Melihat kebijakan batas akses akun utama

Kebijakan batas akses utama (PAB) memungkinkan Anda membatasi resource yang memenuhi syarat untuk diakses oleh sekumpulan akun utama. Halaman ini menjelaskan cara melihat kebijakan batas akses utama dan binding kebijakan untuk kebijakan batas akses utama.

Sebelum memulai

  • Menyiapkan autentikasi.

    Select the tab for how you plan to use the samples on this page:

    gcloud

      In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

      REST

      Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Untuk mengetahui informasi selengkapnya, lihat Melakukan autentikasi untuk menggunakan REST dalam dokumentasi autentikasi Google Cloud .

    1. Baca ringkasan kebijakan batas akses utama.

Peran yang diperlukan untuk melihat kebijakan batas akses utama

Untuk mendapatkan izin yang diperlukan untuk melihat kebijakan batas akses utama, minta administrator untuk memberi Anda peran IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk melihat kebijakan batas akses utama. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk melihat kebijakan batas akses utama:

  • Melihat satu kebijakan batas akses prinsipal: iam.principalaccessboundarypolicies.get
  • Mencantumkan kebijakan batas akses utama dalam organisasi: iam.principalaccessboundarypolicies.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk melihat binding kebijakan

Untuk mendapatkan izin yang diperlukan untuk melihat binding kebijakan, minta administrator Anda untuk memberi Anda peran IAM berikut pada resource induk binding kebijakan:

  • Melihat binding kebijakan dalam project: Admin IAM Project (roles/resourcemanager.projectIamAdmin)
  • Melihat binding kebijakan dalam folder: Admin IAM Folder (roles/resourcemanager.folderIamAdmin)
  • Melihat binding kebijakan dalam organisasi: Administrator Organisasi (roles/resourcemanager.organizationAdmin)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk melihat binding kebijakan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk melihat binding kebijakan:

  • Melihat satu binding kebijakan: iam.policybindings.get
  • Mencantumkan binding kebijakan dalam project, folder, atau organisasi: iam.policybindings.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk melihat semua binding kebijakan untuk kebijakan batas akses akun utama

Untuk mendapatkan izin yang diperlukan untuk melihat semua binding kebijakan untuk kebijakan batas akses utama, minta administrator Anda untuk memberi Anda peran IAM Pelihat Batas Akses Utama (roles/iam.principalAccessBoundaryViewer) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin iam.principalaccessboundarypolicies.searchIamPolicyBindings, yang diperlukan untuk melihat semua binding kebijakan untuk kebijakan batas akses akun utama.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Peran yang diperlukan untuk melihat binding kebijakan untuk set akun utama

Izin yang Anda perlukan untuk melihat semua binding kebijakan untuk set utama bergantung pada set utama yang ingin Anda lihat kebijakannya.

Untuk mendapatkan izin yang diperlukan untuk melihat binding kebijakan, minta administrator Anda untuk memberi Anda peran IAM berikut:

  • Melihat binding kebijakan untuk kumpulan Workforce Identity Federation: Admin Kumpulan Tenaga Kerja IAM (roles/iam.workforcePoolAdmin) di kumpulan Workforce Identity Federation target
  • Melihat binding kebijakan untuk kumpulan Workload Identity Federation: IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin) di project yang memiliki kumpulan Workload Identity Federation target
  • Melihat binding kebijakan untuk domain Google Workspace: Admin IAM Pool Workspace (roles/iam.workspacePoolAdmin) di organisasi
  • Melihat binding kebijakan untuk set entity utama project: Admin IAM Project (roles/resourcemanager.projectIamAdmin) pada project tersebut
  • Melihat binding kebijakan untuk set utama folder: Admin IAM Folder (roles/resourcemanager.folderIamAdmin) di folder tersebut
  • Melihat binding kebijakan untuk set akun utama organisasi: Administrator Organisasi (roles/resourcemanager.organizationAdmin) pada organisasi tersebut

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk melihat binding kebijakan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk melihat binding kebijakan:

  • Melihat binding kebijakan untuk kumpulan Workforce Identity Federation: iam.workforcePools.searchPolicyBindings di kumpulan Workforce Identity Federation target
  • Melihat binding kebijakan untuk kumpulan Workload Identity Federation: iam.workloadIdentityPools.searchPolicyBindings di project yang memiliki target kumpulan Workforce Identity Federation
  • Melihat binding kebijakan untuk domain Google Workspace: iam.workspacePools.searchPolicyBindings di organisasi
  • Melihat binding kebijakan untuk set akun utama project: resourcemanager.projects.searchPolicyBindings pada project tersebut
  • Melihat binding kebijakan untuk set utama folder: resourcemanager.folders.searchPolicyBindings di folder tersebut
  • Melihat binding kebijakan untuk set utama organisasi: resourcemanager.organizations.searchPolicyBindings di organisasi

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mencantumkan kebijakan batas akses utama untuk organisasi

Untuk melihat semua kebijakan batas akses utama yang dibuat dalam organisasi, cantumkan kebijakan batas akses utama dalam organisasi.

