Consulta las Políticas de Límite de Acceso de las Principales

Las Políticas de Límite de Acceso de las Principales (PAB) te permiten establecer límites a los recursos a los que puede acceder un conjunto de principales. En esta página, se explica cómo consultar las Políticas de Límite de Acceso de las Principales y las vinculaciones de estas políticas.

Antes de comenzar

  • Configura la autenticación.

    Select the tab for how you plan to use the samples on this page:

    gcloud

      In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

      REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Si deseas obtener más información, consulta Autentica para usar REST en la Google Cloud documentación de autenticación.

    1. Lee la descripción general de las Políticas de Límite de Acceso de las Principales.

Roles necesarios para borrar Políticas de Límite de Acceso de las Principales

Para obtener los permisos que necesitas para ver las políticas de límite de acceso de las principales, pídele a tu administrador que te otorgue el rol de IAM de Visualizador de límites de acceso principal (roles/iam.principalAccessBoundaryViewer) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para ver las políticas de límite de acceso de las principales. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver las políticas de límite de acceso de las principales:

  • Para ver una sola Política de Límite de Acceso de las Principales, haz lo siguiente: iam.principalaccessboundarypolicies.get
  • Enumera las políticas de límite de acceso de las principales en una organización: iam.principalaccessboundarypolicies.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Roles necesarios para ver las vinculaciones de políticas

Para obtener los permisos que necesitas para ver las vinculaciones de políticas, pídele a tu administrador que te otorgue los siguientes roles de IAM en el recurso principal de las vinculaciones de políticas:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver las vinculaciones de políticas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver las vinculaciones de políticas:

  • Para ver una sola vinculación de política, haz lo siguiente: iam.policybindings.get
  • Enumera las vinculaciones de políticas en un proyecto, una carpeta o una organización: iam.policybindings.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Roles necesarios para ver todas las vinculaciones de políticas de una política de límite de acceso de la principal

Para obtener el permiso que necesitas para ver todas las vinculaciones de políticas para una política de límite de acceso de la principal, pídele a tu administrador que te otorgue el rol de IAM de Visualizador de límites de acceso principal (roles/iam.principalAccessBoundaryViewer) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene el permiso iam.principalaccessboundarypolicies.searchIamPolicyBindings, que se requiere para ver todas las vinculaciones de políticas de una política de límite de acceso de la principal.

También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

Roles necesarios para ver las vinculaciones de políticas de un conjunto de principales

Los permisos que necesitas para ver todas las vinculaciones de políticas de un conjunto de principales dependen del conjunto de principales para el que deseas ver las políticas.

Para obtener los permisos que necesitas para ver las vinculaciones de políticas, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver las vinculaciones de políticas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver las vinculaciones de políticas:

  • Consulta las vinculaciones de políticas para los grupos de federación de identidades de personal: iam.workforcePools.searchPolicyBindings en el grupo de federación de identidades de personal de destino
  • Consulta las vinculaciones de políticas para los grupos de federación de identidades para cargas de trabajo: iam.workloadIdentityPools.searchPolicyBindings en el proyecto al que pertenece el grupo de federación de identidades de personal de destino
  • Ver vinculaciones de políticas para un dominio de Google Workspace: iam.workspacePools.searchPolicyBindings en la organización
  • Visualiza las vinculaciones de políticas para el conjunto de principales de un proyecto: resourcemanager.projects.searchPolicyBindings en el proyecto
  • Visualiza las vinculaciones de políticas para el conjunto de principales de una carpeta: resourcemanager.folders.searchPolicyBindings en la carpeta
  • Ver las vinculaciones de políticas para el conjunto de principales de una organización: resourcemanager.organizations.searchPolicyBindings en la organización

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Enumera las políticas de límite de acceso de las principales de una organización

Para ver todas las políticas de límite de acceso de las principales creadas en una organización, enumera las políticas de límite de acceso de las principales en la organización.

Puedes enumerar las políticas de límite de acceso de las principales en una organización con la consola deGoogle Cloud , gcloud CLI o la API de REST de IAM.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de límite de acceso de la principal.

