Creare e applicare i criteri di confine dell'accesso dell'entità

I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Questa pagina spiega come creare e applicare le policy di Principal Access Boundary.

Prima di iniziare

Ruoli richiesti per creare policy di Principal Access Boundary

Per ottenere l'autorizzazione necessaria per creare criteri dei limiti di accesso all'entità, chiedi all'amministratore di concederti il ruolo IAM Amministratore dei limiti di accesso all'entità (roles/iam.principalAccessBoundaryAdmin) nella tua organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione iam.principalaccessboundarypolicies.create necessaria per creare policy dei limiti di accesso all'entità.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per applicare le policy di Principal Access Boundary

Le autorizzazioni necessarie per applicare un criterio di Principal Access Boundary dipendono dall'insieme di entità a cui vuoi applicare il criterio.

Per ottenere le autorizzazioni necessarie per applicare i criteri dei limiti di accesso all'entità, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Utente del confine dell'accesso dell'entità (roles/iam.principalAccessBoundaryUser) nell'organizzazione
  • Applica i criteri del perimetro di accesso dell'entità ai pool di identità della forza lavoro: Amministratore pool di forza lavoro IAM (roles/iam.workforcePoolAdmin) sul pool di identità della forza lavoro di destinazione
  • Applica i criteri del limite di accesso dell'entità ai pool Workload Identity: Amministratore pool Workload Identity IAM (roles/iam.workloadIdentityPoolAdmin) sul progetto proprietario del pool Workload Identity di destinazione
  • Recupera lo stato di unoperazione a lunga esecuzione per l'applicazione di un criterio di limite di accesso principale a un pool di identità del workload: Visualizzatore operazioni IAM (roles/iam.operationViewer) sul progetto proprietario del pool di identità del workload di destinazione
  • Applica i criteri per il perimetro di accesso dei principal a un dominio Google Workspace: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) nell'organizzazione
  • Applica le policy di Principal Access Boundary a un insieme di principal di un progetto: Project IAM Admin (roles/resourcemanager.projectIamAdmin) sul progetto
  • Recupera lo stato di un'operazione a lunga esecuzione per l'applicazione di un criterio di confine di accesso principale a un insieme di principali di un progetto: Visualizzatore operazioni IAM (roles/iam.operationViewer) sul progetto
  • Applica le policy di Principal Access Boundary al set di entità di una cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin) nella cartella
  • Applica i criteri di Principal Access Boundary a un insieme di entità dell'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) nell'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per applicare le policy dei limiti di accesso all'entità. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per applicare le policy di Principal Access Boundary sono necessarie le seguenti autorizzazioni:

  • iam.principalaccessboundarypolicies.bind sull'organizzazione
  • Applica le policy di Principal Access Boundary ai pool della federazione delle identità della forza lavoro: iam.workforcePools.createPolicyBinding sul pool di destinazione della federazione delle identità della forza lavoro
  • Applica i criteri del limite di accesso principale ai pool di federazione delle identità per la forza lavoro: iam.workloadIdentityPools.createPolicyBinding sul progetto proprietario del pool di federazione delle identità per la forza lavoro di destinazione
  • Recupera lo stato di unoperazione a lunga esecuzione per l'applicazione di un criterio di limite di accesso dell'entità a un pool di identità del workload: iam.operations.get sul progetto proprietario del pool di identità del workload di destinazione
  • Applica le policy di Principal Access Boundary a un dominio Google Workspace: iam.workspacePools.createPolicyBinding nell'organizzazione
  • Applica le policy di Principal Access Boundary al set di entità di un progetto: resourcemanager.projects.createPolicyBinding sul progetto
  • Recupera lo stato di un'operazione a lunga esecuzione per l'applicazione di una policy di Principal Access Boundary al set di entità di un progetto: iam.operations.get sul progetto
  • Applica le policy di Principal Access Boundary a un insieme di entità di una cartella: resourcemanager.folders.createPolicyBinding nella cartella
  • Applica i criteri di Principal Access Boundary al set di entità di un'organizzazione: resourcemanager.organizations.createPolicyBinding sull'organizzazione

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Crea una policy di Principal Access Boundary

Puoi creare un criterio perimetrale di accesso per i principal utilizzando la console Trusted Cloud , gcloud CLI o l'API REST IAM.

Console

  1. Nella console Trusted Cloud , vai alla pagina Policy del limite di accesso principale.

    Vai alle policy di Principal Access Boundary

  2. Seleziona l'organizzazione per cui vuoi creare le policy di Principal Access Boundary.

  3. Fai clic su Crea criterio.

  4. Aggiungi regole di Principal Access Boundary al criterio:

    1. Fai clic su Aggiungi regola di confine.
    2. Nel campo Descrizione, aggiungi una descrizione della regola dei criteri di Principal Access Boundary. La descrizione può contenere un massimo di 256 caratteri.

