Mengedit kebijakan batas akses akun utama

Kebijakan batas akses utama (PAB) memungkinkan Anda membatasi resource yang memenuhi syarat untuk diakses oleh sekumpulan akun utama. Halaman ini menjelaskan cara mengedit kebijakan batas akses utama yang ada, dan cara mengedit binding kebijakan untuk kebijakan batas akses utama guna mengubah siapa yang menerapkan kebijakan tersebut.

Sebelum memulai

  • Menyiapkan autentikasi.

    Select the tab for how you plan to use the samples on this page:

    gcloud

      In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

      REST

      Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Untuk mengetahui informasi selengkapnya, lihat Melakukan autentikasi untuk menggunakan REST dalam dokumentasi autentikasi Google Cloud .

    1. Baca ringkasan kebijakan batas akses utama.

Peran yang diperlukan untuk mengedit kebijakan batas akses akun utama

Untuk mendapatkan izin yang diperlukan untuk mengedit kebijakan batas akses utama, minta administrator Anda untuk memberi Anda peran IAM Admin Batas Akses Utama (roles/iam.principalAccessBoundaryAdmin) di organisasi Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin iam.principalaccessboundarypolicies.update yang diperlukan untuk mengedit kebijakan batas akses utama.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk mengedit binding kebijakan batas akses akun utama

Izin yang Anda perlukan untuk mengedit binding kebijakan bagi kebijakan batas akses akun utama bergantung pada set akun utama yang terikat dengan kebijakan tersebut.

Untuk mendapatkan izin yang diperlukan untuk mengedit binding kebijakan untuk kebijakan batas akses utama, minta administrator Anda untuk memberi Anda peran IAM berikut:

  • Pengguna Batas Akses Akun Utama (roles/iam.principalAccessBoundaryUser) di organisasi Anda
  • Edit binding kebijakan untuk kebijakan batas akses utama yang terikat ke workforce identity pool: IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) di workforce identity pool target
  • Mengedit binding kebijakan untuk kebijakan batas akses utama yang terikat ke workload identity pool: IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin) di project yang memiliki target workload identity pool
  • Mendapatkan status operasi yang berjalan lama untuk mengedit binding yang mereferensikan workload identity pool: IAM Operation Viewer (roles/iam.operationViewer) di project yang memiliki workload identity pool target
  • Mengedit binding kebijakan untuk kebijakan batas akses utama yang terikat ke domain Google Workspace: Admin IAM Pool Workspace (roles/iam.workspacePoolAdmin) di organisasi
  • Mengedit binding kebijakan untuk kebijakan batas akses entity utama yang terikat ke set entity utama project: Admin IAM Project (roles/resourcemanager.projectIamAdmin) pada project
  • Mendapatkan status operasi yang berjalan lama untuk mengedit binding yang mereferensikan set entity utama project: IAM Operation Viewer (roles/iam.operationViewer) pada project
  • Mengedit binding kebijakan untuk kebijakan batas akses utama yang terikat ke set utama folder: Admin IAM Folder (roles/resourcemanager.folderIamAdmin) di folder
  • Mengedit binding kebijakan untuk kebijakan batas akses akun utama yang terikat ke set akun utama organisasi: Administrator Organisasi (roles/resourcemanager.organizationAdmin) pada organisasi

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengedit binding kebijakan untuk kebijakan batas akses utama. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengedit binding kebijakan untuk kebijakan batas akses utama:

