Rimuovere i criteri di Principal Access Boundary

I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Se non vuoi più che venga applicata una policy di Principal Access Boundary per un insieme di entità, puoi eliminare l'associazione della policy all'insieme di entità. Se vuoi rimuovere un criterio di Principal Access Boundary da tutti i set di entità a cui è associato, puoi eliminarlo.

La rimozione di un criterio di Principal Access Boundary da un insieme di entità ha uno dei seguenti effetti:

  • Se le entità nel set di entità non sono soggette ad altri criteri di confine di accesso delle entità, saranno idonee ad accedere a tutte le risorse Google Cloud.
  • Se le entità nel set di entità sono soggette ad altri criteri di confine di accesso delle entità, potranno accedere solo alle risorse di questi criteri.

Prima di iniziare

  • Configurare l'autenticazione.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

  • Leggi la panoramica dei criteri di Principal Access Boundary.

Ruoli richiesti per eliminare i criteri di Principal Access Boundary

Per ottenere l'autorizzazione necessaria per eliminare i criteri di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Amministratore di Principal Access Boundary (roles/iam.principalAccessBoundaryAdmin) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l' iam.principalaccessboundarypolicies.delete autorizzazione, necessaria per eliminare i criteri di limiti di accesso all'entità.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per eliminare le associazioni delle policy di Principal Access Boundary

Le autorizzazioni necessarie per eliminare le associazioni dei criteri per i criteri di confine di accesso principale dipendono dal set di entità associato al criterio.

Per ottenere le autorizzazioni necessarie per eliminare le associazioni dei criteri per i criteri di limiti di accesso all'entità, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Utente Principal Access Boundary (roles/iam.principalAccessBoundaryUser) della tua organizzazione
  • Elimina le associazioni dei criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità per la forza lavoro: IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) nel pool di federazione delle identità per la forza lavoro di destinazione
  • Elimina le associazioni di criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità per il carico di lavoro: Amministratore pool Workload Identity IAM (roles/iam.workloadIdentityPoolAdmin) nel progetto proprietario del pool di federazione delle identità per la forza lavoro di destinazione
  • Elimina le associazioni di criteri per i criteri di confine di accesso principale associati a un dominio Google Workspace: Amministratore IAM del pool di Workspace (roles/iam.workspacePoolAdmin) nell'organizzazione
  • Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati al set di entità di un progetto: Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) nel progetto
  • Elimina le associazioni dei criteri di confine dell'accesso dell'entità associati all'insieme di entità di una cartella: Amministratore IAM della cartella (roles/resourcemanager.folderIamAdmin) nella cartella
  • Elimina le associazioni di criteri per i criteri di confine dell'accesso dell'entità associati all'insieme di entità di un'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) nell'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per eliminare le associazioni delle policy per i criteri di Principal Access Boundary. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per eliminare le associazioni delle policy per le policy di Principal Access Boundary sono necessarie le seguenti autorizzazioni:

  • iam.principalaccessboundarypolicies.unbind sull'organizzazione
  • Elimina le associazioni delle policy per le policy di confine di accesso dei principali associate ai pool della federazione delle identità per la forza lavoro: iam.workforcePools.deletePolicyBinding nel pool della federazione delle identità per la forza lavoro di destinazione
  • Elimina le associazioni di criteri per i criteri di confine di accesso dei principali associati ai pool di federazione delle identità della forza lavoro: iam.workloadIdentityPools.deletePolicyBinding nel progetto proprietario del pool di federazione delle identità della forza lavoro di destinazione
  • Elimina le associazioni di criteri per i criteri di confine dell'accesso dell'entità associati a un dominio Google Workspace: iam.workspacePools.deletePolicyBinding nell'organizzazione
  • Elimina le associazioni di criteri per le policy di confine dell'accesso dell'entità associate all'insieme di entità di un progetto: resourcemanager.projects.deletePolicyBinding nel progetto
  • Elimina le associazioni delle policy per i criteri di confine dell'accesso dell'entità associati all'insieme di entità di una cartella: resourcemanager.folders.deletePolicyBinding nella cartella
  • Elimina le associazioni di criteri per i criteri di Principal Access Boundary associati all'insieme di entità di un'organizzazione: resourcemanager.organizations.deletePolicyBinding nell'organizzazione

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Prepararsi a rimuovere un criterio di confine dell'accesso dell'entità

Prima di rimuovere un criterio di Principal Access Boundary, decidi quale dei seguenti scopi vuoi raggiungere:

  • Rendi le entità in un insieme di entità idonee ad accedere a tutte le risorse
  • Riduci il numero di risorse a cui possono accedere le entità in un insieme di entità

Le sezioni seguenti descrivono i passaggi da seguire per raggiungere ciascuno di questi scopi.

Rendi le entità idonee ad accedere a tutte le risorse

Se vuoi rendere le entità in un insieme di entità idonee ad accedere a tutte le risorse, procedi nel seguente modo:

  1. Identifica tutti i criteri di confine dell'accesso dell'entità associati all'insieme di entità.
  2. Rimuovi tutti i criteri di Principal Access Boundary associati al set di entità eliminando le associazioni di criteri pertinenti.

Se un'entità non è soggetta a criteri di confine di accesso delle entità, è idonea per accedere a tutte le risorse Google Cloud.

Essere idonei ad accedere a una risorsa non significa necessariamente che un utente sia in grado di accedere a una risorsa. Per ulteriori informazioni, consulta la sezione Valutazione delle norme.

