Esta página se ha traducido con Cloud Translation API.

Editar políticas de límites de acceso de principales

Las políticas de límites de acceso de principales (PAB) te permiten limitar los recursos a los que puede acceder un conjunto de principales. En esta página se explica cómo editar las políticas de límites de acceso de principales y los enlaces de políticas para cambiar a quién se aplican.

Antes de empezar

Configura la autenticación.

Select the tab for how you plan to use the samples on this page:
gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
REST

Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.
Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .
Consulta la descripción general de las políticas de límites de acceso de principales.

Roles necesarios para editar políticas de límites de acceso de principales

Para obtener el permiso que necesitas para editar las políticas de límites de acceso de principales, pide a tu administrador que te asigne el rol de gestión de identidades y accesos Administrador de límites de acceso de principales (roles/iam.principalAccessBoundaryAdmin) en tu organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene el permiso iam.principalaccessboundarypolicies.update, que es necesario para editar las políticas de límite de acceso de principales.

También puedes obtener este permiso con roles personalizados u otros roles predefinidos.

Roles necesarios para editar las vinculaciones de la política de límites de acceso de principales

Los permisos que necesitas para editar las vinculaciones de políticas de límites de acceso de principales dependen del conjunto de principales que esté vinculado a la política.

Para obtener los permisos que necesitas para editar las vinculaciones de políticas de las políticas de límites de acceso de principales, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Usuario de límite de acceso principal (roles/iam.principalAccessBoundaryUser) en tu organización
Edita las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a grupos de identidades de Workforce: Administrador de grupos de Workforce de IAM (roles/iam.workforcePoolAdmin) en el grupo de identidades de Workforce de destino
Edita las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a grupos de Workload Identity: Administrador de grupos de Workload Identity de IAM (roles/iam.workloadIdentityPoolAdmin) en el proyecto propietario del grupo de Workload Identity de destino.
Obtén el estado de una operación de larga duración para editar un enlace que haga referencia a un grupo de identidades de carga de trabajo: Visor de operaciones de gestión de identidades y accesos (roles/iam.operationViewer) en el proyecto propietario del grupo de identidades de carga de trabajo de destino
Edita las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a un dominio de Google Workspace: Administrador de IAM de grupo de Workspace (roles/iam.workspacePoolAdmin) en la organización
Editar las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de un proyecto: Administrador de gestión de identidades y accesos de proyectos (roles/resourcemanager.projectIamAdmin) en el proyecto
Obtén el estado de una operación de larga duración para editar un enlace que haga referencia al conjunto de principales de un proyecto: Visor de operaciones de gestión de identidades y accesos (roles/iam.operationViewer) en el proyecto
Editar las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de una carpeta: Administrador de gestión de identidades y accesos de la carpeta (roles/resourcemanager.folderIamAdmin) en la carpeta
Edita las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de una organización: Administrador de la organización (roles/resourcemanager.organizationAdmin) en la organización

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para editar las vinculaciones de políticas de las políticas de límites de acceso de principales. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Se necesitan los siguientes permisos para editar las vinculaciones de políticas de las políticas de límites de acceso de principales:

iam.principalaccessboundarypolicies.bind de la organización
Edita las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a grupos de identidades de Workforce: iam.workforcePools.updatePolicyBinding en el grupo de identidades de Workforce de destino
Edita las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a grupos de identidades de carga de trabajo: iam.workloadIdentityPools.updatePolicyBinding en el proyecto propietario del grupo de identidades de carga de trabajo de destino
Obtén el estado de una operación de larga duración para editar un enlace que haga referencia a un grupo de identidades de carga de trabajo: iam.operations.get en el proyecto propietario del grupo de identidades de carga de trabajo de destino
Editar las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a un dominio de Google Workspace: iam.workspacePools.updatePolicyBinding en la organización
Edita las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de un proyecto: resourcemanager.projects.updatePolicyBinding en el proyecto
Obtener el estado de una operación de larga duración para editar una vinculación que haga referencia al conjunto de principales de un proyecto: iam.operations.get en el proyecto
Editar las vinculaciones de políticas de límites de acceso de principales de las políticas vinculadas al conjunto de principales de una carpeta: resourcemanager.folders.updatePolicyBinding en la carpeta
Editar las vinculaciones de políticas de límites de acceso de principales vinculadas al conjunto de principales de una organización: resourcemanager.organizations.updatePolicyBinding en la organización

