Visualizzare i criteri di Principal Access Boundary

I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Questa pagina spiega come visualizzare le associazioni di criteri e i criteri di Principal Access Boundary.

Prima di iniziare

  • Configurare l'autenticazione.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

  • Leggi la panoramica dei criteri di Principal Access Boundary.

Ruoli richiesti per visualizzare i criteri di Principal Access Boundary

Per ottenere le autorizzazioni necessarie per visualizzare i criteri di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare i criteri di Principal Access Boundary. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare i criteri di Principal Access Boundary sono necessarie le seguenti autorizzazioni:

  • Visualizza un singolo criterio di confine dell'accesso dell'entità: iam.principalaccessboundarypolicies.get
  • Elenca i criteri di Principal Access Boundary in un'organizzazione: iam.principalaccessboundarypolicies.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per visualizzare le associazioni delle norme

Per ottenere le autorizzazioni necessarie per visualizzare le associazioni di criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM nella risorsa principale delle associazioni di criteri:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare le associazioni dei criteri. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare le associazioni di criteri sono necessarie le seguenti autorizzazioni:

  • Visualizza una singola associazione di criteri: iam.policybindings.get
  • Elenca le associazioni di criteri in un progetto, una cartella o un'organizzazione: iam.policybindings.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per visualizzare tutte le associazioni dei criteri per un criterio di confine dell'accesso dell'entità

Per ottenere l'autorizzazione necessaria per visualizzare tutte le associazioni di criteri per un criterio di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione iam.principalaccessboundarypolicies.searchIamPolicyBindings, necessaria per visualizzare tutte le associazioni dei criteri per un criterio di limite di accesso all'entità.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per visualizzare le associazioni dei criteri per un set di entità

Le autorizzazioni necessarie per visualizzare tutte le associazioni dei criteri per un insieme di entità dipendono dall'insieme di entità per cui vuoi visualizzare i criteri.

Per ottenere le autorizzazioni necessarie per visualizzare le associazioni dei criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Visualizza le associazioni di criteri per i pool della federazione delle identità della forza lavoro: Amministratore pool di forza lavoro IAM (roles/iam.workforcePoolAdmin) nel pool della federazione delle identità della forza lavoro di destinazione
  • Visualizza le associazioni dei criteri per i pool della federazione delle identità per i workload: Amministratore pool Workload Identity IAM (roles/iam.workloadIdentityPoolAdmin) nel progetto proprietario del pool della federazione delle identità per la forza lavoro di destinazione
  • Visualizza le associazioni di criteri per un dominio Google Workspace: Amministratore IAM del pool di Workspace (roles/iam.workspacePoolAdmin) nell'organizzazione
  • Visualizza le associazioni dei criteri per il set di entità di un progetto: Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) nel progetto
  • Visualizza le associazioni dei criteri per l'insieme di principali di una cartella: Amministratore IAM della cartella (roles/resourcemanager.folderIamAdmin) nella cartella
  • Visualizza le associazioni dei criteri per il set di entità di un'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) nell'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare le associazioni dei criteri. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare le associazioni di criteri sono necessarie le seguenti autorizzazioni:

  • Visualizza le associazioni di criteri per i pool della federazione delle identità per la forza lavoro: iam.workforcePools.searchPolicyBindings nel pool della federazione delle identità per la forza lavoro di destinazione
  • Visualizza le associazioni di criteri per i pool della federazione delle identità della forza lavoro: iam.workloadIdentityPools.searchPolicyBindings nel progetto proprietario del pool della federazione delle identità della forza lavoro di destinazione
  • Visualizzare le associazioni di norme per un dominio Google Workspace: iam.workspacePools.searchPolicyBindings nell'organizzazione
  • Visualizza le associazioni dei criteri per l'insieme di entità di un progetto: resourcemanager.projects.searchPolicyBindings nel progetto
  • Visualizza le associazioni dei criteri per il set di entità di una cartella: resourcemanager.folders.searchPolicyBindings nella cartella
  • Visualizza le associazioni di criteri per l'insieme di principali di un'organizzazione: resourcemanager.organizations.searchPolicyBindings nell'organizzazione

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Elencare i criteri di Principal Access Boundary per un'organizzazione

Per visualizzare tutti i criteri di confine dell'accesso dell'entità creati in un'organizzazione, elencali.