  • iam.principalaccessboundarypolicies.bind di organisasi
  • Edit binding kebijakan untuk kebijakan batas akses utama yang terikat ke kumpulan identitas tenaga kerja: iam.workforcePools.updatePolicyBinding di target workforce identity pool
  • Edit binding kebijakan untuk kebijakan batas akses utama yang terikat ke workload identity pool: iam.workloadIdentityPools.updatePolicyBinding di project yang memiliki workload identity pool target
  • Dapatkan status operasi yang berjalan lama untuk mengedit binding yang mereferensikan workload identity pool: iam.operations.get di project yang memiliki workload identity pool target
  • Mengedit binding kebijakan untuk kebijakan batas akses utama yang terikat ke domain Google Workspace: iam.workspacePools.updatePolicyBinding di organisasi
  • Edit binding kebijakan untuk kebijakan batas akses utama yang terikat ke set utama project: resourcemanager.projects.updatePolicyBinding pada project
  • Mendapatkan status operasi yang berjalan lama untuk mengedit binding yang mereferensikan set utama project: iam.operations.get di project
  • Mengedit binding kebijakan untuk kebijakan batas akses akun utama yang terikat ke set akun utama folder: resourcemanager.folders.updatePolicyBinding di folder
  • Mengedit binding kebijakan untuk kebijakan batas akses akun utama yang terikat ke set akun utama organisasi: resourcemanager.organizations.updatePolicyBinding di organisasi

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengedit kebijakan batas akses utama yang ada

Jika Anda ingin menambahkan aturan ke kebijakan batas akses akun utama, menghapus aturan dari kebijakan batas akses akun utama, atau mengubah metadata kebijakan batas akses akun utama, edit kebijakan batas akses akun utama.

Anda dapat mengedit kebijakan batas akses prinsipal menggunakan konsol Google Cloud , gcloud CLI, atau IAM REST API.

Konsol

  1. Di konsol Google Cloud , buka halaman Principal Access Boundary policies.

    Buka kebijakan Batas Akses Principal

  2. Pilih organisasi yang memiliki kebijakan batas akses utama yang ingin Anda edit.

  3. Klik ID kebijakan dari kebijakan batas akses utama yang ingin Anda edit.

  4. Klik Edit kebijakan.

  5. Untuk mengedit aturan kebijakan, lakukan hal berikut:

    1. Klik aturan yang ingin Anda edit.
    2. Edit deskripsi aturan, atau resource yang disertakan dalam aturan.
    3. Klik Selesai.

  6. Untuk menghapus aturan dari kebijakan, klik Hapus di baris aturan tersebut.

  7. Untuk mengedit nama tampilan kebijakan, edit kolom Nama tampilan.

  8. Untuk mengedit versi penerapan kebijakan, klik daftar Versi penerapan dan pilih nilai baru.

  9. Klik Simpan.

gcloud

Perintah gcloud iam principal-access-boundary-policies update memperbarui kebijakan batas akses akun utama yang ada.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • PAB_POLICY_ID: ID kebijakan batas akses utama yang ingin Anda perbarui—misalnya, example-policy.
  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.

  • FIELD_TO_UPDATE=UPDATED_VALUE: Kolom yang ingin Anda perbarui dan nilai yang diperbarui yang sesuai.

    Berikut adalah contoh flag yang dapat Anda gunakan untuk memperbarui kolom dalam kebijakan:

    • --display-name=DISPLAY_NAME: Mengganti nama tampilan kebijakan dengan DISPLAY_NAME.
    • --details-enforcement-version=ENFORCEMENT_VERSION: Perbarui versi penerapan kebijakan ke ENFORCEMENT_VERSION.

    • --details-rules=RULES_FILE.json: Mengganti aturan kebijakan batas akses utama dengan aturan dalam RULES_FILE.json. Untuk mempelajari cara memformat file aturan, lihat Membuat kebijakan batas akses prinsipal.

      Jika Anda menggunakan tanda ini, Anda tidak dapat menggunakan tanda --add-details-rules.

    • --add-details-rules=RULES_FILE: Tambahkan aturan di RULES_FILE.json ke aturan yang ada dalam kebijakan. Untuk mempelajari cara memformat file aturan, lihat Membuat kebijakan batas akses prinsipal.

      Jika Anda menggunakan tanda ini, Anda tidak dapat menggunakan tanda --details-rules.

    • --remove-details-rules=RULES_FILE: Hapus aturan di RULES_FILE.json dari aturan yang ada dalam kebijakan. Untuk mempelajari cara memformat file aturan, lihat Membuat kebijakan batas akses prinsipal. Hanya aturan yang sama persis dengan salah satu aturan di RULES_FILE.json yang dihapus.

