Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Crear y aplicar políticas de límites de acceso de principales

Las políticas de límites de acceso de principales (PAB) te permiten limitar los recursos a los que puede acceder un conjunto de principales. En esta página se explica cómo crear y aplicar políticas de límite de acceso de principales.

Antes de empezar

Configura la autenticación.

Select the tab for how you plan to use the samples on this page:
Console

When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud

Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
```
gcloud init
```
REST

Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.
Para obtener más información, consulta el artículo Autenticación para usar REST de la documentación sobre autenticación de Trusted Cloud .
Consulta la descripción general de las políticas de límites de acceso de principales.

Roles necesarios para crear políticas de límites de acceso de principales

Para obtener el permiso que necesitas para crear políticas de límites de acceso de principales, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de límites de acceso de principales (roles/iam.principalAccessBoundaryAdmin) en tu organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene el permiso iam.principalaccessboundarypolicies.create, que es necesario para crear políticas de límites de acceso de principales.

También puedes obtener este permiso con roles personalizados u otros roles predefinidos.

Roles necesarios para aplicar políticas de límites de acceso de principales

Los permisos que necesitas para aplicar una política de límites de acceso de principales dependen del conjunto de principales al que quieras aplicar la política.

Para obtener los permisos que necesitas para aplicar políticas de límites de acceso de principales, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Usuario de límites de acceso de principales (roles/iam.principalAccessBoundaryUser) en la organización
Aplica políticas de límite de acceso de principales a grupos de identidades de Workforce: Administrador de grupos de Workforce de IAM (roles/iam.workforcePoolAdmin) en el grupo de identidades de Workforce de destino
Aplica políticas de límite de acceso de principales a grupos de identidades de carga de trabajo: Administrador de grupos de Workload Identity de IAM (roles/iam.workloadIdentityPoolAdmin) en el proyecto propietario del grupo de identidades de carga de trabajo de destino
Obtiene el estado de una operación de larga duración para aplicar una política de límite de acceso de principal a un grupo de identidades de carga de trabajo: Visor de operaciones de gestión de identidades y accesos (roles/iam.operationViewer) en el proyecto propietario del grupo de identidades de carga de trabajo de destino
Aplica políticas de límite de acceso de la entidad de seguridad a un dominio de Google Workspace: Administrador de IAM del grupo de Workspace (roles/iam.workspacePoolAdmin) en la organización
Aplica políticas de límite de acceso de principales a un conjunto de principales de un proyecto: Administrador de gestión de identidades y accesos del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto
Obtén el estado de una operación de larga duración para aplicar una política de límites de acceso de principales a un conjunto de principales de un proyecto: Visor de operaciones de gestión de identidades y accesos (roles/iam.operationViewer) en el proyecto
Aplica políticas de límites de acceso de principales a un conjunto de principales de una carpeta: Administrador de gestión de identidades y accesos de carpetas (roles/resourcemanager.folderIamAdmin) en la carpeta
Aplica políticas de límites de acceso de principales a un conjunto de principales de una organización: Administrador de la organización (roles/resourcemanager.organizationAdmin) en la organización

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para aplicar políticas de límites de acceso de principales. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Se necesitan los siguientes permisos para aplicar políticas de límites de acceso de principales:

iam.principalaccessboundarypolicies.bind de la organización
Aplica políticas de límites de acceso de principales a los grupos de Workforce Identity Federation: iam.workforcePools.createPolicyBinding en el grupo de Workforce Identity Federation de destino
Aplica políticas de límite de acceso de principales a grupos de federación de identidades de Workforce: iam.workloadIdentityPools.createPolicyBinding en el proyecto propietario del grupo de federación de identidades de Workforce de destino
Obtén el estado de una operación de larga duración para aplicar una política de límite de acceso de principal a un grupo de identidades de carga de trabajo: iam.operations.get en el proyecto propietario del grupo de identidades de carga de trabajo de destino
Aplica políticas de límite de acceso de principales a un dominio de Google Workspace: iam.workspacePools.createPolicyBinding en la organización
Aplica políticas de límite de acceso de principales a un conjunto de principales de un proyecto: resourcemanager.projects.createPolicyBinding en el proyecto
Obtiene el estado de una operación de larga duración para aplicar una política de límite de acceso principal al conjunto de principales de un proyecto: iam.operations.get en el proyecto
Aplica políticas de límites de acceso de principales a un conjunto de principales de una carpeta: resourcemanager.folders.createPolicyBinding en la carpeta
Aplica políticas de límite de acceso de principales al conjunto de principales de una organización: resourcemanager.organizations.createPolicyBinding en la organización

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Crear una política de límites de acceso de principales

Puede crear una política de límites de acceso de principales mediante la consola de Trusted Cloud , la CLI de gcloud o la API REST de gestión de identidades y accesos.