Riduci le risorse a cui le entità sono idonee ad accedere

Se le entità in un set di entità sono soggette a più criteri di confine di accesso delle entità, puoi ridurre il numero di risorse a cui sono idonee accedendo rimuovendo uno o più criteri di confine di accesso delle entità a cui sono soggette. Tuttavia, non rimuovere mai tutti i criteri di confine di accesso delle entità a cui sono soggette le entità, altrimenti queste ultime potranno accedere a tutte le risorse Google Cloud.

Per rimuovere un criterio di confine di accesso delle entità assicurandoti al contempo che le entità in un insieme di entità siano sempre soggette ad almeno un criterio di confine di accesso delle entità, segui questi passaggi:

  1. Identifica tutti i criteri di confine dell'accesso dell'entità associati all'insieme di entità.

  2. Identifica i criteri di confine dell'accesso dell'entità che contengono solo le risorse a cui vuoi che le entità nell'insieme di entità siano idonee ad accedere. Si tratta degli elementi che non rimuoverai dal set principale.

    Se non hai questi criteri, crea un nuovo criterio di confine di accesso delle entità con solo le risorse a cui vuoi che gli enti possano accedere. Quindi, collega il criterio al set di entità.

  3. Identifica i criteri di confine dell'accesso dell'entità che contengono risorse a cui non vuoi che le entità nell'insieme di entità possano accedere. Quindi, rimuovi i criteri di Principal Access Boundary eliminando l'associazione dei criteri pertinente.

    Se vuoi ridurre l'accesso per entità specifiche, aggiungi una condizione all'associazione dei criteri anziché eliminarla.

Se vuoi ridurre il numero di risorse a cui un'entità è idonea ad accedere, ma non vuoi rimuovere i criteri di confine di accesso delle entità, puoi invece modificare i criteri di confine di accesso delle entità a cui è soggetta l'entità. Per scoprire come modificare i criteri di Principal Access Boundary, consulta Modificare i criteri di Principal Access Boundary.

Rimuovere un criterio di confine dell'accesso dell'entità da un insieme di entità

Prima di rimuovere un criterio di Principal Access Boundary da un insieme di entità, prepara la rimozione del criterio. Quindi, rimuovi il criterio eliminando l'associazione del criterio all'insieme di entità.

Puoi eliminare un'associazione di criteri utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.

Console

  1. Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

    Vai ai criteri di Principal Access Boundary

  2. Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità di cui vuoi eliminare l'associazione.

  3. Fai clic sull'ID del criterio di Principal Access Boundary di cui vuoi eliminare le associazioni.

  4. Fai clic sulla scheda Vincoli.

  5. Trova l'ID della associazione che vuoi eliminare. Nella riga della associazione, fai clic su Azioni e poi su Elimina associazione.

  6. Nella finestra di dialogo di conferma, fai clic su Elimina.

gcloud

Il comando gcloud beta iam policy-bindings delete elimina un'associazione di criteri.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • BINDING_ID: l'ID dell'associazione di norme che vuoi eliminare, ad esempio example-binding.

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows (PowerShell)

gcloud beta iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows (cmd.exe)

gcloud beta iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

REST

Il metodo policyBindings.delete elimina un'associazione di criteri.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
  • BINDING_ID: l'ID dell'associazione di norme che vuoi eliminare, ad esempio example-binding.

Metodo HTTP e URL: 

DELETE https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Eliminare un criterio di confine dell'accesso dell'entità

Prima di eliminare un criterio di Principal Access Boundary, ti consigliamo di identificare ed eliminare tutte le associazioni dei criteri di Principal Access Boundary che fanno riferimento al criterio di Principal Access Boundary.

Se elimini un criterio di Principal Access Boundary con associazioni di criteri esistenti, quelle associazioni verranno eliminate. Tuttavia, fino a quando non vengono eliminate, le associazioni di criteri vengono comunque conteggiate ai fini del limite di 10 associazioni che possono fare riferimento a un singolo insieme di entità.

Puoi eliminare un criterio di confine di accesso dei principali utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.

Console

  1. Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

    Vai ai criteri di Principal Access Boundary

  2. Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità di cui vuoi eliminare l'associazione.

  3. Trova l'ID del criterio che vuoi eliminare. Nella riga del criterio, fai clic su Azioni e poi su Elimina criterio.

  4. Nella finestra di dialogo di conferma, conferma di voler eliminare il criterio:

    • Per eliminare il criterio solo se non sono associate associazioni, fai clic su Elimina.
    • Per eliminare il criterio e tutte le associazioni associate, seleziona la casella di controllo Elimina la policy in modo forzato, quindi fai clic su Elimina.

gcloud

Il comando gcloud iam gcloud beta iam principal-access-boundary-policies delete elimina un criterio di confine dell'accesso dell'entità e tutte le associazioni associate.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi eliminare, ad esempio example-policy.
  • ORG_ID: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • FORCE_FLAG: facoltativo. Per forzare il comando a eliminare un criterio, anche se viene fatto riferimento al criterio nelle associazioni di criteri esistenti, utilizza il flag --force. Se questo flag non è impostato e il criterio viene fatto riferimento nelle associazioni di criteri esistenti, il comando non va a buon fine.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

REST

Il metodo principalAccessBoundaryPolicies.delete elimina un criterio di confine dell'accesso dell'entità e tutte le associazioni associate.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi eliminare, ad esempio example-policy.
  • FORCE_DELETE: facoltativo. Per forzare la richiesta di eliminazione del criterio, anche se viene fatto riferimento al criterio nelle associazioni di criteri esistenti, aggiungi il parametro di query force=true. Se questo parametro di query non è impostato e il criterio a cui si fa riferimento è presente nelle associazioni di criteri esistenti, la richiesta non va a buon fine.

Metodo HTTP e URL: 

DELETE https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3beta.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3beta"
  },
  "done": false
}

Passaggi successivi