查看主體存取邊界政策

主體存取邊界 (PAB) 政策可限制一組主體可存取的資源。本頁面說明如何查看主體存取邊界政策和政策繫結。

事前準備

  • 設定驗證方法。

    Select the tab for how you plan to use the samples on this page:

    gcloud

      In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

      REST

      如要在本機開發環境中使用本頁的 REST API 範例,請使用您提供給 gcloud CLI 的憑證。

        After installing the Google Cloud CLI, initialize it by running the following command:

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      詳情請參閱 Google Cloud 驗證說明文件中的「Authenticate for using REST」。

    1. 閱讀主體存取邊界政策總覽

查看主體存取邊界政策所需的角色

如要取得查看主體存取權範圍政策所需的權限,請要求管理員授予您機構的主體存取權範圍檢視者 (roles/iam.principalAccessBoundaryViewer) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色具備查看主體存取邊界政策所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:

所需權限

如要查看主體存取邊界政策,必須具備下列權限:

  • 查看單一主體存取邊界政策: iam.principalaccessboundarypolicies.get
  • 列出機構中的主體存取邊界政策: iam.principalaccessboundarypolicies.list

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

查看政策繫結所需的角色

如要取得查看政策繫結所需的權限,請要求管理員在政策繫結的父項資源上,授予您下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這些預先定義的角色具備查看政策繫結所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:

所需權限

如要查看政策繫結,必須具備下列權限:

  • 查看單一政策繫結: iam.policybindings.get
  • 列出專案、資料夾或機構中的政策繫結: iam.policybindings.list

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

查看主體存取邊界政策所有政策繫結所需的角色

如要取得權限,查看主體存取權範圍政策的所有政策繫結,請要求管理員授予您機構的主體存取權範圍檢視者 (roles/iam.principalAccessBoundaryViewer) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色具備 iam.principalaccessboundarypolicies.searchIamPolicyBindings 權限,可查看主體存取權範圍政策的所有政策繫結。

您或許還可透過自訂角色或其他預先定義的角色取得這項權限。

查看主體組合政策繫結所需的角色

如要查看主體集的所有政策繫結,您必須具備的權限取決於要查看政策的主體集。

如要取得查看政策繫結所需的權限,請要求管理員授予下列 IAM 角色:

  • 查看員工身分聯盟集區的政策繫結: 目標員工身分聯盟集區的「身分與存取權管理工作團隊集區管理員」 (roles/iam.workforcePoolAdmin)
  • 查看 Workload Identity Federation 集區的政策繫結: 在擁有目標 Workforce Identity Federation 集區的專案中,身分與存取權管理 Workload Identity 集區管理員 (roles/iam.workloadIdentityPoolAdmin)
  • 查看 Google Workspace 網域的政策繫結: Workspace 集區 IAM 管理員 (roles/iam.workspacePoolAdmin) 機構
  • 查看專案主體組合的政策繫結: 專案的專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)
  • 查看資料夾主體集的政策繫結: 資料夾的資料夾 IAM 管理員 (roles/resourcemanager.folderIamAdmin)
  • 查看機構主體集的政策繫結: 機構管理員 (roles/resourcemanager.organizationAdmin) 機構

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這些預先定義的角色具備查看政策繫結所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:

所需權限

如要查看政策繫結,必須具備下列權限:

  • 查看員工身分聯盟集區的政策繫結: iam.workforcePools.searchPolicyBindings 在目標員工身分聯盟集區上
  • 查看 Workload Identity Federation 集區的政策繫結: iam.workloadIdentityPools.searchPolicyBindings 在擁有目標員工身分聯盟集區的專案中
  • 查看 Google Workspace 網域的政策繫結: iam.workspacePools.searchPolicyBindings 在機構上
  • 查看專案主體組合的政策繫結: resourcemanager.projects.searchPolicyBindings 在專案上
  • 查看資料夾主體組合的政策繫結: resourcemanager.folders.searchPolicyBindings 在資料夾上
  • 查看機構主體集的政策繫結: resourcemanager.organizations.searchPolicyBindings 在機構上

