Auf dieser Seite wird erläutert, wie Sie den Zugriff von Hauptkonten verweigern, indem Sie verhindern, dass sie bestimmte IAM-Berechtigungen (Identity and Access Management) verwenden.
In IAM verweigern Sie den Zugriff mithilfe von Ablehnungsrichtlinien. Jede Ablehnungsrichtlinie ist mit einer Google Cloud-Organisation, einem Google Cloud-Ordner oder einem Google Cloud-Projekt verknüpft. Eine Ablehnungsrichtlinie enthält Ablehnungsregeln, die Hauptkonten identifizieren und die Berechtigungen auflisten, die nicht von den Hauptkonten verwendet werden können.
Ablehnungsrichtlinien unterscheiden sich von Zulassungsrichtlinien, die auch als IAM-Richtlinien bezeichnet werden. Eine Zulassungsrichtlinie ermöglicht Zugriff auf Ressourcen, indem sie Hauptkonten IAM-Rollen zuweist.
Sie können Ablehnungsrichtlinien mit der Google Cloud Console, der Google Cloud CLI oder der IAM v2
REST API verwalten.
Hinweise
Enable the IAM API.
Richten Sie die Authentifizierung ein.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Terraform
Wenn Sie die Terraform-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
Go
Wenn Sie die Go Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
Java
Wenn Sie die Java Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
Node.js
Wenn Sie die Node.js Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
Python
Wenn Sie die Python Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.
REST
Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.
Lesen Sie die Übersicht über Ablehnungsrichtlinien.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Ablehnungsrichtlinien benötigen:
-
Zum Aufrufen von Ablehnungsrichtlinien:
Deny Reviewer (
roles/iam.denyReviewer
) -
Zum Aufrufen, Erstellen, Aktualisieren und Löschen von Ablehnungsrichtlinien:
Deny Admin (
roles/iam.denyAdmin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Ablehnungsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind zum Verwalten von Ablehnungsrichtlinien erforderlich:
-
So rufen Sie Ablehnungsrichtlinien auf:
-
iam.denypolicies.get
-
iam.denypolicies.list
-
-
So erstellen, aktualisieren und löschen Sie Richtlinien:
-
iam.denypolicies.create
-
iam.denypolicies.delete
-
iam.denypolicies.get
-
iam.denypolicies.update
-
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Berechtigungen zum Ablehnen identifizieren
Bevor Sie eine Ablehnungsrichtlinie erstellen, müssen Sie entscheiden, welche Berechtigungen Sie verweigern möchten und welchen Hauptkonten Sie diese Berechtigungen verweigern möchten.
Nur bestimmte Berechtigungen können abgelehnt werden. Eine Liste der Berechtigungen, die Sie ablehnen können, finden Sie unter In Ablehnungsrichtlinien unterstützte Berechtigungen.
In einigen Fällen können Sie mit Berechtigungsgruppen Berechtigungssätze ablehnen. Weitere Informationen finden Sie unter Berechtigungsgruppen.
Sie verwalten Ablehnungsrichtlinien mit der REST API
v2
, die ein spezielles Format für Berechtigungsnamen erfordert. Die Berechtigung zum Erstellen einer benutzerdefinierten IAM-Rolle hat beispielsweise folgenden Namen:v1
API:iam.roles.create
v2
API:iam.googleapis.com/roles.create
Ablehnungsrichtlinie erstellen
Sie können Ablehnungsrichtlinien für Organisationen, Ordner und Projekte hinzufügen. Für jede Ressource können bis zu 500 Ablehnungsrichtlinien festgelegt werden.
Ablehnungsrichtlinien enthalten Ablehnungsregeln, die Folgendes festlegen:
- Die Berechtigungen, die abgelehnt werden sollen.
- Die Hauptkonten, denen diese Berechtigungen verweigert werden.
Optional: Hauptkonten, die von der Ablehnung der Berechtigungen ausgenommen sind.
Sie können beispielsweise eine Berechtigung für eine Gruppe ablehnen, aber bestimmte Nutzer ausnehmen, die zu dieser Gruppe gehören.