    Ir a Políticas de Límite de Acceso de las Principales

  2. Selecciona la organización para la que deseas crear políticas de límite de acceso de las principales.

En la consola, se enumeran todas las políticas de la organización que selecciones. Google Cloud

gcloud

El comando gcloud iam principal-access-boundary-policies list enumera todas las políticas de límite de acceso de las principales en una organización.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ORG_ID: Es el ID de la organización Google Cloud para la que deseas enumerar las políticas de límite de acceso de las principales. Los ID de la organización son numéricos, como 123456789012.
  • FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

La respuesta contiene las políticas de límite de acceso de la principal en la organización especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

El método principalAccessBoundaryPolicies.list enumera todas las políticas de límite de acceso de las principales en una organización.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • ORG_ID: Es el ID de la organización Google Cloud para la que deseas enumerar las políticas de límite de acceso de las principales. Los ID de la organización son numéricos, como 123456789012.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene las políticas de límite de acceso de la principal en la organización especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Obtén una sola política de límite de acceso de las principales

Para ver los detalles de una sola Política de Límite de Acceso de las Principales, usa el ID de la política para obtenerla.

Puedes obtener una política de límite de acceso de las principales con la Google Cloud consola, gcloud CLI o la API de REST de IAM.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de límite de acceso de la principal.

    Ir a Políticas de Límite de Acceso de las Principales

  2. Selecciona la organización para la que deseas crear políticas de límite de acceso de las principales.

  3. Haz clic en el ID de la Política de Límite de Acceso de las Principales que deseas ver.

En la consola Google Cloud , se muestran los detalles de la política de límite de acceso de las principales que seleccionas.

gcloud

El comando gcloud iam principal-access-boundary-policies describe obtiene una sola política de límite de acceso de las principales.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • PAB_POLICY_ID: El ID de la política de límite de acceso de las principales que deseas obtener, por ejemplo, example-policy.
  • ORG_ID: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
  • FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La respuesta contiene la política de límite de acceso de la principal especificada en la solicitud.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

El método principalAccessBoundaryPolicies.get obtiene una sola política de límite de acceso de las principales.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • ORG_ID: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
  • PAB_POLICY_ID: El ID de la política de límite de acceso de las principales que deseas obtener, por ejemplo, example-policy.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la política de límite de acceso de la principal especificada en la solicitud.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Enumera las vinculaciones de políticas para las políticas de límite de acceso de las principales

Existen varias formas de enumerar las vinculaciones de políticas para las políticas de límite de acceso de las principales:

Enumera las vinculaciones de políticas para una política de límite de acceso de las principales

Para ver todas las vinculaciones de políticas que incluyen una determinada política de límite de acceso de las principales, busca las vinculaciones de la política de límite de acceso de las principales.

Puedes ver todas las vinculaciones de políticas para una política de límite de acceso de las principales con la consola deGoogle Cloud , gcloud CLI o la API de REST de IAM.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de límite de acceso de la principal.

    Ir a Políticas de Límite de Acceso de las Principales

  2. Selecciona la organización propietaria de la política de límite de acceso de las principales cuyas vinculaciones deseas ver.

  3. Haz clic en el ID de la política de límite de acceso de la principal cuyas vinculaciones deseas ver.

  4. Haz clic en la pestaña Vinculaciones.

En la pestaña Bindings, se enumeran todas las vinculaciones de políticas de límite de acceso de las principales que incluyen la política de límite de acceso de las principales.

gcloud

El comando gcloud iam principal-access-boundary-policies search-policy-bindings enumera todas las vinculaciones de políticas para la política de límite de acceso de las principales especificada.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • PAB_POLICY_ID: Es el ID de la política de límite de acceso de las principales para la que deseas enumerar las vinculaciones de políticas, por ejemplo, example-policy.
  • ORG_ID: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
  • FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La respuesta contiene las vinculaciones de políticas para la política de límite de acceso de las principales especificada.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

El método principalAccessBoundaryPolicies.searchPolicyBindings enumera todas las vinculaciones de políticas para la política de límite de acceso de las principales especificada.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • ORG_ID: Es el ID de la organización propietaria de la política de límite de acceso de las principales. Los IDs de la organización son numéricos, como 123456789012.
  • PAB_POLICY_ID: Es el ID de la política de límite de acceso de las principales para la que deseas enumerar las vinculaciones de políticas, por ejemplo, example-policy.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene las vinculaciones de políticas para la política de límite de acceso de las principales especificada.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Enumera las vinculaciones de políticas para un conjunto de principales

Para ver todas las vinculaciones de políticas que incluyen un determinado conjunto de principales, busca las vinculaciones del conjunto de principales.