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

列出機構的主體存取邊界政策

如要查看在機構中建立的所有主體存取邊界政策,請列出機構中的主體存取邊界政策。

您可以使用Google Cloud 主控台、gcloud CLI 或 IAM REST API,列出機構中的主體存取權界線政策。

控制台

  1. 前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。

    前往主體存取邊界政策

  2. 選取要建立主體存取權範圍政策的機構。

Google Cloud 控制台會列出您所選機構中的所有政策。

gcloud

gcloud iam principal-access-boundary-policies list 指令會列出機構中的所有主體存取邊界政策。

使用下方的任何指令資料之前,請先替換以下項目:

  • ORG_ID:您要列出主體存取權界線政策的 Google Cloud 機構 ID。機構 ID 為數字,例如 123456789012
  • FORMAT:回覆的格式。使用 jsonyaml

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

回應會包含指定機構中的主體存取邊界政策。

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

principalAccessBoundaryPolicies.list 方法會列出機構中的所有主體存取邊界政策。

使用任何要求資料之前,請先替換以下項目:

  • ORG_ID:您要列出主體存取權界線政策的 Google Cloud 機構 ID。機構 ID 為數字,例如 123456789012

HTTP 方法和網址:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

如要傳送要求,請展開以下其中一個選項:

回應會包含指定機構中的主體存取邊界政策。

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

取得單一主體存取邊界政策

如要查看單一主體存取邊界政策的詳細資料,請使用政策 ID 取得政策。

您可以使用 Google Cloud 控制台、gcloud CLI 或 IAM REST API 取得主體存取權界線政策。

控制台

  1. 前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。

    前往主體存取邊界政策

  2. 選取要建立主體存取權範圍政策的機構。

  3. 按一下要查看的主體存取邊界政策 ID。

控制台會顯示所選主體存取邊界政策的詳細資料。 Google Cloud

gcloud

gcloud iam principal-access-boundary-policies describe 指令會取得單一主體存取邊界政策。

使用下方的任何指令資料之前,請先替換以下項目:

  • PAB_POLICY_ID:您要取得的主體存取邊界政策 ID,例如 example-policy
  • ORG_ID:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如 123456789012
  • FORMAT:回覆的格式。使用 jsonyaml

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

回應會包含要求中指定的主體存取邊界政策。

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

principalAccessBoundaryPolicies.get 方法會取得單一主體存取邊界政策。

使用任何要求資料之前,請先替換以下項目:

  • ORG_ID:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如 123456789012
  • PAB_POLICY_ID:您要取得的主體存取邊界政策 ID,例如 example-policy

HTTP 方法和網址:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

如要傳送要求,請展開以下其中一個選項:

回應會包含要求中指定的主體存取邊界政策。

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

列出主體存取邊界政策的政策繫結

您可以透過多種方式列出主體存取邊界政策的政策繫結:

列出主體存取邊界政策的政策繫結

如要查看包含特定主體存取邊界政策的所有政策繫結,請搜尋該政策的繫結。

您可以使用Google Cloud 控制台、gcloud CLI 或 IAM REST API,查看主體存取權界線政策的所有政策繫結。

控制台

  1. 前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。

    前往主體存取邊界政策

  2. 選取擁有您要查看繫結的主體存取權範圍政策的機構。

  3. 按一下要查看繫結的主體存取邊界政策 ID。

  4. 按一下「Bindings」(繫結) 分頁標籤。

「繫結」分頁會列出所有包含主體存取邊界政策的主體存取邊界政策繫結。

gcloud

gcloud iam principal-access-boundary-policies search-policy-bindings 指令會列出指定主體存取邊界政策的所有政策繫結。

使用下方的任何指令資料之前,請先替換以下項目:

  • PAB_POLICY_ID:您要列出政策繫結的主體存取邊界政策 ID,例如 example-policy
  • ORG_ID:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如 123456789012
  • FORMAT:回覆的格式。使用 jsonyaml

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

回應會包含指定主體存取邊界政策的政策繫結。

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

principalAccessBoundaryPolicies.searchPolicyBindings 方法會列出指定主體存取邊界政策的所有政策繫結。

使用任何要求資料之前,請先替換以下項目:

  • ORG_ID:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如 123456789012
  • PAB_POLICY_ID:您要列出政策繫結的主體存取邊界政策 ID,例如 example-policy

HTTP 方法和網址:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

如要傳送要求,請展開以下其中一個選項:

回應會包含指定主體存取邊界政策的政策繫結。

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

列出主體組合的政策繫結

如要查看包含特定主體組合的所有政策繫結,請搜尋該主體組合的繫結。

這些繫結包含繫結至主體組合的主體存取邊界政策 ID。如要查看這些政策的詳細資料,請使用政策 ID 取得主體存取邊界政策

您可以使用 gcloud CLI 或 IAM REST API,查看主體集的所有政策繫結。

gcloud

gcloud iam policy-bindings search-target-policy-bindings 指令會取得繫結至主體組合的所有主體存取邊界政策。

使用下方的任何指令資料之前,請先替換以下項目:

  • RESOURCE_TYPE:目標主體集所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用 projectfolderorganization

    資源類型取決於您要列出政策繫結的主體組合類型。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。

  • RESOURCE_ID:目標主體集所屬專案、資料夾或機構的 ID。專案 ID 為英數字元字串,例如 my-project。資料夾和機構 ID 為數字,例如 123456789012
  • PRINCIPAL_SET:您要查看主體存取邊界政策繫結的主體集。如需有效主體類型清單,請參閱「支援的主體集」。
  • FORMAT:回覆的格式。使用 jsonyaml

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

回應會包含繫結至目標主體組合的所有政策繫結。

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

SearchTargetPolicyBindings.search 方法會取得繫結至主體組合的所有主體存取邊界政策。

使用任何要求資料之前,請先替換以下項目:

  • RESOURCE_TYPE:目標主體集所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用 projectsfoldersorganizations

    資源類型取決於您要列出政策繫結的主體組合類型。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。

  • RESOURCE_ID:目標主體集所屬專案、資料夾或機構的 ID。專案 ID 為英數字元字串,例如 my-project。資料夾和機構 ID 為數字,例如 123456789012
  • PRINCIPAL_SET:您要查看主體存取邊界政策繫結的主體集。如需有效主體類型清單,請參閱「支援的主體集」。

HTTP 方法和網址:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

如要傳送要求,請展開以下其中一個選項:

回應會包含繫結至目標主體組合的所有政策繫結。

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

列出專案、資料夾或機構的政策繫結

如要查看特定專案、資料夾或機構的所有子項政策繫結,請列出該專案、資料夾或機構的政策繫結。

政策繫結的父項資源取決於政策繫結中設定的主體。詳情請參閱「支援的主體類型」。

您可以使用 gcloud CLI 或 IAM REST API,查看專案、資料夾或機構的所有政策繫結。

gcloud

gcloud iam policy-bindings list 指令會列出特定資源的所有子項政策繫結。

使用下方的任何指令資料之前,請先替換以下項目:

  • RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用 projectfolderorganization

    資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。

  • RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 為數字,例如 123456789012
  • FORMAT:回覆的格式。使用 jsonyaml

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

回應包含指令中資源的子項政策繫結。

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

policyBindings.list 方法會列出特定資源的所有子項政策繫結。

使用任何要求資料之前,請先替換以下項目:

  • RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用 projectsfoldersorganizations

    資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。

  • RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 為數字,例如 123456789012

HTTP 方法和網址:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

如要傳送要求,請展開以下其中一個選項:

回應包含要求中資源的子項政策繫結。

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

取得主體存取邊界政策的政策繫結

如要查看單一政策繫結的詳細資料,請使用政策繫結的 ID 取得政策繫結。

您可以使用 gcloud CLI 或 IAM REST API 取得政策繫結。

gcloud

gcloud iam policy-bindings describe 指令會取得政策繫結。

使用下方的任何指令資料之前,請先替換以下項目:

  • BINDING_ID:您要取得的政策繫結 ID,例如 example-binding
  • RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用 projectfolderorganization

    資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。

  • RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 為數字,例如 123456789012
  • FORMAT:回覆的格式。使用 jsonyaml

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

回應會包含政策繫結。

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

policyBindings.get 方法會取得政策繫結。

使用任何要求資料之前,請先替換以下項目:

  • RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用 projectsfoldersorganizations

    資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。

  • RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 為數字,例如 123456789012
  • BINDING_ID:您要取得的政策繫結 ID,例如 example-binding

HTTP 方法和網址:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

如要傳送要求,請展開以下其中一個選項:

回應會包含政策繫結。

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

後續步驟