Optional: Ein Bedingungsausdruck, der festlegt, wann die Hauptkonten die Berechtigungen nicht verwenden können. In Ablehnungsrichtlinien können in Bedingungsausdrücken nur Funktionen für Ressourcen-Tags verwendet werden. Andere Funktionen und Operatoren werden nicht unterstützt.
Jede Ressource kann bis zu 500 Ablehnungsregeln in allen zugehörigen Ablehnungsrichtlinien haben.
Ablehnungsrichtlinien werden über die Ressourcenhierarchie vererbt. Wenn Sie beispielsweise eine Berechtigung auf Organisationsebene ablehnen, wird diese Berechtigung auch für die Ordner und Projekte innerhalb dieser Organisation sowie für die dienstspezifischen Ressourcen innerhalb jedes Projekts abgelehnt.
Ablehnungsrichtlinien überschreiben Zulassungsrichtlinien. Wenn einem Hauptkonto eine Rolle zugewiesen wird, die eine bestimmte Berechtigung enthält, aber eine Ablehnungsrichtlinie besagt, dass das Hauptkonto diese Berechtigung nicht verwenden kann, kann das Hauptkonto die Berechtigung nicht verwenden.
Console
Öffnen Sie in der Google Cloud Console auf der Seite IAM den Tab Deny (Ablehnen).
Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
Klicken Sie auf
Ablehnungsrichtlinie erstellen.Geben Sie im Bereich Richtlinienname die Richtlinien-ID an. Gehen Sie dazu so vor:
- Geben Sie im Feld Anzeigename einen Anzeigenamen für die Richtlinie ein. Wenn Sie dieses Feld ausfüllen, wird das Feld ID automatisch ausgefüllt. Wenn Sie die ID der Richtlinie ändern möchten, aktualisieren Sie den Text im Feld ID.
- Geben Sie im Feld ID eine ID für die Richtlinie ein.
Definieren Sie im Abschnitt Ablehnungsregeln die Ablehnungsregeln der Richtlinie. Jede Deaktivierungsrichtlinie muss mindestens eine Deaktivierungsregel haben. Wenn Sie weitere Ablehnungsregeln hinzufügen möchten, klicken Sie auf Ablehnungsregel hinzufügen.
Führen Sie für jede Regel vom Typ „Deny“ (Ablehnen) die folgenden Schritte aus:
- Fügen Sie im Feld Abgelehnte Hauptkonten eine oder mehrere Hauptkonten hinzu, denen die Verwendung der angegebenen Berechtigungen nicht erlaubt werden soll. Das Hauptkonto kann einen beliebigen der Hauptkontotypen in der Liste der IAM-
v2
-Hauptkonto-Kennungen haben, mit Ausnahme der Hauptkonten, deren IDs mitdeleted:
beginnen. - Optional: Fügen Sie im Feld Hauptkonten mit Ausnahmen die Hauptkonten hinzu, die die angegebenen Berechtigungen verwenden sollen, auch wenn diese Hauptkonten im Abschnitt Abgelehnte Hauptkonten enthalten sind. Beispielsweise können Sie mit diesem Feld eine Ausnahme für bestimmte Nutzer festlegen, die zu einer abgelehnten Gruppe gehören.
Fügen Sie im Abschnitt Abgelehnte Berechtigungen die Berechtigungen hinzu, die Sie ablehnen möchten. Die Berechtigungen müssen in Ablehnungsrichtlinien unterstützt werden.
In einigen Fällen können Sie mit Berechtigungsgruppen Berechtigungssätze ablehnen. Weitere Informationen finden Sie unter Berechtigungsgruppen.
Optional: Fügen Sie Berechtigungen für Ausnahmen hinzu. Ausnahmeberechtigungen sind Berechtigungen, die nicht von dieser Ablehnungsregel abgelehnt werden sollen, auch wenn sie in der Liste der abgelehnten Berechtigungen enthalten sind. Beispielsweise können Sie mit diesem Feld Ausnahmen für bestimmte Berechtigungen in einer Berechtigungsgruppe festlegen.