    3. Nella sezione Risorse, inserisci tutte le risorse di Resource Manager (progetti, cartelle e organizzazioni) a cui vuoi che i principal possano accedere. Qualsiasi entità soggetta a questa policy è idonea ad accedere a queste risorse.

      Ogni policy di Principal Access Boundary può fare riferimento a un massimo di 500 risorse in tutte le regole della policy.

    4. Fai clic su Fine.

    5. Per aggiungere altre regole delle norme, ripeti questi passaggi. Ogni policy di Principal Access Boundary può avere fino a 500 regole.

  5. Nella sezione Nome della policy, inserisci un nome per la policy. Il nome può contenere un massimo di 63 caratteri.

  6. Nell'elenco Versione di applicazione, seleziona la versione di applicazione per il policy. La versione del criterio di Principal Access Boundary determina le autorizzazioni per cui IAM applica il criterio di Principal Access Boundary.

    Per saperne di più sulle versioni di applicazione, consulta Versioni di applicazione di Principal Access Boundary.

  7. Fai clic su Crea.

gcloud

Il comando gcloud iam principal-access-boundary-policies create crea una policy di Principal Access Boundary.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione in cui vuoi creare la policy di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: un ID univoco per il criterio del limite di accesso principale, ad esempio example-policy. :
  • DISPLAY_NAME: (Facoltativo) Una descrizione leggibile della policy di Principal Access Boundary, ad esempio Example policy. Il nome visualizzato può contenere un massimo di 63 caratteri.

  • FILE_PATH: il percorso di un file JSON contenente i dettagli della regola dei criteri per Principal Access Boundary. Questo file deve avere il seguente formato: 

    {
  "description": DESCRIPTION,
  "resources": [
    RESOURCES
  ],
  "effect": ALLOW
}

    Sostituisci i seguenti valori:

    • DESCRIPTION: (Facoltativo) La descrizione della regola dei criteri di Principal Access Boundary. La descrizione può contenere un massimo di 256 caratteri.

    • RESOURCES: un elenco di risorse Resource Manager (progetti, cartelle e organizzazioni) a cui vuoi che le entità abbiano diritto di accesso. Qualsiasi entità soggetta a questo criterio è idonea ad accedere a queste risorse.

      Ogni policy di Principal Access Boundary può fare riferimento a un massimo di 500 risorse in tutte le regole della policy.

  • ENFORCEMENT_VERSION: la versione delle policy di Principal Access Boundary utilizzata da IAM quando applica la policy. La versione di applicazione determina per quali autorizzazioni IAM applica il criterio di Principal Access Boundary.

    I valori accettati sono 1, 2, 3 e latest.

    Per saperne di più sulle versioni dell'applicazione, consulta Versioni dell'applicazione di Principal Access Boundary.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json \
    --details-enforcement-version=ENFORCEMENT_VERSION

Windows (PowerShell)

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json `
    --details-enforcement-version=ENFORCEMENT_VERSION

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json ^
    --details-enforcement-version=ENFORCEMENT_VERSION

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta. Per scoprire come ottenere lo stato di un'operazione a lunga esecuzione, consulta Controllare lo stato di un'operazione a lunga esecuzione in questa pagina. 

Create request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715373988044-6181fa136df85-3b06a30a-4816d25b] to complete...done.
Created principalAccessBoundaryPolicy [example-policy].

REST

Il metodo principalAccessBoundaryPolicies.create crea una policy di Principal Access Boundary.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORG_ID: l'ID dell'organizzazione in cui vuoi creare la policy di Principal Access Boundary. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: un ID univoco per il criterio del limite di accesso principale, ad esempio example-policy.
  • DISPLAY_NAME: (Facoltativo) Una descrizione leggibile della policy di Principal Access Boundary, ad esempio Example policy. Il nome visualizzato può contenere un massimo di 63 caratteri.

  • PAB_RULES: un elenco di regole di Principal Access Boundary, che definiscono le risorse a cui le entità interessate possono accedere. Una policy di Principal Access Boundary può avere fino a 500 regole. Ogni regola ha il seguente formato: 

    {
"description": "DESCRIPTION",
"resources": [
  RESOURCES
],
"effect": ALLOW
}

    Sostituisci i seguenti valori:

    • DESCRIPTION: (Facoltativo) La descrizione della regola dei criteri di Principal Access Boundary. La descrizione può contenere un massimo di 256 caratteri.