Consola

En la Trusted Cloud consola, ve a la página Políticas de límite de acceso de principales.

Ir a las políticas de límites de acceso de principales
Seleccione la organización para la que quiera crear políticas de límite de acceso de principales.
Haz clic en Crear política.
Añade reglas de límite de acceso de principales a la política:
1. Haz clic en Añadir regla de límite.
2. En el campo Description (Descripción), añade una descripción de la regla de la política de límite de acceso de la principal. La descripción puede tener un máximo de 256 caracteres.
3. En la sección Recursos, introduce todos los recursos de Resource Manager (proyectos, carpetas y organizaciones) a los que quieres que puedan acceder las principales. Cualquier principal que esté sujeto a esta política puede acceder a estos recursos.
  
  Cada política de límite de acceso de principales puede hacer referencia a un máximo de 500 recursos en todas las reglas de la política.
4. Haz clic en Listo.
5. Para añadir más reglas de la política, repite estos pasos. Cada política de límite de acceso de principal puede tener hasta 500 reglas.
En la sección Nombre de la política, escribe el nombre que quieras asignar a la política. El nombre puede tener un máximo de 63 caracteres.
En la lista Versión de la medida, seleccione la versión de la medida de la política. La versión de la política de límites de acceso de principales determina los permisos para los que IAM aplica la política de límites de acceso de principales.

Para obtener más información sobre las versiones de aplicación, consulta Versiones de aplicación del límite de acceso de principales.
Haz clic en Crear.

gcloud

El comando gcloud iam principal-access-boundary-policies create crea una política de límites de acceso de principales.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

ORG_ID: el ID de la organización en la que quieres crear la política de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
PAB_POLICY_ID: un ID único de la política de límite de acceso principal. Por ejemplo, example-policy. :
DISPLAY_NAME: opcional. Una descripción legible de la política de límites de acceso de principales. Por ejemplo, Example policy. El nombre visible puede tener un máximo de 63 caracteres.
FILE_PATH: ruta a un archivo JSON que contiene los detalles de la regla de la política de límite de acceso principal. Este archivo debe tener el siguiente formato:
```
{
  "description": DESCRIPTION,
  "resources": [
    RESOURCES
  ],
  "effect": ALLOW
}
    
```
Sustituye los siguientes valores:
- DESCRIPTION: opcional. Descripción de la regla de la política de límites de acceso de principales. La descripción puede tener un máximo de 256 caracteres.
- RESOURCES: lista de recursos de Resource Manager (proyectos, carpetas y organizaciones) a los que quieres que puedan acceder las principales. Cualquier principal que esté sujeto a esta política puede acceder a estos recursos.
  
  Cada política de límite de acceso de principales puede hacer referencia a un máximo de 500 recursos en todas las reglas de la política.
ENFORCEMENT_VERSION: la versión de las políticas de límites de acceso de principales que usa IAM al aplicar la política. La versión de aplicación determina los permisos que aplica la gestión de identidades y accesos en la política de límites de acceso de principales.

Los valores aceptados son 1, 2, 3 y latest.

Para obtener más información sobre las versiones de cumplimiento, consulta Versiones de cumplimiento del límite de acceso de la entidad principal.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json \
    --details-enforcement-version=ENFORCEMENT_VERSION

Windows (PowerShell)

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json `
    --details-enforcement-version=ENFORCEMENT_VERSION

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json ^
    --details-enforcement-version=ENFORCEMENT_VERSION

La respuesta contiene una operación de larga duración que representa tu solicitud. Para saber cómo obtener el estado de una operación de larga duración, consulta Comprobar el estado de una operación de larga duración en esta página.

Create request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715373988044-6181fa136df85-3b06a30a-4816d25b] to complete...done.
Created principalAccessBoundaryPolicy [example-policy].

REST

El método principalAccessBoundaryPolicies.create crea una política de límites de acceso de principales.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

ORG_ID: el ID de la organización en la que quieres crear la política de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
PAB_POLICY_ID: un ID único de la política de límite de acceso principal. Por ejemplo, example-policy.
DISPLAY_NAME: opcional. Una descripción legible de la política de límites de acceso de principales. Por ejemplo, Example policy. El nombre visible puede tener un máximo de 63 caracteres.
PAB_RULES: lista de reglas de límites de acceso de principales, que definen los recursos a los que pueden acceder los principales afectados. Una política de límites de acceso de principales puede tener hasta 500 reglas. Cada regla tiene el siguiente formato:
```
{
"description": "DESCRIPTION",
"resources": [
  RESOURCES
],
"effect": ALLOW
}
```
Sustituye los siguientes valores:
- DESCRIPTION: opcional. Descripción de la regla de la política de límites de acceso de principales. La descripción puede tener un máximo de 256 caracteres.
- RESOURCES: lista de recursos de Resource Manager (proyectos, carpetas y organizaciones) a los que quieres que puedan acceder las principales. Cualquier principal que esté sujeto a esta política puede acceder a estos recursos.
  