Wenn Sie Ausnahmeberechtigungen hinzufügen möchten, klicken Sie auf Ausnahmeberechtigungen, dann auf
Weitere Berechtigung hinzufügen und geben Sie die Berechtigung in das Feld Berechtigung 1 ein. Fügen Sie so lange Berechtigungen hinzu, bis Sie alle Berechtigungen hinzugefügt haben, die von der Deaktivierungsrichtlinie ausgenommen werden sollen.Optional: Fügen Sie eine Ablehnungsbedingung hinzu, um anzugeben, wann die Hauptkonten die Berechtigung nicht verwenden können. Wenn Sie eine Ablehnungsbedingung hinzufügen möchten, klicken Sie auf
Ablehnungsbedingung hinzufügen und definieren Sie dann die folgenden Felder:- Titel: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung.
- Beschreibung: Optional. Eine längere Beschreibung der Bedingung.
Bedingungsausdruck: Sie können einen Bedingungsausdruck mit dem Tool zur Bedingungserstellung oder dem Bedingungseditor hinzufügen. Das Tool zur Bedingungserstellung bietet eine interaktive Oberfläche, in der Sie die gewünschte Bedingung, den Operator und andere anwendbare Details zum Ausdruck auswählen können. Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Ausdrucks mit der Common Expression Language (CEL)-Syntax.
Ablehnungsbedingungen müssen auf Ressourcen-Tags basieren. Andere Funktionen und Operatoren werden nicht unterstützt.
- Fügen Sie im Feld Abgelehnte Hauptkonten eine oder mehrere Hauptkonten hinzu, denen die Verwendung der angegebenen Berechtigungen nicht erlaubt werden soll. Das Hauptkonto kann einen beliebigen der Hauptkontotypen in der Liste der IAM-
Klicken Sie auf Erstellen.
gcloud
Wenn Sie eine Ablehnungsrichtlinie für eine Ressource erstellen möchten, erstellen Sie zuerst eine JSON-Datei, die die Richtlinie enthält. Eine Ablehnungsrichtlinie hat das folgende Format:
{ "displayName": "POLICY_NAME", "rules": [ { "denyRule": DENY_RULE_1 }, { "denyRule": DENY_RULE_2 }, { "denyRule": DENY_RULE_N } ] }
Geben Sie folgende Werte an:
POLICY_NAME
: Anzeigename für die Ablehnungsrichtlinie.-
DENY_RULE_1
,DENY_RULE_2
,...DENY_RULE_N
: Ablehnungsregeln innerhalb der Richtlinie. Jede Ablehnungsregel kann folgende Felder enthalten:-
deniedPermissions
: Liste von Berechtigungen, die die angegebenen Hauptkonten nicht verwenden können. Die Berechtigungen müssen in Ablehnungsrichtlinien unterstützt werden.In einigen Fällen können Sie mit Berechtigungsgruppen Berechtigungssätze ablehnen. Weitere Informationen finden Sie unter Berechtigungsgruppen.
-
exceptionPermissions
: Liste der Berechtigungen, die die angegebenen Hauptkonten verwenden können, auch wenn diese Berechtigungen indeniedPermissions
enthalten sind. Beispielsweise können Sie mit diesem Feld Ausnahmen für bestimmte Berechtigungen in einer Gruppe von Berechtigungen festlegen. -
deniedPrincipals
: Liste der Hauptkonten, die die angegebenen Berechtigungen nicht verwenden können. Verwenden Sie dasv2
-API-Format für Hauptkonto-IDs. -
exceptionPrincipals
: Optional. Eine Liste der Hauptkonten, die die angegebenen Berechtigungen verwenden können, auch wenn diese Hauptkonten indeniedPrincipals
enthalten sind. Beispielsweise können Sie mit diesem Feld eine Ausnahme für bestimmte Nutzer festlegen, die zu einer abgelehnten Gruppe gehören. Verwenden Sie dasv2
-API-Format für Hauptkonto-IDs. -
denialCondition
: Optional. Ein Bedingungsausdruck, der festlegt, wann die Hauptkonten die Berechtigungen nicht verwenden können. Er enthält die folgenden Felder:-
expression
: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss die CEL-Funktionen zum Bewerten von Ressourcen-Tags verwenden. Andere Funktionen und Operatoren werden nicht unterstützt. -
title
: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung. -
description
: Optional. Eine längere Beschreibung der Bedingung.
-
Beispiele für Ablehnungsregeln finden Sie unter Häufige Anwendungsfälle.