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Editar una política de límites de acceso de principales

Si quieres añadir reglas a una política de límites de acceso de principales, eliminar reglas de una política de límites de acceso de principales o modificar los metadatos de una política de límites de acceso de principales, edita la política de límites de acceso de principales.

Puedes editar una política de límite de acceso de un principal con la consola de Google Cloud , la CLI de gcloud o la API REST de gestión de identidades y accesos.

Consola

En la Google Cloud consola, ve a la página Políticas de límite de acceso de principales.

Ir a las políticas de límites de acceso de principales
Selecciona la organización propietaria de la política de límite de acceso principal que quieras editar.
Haga clic en el ID de la política de límite de acceso principal que quiera editar.
Haz clic en Editar política.
Para editar las reglas de la política, haz lo siguiente:
1. Haz clic en la regla que quieras editar.
2. Edita la descripción de la regla o los recursos que incluye.
3. Haz clic en Listo.
Para eliminar una regla de la política, haz clic en Eliminar en la fila de esa regla.
Para editar el nombre visible de la política, edita el campo Nombre visible.
Para editar la versión de aplicación de la política, haz clic en la lista Versión de aplicación y elige un valor nuevo.
Opcional: Para probar los cambios que has hecho en la política de límite de acceso de la cuenta principal con el simulador de políticas, haz clic en Probar cambios. Revisa los resultados de la simulación y actualiza la política si es necesario.
Para obtener más información sobre cómo probar las políticas de límites de acceso de principales con el simulador de políticas, consulte Simulador de políticas para límites de acceso de principales.
Haz clic en Guardar.

gcloud

El comando gcloud iam principal-access-boundary-policies update actualiza una política de límites de acceso de principales.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

PAB_POLICY_ID: el ID de la política de límite de acceso principal que quieras actualizar. Por ejemplo, example-policy.
ORG_ID: ID de la organización propietaria de la política de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
FIELD_TO_UPDATE=UPDATED_VALUE: los campos que quieras actualizar y el valor actualizado correspondiente.

A continuación se muestran ejemplos de marcas que puede usar para actualizar los campos de la política:
- --display-name=DISPLAY_NAME: sustituye el nombre visible de la política por DISPLAY_NAME.
- --details-enforcement-version=ENFORCEMENT_VERSION: actualiza la versión de aplicación de la política a ENFORCEMENT_VERSION.
- --details-rules=RULES_FILE.json: sustituye las reglas de la política de límites de acceso de principales por las reglas de RULES_FILE.json. Para saber cómo dar formato al archivo de reglas, consulte Crear una política de límite de acceso de principales.
  
  Si usas esta marca, no puedes usar la marca --add-details-rules.
- --add-details-rules=RULES_FILE: añade las reglas de RULES_FILE.json a las reglas de la política. Para saber cómo dar formato al archivo de reglas, consulte Crear una política de límite de acceso de principales.
  
  Si usas esta marca, no puedes usar la marca --details-rules.
- --remove-details-rules=RULES_FILE: elimina las reglas de RULES_FILE.json de las reglas de la política. Para saber cómo dar formato al archivo de reglas, consulte Crear una política de límite de acceso de principales. Solo se eliminan las reglas que coincidan exactamente con una de las reglas de RULES_FILE.json.
  
  Si usas esta marca, no puedes usar la marca --clear-rule-details.
- --clear-details-rules: borra todas las reglas de la política de límites de acceso de principales.
  