Estas vinculaciones contienen los IDs de las políticas de límite de acceso de las principales que están vinculadas al conjunto de principales. Para ver los detalles de estas políticas, usa el ID de la política para obtener la política de límite de acceso de las principales.

Puedes ver todas las vinculaciones de políticas para un conjunto de principales con gcloud CLI o la API de REST de IAM.

gcloud

El comando gcloud iam policy-bindings search-target-policy-bindings obtiene todas las políticas de límite de acceso de las principales vinculadas a un conjunto de principales.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario el conjunto de principales objetivo. Usa el valor project, folder o organization

    El tipo de recurso depende del tipo de conjunto de principales para el que deseas enumerar las vinculaciones de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.

  • RESOURCE_ID: Es el ID del proyecto, la carpeta o la organización de la que es secundario el conjunto de principales objetivo. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
  • PRINCIPAL_SET: Es el conjunto de principales cuyas vinculaciones de políticas de límite de acceso de las principales deseas ver. Para obtener una lista de los tipos de principal válidos, consulta Conjuntos de principales admitidos.
  • FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

La respuesta contiene todas las vinculaciones de políticas que están vinculadas al conjunto de principales objetivo.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

El método SearchTargetPolicyBindings.search obtiene todas las políticas de límite de acceso de las principales vinculadas a un conjunto de principales.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario el conjunto de principales objetivo. Usa el valor projects, folders o organizations

    El tipo de recurso depende del tipo de conjunto de principales para el que deseas enumerar las vinculaciones de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.

  • RESOURCE_ID: Es el ID del proyecto, la carpeta o la organización de la que es secundario el conjunto de principales objetivo. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.

  • PRINCIPAL_SET: Es el conjunto de principales cuyas vinculaciones de políticas de límite de acceso de las principales deseas ver. Para obtener una lista de los tipos de principal válidos, consulta Conjuntos de principales admitidos.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene todas las vinculaciones de políticas que están vinculadas al conjunto de principales objetivo.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Enumera las vinculaciones de políticas para un proyecto, una carpeta o una organización

Para ver todas las vinculaciones de políticas que son secundarias de un proyecto, una carpeta o una organización específicos, enumera las vinculaciones de políticas de ese proyecto, carpeta o organización.

El recurso principal de una vinculación de políticas depende del conjunto de principales en la vinculación de políticas. Para obtener más información, consulta Tipos de principales admitidos.

Puedes ver todas las vinculaciones de políticas de un proyecto, una carpeta o una organización con gcloud CLI o la API de REST de IAM.

gcloud

El comando gcloud iam policy-bindings list enumera todas las vinculaciones de políticas que son secundarias de un recurso determinado.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valor project, folder o organization

    El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.

  • RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
  • FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

La respuesta contiene las vinculaciones de políticas que son secundarias del recurso en el comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

El método policyBindings.list enumera todas las vinculaciones de políticas que son secundarias de un recurso determinado.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valor projects, folders o organizations

    El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.

  • RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene las vinculaciones de políticas que son secundarias del recurso en la solicitud.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Obtén una vinculación de política para una política de límite de acceso de las principales

Para ver los detalles de una sola vinculación de política, usa el ID de la vinculación de política para obtenerla.

Puedes obtener una vinculación de políticas con gcloud CLI o la API de REST de IAM.

gcloud

El comando gcloud iam policy-bindings describe obtiene una vinculación de políticas.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • BINDING_ID: Es el ID de la vinculación de políticas que deseas obtener, por ejemplo, example-binding.

  • RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valor project, folder o organization

    El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.

  • RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
  • FORMAT: Es el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

La respuesta contiene la vinculación de la política.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

El método policyBindings.get obtiene una vinculación de políticas.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es un elemento secundario la vinculación de políticas. Usa el valor projects, folders o organizations

    El tipo de recurso depende del principal establecido en la vinculación de políticas. Para ver qué tipo de recurso usar, consulta Tipos de principales compatibles.

  • RESOURCE_ID: El ID del proyecto, la carpeta o la organización de la que es elemento secundario la vinculación de políticas. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
  • BINDING_ID: Es el ID de la vinculación de políticas que deseas obtener, por ejemplo, example-binding.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la vinculación de la política.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

¿Qué sigue?