Puoi elencare i criteri di confine di accesso dei principali in un'organizzazione utilizzando la console Google Cloud, la CLI gcloud o l'API IAM REST.

Console

  1. Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

    Vai ai criteri di Principal Access Boundary

  2. Seleziona l'organizzazione per cui vuoi creare i criteri di confine dell'accesso dell'entità.

La console Google Cloud elenca tutti i criteri dell'organizzazione selezionati.

gcloud

Il comando gcloud beta iam principal-access-boundary-policies list elenca tutti i criteri di Principal Access Boundary in un'organizzazione.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione Google Cloud per cui vuoi elencare i criteri di confine di accesso principali. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

La risposta contiene i criteri di Principal Access Boundary nell'organizzazione specificata.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

Il metodo principalAccessBoundaryPolicies.list elenca tutte le policy di Principal Access Boundary in un'organizzazione.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione Google Cloud per cui vuoi elencare i criteri di confine di accesso principali. Gli ID organizzazione sono numerici, ad esempio 123456789012.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene i criteri di Principal Access Boundary nell'organizzazione specificata.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Ottenere un singolo criterio di confine dell'accesso dell'entità

Per visualizzare i dettagli di una singola policy di Principal Access Boundary, utilizza l'ID della policy per recuperarla.

Puoi ottenere un criterio di confine di accesso dei principali utilizzando la console Google Cloud, gcloud CLI o l'API REST IAM.

Console

  1. Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

    Vai ai criteri di Principal Access Boundary

  2. Seleziona l'organizzazione per cui vuoi creare i criteri di confine dell'accesso dell'entità.

  3. Fai clic sull'ID del criterio di Principal Access Boundary che vuoi visualizzare.

La console Google Cloud mostra i dettagli del criterio di Principal Access Boundary selezionato.

gcloud

Il comando gcloud beta iam principal-access-boundary-policies describe recupera un singolo criterio di confine dell'accesso dell'entità.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi recuperare, ad esempio example-policy.
  • ORG_ID: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

Il metodo principalAccessBoundaryPolicies.get recupera un singolo criterio di confine dell'accesso dell'entità.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: l'ID del criterio di Principal Access Boundary che vuoi recuperare, ad esempio example-policy.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Elenca le associazioni delle policy per i criteri di confine dell'accesso dell'entità

Esistono diversi modi per elencare le associazioni dei criteri per le policy di Principal Access Boundary:

Elenca le associazioni di criteri per un criterio di confine dell'accesso dell'entità

Per visualizzare tutte le associazioni di criteri che includono un determinato criterio di Principal Access Boundary, cerca il criterio di Principal Access Boundary nelle associazioni.

Puoi visualizzare tutte le associazioni di criteri per un criterio di confine di accesso del principale utilizzando la console Google Cloud, la CLI gcloud o l'API REST IAM.

Console

  1. Nella console Google Cloud, vai alla pagina Regole di confine di accesso principale.

    Vai ai criteri di Principal Access Boundary

  2. Seleziona l'organizzazione proprietaria del criterio di confine dell'accesso dell'entità per cui vuoi visualizzare le associazioni.

  3. Fai clic sull'ID del criterio di Principal Access Boundary per cui vuoi visualizzare le associazioni.

  4. Fai clic sulla scheda Vincoli.

La scheda Associazioni elenca tutte le associazioni dei criteri di Principal Access Boundary che includono il criterio di Principal Access Boundary.

gcloud

Il comando gcloud beta iam principal-access-boundary-policies search-policy-bindings elenca tutte le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • PAB_POLICY_ID: l'ID del criterio di confine dell'accesso dell'entità per cui vuoi elencare le associazioni ai criteri, ad esempio example-policy.
  • ORG_ID: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La risposta contiene le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Il metodo principalAccessBoundaryPolicies.searchPolicyBindings elenca tutte le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione proprietaria del criterio di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: l'ID del criterio di confine dell'accesso dell'entità per cui vuoi elencare le associazioni ai criteri, ad esempio example-policy.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3beta/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene le associazioni dei criteri per il criterio di confine dell'accesso dell'entità specificato.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Elenca le associazioni dei criteri per un set di entità

Per visualizzare tutte le associazioni dei criteri che includono un determinato set di entità, cerca le associazioni per il set di entità.