      Jika Anda menggunakan tanda ini, Anda tidak dapat menggunakan tanda --clear-rule-details.

    • --clear-details-rules: Hapus semua aturan dari kebijakan batas akses utama.

      Jika Anda menggunakan tanda ini, Anda tidak dapat menggunakan tanda --remove-rule-details.

    Untuk daftar lengkap flag yang dapat Anda gunakan untuk memperbarui kebijakan batas akses utama, lihat referensi perintah gcloud iam principal-access-boundary-policies update.

  • FORMAT: Format respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

Respons berisi operasi yang berjalan lama yang mewakili permintaan Anda. Setelah operasi selesai, respons akan mencetak kebijakan batas akses utama yang telah diupdate. 

Request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374208720-6181fae5e2034-2d8a712b-5c92e5b9] to complete...done.
Updated principalAccessBoundaryPolicy [example-policy].
{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Updated display name",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-10T20:50:09.200421Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

REST

Metode principalAccessBoundaryPolicies.patch memperbarui kebijakan batas akses akun utama yang ada.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • PAB_POLICY_ID: ID kebijakan batas akses utama yang ingin Anda perbarui—misalnya, example-policy.

  • FIELDS_TO_UPDATE: Daftar kolom yang dipisahkan koma yang ingin Anda perbarui. Jika Anda tidak menentukan kolom yang akan diperbarui, IAM akan mengganti kebijakan yang ada dengan konten isi permintaan.

    Nilai yang diterima adalah displayName, details, details.rules, details.rules.description, details.rules.resources, details.rules.effect, dan details.enforcementVersion.

  • DISPLAY_NAME: Opsional. Deskripsi kebijakan batas akses utama yang dapat dibaca manusia, misalnya, Example policy. Nama tampilan dapat terdiri dari maksimal 63 karakter.

  • PAB_RULES: Daftar aturan batas akses utama, yang menentukan resource yang dapat diakses oleh akun utama yang terpengaruh. Kebijakan batas akses utama dapat memiliki hingga 500 aturan. Setiap aturan memiliki format berikut: 

    {
"description": "DESCRIPTION",
"resources": [
  RESOURCES
],
"effect": ALLOW
}

    Ganti nilai berikut:

    • DESCRIPTION: Opsional. Deskripsi aturan kebijakan batas akses utama. Deskripsi dapat berisi maksimal 256 karakter.

    • RESOURCES: Daftar resource Resource Manager (project, folder, dan organisasi) yang Anda inginkan agar pokok dapat mengaksesnya. Akun utama yang tunduk pada kebijakan ini memenuhi syarat untuk mengakses resource ini.

      Setiap kebijakan batas akses akun utama dapat mereferensikan maksimal 500 resource di semua aturan dalam kebijakan.

  • ENFORCEMENT_VERSION: Versi kebijakan batas akses akun utama yang digunakan IAM saat menerapkan kebijakan. Versi penerapan menentukan izin yang diterapkan IAM untuk kebijakan batas akses akun utama.

    Nilai yang diterima adalah 1, 2, 3, dan latest.

    Untuk mengetahui informasi selengkapnya tentang versi penerapan, lihat Versi penerapan batas akses utama.

Metode HTTP dan URL: 

PATCH https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?updateMask=FIELDS_TO_UPDATE

Meminta isi JSON: 

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "enforcementVersion": "ENFORCEMENT_VERSION",
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Respons berisi operasi yang berjalan lama yang mewakili permintaan Anda. Untuk mempelajari cara mendapatkan status operasi yang berjalan lama, lihat Memeriksa status operasi yang berjalan lama di halaman ini. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715626721931-6185a7953ef76-76f80ee4-19cd1bf7",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-13T18:58:43.721277235Z",
    "target": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Mengubah target penerapan kebijakan batas akses akun utama

Setelah membuat binding kebijakan untuk kebijakan batas akses utama, Anda tidak dapat mengubah ID kebijakan atau kumpulan akun utama dalam binding. Akibatnya, jika Anda ingin mengubah siapa yang kebijakan batas akses utama diterapkan, Anda harus melakukan salah satu hal berikut:

  • Untuk menyaring kumpulan akun utama yang kebijakan batas akses akun utama diterapkan, Anda dapat mengubah kondisi dalam binding kebijakan. Untuk mengubah kondisi dalam binding, edit binding kebijakan.
  • Untuk menerapkan kebijakan batas akses akun utama untuk set akun utama tambahan, buat binding kebijakan baru yang mengikat kebijakan ke set akun utama tersebut.
  • Untuk menghapus kebijakan batas akses akun utama dari set akun utama, hapus binding kebijakan yang mengikat kebijakan ke set akun utama.