  Cada política de límite de acceso de principales puede hacer referencia a un máximo de 500 recursos en todas las reglas de la política.
ENFORCEMENT_VERSION: la versión de las políticas de límites de acceso de principales que usa IAM al aplicar la política. La versión de aplicación determina los permisos que aplica la gestión de identidades y accesos en la política de límites de acceso de principales.

Los valores aceptados son 1, 2, 3 y latest.

Para obtener más información sobre las versiones de cumplimiento, consulta Versiones de cumplimiento del límite de acceso de la entidad principal.

Método HTTP y URL:

POST https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID

Cuerpo JSON de la solicitud:

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "effect": ALLOW
    }
  ],
  "enforcementVersion": "ENFORCEMENT_VERSION"
}

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:00.898809495Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Aplicar una política de límites de acceso de principales a un conjunto de principales

Para aplicar una política de límites de acceso de principales a un conjunto de principales, crea un recurso de vinculación de políticas que vincule la política al conjunto de principales. Después de crear un enlace de política, se aplicará la política de límites de acceso de principales del enlace a los principales del enlace.

Puedes crear un enlace de política mediante la Trusted Cloud consola, la CLI de gcloud o la API REST de gestión de identidades y accesos.

Consola

En la Trusted Cloud consola, ve a la página Políticas de límite de acceso de principales.

Ir a las políticas de límites de acceso de principales
Selecciona la organización propietaria de la política de límite de acceso de la entidad de seguridad para la que quieras crear una vinculación.
Haga clic en el ID de la política de límites de acceso de principales para la que quiera crear un enlace.
Haga clic en la pestaña Bindings y, a continuación, en Añadir binding.
Introduce los detalles de la vinculación:
1. Opcional: En el campo Nombre visible, introduce un nombre visible para la vinculación. El nombre visible puede tener un máximo de 63 caracteres.
2. En el campo ID de vinculación, introduce un nombre único para la vinculación (por ejemplo, example-binding).
3. En la sección Target principal set (Conjunto de principales de destino), introduzca el tipo y el ID del conjunto de principales al que quiera vincular la política. No puedes cambiar este valor después de crear el enlace de la política.
  
  Para obtener más información sobre las entidades incluidas en cada conjunto de entidades, consulta Conjuntos de entidades admitidos.
Opcional: Para especificar a qué entidades principales del conjunto de entidades principales se aplica la política de límites de acceso de principales, añade una condición a la vinculación:
1. Haz clic en Añadir condición.
2. En el campo Título, escribe un breve resumen del propósito de la condición.
3. Opcional: En el campo Descripción, escribe una descripción más larga de la condición.
4. En el campo Expresión, introduce una expresión de condición que use la sintaxis del lenguaje de expresión común (CEL). La expresión debe hacer referencia a los atributos principal.type o principal.subject. No se admiten otros atributos.
5. Haz clic en Guardar.
Opcional: Para probar los cambios que has hecho en la política de límite de acceso de la cuenta principal con el simulador de políticas, haz clic en Probar cambios. Revisa los resultados de la simulación y actualiza la política si es necesario.
Para obtener más información sobre cómo probar las políticas de límites de acceso de principales con el simulador de políticas, consulte el artículo Simulador de políticas para límites de acceso de principales.
Para crear la vinculación, haz clic en Añadir.

gcloud

El comando gcloud iam policy-bindings create crea un enlace de política.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

BINDING_ID: nombre único de la vinculación de la política. Por ejemplo, example-binding.
RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valor project, folder o organization.

El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.
RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
ORG_ID: el ID de la organización propietaria de la política de límites de acceso de principales que quieres vincular al conjunto de principales. Los IDs de organización son numéricos, como 123456789012.
PAB_POLICY_ID: el ID de la política de límite de acceso principal que quieres vincular al conjunto principal. Por ejemplo, example-pab-policy. No podrás cambiar este valor después de crear la vinculación de la política.
PRINCIPAL_SET: el conjunto de principales al que quieres vincular la política. Para ver una lista de los tipos de principales válidos, consulta Conjuntos de principales admitidos. No podrá cambiar este valor después de crear la vinculación de la política.
DISPLAY_NAME: opcional. Una descripción legible por humanos de la vinculación. Por ejemplo, Example binding. El nombre visible puede tener un máximo de 63 caracteres.
CONDITION_DETAILS: opcional. Una expresión de condición que especifica a qué entidades principales del conjunto de entidades principales se aplica la política de límites de acceso de principales. Contiene los siguientes campos:
- expression: expresión de condición que usa la sintaxis del lenguaje de expresión común (CEL). La expresión debe hacer referencia a los atributos principal.type o principal.subject. No se admiten otros atributos.
  