-
Die folgende Ablehnungsrichtlinie enthält beispielsweise eine Ablehnungsregel, die dem Nutzer die Berechtigung
lucian@example.com
verweigert:{ "displayName": "My deny policy.", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Als Nächstes führen Sie den Befehl
gcloud iam policies create
aus:gcloud iam policies create POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --policy-file=POLICY_FILE
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt. -
POLICY_FILE
: Dateipfad für die JSON-Datei, die die Ablehnungsrichtlinie enthält.
Standardmäßig wird keine Ausgabe gedruckt, wenn dieser Befehl erfolgreich ist. Fügen Sie zum Drucken einer detaillierten Antwort das Flag
--format=json
in den Befehl ein.Mit dem folgenden Befehl wird beispielsweise eine Ablehnungsrichtlinie namens
my-deny-policy
für das Projektmy-project
mit einer Datei namenspolicy.json
erstellt:gcloud iam policies create my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --policy-file=policy.json
Terraform
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle. Weitere Informationen finden Sie in der Anbieterreferenzdokumentation zu Terraform.
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Mit der Methode
policies.createPolicy
wird eine Ablehnungsrichtlinie für eine Ressource erstellt.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.POLICY_NAME
: Anzeigename für die Richtlinie zur Ablehnung.-
DENY_RULE_1
,DENY_RULE_2
,...DENY_RULE_N
: Ablehnungsregeln innerhalb der Richtlinie. Jede Ablehnungsregel kann folgende Felder enthalten:-
deniedPermissions
: Liste von Berechtigungen, die die angegebenen Hauptkonten nicht verwenden können. Die Berechtigungen müssen in Ablehnungsrichtlinien unterstützt werden.In einigen Fällen können Sie mit Berechtigungsgruppen Berechtigungssätze ablehnen. Weitere Informationen finden Sie unter Berechtigungsgruppen.
-
exceptionPermissions
: Liste der Berechtigungen, die die angegebenen Hauptkonten verwenden können, auch wenn diese Berechtigungen indeniedPermissions
enthalten sind. Beispielsweise können Sie mit diesem Feld Ausnahmen für bestimmte Berechtigungen in einer Gruppe von Berechtigungen festlegen. -
deniedPrincipals
: Liste der Hauptkonten, die die angegebenen Berechtigungen nicht verwenden können. Verwenden Sie dasv2
-API-Format für Hauptkonto-IDs. -
exceptionPrincipals
: Optional. Eine Liste der Hauptkonten, die die angegebenen Berechtigungen verwenden können, auch wenn diese Hauptkonten indeniedPrincipals
enthalten sind. Beispielsweise können Sie mit diesem Feld eine Ausnahme für bestimmte Nutzer festlegen, die zu einer abgelehnten Gruppe gehören. Verwenden Sie dasv2
-API-Format für Hauptkonto-IDs. -
denialCondition
: Optional. Ein Bedingungsausdruck, der festlegt, wann die Hauptkonten die Berechtigungen nicht verwenden können. Er enthält die folgenden Felder:-
expression
: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss die CEL-Funktionen zum Bewerten von Ressourcen-Tags verwenden. Andere Funktionen und Operatoren werden nicht unterstützt. -
title
: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung. -
description
: Optional. Eine längere Beschreibung der Bedingung.
-
Beispiele für Ablehnungsregeln finden Sie unter Häufige Anwendungsfälle.
-
HTTP-Methode und URL:
POST https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies?policyId=POLICY_ID
JSON-Text anfordern:
{ "displayName": "POLICY_NAME", "rules": [ { "denyRule": DENY_RULE_1 }, { "denyRule": DENY_RULE_2 }, { "denyRule": DENY_RULE_N } ] }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/89cb3e508bf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2022-06-28T19:06:12.455151Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-06-28T22:26:21.968687Z" "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] } }
Die Antwort identifiziert einen Vorgang mit langer Ausführungszeit. Sie können den Status des Vorgang mit langer Ausführungszeit überwachen, um festzustellen, ob er abgeschlossen ist. Weitere Informationen finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.