    • RESOURCES: un elenco di risorse Resource Manager (progetti, cartelle e organizzazioni) a cui vuoi che le entità abbiano diritto di accesso. Qualsiasi entità soggetta a questo criterio è idonea ad accedere a queste risorse.

      Ogni policy di Principal Access Boundary può fare riferimento a un massimo di 500 risorse in tutte le regole della policy.

  • ENFORCEMENT_VERSION: la versione delle policy di Principal Access Boundary utilizzata da IAM quando applica la policy. La versione di applicazione determina per quali autorizzazioni IAM applica il criterio di Principal Access Boundary.

    I valori accettati sono 1, 2, 3 e latest.

    Per saperne di più sulle versioni dell'applicazione, consulta Versioni dell'applicazione di Principal Access Boundary.

Metodo HTTP e URL: 

POST https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID

Corpo JSON della richiesta: 

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "effect": ALLOW
    }
  ],
  "enforcementVersion": "ENFORCEMENT_VERSION"
}

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta. Per scoprire come ottenere lo stato di un'operazione a lunga esecuzione, consulta Controllare lo stato di un'operazione a lunga esecuzione in questa pagina. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:00.898809495Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Applica una policy di Principal Access Boundary a un set di entità

Per applicare una policy di Principal Access Boundary a un insieme di entità, crea una risorsa di associazione della policy che associa la policy all'insieme di entità. Dopo aver creato un'associazione di policy, la policy di Principal Access Boundary nell'associazione viene applicata alle entità nell'associazione.

Puoi creare un binding dei criteri utilizzando la console Trusted Cloud , gcloud CLI o l'API REST IAM.

Console

  1. Nella console Trusted Cloud , vai alla pagina Policy del limite di accesso principale.

    Vai alle policy di Principal Access Boundary

  2. Seleziona l'organizzazione proprietaria della policy di Principal Access Boundary per cui vuoi creare un'associazione.

  3. Fai clic sull'ID della policy di Principal Access Boundary per cui vuoi creare un'associazione.

  4. Fai clic sulla scheda Associazioni, poi su Aggiungi associazione.

  5. Inserisci i dettagli del collegamento:

    1. (Facoltativo) Nel campo Nome visualizzato, inserisci un nome visualizzato per il binding. Il nome visualizzato può contenere un massimo di 63 caratteri.
    2. Nel campo ID binding, inserisci un nome univoco per il binding, ad esempio example-binding.

    3. Nella sezione Set di entità target, inserisci il tipo e l'ID del set di entità a cui vuoi associare la policy. Non puoi modificare questo valore dopo aver creato l'associazione di criteri.

      Per saperne di più sulle entità incluse in ogni set di entità, consulta Set di entità supportati.

  6. (Facoltativo) Per specificare per quali entità nel set di entità viene applicata la policy di Principal Access Boundary, aggiungi una condizione all'associazione:

    1. Fai clic su Aggiungi condizione.
    2. Nel campo Titolo, inserisci un breve riepilogo dello scopo della condizione.
    3. (Facoltativo) Nel campo Descrizione, inserisci una descrizione più lunga della condizione.
    4. Nel campo Espressione, inserisci l'espressione della condizione che utilizza la sintassi del Common Expression Language (CEL). L'espressione deve fare riferimento agli attributi principal.type o principal.subject. Gli altri attributi non sono supportati.
    5. Fai clic su Salva.

  7. Per creare l'associazione, fai clic su Aggiungi.

gcloud

Il comando gcloud iam policy-bindings create crea un'associazione di policy.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • BINDING_ID: un nome univoco per l'associazione della policy, ad esempio example-binding.

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore project, folder o organization

    Il tipo di risorsa dipende dall'entità impostata nel binding della policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.

  • RESOURCE_ID: L'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • ORG_ID: l'ID dell'organizzazione proprietaria della policy di Principal Access Boundary che vuoi associare al set di entità. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: l'ID della policy di Principal Access Boundary che vuoi associare al set di entità, ad esempio example-pab-policy. Non puoi modificare questo valore dopo aver creato l'associazione di criteri.
  • PRINCIPAL_SET: Il set di entità a cui vuoi associare la policy. Per un elenco dei tipi di entità validi, consulta Set di entità supportati. Non puoi modificare questo valore dopo aver creato l'associazione di policy.
  • DISPLAY_NAME: (Facoltativo) Una descrizione leggibile dell'associazione, ad esempio Example binding. Il nome visualizzato può contenere un massimo di 63 caratteri.

  • CONDITION_DETAILS: (Facoltativo) Un'espressione di condizione che specifica per quali entità nel set di entità viene applicata la policy di Principal Access Boundary. Contiene i seguenti campi:

    • expression: un'espressione di condizione che utilizza la sintassi di Common Expression Language (CEL). L'espressione deve fare riferimento agli attributi principal.type o principal.subject. Gli altri attributi non sono supportati.