  La expresión puede contener hasta 10 operadores lógicos (&&, || y !) y tener una longitud máxima de 250 caracteres.
- title: opcional. Un breve resumen del propósito de la condición.
- description: opcional. Una descripción más larga de la afección.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings create BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" \
    --target-principal-set=PRINCIPAL_SET_ID \
    --display-name=DISPLAY_NAME \
    CONDITION_DETAILS

Windows (PowerShell)

gcloud iam policy-bindings create BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" `
    --target-principal-set=PRINCIPAL_SET_ID `
    --display-name=DISPLAY_NAME `
    CONDITION_DETAILS

Windows (cmd.exe)

gcloud iam policy-bindings create BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" ^
    --target-principal-set=PRINCIPAL_SET_ID ^
    --display-name=DISPLAY_NAME ^
    CONDITION_DETAILS

Create request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Created policyBinding [example-binding].

REST

El método policyBindings.create crea un enlace de política.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valor projects, folders o organizations.

El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.
RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
BINDING_ID: nombre único de la vinculación de la política. Por ejemplo, example-binding.
DISPLAY_NAME: opcional. Una descripción legible por humanos de la vinculación. Por ejemplo, Example binding. El nombre visible puede tener un máximo de 63 caracteres.
PRINCIPAL_SET: el conjunto de principales al que quieres vincular la política. Para ver una lista de los tipos de principales válidos, consulta Conjuntos de principales admitidos. No podrá cambiar este valor después de crear la vinculación de la política.
ORG_ID: el ID de la organización propietaria de la política de límites de acceso de principales que quieres vincular al conjunto de principales. Los IDs de organización son numéricos, como 123456789012.
PAB_POLICY_ID: el ID de la política de límite de acceso principal que quieres vincular al conjunto principal. Por ejemplo, example-pab-policy. No podrás cambiar este valor después de crear la vinculación de la política.
CONDITION_DETAILS: opcional. Una expresión de condición que especifica a qué entidades principales del conjunto de entidades principales se aplica la política de límites de acceso de principales. Contiene los siguientes campos:
- expression: expresión de condición que usa la sintaxis del lenguaje de expresión común (CEL). La expresión debe hacer referencia a los atributos principal.type o principal.subject. No se admiten otros atributos.
  
  La expresión puede contener hasta 10 operadores lógicos (&&, || y !) y tener una longitud máxima de 250 caracteres.
- title: opcional. Un breve resumen del propósito de la condición.
- description: opcional. Una descripción más larga de la afección.

Método HTTP y URL:

POST https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID

Cuerpo JSON de la solicitud:

{
  "displayName": DISPLAY_NAME,
  "target": {
    "principalSet": PRINCIPAL_SET
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID",
  "condition": {
    CONDITION_DETAILS
  }
}

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:00.898809495Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Comprobar el estado de una operación de larga duración

Cuando usas la API REST o las bibliotecas de cliente, cualquier método que cambie una política o una vinculación de límite de acceso principal devuelve una operación de larga duración (OLD). La operación de larga duración monitoriza el estado de la solicitud e indica si se ha completado el cambio en la política o la vinculación.

REST

El método operations.get devuelve el estado de una operación de larga duración.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

OPERATION_NAME: nombre completo de la operación. Recibirás este nombre en la respuesta a tu solicitud original.

El nombre de la operación tiene el siguiente formato:
```
      RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID
    
```

Método HTTP y URL:

GET https://iam.googleapis.com/v3/OPERATION_NAME

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el comando siguiente:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/OPERATION_NAME"

PowerShell (Windows)

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/OPERATION_NAME" | Select-Object -Expand Content

Explorador de APIs (navegador)

Abre la página de referencia del método. El panel APIs Explorer se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Rellena los campos obligatorios y haz clic en Ejecutar.

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

Si el campo done de la operación no está presente, sigue monitorizando su estado obteniendo la operación repetidamente. Usa un tiempo de espera exponencial truncado para introducir un retraso entre cada solicitud. Cuando el campo done se define como true, la operación se completa y puedes dejar de obtener la operación.

Crear y aplicar políticas de límites de acceso de principales

Antes de empezar

Console

gcloud

REST

Roles necesarios para crear políticas de límites de acceso de principales

Roles necesarios para aplicar políticas de límites de acceso de principales

Permisos obligatorios

Crear una política de límites de acceso de principales

Consola

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Aplicar una política de límites de acceso de principales a un conjunto de principales

Consola

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Comprobar el estado de una operación de larga duración

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Siguientes pasos