Visualizzare i criteri di Principal Access Boundary

I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Questa pagina spiega come visualizzare le policy di Principal Access Boundary e le associazioni di policy per le policy di Principal Access Boundary.

Prima di iniziare

  • Configurare l'autenticazione.

    Select the tab for how you plan to use the samples on this page:

    gcloud

      In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

      REST

      Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Per saperne di più, consulta la sezione Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud .

    1. Leggi la panoramica delle policy di Principal Access Boundary.

Ruoli richiesti per visualizzare le policy di Principal Access Boundary

Per ottenere le autorizzazioni necessarie per visualizzare le policy di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare le policy di Principal Access Boundary. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare le policy di Principal Access Boundary sono necessarie le seguenti autorizzazioni:

  • Visualizza una singola policy di Principal Access Boundary: iam.principalaccessboundarypolicies.get
  • Elenca le policy di Principal Access Boundary in un'organizzazione: iam.principalaccessboundarypolicies.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ruoli necessari per visualizzare le associazioni delle policy

Per ottenere le autorizzazioni necessarie per visualizzare le associazioni di policy, chiedi all'amministratore di concederti i seguenti ruoli IAM nella risorsa padre delle associazioni di policy:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare le associazioni delle policy. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare i binding delle policy sono necessarie le seguenti autorizzazioni:

  • Visualizza un singolo binding dei criteri: iam.policybindings.get
  • Elenca le associazioni di policy in un progetto, una cartella o un'organizzazione: iam.policybindings.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per visualizzare tutte le associazioni di policy per una policy di Principal Access Boundary

Per ottenere l'autorizzazione necessaria per visualizzare tutte le associazioni dei criteri per un criterio di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione iam.principalaccessboundarypolicies.searchIamPolicyBindings necessaria per visualizzare tutte le associazioni di policy per una policy di Principal Access Boundary.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per visualizzare le associazioni di policy per un set di entità

Le autorizzazioni necessarie per visualizzare tutte le associazioni di policy per un insieme di entità dipendono dall'insieme di entità per cui vuoi visualizzare le policy.

Per ottenere le autorizzazioni necessarie per visualizzare i binding dei criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Visualizza i binding dei criteri per i pool della federazione delle identità della forza lavoro: Amministratore pool di forza lavoro IAM (roles/iam.workforcePoolAdmin) sul pool della federazione delle identità della forza lavoro di destinazione
  • Visualizza i binding dei criteri per i pool della federazione delle identità per la forza lavoro: Amministratore pool Workload Identity IAM (roles/iam.workloadIdentityPoolAdmin) sul progetto proprietario del pool della federazione delle identità per la forza lavoro di destinazione
  • Visualizza i binding dei criteri per un dominio Google Workspace: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) nell'organizzazione
  • Visualizza le associazioni di policy per il set di entità di un progetto: Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin) sul progetto
  • Visualizza le associazioni di policy per il set di entità di una cartella: Folder IAM Admin (roles/resourcemanager.folderIamAdmin) sulla cartella
  • Visualizza le associazioni di policy per un insieme di entità dell'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) sull'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare le associazioni delle policy. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare i binding delle policy sono necessarie le seguenti autorizzazioni:

  • Visualizza i binding dei criteri per i pool della federazione delle identità della forza lavoro: iam.workforcePools.searchPolicyBindings nel pool di destinazione della federazione delle identità della forza lavoro
  • Visualizza i binding dei criteri per i pool di federazione delle identità della forza lavoro: iam.workloadIdentityPools.searchPolicyBindings sul progetto proprietario del pool di federazione delle identità della forza lavoro di destinazione
  • Visualizza i binding delle policy per un dominio Google Workspace: iam.workspacePools.searchPolicyBindings sull'organizzazione
  • Visualizza i binding dei criteri per il set di entità di un progetto: resourcemanager.projects.searchPolicyBindings sul progetto
  • Visualizza le associazioni di policy per il set di entità di una cartella: resourcemanager.folders.searchPolicyBindings nella cartella
  • Visualizza i binding delle policy per un insieme di entità dell'organizzazione: resourcemanager.organizations.searchPolicyBindings sull'organizzazione

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Elenca le policy di Principal Access Boundary per un'organizzazione

Per visualizzare tutte le policy di Principal Access Boundary create in un'organizzazione, elenca le policy di Principal Access Boundary nell'organizzazione.