  Si usas esta marca, no puedes usar la marca --remove-rule-details.
Para ver una lista completa de las marcas que puedes usar para actualizar una política de límite de acceso de un principal, consulta la referencia del comando gcloud iam principal-access-boundary-policies update.
FORMAT: el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

La respuesta contiene una operación de larga duración que representa tu solicitud. Una vez completada la operación, la respuesta imprimirá la política de límite de acceso principal actualizada.

Request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374208720-6181fae5e2034-2d8a712b-5c92e5b9] to complete...done.
Updated principalAccessBoundaryPolicy [example-policy].
{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Updated display name",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-10T20:50:09.200421Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

REST

El método principalAccessBoundaryPolicies.patch actualiza una política de límites de acceso de principales.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

ORG_ID: ID de la organización propietaria de la política de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
PAB_POLICY_ID: el ID de la política de límite de acceso principal que quieras actualizar. Por ejemplo, example-policy.
FIELDS_TO_UPDATE: lista de campos separados por comas que quieras actualizar. Si no especificas los campos que quieres actualizar, Gestión de identidades y accesos sustituirá la política actual por el contenido del cuerpo de la solicitud.

Los valores aceptados son displayName, details, details.rules, details.rules.description, details.rules.resources, details.rules.effect y details.enforcementVersion.
DISPLAY_NAME: opcional. Una descripción legible de la política de límites de acceso de principales. Por ejemplo, Example policy. El nombre visible puede tener un máximo de 63 caracteres.
PAB_RULES: lista de reglas de límites de acceso de principales, que definen los recursos a los que pueden acceder los principales afectados. Una política de límites de acceso de principales puede tener hasta 500 reglas. Cada regla tiene el siguiente formato:
```
{
"description": "DESCRIPTION",
"resources": [
  RESOURCES
],
"effect": ALLOW
}
```
Sustituye los siguientes valores:
- DESCRIPTION: opcional. Descripción de la regla de la política de límites de acceso de principales. La descripción puede tener un máximo de 256 caracteres.
- RESOURCES: lista de recursos de Resource Manager (proyectos, carpetas y organizaciones) a los que quieres que puedan acceder las principales. Cualquier principal que esté sujeto a esta política puede acceder a estos recursos.
  
  Cada política de límite de acceso de principales puede hacer referencia a un máximo de 500 recursos en todas las reglas de la política.
ENFORCEMENT_VERSION: la versión de las políticas de límites de acceso de principales que usa IAM al aplicar la política. La versión de aplicación determina los permisos que aplica la gestión de identidades y accesos en la política de límites de acceso de la entidad principal.

Los valores aceptados son 1, 2, 3 y latest.

Para obtener más información sobre las versiones de la aplicación, consulta Versiones de la aplicación del límite de acceso de la entidad principal.

Método HTTP y URL:

PATCH https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?updateMask=FIELDS_TO_UPDATE

Cuerpo JSON de la solicitud:

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "enforcementVersion": "ENFORCEMENT_VERSION",
  }
}

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?updateMask=FIELDS_TO_UPDATE"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?updateMask=FIELDS_TO_UPDATE" | Select-Object -Expand Content

La respuesta contiene una operación de larga duración que representa tu solicitud. Para saber cómo obtener el estado de una operación de larga duración, consulta la sección Comprobar el estado de una operación de larga duración de esta página.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715626721931-6185a7953ef76-76f80ee4-19cd1bf7",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-13T18:58:43.721277235Z",
    "target": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Cambiar para quién se aplica una política de límites de acceso de principales

Una vez que hayas creado un enlace de política para una política de límite de acceso de principales, no podrás cambiar el ID de la política ni el conjunto de principales del enlace. Por lo tanto, si quieres cambiar a quién se aplica una política de límite de acceso principal, debes hacer una de las siguientes acciones:

Para acotar el conjunto de entidades principales a las que se aplica una política de límites de acceso de principales, puedes modificar las condiciones de la vinculación de la política. Para modificar las condiciones de un enlace, edite el enlace de la política.
Para aplicar la política de límite de acceso de la entidad de seguridad a un conjunto de entidades de seguridad adicional, cree un nuevo enlace de política que vincule la política a ese conjunto de entidades de seguridad.
Para quitar una política de límites de acceso de principales de un conjunto de principales, elimina la vinculación de la política que vincula la política al conjunto de principales.