Queste associazioni contengono gli ID delle policy di Principal Access Boundary associate al set di entità. Per visualizzare i dettagli di queste norme, utilizza l'ID per ottenere la norma di Principal Access Boundary.

Puoi visualizzare tutte le associazioni dei criteri per un insieme di entità utilizzando l'interfaccia a riga di comando gcloud o l'API REST IAM.

gcloud

Il comando gcloud beta iam policy-bindings search-target-policy-bindings recupera tutti i criteri di confine dell'accesso dell'entità associati a un insieme di entità.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento figlio l'entità principale di destinazione. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario l'entità principale di destinazione impostata. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
  • PRINCIPAL_SET: l'insieme di entità di cui vuoi visualizzare le associazioni dei criteri di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Insiemi di entità supportati.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

La risposta contiene tutte le associazioni dei criteri associate all'insieme di entità di destinazione.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

Il metodo SearchTargetPolicyBindings.search recupera tutti i criteri di confine dell'accesso dell'entità associati a un insieme di entità.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento figlio l'entità principale di destinazione. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario l'entità principale di destinazione impostata. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.

  • PRINCIPAL_SET: l'insieme di entità di cui vuoi visualizzare le associazioni ai criteri di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Insiemi di entità supportati.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene tutte le associazioni dei criteri associate all'insieme di entità di destinazione.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Elenca le associazioni di criteri per un progetto, una cartella o un'organizzazione

Per visualizzare tutte le associazioni di criteri che sono elementi secondari di un progetto, di una cartella o di un'organizzazione specifici, elenca le associazioni di criteri per il progetto, la cartella o l'organizzazione in questione.

La risorsa principale di un'associazione di criteri dipende dall'entità impostata nell'associazione. Per saperne di più, consulta Tipi di principali supportati.

Puoi visualizzare tutte le associazioni di criteri per un progetto, una cartella o un'organizzazione utilizzando l'interfaccia alla gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud beta iam policy-bindings list elenca tutte le associazioni di criteri che sono figli di una determinata risorsa.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

La risposta contiene le associazioni di criteri che sono figli della risorsa nel comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Il metodo policyBindings.list elenca tutte le associazioni di criteri che sono elementi secondari di una determinata risorsa.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene le associazioni di criteri che sono figli della risorsa nella richiesta.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Ottenere un'associazione di criteri per un criterio di confine dell'accesso dell'entità

Per visualizzare i dettagli di una singola associazione di criteri, utilizza l'ID dell'associazione di criteri per recuperarla.

Puoi ottenere un'associazione di criteri utilizzando gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud beta iam policy-bindings describe riceve un'associazione di criteri.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • BINDING_ID: l'ID dell'associazione di norme che vuoi recuperare, ad esempio example-binding.

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui il seguente comando:

Linux, macOS o Cloud Shell

gcloud beta iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud beta iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud beta iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

La risposta contiene l'associazione delle norme.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

Il metodo policyBindings.get riceve un'associazione di criteri.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è un elemento secondario il vincolo dei criteri. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dall'entità impostata nell'associazione dei criteri. Per sapere quale tipo di risorsa utilizzare, consulta Tipi di principali supportati.

  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è un elemento secondario il vincolo dei criteri. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
  • BINDING_ID: l'ID dell'associazione di norme che vuoi recuperare, ad esempio example-binding.

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3beta/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene l'associazione delle norme.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Passaggi successivi