Puoi elencare i criteri per il perimetro di accesso delle entità in un'organizzazione utilizzando la consoleGoogle Cloud , gcloud CLI o l'API REST IAM.

Console

  1. Nella console Google Cloud , vai alla pagina Policy di Principal Access Boundary.

    Vai alle policy di Principal Access Boundary

  2. Seleziona l'organizzazione per cui vuoi creare le policy di Principal Access Boundary.

La console Google Cloud elenca tutte le norme dell'organizzazione che selezioni.

gcloud

Il comando gcloud iam principal-access-boundary-policies list elenca tutte le policy di Principal Access Boundary in un'organizzazione.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione Google Cloud per cui vuoi elencare le policy del limite di accesso dei principal. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

La risposta contiene le policy di Principal Access Boundary nell'organizzazione specificata.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

Il metodo principalAccessBoundaryPolicies.list elenca tutte le policy di Principal Access Boundary in un'organizzazione.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione Google Cloud per cui vuoi elencare le policy del limite di accesso dei principal. Gli ID organizzazione sono numerici, ad esempio 123456789012.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene le policy di Principal Access Boundary nell'organizzazione specificata.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Recupera una singola policy di Principal Access Boundary

Per visualizzare i dettagli di una singola policy di Principal Access Boundary, utilizza l'ID della policy per recuperarla.

Puoi ottenere una policy del limite di accesso dell'entità utilizzando la console Google Cloud , gcloud CLI o l'API REST IAM.

Console

  1. Nella console Google Cloud , vai alla pagina Policy di Principal Access Boundary.

    Vai alle policy di Principal Access Boundary

  2. Seleziona l'organizzazione per cui vuoi creare le policy di Principal Access Boundary.

  3. Fai clic sull'ID della policy di Principal Access Boundary che vuoi visualizzare.

La console Google Cloud mostra i dettagli della policy di Principal Access Boundary che selezioni.

gcloud

Il comando gcloud iam principal-access-boundary-policies describe recupera una singola policy di Principal Access Boundary.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • PAB_POLICY_ID: l'ID della policy di Principal Access Boundary che vuoi recuperare, ad esempio example-policy.
  • ORG_ID: l'ID dell'organizzazione proprietaria della policy di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

Il metodo principalAccessBoundaryPolicies.get recupera una singola policy di Principal Access Boundary.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione proprietaria della policy di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: l'ID della policy di Principal Access Boundary che vuoi recuperare, ad esempio example-policy.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Elenca le associazioni di policy per le policy di Principal Access Boundary

Esistono diversi modi per elencare le associazioni dei criteri per le policy di Principal Access Boundary:

Elenca le associazioni di policy per una policy di Principal Access Boundary

Per visualizzare tutte le associazioni di policy che includono una determinata policy di Principal Access Boundary, cerca le associazioni per la policy di Principal Access Boundary.

Puoi visualizzare tutte le associazioni di policy per una policy Principal Access Boundary utilizzando la consoleGoogle Cloud , gcloud CLI o l'API REST IAM.

Console

  1. Nella console Google Cloud , vai alla pagina Policy di Principal Access Boundary.

    Vai alle policy di Principal Access Boundary

  2. Seleziona l'organizzazione proprietaria della policy di Principal Access Boundary per cui vuoi visualizzare le associazioni.