Ablehnungsrichtlinien auflisten
Eine Ressource kann mehrere Ablehnungsrichtlinien haben. Sie können alle Ablehnungsrichtlinien auflisten, die mit einer Ressource verknüpft sind, und dann jede Ablehnungsrichtlinie aufrufen, um die Ablehnungsregeln in jeder Richtlinie anzusehen.
Console
Öffnen Sie in der Google Cloud Console auf der Seite IAM den Tab Deny (Ablehnen).
Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
In der Google Cloud Console werden alle Ablehnungsrichtlinien aufgelistet, die für dieses Projekt, diesen Ordner oder diese Organisation gelten. Dazu gehören auch Ablehnungsrichtlinien, die von anderen Ressourcen übernommen wurden. Weitere Informationen zur Übernahme von Ablehnungsrichtlinien finden Sie unter Übernahme von Ablehnungsrichtlinien.
gcloud
Führen Sie den Befehl
gcloud iam policies list
aus, um die Ablehnungsrichtlinien für eine Ressource aufzulisten:gcloud iam policies list \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Geben Sie folgenden Wert an:
-
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt.
Mit dem folgenden Befehl werden beispielsweise Ablehnungsrichtlinien aufgelistet, die mit einer Organisation verknüpft sind, deren numerische ID
123456789012
ist:gcloud iam policies list \ --attachment-point=cloudresourcemanager.googleapis.com/organizations/123456789012 \ --kind=denypolicies \ --format=json
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Mit der Methode
policies.listPolicies
werden die Ablehnungsrichtlinien für eine Ressource aufgelistet.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt.
HTTP-Methode und URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "policies": [ { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-06-28T22:26:21.968687Z" }, { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy-2", "uid": "8465d710-ea20-0a08-d92c-b2a3ebf766ab", "kind": "DenyPolicy", "displayName": "My second deny policy.", "createTime": "2022-06-05T19:21:53.595455Z", "updateTime": "2022-06-05T19:21:53.595455Z" }, { "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1067607927478/denypolicies/test-policy-3", "uid": "ee9f7c2f-7e8c-b05c-d4e5-e03bfb2954e0", "kind": "DenyPolicy", "displayName": "My third deny policy.", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z" } ] }
Ablehnungsrichtlinie ansehen
Sie können eine Ablehnungsrichtlinie aufrufen, um die enthaltenen Ablehnungsregeln anzusehen, einschließlich der abgelehnten Berechtigungen und der Hauptkonten, die diese Berechtigungen nicht verwenden können.
Console
Öffnen Sie in der Google Cloud Console auf der Seite IAM den Tab Deny (Ablehnen).
Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
Klicken Sie in der Spalte Richtlinien-ID auf die ID der Richtlinie, die Sie aufrufen möchten.
In der Google Cloud Console werden die Details der Ablehnungsrichtlinie angezeigt, einschließlich der Richtlinien-ID, des Erstellungszeitraums und der Deaktivierungsregeln in der Deaktivierungsrichtlinie.
gcloud
Führen Sie den Befehl
gcloud iam policies get
aus, um die Ablehnungsrichtlinie für eine Ressource abzurufen:gcloud iam policies get POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt.
Mit dem folgenden Befehl wird beispielsweise die Ablehnungsrichtlinie
my-deny-policy
für das Projektmy-project
abgerufen und in einer Datei namenspolicy.json
gespeichert:gcloud iam policies get my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --format=json \ > ./policy.json
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Die Methode
policies.get
ruft eine Ablehnungsrichtlinie für eine Ressource ab.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.
HTTP-Methode und URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Ablehnungsrichtlinie aktualisieren
Nachdem Sie eine Ablehnungsrichtlinie erstellt haben, können Sie die darin enthaltenen Ablehnungsregeln und deren Anzeigenamen aktualisieren.
Sie können eine Richtlinie zum Ablehnen mithilfe der Google Cloud Console oder einer der folgenden programmatischen Methoden aktualisieren:
- gcloud CLI-Befehlszeile
- REST API
- IAM-Clientbibliotheken
Ablehnungsrichtlinie mit der Google Cloud Console aktualisieren
Öffnen Sie in der Google Cloud Console auf der Seite IAM den Tab Deny (Ablehnen).
Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
Klicken Sie in der Spalte Richtlinien-ID auf die ID der Richtlinie, die Sie bearbeiten möchten.
Klicken Sie auf
Bearbeiten.Aktualisieren Sie die Ablehnungsrichtlinie:
- Wenn Sie den Anzeigenamen der Richtlinie ändern möchten, bearbeiten Sie das Feld Anzeigename.
- Wenn Sie eine vorhandene Ablehnungsregel bearbeiten möchten, klicken Sie auf die Regel und ändern Sie dann die Hauptkonten, Ausnahmehauptkonten, abgelehnten Berechtigungen, Ausnahmeberechtigungen oder Ablehnungsbedingungen der Regel.
- Wenn Sie eine Anlehnungsregel entfernen möchten, suchen Sie die entsprechende Regel und klicken Sie in der Zeile auf Löschen.
- Wenn Sie eine Ablehnungsregel hinzufügen möchten, klicken Sie auf Ablehnungsregel hinzufügen und erstellen Sie dann eine Ablehnungsregel wie beim Erstellen einer Ablehnungsrichtlinie.
Wenn Sie die Richtlinie zum Ablehnen aktualisiert haben, klicken Sie auf Speichern.
Ablehnungsrichtlinie programmatisch aktualisieren
Wenn Sie eine Ablehnungsrichtlinie mit der gcloud CLI, der REST API oder den IAM-Clientbibliotheken aktualisieren möchten, verwenden Sie das Muster read-modify-write:
- Lesen Sie die aktuelle Version der Richtlinie.
- Ändern Sie die Informationen in der Richtlinie nach Bedarf.
- Schreiben Sie die aktualisierte Richtlinie.
Ablehnungsrichtlinie lesen
gcloud
Führen Sie den Befehl
gcloud iam policies get
aus, um die Ablehnungsrichtlinie für eine Ressource abzurufen:gcloud iam policies get POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --format=json
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt.
Mit dem folgenden Befehl wird beispielsweise die Ablehnungsrichtlinie
my-deny-policy
für das Projektmy-project
abgerufen und in einer Datei namenspolicy.json
gespeichert:gcloud iam policies get my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --format=json \ > ./policy.json
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Die Methode
policies.get
ruft eine Ablehnungsrichtlinie für eine Ressource ab.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.
HTTP-Methode und URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] }
Ablehnungsrichtlinie ändern
Um die Ablehnungsrichtlinie zu ändern, ändern Sie die Kopie der Richtlinie, die Sie zuvor aus IAM gelesen haben. Sie können den Anzeigenamen aktualisieren oder Ablehnungsregeln hinzufügen, ändern oder entfernen. Die Änderungen werden erst wirksam, wenn die aktualisierte Richtlinie geschrieben wird.
Sie können beispielsweise einer vorhandenen Ablehnungsregel eine Berechtigung hinzufügen:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2021-10-05T19:22:26.770543Z", "updateTime": "2021-10-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] }
Aktualisierte Ablehnungsrichtlinie schreiben
Nachdem Sie die Ablehnungsrichtlinie lokal geändert haben, müssen Sie die aktualisierte Ablehnungsrichtlinie in IAM schreiben.
Jede Ablehnungsrichtlinie enthält ein
etag
-Feld, das die Richtlinienversion kennzeichnet.etag
ändert sich jedes Mal, wenn Sie die Richtlinie aktualisieren. Wenn Sie die aktualisierte Richtlinie schreiben, mussetag
in Ihrer Anfrage mit dem aktuellenetag
übereinstimmen, das in IAM gespeichert ist. Wenn die Werte nicht übereinstimmen, schlägt die Anfrage fehl. Diese Funktion verhindert, dass sich gleichzeitige Änderungen gegenseitig überschreiben.gcloud
Führen Sie den Befehl
gcloud iam policies update
aus, um die Ablehnungsrichtlinie für eine Ressource zu aktualisieren:gcloud iam policies update POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies \ --policy-file=POLICY_FILE
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt. -
POLICY_FILE
: Dateipfad für die JSON-Datei, die die Ablehnungsrichtlinie enthält.