Mengedit binding kebijakan yang ada untuk kebijakan batas akses akun utama

Setelah membuat binding kebijakan, Anda dapat mengedit binding untuk mengubah kondisi dalam binding atau nama tampilan binding.

Anda dapat mengedit binding kebijakan menggunakan konsol Google Cloud , gcloud CLI, atau IAM REST API.

Konsol

  1. Di konsol Google Cloud , buka halaman Principal Access Boundary policies.

    Buka kebijakan Batas Akses Principal

  2. Pilih organisasi yang memiliki kebijakan batas akses utama yang ingin Anda edit.

  3. Klik ID kebijakan dari kebijakan batas akses utama yang ingin Anda edit binding-nya.

  4. Klik tab Bindings.

  5. Temukan ID binding yang ingin Anda edit. Di baris binding tersebut, klik Tindakan, lalu klik Edit binding.

  6. Untuk memperbarui nama tampilan binding, edit kolom Nama tampilan.

  7. Untuk menambahkan kondisi ke binding, lakukan hal berikut:

    1. Klik Tambahkan kondisi.
    2. Di kolom Judul, masukkan ringkasan singkat tentang tujuan kondisi.
    3. Opsional: Di kolom Deskripsi, masukkan deskripsi yang lebih panjang tentang kondisi tersebut.
    4. Di kolom Expression, masukkan ekspresi kondisi yang menggunakan sintaksis Common Expression Language (CEL). Ekspresi harus merujuk pada atribut principal.type atau principal.subject. Atribut lainnya tidak didukung.
    5. Klik Simpan.

  8. Untuk memperbarui kondisi yang ada, lakukan hal berikut:

    1. Klik Edit kondisi di samping nama kondisi.
    2. Perbarui judul, deskripsi, atau ekspresi kondisi.
    3. Klik Simpan.

  9. Untuk menyimpan perubahan, klik Save.

gcloud

Perintah gcloud iam policy-bindings update memperbarui binding kebijakan yang ada.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • BINDING_ID: ID binding kebijakan yang ingin Anda perbarui—misalnya, example-binding.

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari binding kebijakan. Gunakan nilai project, folder, atau organization

    Jenis resource bergantung pada prinsipal yang ditetapkan dalam pengikatan kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang menjadi induk binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

  • FIELD_TO_UPDATE=UPDATED_VALUE: Kolom yang ingin Anda perbarui dan nilai yang diperbarui yang sesuai.

    Berikut adalah contoh flag yang dapat Anda gunakan untuk memperbarui kolom dalam pengikatan kebijakan:

    • --display-name=DISPLAY_NAME: Ganti nama tampilan binding dengan DISPLAY_NAME.
    • --condition-description=CONDITION_DESCRIPTION: Jika binding memiliki kondisi, ganti deskripsi kondisi dengan CONDITION_DESCRIPTION. Jika tidak, tambahkan kondisi baru ke binding dengan deskripsi yang ditentukan. Jika Anda menggunakan flag ini untuk memperbarui binding yang tidak memiliki kondisi, Anda juga harus menetapkan flag --condition-expression.
    • --condition-expression=CONDITION_EXPRESSION: Jika binding memiliki kondisi, ganti ekspresi kondisi dengan CONDITION_EXPRESSION. Jika tidak, tambahkan kondisi baru ke binding dengan ekspresi yang ditentukan.
    • --condition-title=CONDITION_TITLE: Jika binding memiliki kondisi, ganti judul kondisi dengan CONDITION_TITLE. Jika tidak, tambahkan kondisi baru ke binding dengan judul yang ditentukan. Jika Anda menggunakan flag ini untuk memperbarui binding yang tidak memiliki kondisi, Anda juga harus menetapkan flag --condition-expression.