  3. Fai clic sull'ID criterio del criterio di Principal Access Boundary per cui vuoi visualizzare le associazioni.

  4. Fai clic sulla scheda Binding.

La scheda Associazioni elenca tutte le associazioni delle policy di Principal Access Boundary che includono la policy di Principal Access Boundary.

gcloud

Il comando gcloud iam principal-access-boundary-policies search-policy-bindings elenca tutte le associazioni di policy per la policy di Principal Access Boundary specificata.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • PAB_POLICY_ID: l'ID della policy di Principal Access Boundary per cui vuoi elencare le associazioni di policy, ad esempio example-policy.
  • ORG_ID: l'ID dell'organizzazione proprietaria della policy di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La risposta contiene le associazioni di policy per la policy di Principal Access Boundary specificata.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Il metodo principalAccessBoundaryPolicies.searchPolicyBindings elenca tutte le associazioni dei criteri per la policy di Principal Access Boundary specificata.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione proprietaria della policy di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: l'ID della policy di Principal Access Boundary per cui vuoi elencare le associazioni di policy, ad esempio example-policy.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene le associazioni di policy per la policy di Principal Access Boundary specificata.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Elenca le associazioni di policy per un set di entità

Per visualizzare tutte le associazioni di policy che includono un determinato set di entità, cerca le associazioni per il set di entità.

Queste associazioni contengono gli ID delle policy di Principal Access Boundary associate al set di entità. Per visualizzare i dettagli di queste policy, utilizza l'ID policy per recuperare la policy di Principal Access Boundary.

Puoi visualizzare tutte le associazioni di policy per un insieme di entità utilizzando gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud iam policy-bindings search-target-policy-bindings recupera tutte le policy di Principal Access Boundary associate a un set di entità.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è figlio l'insieme di entità di destinazione. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di policy. Per vedere quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è figlio il set di entità di destinazione. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • PRINCIPAL_SET: il set di entità di cui vuoi visualizzare le associazioni delle policy di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Set di entità supportati.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

La risposta contiene tutte le associazioni di policy associate al set di entità di destinazione.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

Il metodo SearchTargetPolicyBindings.search recupera tutte le policy di Principal Access Boundary associate a un insieme di entità.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è figlio l'insieme di entità di destinazione. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di policy. Per vedere quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è figlio il set di entità di destinazione. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

  • PRINCIPAL_SET: il set di entità di cui vuoi visualizzare le associazioni della policy di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Set di entità supportati.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene tutte le associazioni di policy associate al set di entità di destinazione.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Elenca le associazioni di criteri per un progetto, una cartella o un'organizzazione

Per visualizzare tutti i binding dei criteri secondari di un progetto, una cartella o un'organizzazione specifici, elenca i binding dei criteri per quel progetto, quella cartella o quell'organizzazione.

La risorsa padre di un'associazione di policy dipende dall'entità impostata nell'associazione di policy. Per saperne di più, consulta Tipi di entità supportati.

Puoi visualizzare tutti i binding dei criteri per un progetto, una cartella o un'organizzazione utilizzando gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud iam policy-bindings list elenca tutti i binding dei criteri che sono elementi secondari di una determinata risorsa.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dall'entità impostata nell'associazione di policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità di sicurezza supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

La risposta contiene i binding dei criteri figlio della risorsa nel comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Il metodo policyBindings.list elenca tutti i binding dei criteri che sono elementi secondari di una determinata risorsa.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dall'entità impostata nell'associazione di policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità di sicurezza supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene i binding delle policy che sono figli della risorsa nella richiesta.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Recupera un'associazione di policy per una policy di Principal Access Boundary

Per visualizzare i dettagli di una singola associazione policy, utilizza l'ID dell'associazione policy per recuperarla.

Puoi ottenere un binding dei criteri utilizzando gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud iam policy-bindings describe recupera un'associazione di policy.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

  • BINDING_ID: l'ID del binding della policy che vuoi recuperare, ad esempio example-binding.

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dall'entità impostata nell'associazione di policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità di sicurezza supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

La risposta contiene l'associazione delle policy.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

Il metodo policyBindings.get recupera un'associazione di policy.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dall'entità impostata nell'associazione di policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità di sicurezza supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • BINDING_ID: l'ID del binding della policy che vuoi recuperare, ad esempio example-binding.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene l'associazione delle policy.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Passaggi successivi