Standardmäßig wird keine Ausgabe gedruckt, wenn dieser Befehl erfolgreich ist. Fügen Sie zum Drucken einer detaillierten Antwort das Flag
--format=json
in den Befehl ein.Mit dem folgenden Befehl wird beispielsweise eine Ablehnungsrichtlinie namens
my-deny-policy
für das Projektmy-project
mit einer Datei namenspolicy.json
aktualisiert:gcloud iam policies update my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies \ --policy-file=policy.json
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Mit der Methode
policies.update
wird eine Ablehnungsrichtlinie aktualisiert.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.-
POLICY
: Die aktualisierte Ablehnungsrichtlinie.Wenn Sie beispielsweise der im vorherigen Schritt angezeigten Richtlinie eine Berechtigung hinzufügen möchten, ersetzen Sie
POLICY
durch Folgendes:{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T19:22:26.770543Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] }
HTTP-Methode und URL:
PUT https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID
JSON-Text anfordern:
POLICY
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/8b2d0ab2daf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2021-10-05T22:26:21.968687Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "uid": "6665c437-a3b2-a018-6934-54dd16d3426e", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTgxNTIxNDE3NTYxNjQxODYxMTI=", "createTime": "2022-06-05T19:22:26.770543Z", "updateTime": "2022-06-05T22:26:21.968687Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create", "iam.googleapis.com/roles.delete" ] } } ] } }
Die Antwort identifiziert einen Vorgang mit langer Ausführungszeit. Sie können den Status des Vorgang mit langer Ausführungszeit überwachen, um festzustellen, ob er abgeschlossen ist. Weitere Informationen finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.
Ablehnungsrichtlinie löschen
Wenn Sie die Regeln in einer Ablehnungsrichtlinie nicht mehr erzwingen möchten, können Sie die Ablehnungsrichtlinie löschen.
Optional können Sie das
etag
für die Richtlinienversion angeben, die Sie löschen möchten. Wenn Sie dasetag
angeben, muss es dem aktuellen von IAM gespeichertenetag
entsprechen. Wenn die Werte nicht übereinstimmen, schlägt die Anfrage fehl. Mit dieser Funktion können Sie dafür sorgen, dass die beabsichtigte Richtlinie anstelle einer aktualisierten Version dieser Richtlinie gelöscht wird.Wenn Sie
etag
in der Anfrage weglassen, löscht IAM die Richtlinie bedingungslos.Console
Öffnen Sie in der Google Cloud Console auf der Seite IAM den Tab Deny (Ablehnen).
Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
Klicken Sie in der Spalte Richtlinien-ID auf die ID der Richtlinie, die Sie löschen möchten.
Klicken Sie auf
Löschen. Klicken Sie im Dialogfeld zur Bestätigung auf Bestätigen.
gcloud
Führen Sie den Befehl
gcloud iam policies delete
aus, um eine Ablehnungsrichtlinie für eine Ressource zu löschen:gcloud iam policies delete POLICY_ID \ --attachment-point=ATTACHMENT_POINT \ --kind=denypolicies
Geben Sie folgende Werte an:
-
POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie. -
ATTACHMENT_POINT
: Eine Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt.
Optional können Sie das Flag
--etag=ETAG
hinzufügen. Ersetzen SieETAG
durch den aktuellenetag
-Wert für die Ablehnungsrichtlinie.Standardmäßig wird keine Ausgabe gedruckt, wenn dieser Befehl erfolgreich ist. Fügen Sie zum Drucken einer detaillierten Antwort das Flag
--format=json
in den Befehl ein.Mit dem folgenden Befehl wird beispielsweise eine Ablehnungsrichtlinie namens
my-deny-policy
aus dem Projektmy-project
gelöscht:gcloud iam policies delete my-deny-policy \ --attachment-point=cloudresourcemanager.googleapis.com/projects/my-project \ --kind=denypolicies
Go
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Go API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Node.js
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Node.js API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Vorbereitung.
REST
Mit der Methode
policies.delete
wird eine Ablehnungsrichtlinie aus einer Ressource gelöscht.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt. POLICY_ID
: Kennzeichnung für die Ablehnungsrichtlinie.-
ETAG
: Optional. Eine Kennzeichnung für die Version der Richtlinie. Wenn vorhanden, muss dieser Wert dem aktuellenetag
-Wert für die Richtlinie entsprechen.