    Untuk daftar lengkap kolom yang dapat Anda perbarui, lihat referensi perintah gcloud iam policy-bindings update.

  • FORMAT: Format respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud iam policy-bindings update BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings update BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings update BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

Respons berisi operasi yang berjalan lama yang mewakili permintaan Anda. Untuk mempelajari cara mendapatkan status operasi yang berjalan lama, lihat Memeriksa status operasi yang berjalan lama di halaman ini. 

Update request issued for: [my-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Updated policyBinding [my-binding].
{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Updated display name",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:11:16.798841Z"
}

REST

Metode policyBindings.patch memperbarui binding kebijakan yang ada.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari binding kebijakan. Gunakan nilai projects, folders, atau organizations

    Jenis resource bergantung pada prinsipal yang ditetapkan dalam pengikatan kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang menjadi induk binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • BINDING_ID: ID binding kebijakan yang ingin Anda perbarui—misalnya, example-binding.

  • FIELDS_TO_UPDATE: Daftar kolom yang dipisahkan koma yang ingin Anda perbarui. Jika Anda tidak menentukan kolom yang akan diperbarui, IAM akan mengganti binding yang ada dengan konten isi permintaan.

    Nilai yang diterima adalah displayName, condition, condition.expression, condition.title, dan condition.description.

  • DISPLAY_NAME: Opsional. Deskripsi binding yang dapat dibaca manusia—misalnya, Example binding. Nama tampilan dapat terdiri dari maksimal 63 karakter.

  • CONDITION_DETAILS: Opsional. Ekspresi kondisi yang menentukan akun utama mana dalam set akun utama yang kebijakan batas akses akun utamanya diterapkan. Berisi kolom berikut:

    • expression: Ekspresi kondisi yang menggunakan sintaksis Common Expression Language (CEL). Ekspresi harus mereferensikan atribut principal.type atau principal.subject. Atribut lainnya tidak didukung.

      Ekspresi dapat berisi hingga 10 operator logis (&&, ||, !), dan panjangnya bisa mencapai 250 karakter.

    • title: Opsional. Rangkuman singkat dari tujuan terhadap kondisi.
    • description: Opsional. Deskripsi panjang dari kondisi.

Metode HTTP dan URL: 

POST https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID?updateMask=FIELDS_TO_UPDATE

Meminta isi JSON: 

{
  "displayName": DISPLAY_NAME,
  "condition": {
    CONDITION_DETAILS
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Respons berisi operasi yang berjalan lama yang mewakili permintaan Anda. Untuk mempelajari cara mendapatkan status operasi yang berjalan lama, lihat Memeriksa status operasi yang berjalan lama di halaman ini. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373159010-6181f6fcccfa7-dcd0055c-00c22cad",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:39.254910121Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Memeriksa status operasi yang berjalan lama

Saat Anda menggunakan REST API atau library klien, metode apa pun yang mengubah kebijakan atau binding batas akses utama akan menampilkan operasi yang berjalan lama (LRO). Operasi yang berjalan lama akan melacak status permintaan dan menunjukkan apakah perubahan pada kebijakan atau binding sudah selesai.

REST

Metode operations.get menampilkan status operasi yang berjalan lama.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • OPERATION_NAME: Nama lengkap operasi. Anda menerima nama ini sebagai respons atas permintaan asli Anda.

    Nama operasi memiliki format berikut: 

          RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3/OPERATION_NAME

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

Jika kolom done operasi tidak ada, terus pantau statusnya dengan mendapatkan operasi tersebut berulang kali. Gunakan backoff eksponensial terpotong untuk menambahkan penundaan di antara setiap permintaan. Saat kolom done ditetapkan ke true, operasi akan selesai, dan Anda dapat berhenti mendapatkan operasi tersebut.

Langkah berikutnya