Anda dapat mencantumkan kebijakan batas akses utama dalam organisasi menggunakan konsolGoogle Cloud , gcloud CLI, atau IAM REST API.

Konsol

  1. Di konsol Google Cloud , buka halaman Principal Access Boundary policies.

    Buka kebijakan Batas Akses Principal

  2. Pilih organisasi yang ingin Anda buat kebijakan batas akses utama.

Konsol Google Cloud mencantumkan semua kebijakan di organisasi yang Anda pilih.

gcloud

Perintah gcloud iam principal-access-boundary-policies list mencantumkan semua kebijakan batas akses utama dalam organisasi.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORG_ID: ID Google Cloud organisasi yang ingin Anda cantumkan kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • FORMAT: Format respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

Respons berisi kebijakan batas akses utama di organisasi yang ditentukan.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

Metode principalAccessBoundaryPolicies.list mencantumkan semua kebijakan batas akses utama dalam organisasi.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORG_ID: ID Google Cloud organisasi yang ingin Anda cantumkan kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi kebijakan batas akses utama di organisasi yang ditentukan.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Mendapatkan kebijakan batas akses satu akun utama

Untuk melihat detail satu kebijakan batas akses utama, gunakan ID kebijakan untuk mendapatkan kebijakan.

Anda bisa mendapatkan kebijakan batas akses utama menggunakan konsol Google Cloud , gcloud CLI, atau IAM REST API.

Konsol

  1. Di konsol Google Cloud , buka halaman Principal Access Boundary policies.

    Buka kebijakan Batas Akses Principal

  2. Pilih organisasi yang ingin Anda buat kebijakan batas akses utama.

  3. Klik ID kebijakan batas akses utama yang ingin Anda lihat.

Konsol Google Cloud menampilkan detail kebijakan batas akses utama yang Anda pilih.

gcloud

Perintah gcloud iam principal-access-boundary-policies describe mendapatkan satu kebijakan batas akses utama.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • PAB_POLICY_ID: ID kebijakan batas akses utama yang ingin Anda dapatkan—misalnya, example-policy.
  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • FORMAT: Format respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

Respons berisi kebijakan batas akses utama yang ditentukan dalam permintaan.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

Metode principalAccessBoundaryPolicies.get mendapatkan satu kebijakan batas akses akun utama.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • PAB_POLICY_ID: ID kebijakan batas akses utama yang ingin Anda dapatkan—misalnya, example-policy.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi kebijakan batas akses utama yang ditentukan dalam permintaan.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Mencantumkan binding kebijakan untuk kebijakan batas akses utama

Ada beberapa cara untuk mencantumkan binding kebijakan untuk kebijakan batas akses akun utama:

Mencantumkan binding kebijakan untuk kebijakan batas akses utama

Untuk melihat semua binding kebijakan yang menyertakan kebijakan batas akses utama tertentu, telusuri binding untuk kebijakan batas akses utama.

Anda dapat melihat semua binding kebijakan untuk kebijakan batas akses utama menggunakan konsolGoogle Cloud , gcloud CLI, atau IAM REST API.

Konsol

  1. Di konsol Google Cloud , buka halaman Principal Access Boundary policies.

    Buka kebijakan Batas Akses Principal

  2. Pilih organisasi yang memiliki kebijakan batas akses utama yang ingin Anda lihat pengikatannya.

  3. Klik ID kebijakan dari kebijakan batas akses utama yang ingin Anda lihat pengikatannya.

  4. Klik tab Bindings.

Tab Binding mencantumkan semua binding kebijakan batas akses akun utama yang menyertakan kebijakan batas akses akun utama.

gcloud

Perintah gcloud iam principal-access-boundary-policies search-policy-bindings mencantumkan semua binding kebijakan untuk kebijakan batas akses utama yang ditentukan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • PAB_POLICY_ID: ID kebijakan batas akses utama yang ingin Anda cantumkan binding kebijakannya—misalnya, example-policy.
  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • FORMAT: Format respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

Respons berisi binding kebijakan untuk kebijakan batas akses utama yang ditentukan.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Metode principalAccessBoundaryPolicies.searchPolicyBindings mencantumkan semua binding kebijakan untuk kebijakan batas akses utama yang ditentukan.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti 123456789012.
  • PAB_POLICY_ID: ID kebijakan batas akses utama yang ingin Anda cantumkan binding kebijakannya—misalnya, example-policy.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi binding kebijakan untuk kebijakan batas akses utama yang ditentukan.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Mencantumkan binding kebijakan untuk set akun utama

Untuk melihat semua binding kebijakan yang menyertakan set pokok tertentu, telusuri binding untuk set pokok.