Editar las vinculaciones de políticas de las políticas de límites de acceso de principales

Una vez que hayas creado una vinculación de política, podrás editarla para modificar las condiciones o el nombre visible de la vinculación.

Puede editar un enlace de política mediante la Google Cloud consola, la CLI de gcloud o la API REST de gestión de identidades y accesos.

Consola

En la Google Cloud consola, ve a la página Políticas de límite de acceso de principales.

Ir a las políticas de límites de acceso de principales
Selecciona la organización propietaria de la política de límite de acceso principal que quieras editar.
Haga clic en el ID de la política de límites de acceso de principales cuyos enlaces quiera editar.
Haz clic en la pestaña Enlaces.
Busca el ID del enlace que quieras editar. En la fila de esa vinculación, haz clic en Acciones y, a continuación, en Editar vinculación.
Para actualizar el nombre visible de la vinculación, edita el campo Nombre visible.
Para añadir una condición al enlace, siga estos pasos:
1. Haz clic en Añadir condición.
2. En el campo Título, escribe un breve resumen del propósito de la condición.
3. Opcional: En el campo Descripción, escribe una descripción más larga de la condición.
4. En el campo Expresión, introduce una expresión de condición que use la sintaxis del lenguaje de expresión común (CEL). La expresión debe hacer referencia a los atributos principal.type o principal.subject. No se admiten otros atributos.
5. Haz clic en Guardar.
Para actualizar una condición, sigue estos pasos:
1. Haga clic en Editar condición junto al nombre de la condición.
2. Actualiza el título, la descripción o la expresión de la condición.
3. Haz clic en Guardar.
Opcional: Para probar los cambios que has hecho en el enlace de la política de límite de acceso del principal con el simulador de políticas, haz clic en Probar cambios. Revisa los resultados de la simulación y actualiza la vinculación de la política si es necesario.
Para obtener más información sobre cómo probar las políticas de límites de acceso de principales con el simulador de políticas, consulte Simulador de políticas para límites de acceso de principales.
Para guardar los cambios, haz clic en Guardar.

gcloud

El comando gcloud iam policy-bindings update actualiza un enlace de política.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

BINDING_ID: el ID de la vinculación de la política que quieras actualizar. Por ejemplo, example-binding.
RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valor project, folder o organization.

El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.
RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
FIELD_TO_UPDATE=UPDATED_VALUE: los campos que quieras actualizar y el valor actualizado correspondiente.

A continuación, se muestran ejemplos de marcas que puede usar para actualizar los campos de una vinculación de política:
- --display-name=DISPLAY_NAME: sustituye el nombre visible del enlace por DISPLAY_NAME.
- --condition-description=CONDITION_DESCRIPTION: Si el enlace tiene una condición, sustituye la descripción de la condición por CONDITION_DESCRIPTION. De lo contrario, añade una nueva condición a la vinculación con la descripción especificada. Si usas esta marca para actualizar un enlace que no tiene una condición, también debes definir la marca --condition-expression.
- --condition-expression=CONDITION_EXPRESSION: Si el enlace tiene una condición, sustituye la expresión de la condición por CONDITION_EXPRESSION. De lo contrario, añade una nueva condición al enlace con la expresión especificada.
- --condition-title=CONDITION_TITLE: si el enlace tiene una condición, sustituye el título de la condición por CONDITION_TITLE. De lo contrario, añade una nueva condición a la vinculación con el título especificado. Si usas esta marca para actualizar un enlace que no tiene una condición, también debes definir la marca --condition-expression.
Para ver una lista completa de los campos que puede actualizar, consulte la referencia del comando gcloud iam policy-bindings update.
FORMAT: el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings update BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings update BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings update BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

Update request issued for: [my-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Updated policyBinding [my-binding].
{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Updated display name",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:11:16.798841Z"
}

REST

El método policyBindings.patch actualiza un enlace de política.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valor projects, folders o organizations.