HTTP-Methode und URL:
DELETE https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/denypolicies/POLICY_ID?etag=ETAG
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/8223fe308bf1ff01", "metadata": { "@type": "type.googleapis.com/google.iam.v2.PolicyOperationMetadata", "createTime": "2021-10-05T19:45:00.133311Z" }, "response": { "@type": "type.googleapis.com/google.iam.v2.Policy", "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy", "kind": "DenyPolicy", "displayName": "My deny policy.", "etag": "MTc3NDU4MjM4OTY0MzU5MjQ5OTI=", "createTime": "2022-06-28T19:06:12.455151Z", "updateTime": "2022-07-05T19:45:00.133311Z", "deleteTime": "2022-07-05T19:45:00.133311Z", "rules": [ { "denyRule": { "deniedPrincipals": [ "principal://goog/subject/lucian@example.com" ], "deniedPermissions": [ "iam.googleapis.com/roles.create" ] } } ] } }
Die Antwort identifiziert einen Vorgang mit langer Ausführungszeit. Sie können den Status des Vorgang mit langer Ausführungszeit überwachen, um festzustellen, ob er abgeschlossen ist. Weitere Informationen finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.
Status eines Vorgangs mit langer Ausführungszeit prüfen
Wenn Sie die REST API oder die Clientbibliotheken verwenden, gibt jede Methode, die eine Ablehnungsrichtlinie ändert, einen lang andauernden Vorgang zurück. Der Vorgang mit langer Ausführungszeit verfolgt den Status der Anfrage und gibt an, ob die Änderung der Richtlinie abgeschlossen ist.
Go
Die Codebeispiele auf dieser Seite zeigen, wie Sie auf den Abschluss eines lang andauernden Vorgangs warten und dann auf das Ergebnis zugreifen.
Java
Die Codebeispiele auf dieser Seite zeigen, wie Sie auf den Abschluss eines lang andauernden Vorgangs warten und dann auf das Ergebnis zugreifen.
Node.js
Die Codebeispiele auf dieser Seite zeigen, wie Sie auf den Abschluss eines lang andauernden Vorgangs warten und dann auf das Ergebnis zugreifen.
Python
Die Codebeispiele auf dieser Seite zeigen, wie Sie auf den Abschluss eines lang andauernden Vorgangs warten und dann auf das Ergebnis zugreifen.
REST
Die Methode
policies.operations.get
gibt den Status eines Vorgang mit langer Ausführungszeit zurück.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ENCODED_ATTACHMENT_POINT
: Eine URL-codierte Kennzeichnung für die Ressource, mit der die Ablehnungsrichtlinie verknüpft ist. Informationen zum Formatieren dieses Werts finden Sie unter Anhangspunkt. -
OPERATION_ID
: Die Kennzeichnung für den Vorgang. Sie erhalten diese Kennzeichnung in der Antwort auf Ihre ursprüngliche Anfrage als Teil des Vorgangsnamens. Verwenden Sie den Hexadezimalwert am Ende des Vorgangsnamens. Beispiel:89cb3e508bf1ff01
.
HTTP-Methode und URL:
GET https://iam.googleapis.com/v2/policies/ENCODED_ATTACHMENT_POINT/operations/OPERATION_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{ "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F1234567890123/denypolicies/my-policy/operations/89cb3e508bf1ff01", "done": true }
Wenn das Feld
done
des Vorgangs nicht vorhanden ist, überwachen Sie seinen Status, indem Sie den Vorgang wiederholt abrufen. Verwenden Sie den abgeschnittenen exponentiellen Backoff, um zwischen jeder Anfrage eine Verzögerung einzuführen. Wenn das Felddone
auftrue
gesetzt ist, ist der Vorgang abgeschlossen und Sie können den Vorgang beenden.Nächste Schritte
- Ermitteln Sie die Berechtigungen, die in Ablehnungsrichtlinien unterstützt werden
- Rufen Sie das Format der Hauptkennzeichnungen in Ablehnungsrichtlinien ab.
- Zugriffsprobleme durch Ablehnungsrichtlinien beheben
- Zugriff auf Hauptkonten verweigern
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2024-12-03 (UTC).