Binding ini berisi ID kebijakan batas akses utama yang terikat ke set utama. Untuk melihat detail kebijakan ini, gunakan ID kebijakan untuk mendapatkan kebijakan batas akses utama.

Anda dapat melihat semua binding kebijakan untuk set prinsipal menggunakan gcloud CLI atau IAM REST API.

gcloud

Perintah gcloud iam policy-bindings search-target-policy-bindings mendapatkan semua kebijakan batas akses akun utama yang terikat ke set akun utama.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari set utama target. Gunakan nilai project, folder, atau organization

    Jenis resource bergantung pada jenis set prinsipal yang ingin Anda cantumkan binding kebijakannya. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang merupakan induk dari set pokok target. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • PRINCIPAL_SET: Set akun utama yang ingin Anda lihat pengikatan kebijakan batas akses akun utamanya. Untuk mengetahui daftar jenis akun utama yang valid, lihat Set akun utama yang didukung.
  • FORMAT: Format respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

Respons berisi semua binding kebijakan yang terikat ke set prinsipal target.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

Metode SearchTargetPolicyBindings.search mendapatkan semua kebijakan batas akses utama yang terikat ke set utama.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari set utama target. Gunakan nilai projects, folders, atau organizations

    Jenis resource bergantung pada jenis set prinsipal yang ingin Anda cantumkan binding kebijakannya. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang merupakan induk dari set pokok target. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

  • PRINCIPAL_SET: Set akun utama yang ingin Anda lihat pengikatan kebijakan batas akses akun utamanya. Untuk mengetahui daftar jenis akun utama yang valid, lihat Set akun utama yang didukung.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi semua binding kebijakan yang terikat ke set prinsipal target.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Mencantumkan binding kebijakan untuk project, folder, atau organisasi

Untuk melihat semua binding kebijakan yang merupakan turunan dari project, folder, atau organisasi tertentu, cantumkan binding kebijakan untuk project, folder, atau organisasi tersebut.

Resource induk binding kebijakan bergantung pada pokok yang ditetapkan dalam binding kebijakan. Untuk mempelajari lebih lanjut, lihat Jenis prinsipal yang didukung.

Anda dapat melihat semua binding kebijakan untuk project, folder, atau organisasi menggunakan gcloud CLI atau IAM REST API.

gcloud

Perintah gcloud iam policy-bindings list mencantumkan semua binding kebijakan yang merupakan turunan dari resource tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari binding kebijakan. Gunakan nilai project, folder, atau organization

    Jenis resource bergantung pada prinsipal yang ditetapkan dalam pengikatan kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang menjadi induk binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • FORMAT: Format respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

Respons berisi binding kebijakan yang merupakan turunan dari resource dalam perintah.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Metode policyBindings.list mencantumkan semua binding kebijakan yang merupakan turunan dari resource tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari binding kebijakan. Gunakan nilai projects, folders, atau organizations

    Jenis resource bergantung pada prinsipal yang ditetapkan dalam pengikatan kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang menjadi induk binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi binding kebijakan yang merupakan turunan dari resource dalam permintaan.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Mendapatkan binding kebijakan untuk kebijakan batas akses utama

Untuk melihat detail satu binding kebijakan, gunakan ID binding kebijakan untuk mendapatkan binding kebijakan.

Anda bisa mendapatkan binding kebijakan menggunakan gcloud CLI atau IAM REST API.

gcloud

Perintah gcloud iam policy-bindings describe mendapatkan binding kebijakan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • BINDING_ID: ID binding kebijakan yang ingin Anda dapatkan—misalnya, example-binding.

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari binding kebijakan. Gunakan nilai project, folder, atau organization

    Jenis resource bergantung pada prinsipal yang ditetapkan dalam pengikatan kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang menjadi induk binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • FORMAT: Format respons. Gunakan json atau yaml.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

Respons berisi binding kebijakan.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

Metode policyBindings.get mendapatkan binding kebijakan.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari binding kebijakan. Gunakan nilai projects, folders, atau organizations

    Jenis resource bergantung pada prinsipal yang ditetapkan dalam pengikatan kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.

  • RESOURCE_ID: ID project, folder, atau organisasi yang menjadi induk binding kebijakan. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • BINDING_ID: ID binding kebijakan yang ingin Anda dapatkan—misalnya, example-binding.

Metode HTTP dan URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi binding kebijakan.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Langkah berikutnya