perimeter to protect Storage resources.",
"status": {
"accessLevels": [
"accessPolicies/11271009391/accessLevels/corpnet_access"
],
"restrictedServices": [
"bigtable.googleapis.com"
]
}
},
{
"name": "accessPolicies/11271009391/servicePerimeters/storage_perimeter",
"title": "BigQuery Perimeter",
"description": "Perimeter to protect BigQuery resources.",
"status": {
"accessLevels": [
"accessPolicies/11271009391/accessLevels/prodnet_access"
],
"restrictedServices": [
"bigtable.googleapis.com"
]
}
}
]
}
}