El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.
RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
BINDING_ID: el ID de la vinculación de la política que quieras actualizar. Por ejemplo, example-binding.
FIELDS_TO_UPDATE: lista de campos separados por comas que quieras actualizar. Si no especificas los campos que quieres actualizar, IAM sustituirá el enlace actual por el contenido del cuerpo de la solicitud.

Los valores aceptados son displayName, condition, condition.expression, condition.title y condition.description.
DISPLAY_NAME: opcional. Una descripción legible por humanos de la vinculación, por ejemplo, Example binding. El nombre visible puede tener un máximo de 63 caracteres.
CONDITION_DETAILS: opcional. Una expresión de condición que especifica a qué entidades principales del conjunto de entidades principales se aplica la política de límites de acceso de principales. Contiene los siguientes campos:
- expression: una expresión de condición que usa la sintaxis del lenguaje de expresión común (CEL). La expresión debe hacer referencia a los atributos principal.type o principal.subject. No se admiten otros atributos.
  
  La expresión puede contener hasta 10 operadores lógicos (&&, || y !) y tener una longitud máxima de 250 caracteres.
- title: opcional. Un breve resumen del propósito de la condición.
- description: opcional. Una descripción más larga de la afección.

Método HTTP y URL:

POST https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID?updateMask=FIELDS_TO_UPDATE

Cuerpo JSON de la solicitud:

{
  "displayName": DISPLAY_NAME,
  "condition": {
    CONDITION_DETAILS
  }
}

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID?updateMask=FIELDS_TO_UPDATE"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID?updateMask=FIELDS_TO_UPDATE" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373159010-6181f6fcccfa7-dcd0055c-00c22cad",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:39.254910121Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Comprobar el estado de una operación de larga duración

Cuando usas la API REST o las bibliotecas de cliente, cualquier método que cambie una política o una vinculación de límite de acceso principal devuelve una operación de larga duración (OLD). La operación de larga duración monitoriza el estado de la solicitud e indica si se ha completado el cambio en la política o en el enlace.

REST

El método operations.get devuelve el estado de una operación de larga duración.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

OPERATION_NAME: nombre completo de la operación. Recibirás este nombre en la respuesta a tu solicitud original.

El nombre de la operación tiene el siguiente formato:
```
      RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID
    
```

Método HTTP y URL:

GET https://iam.googleapis.com/v3/OPERATION_NAME

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el comando siguiente:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/OPERATION_NAME"

PowerShell (Windows)

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/OPERATION_NAME" | Select-Object -Expand Content

Explorador de APIs (navegador)

Abre la página de referencia del método. El panel Explorador de APIs se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Rellena los campos obligatorios y haz clic en Ejecutar.

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

Si el campo done de la operación no está presente, sigue monitorizando su estado obteniendo la operación repetidamente. Usa un tiempo de espera exponencial truncado para introducir un retraso entre cada solicitud. Cuando el campo done se define como true, la operación se completa y puedes dejar de obtener la operación.

Editar políticas de límites de acceso de principales Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Antes de empezar

gcloud

REST

Roles necesarios para editar políticas de límites de acceso de principales

Roles necesarios para editar las vinculaciones de la política de límites de acceso de principales

Permisos obligatorios

Editar una política de límites de acceso de principales

Consola

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Cambiar para quién se aplica una política de límites de acceso de principales

Editar las vinculaciones de políticas de las políticas de límites de acceso de principales

Consola

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Comprobar el estado de una operación de larga duración

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Siguientes pasos

Editar políticas de límites de acceso de principales