      L'espressione può contenere fino a 10 operatori logici (&&, ||, !) e può essere lunga fino a 250 caratteri.

    • title: (Facoltativo) Un breve riepilogo dello scopo della condizione.
    • description: (Facoltativo) Una descrizione più lunga della condizione.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings create BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" \
    --target-principal-set=PRINCIPAL_SET_ID \
    --display-name=DISPLAY_NAME \
    CONDITION_DETAILS

Windows (PowerShell)

gcloud iam policy-bindings create BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" `
    --target-principal-set=PRINCIPAL_SET_ID `
    --display-name=DISPLAY_NAME `
    CONDITION_DETAILS

Windows (cmd.exe)

gcloud iam policy-bindings create BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" ^
    --target-principal-set=PRINCIPAL_SET_ID ^
    --display-name=DISPLAY_NAME ^
    CONDITION_DETAILS

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta. Per scoprire come ottenere lo stato di un'operazione a lunga esecuzione, consulta Controllare lo stato di un'operazione a lunga esecuzione in questa pagina. 

Create request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Created policyBinding [example-binding].

REST

Il metodo policyBindings.create crea un'associazione di policy.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore projects, folders o organizations

    Il tipo di risorsa dipende dall'entità impostata nel binding della policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.

  • RESOURCE_ID: L'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • BINDING_ID: un nome univoco per l'associazione della policy, ad esempio example-binding.
  • DISPLAY_NAME: (Facoltativo) Una descrizione leggibile dell'associazione, ad esempio Example binding. Il nome visualizzato può contenere un massimo di 63 caratteri.
  • PRINCIPAL_SET: Il set di entità a cui vuoi associare la policy. Per un elenco dei tipi di entità validi, consulta Set di entità supportati. Non puoi modificare questo valore dopo aver creato l'associazione di policy.
  • ORG_ID: l'ID dell'organizzazione proprietaria della policy di Principal Access Boundary che vuoi associare al set di entità. Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • PAB_POLICY_ID: l'ID della policy di Principal Access Boundary che vuoi associare al set di entità, ad esempio example-pab-policy. Non puoi modificare questo valore dopo aver creato l'associazione di criteri.

  • CONDITION_DETAILS: (Facoltativo) Un'espressione di condizione che specifica per quali entità nel set di entità viene applicata la policy di Principal Access Boundary. Contiene i seguenti campi:

    • expression: un'espressione di condizione che utilizza la sintassi di Common Expression Language (CEL). L'espressione deve fare riferimento agli attributi principal.type o principal.subject. Gli altri attributi non sono supportati.

      L'espressione può contenere fino a 10 operatori logici (&&, ||, !) e può essere lunga fino a 250 caratteri.

    • title: (Facoltativo) Un breve riepilogo dello scopo della condizione.
    • description: (Facoltativo) Una descrizione più lunga della condizione.

Metodo HTTP e URL: 

POST https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID

Corpo JSON della richiesta: 

{
  "displayName": DISPLAY_NAME,
  "target": {
    "principalSet": PRINCIPAL_SET
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID",
  "condition": {
    CONDITION_DETAILS
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene un'operazione a lunga esecuzione che rappresenta la tua richiesta. Per scoprire come ottenere lo stato di un'operazione a lunga esecuzione, consulta Controllare lo stato di un'operazione a lunga esecuzione in questa pagina. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:00.898809495Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Controllare lo stato di un'operazione a lunga esecuzione

Quando utilizzi l'API REST o le librerie client, qualsiasi metodo che modifica un binding o una policy del confine di accesso dei principal restituisce uoperazione a lunga esecuzionea (LRO). L'operazione a lunga esecuzione monitora lo stato della richiesta e indica se la modifica alla policy o al binding è stata completata.

REST

Il metodo operations.get restituisce lo stato di un'operazione a lunga esecuzione.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • OPERATION_NAME: il nome completo dell'operazione. Riceverai questo nome nella risposta alla tua richiesta originale.

    Il nome dell'operazione ha il seguente formato: 

          RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID

Metodo HTTP e URL: 

GET https://iam.googleapis.com/v3/OPERATION_NAME

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

Se il campo done dell'operazione non è presente, continua a monitorarne lo stato recuperando ripetutamente l'operazione. Utilizza il backoff esponenziale troncato per introdurre un ritardo tra una richiesta e l'altra. Quando il campo done è impostato su true, l'operazione è completata e puoi interrompere la ricezione dell'operazione.

Passaggi successivi