Principal Access Boundary-Richtlinien bearbeiten

Mit PAB-Richtlinien (Principal Access Boundary) können Sie die Ressourcen einschränken, auf die eine Gruppe von Hauptkonten zugreifen darf. Auf dieser Seite wird beschrieben, wie Sie vorhandene Principal Access Boundary-Richtlinien und Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, um zu ändern, für wen die Richtlinien gelten.

Hinweise

Rollen, die zum Bearbeiten von Principal Access Boundary-Richtlinien erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Admin (roles/iam.principalAccessBoundaryAdmin) für Ihre Organisation zu gewähren, um die Berechtigung zur Bearbeitung von Principal Access Boundary-Richtlinien zu erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung iam.principalaccessboundarypolicies.update, die zum Bearbeiten von Principal Access Boundary-Richtlinien erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien erforderlich sind

Die Berechtigungen, die Sie zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien benötigen, hängen von der Hauptkontogruppe ab, an die die Richtlinie gebunden ist.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien benötigen:

  • Principal Access Boundary User (roles/iam.principalAccessBoundaryUser) für Ihre Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an Mitarbeiteridentitätspools gebunden sind: IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) für den Ziel-Mitarbeiteridentitätspool
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an Workload Identity-Pools gebunden sind: IAM Workload Identity-Pool-Administrator (roles/iam.workloadIdentityPoolAdmin) für das Projekt, zu dem der Ziel-Workload Identity-Pool gehört
  • Status eines lang andauernden Vorgangs zum Bearbeiten einer Bindung abrufen, die auf einen Workload Identity-Pool verweist: IAM Operation Viewer (roles/iam.operationViewer) für das Projekt, zu dem der Ziel-Workload Identity-Pool gehört
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an eine Google Workspace-Domain gebunden sind: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) für die Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptkontensatz eines Projekts gebunden sind: Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt
  • Status eines lange laufenden Vorgangs zum Bearbeiten einer Bindung abrufen, die auf den Hauptkontensatz eines Projekts verweist: IAM Operation Viewer (roles/iam.operationViewer) für das Projekt
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptkontosatz eines Ordners gebunden sind: Folder IAM Admin (roles/resourcemanager.folderIamAdmin) für den Ordner
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptkontosatz einer Organisation gebunden sind: Organization Administrator (roles/resourcemanager.organizationAdmin) für die Organisation

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Bearbeiten von Richtlinienbindungen für Principal Access Boundary-Richtlinien erforderlich:

  • iam.principalaccessboundarypolicies.bind für die Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an Mitarbeiteridentitätspools gebunden sind: iam.workforcePools.updatePolicyBinding für den Ziel-Mitarbeiteridentitätspool
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an Workload Identity-Pools gebunden sind: iam.workloadIdentityPools.updatePolicyBinding im Projekt, zu dem der Ziel-Workload Identity-Pool gehört
  • Status eines lang andauernden Vorgangs zum Bearbeiten einer Bindung abrufen, die auf einen Workload Identity-Pool verweist: iam.operations.get im Projekt, zu dem der Ziel-Workload Identity-Pool gehört
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an eine Google Workspace-Domain gebunden sind: iam.workspacePools.updatePolicyBinding für die Organisation
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptkontosatz eines Projekts gebunden sind: resourcemanager.projects.updatePolicyBinding für das Projekt
  • Status eines lange laufenden Vorgangs zum Bearbeiten einer Bindung abrufen, die auf den Hauptkontosatz eines Projekts verweist: iam.operations.get für das Projekt
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an die Hauptkontogruppe eines Ordners gebunden sind: resourcemanager.folders.updatePolicyBinding für den Ordner
  • Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten, die an den Hauptkontosatz einer Organisation gebunden sind: resourcemanager.organizations.updatePolicyBinding für die Organisation

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Vorhandene Principal Access Boundary-Richtlinie bearbeiten

Wenn Sie einer Principal Access Boundary-Richtlinie Regeln hinzufügen, Regeln aus einer Principal Access Boundary-Richtlinie entfernen oder die Metadaten einer Principal Access Boundary-Richtlinie ändern möchten, bearbeiten Sie die Principal Access Boundary-Richtlinie.

Sie können eine Principal Access Boundary-Richtlinie mit der Cloud de Confiance Console, der gcloud CLI oder der IAM REST API bearbeiten.

Konsole

  1. Rufen Sie in der Cloud de Confiance Console die Seite Principal Access Boundary-Richtlinien auf.

    Zu Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, die Sie bearbeiten möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, die Sie bearbeiten möchten.

  4. Klicken Sie auf Richtlinie bearbeiten.

  5. So bearbeiten Sie die Regeln der Richtlinie:

    1. Klicken Sie auf die Regel, die Sie bearbeiten möchten.
    2. Bearbeiten Sie die Beschreibung der Regel oder die in der Regel enthaltenen Ressourcen.
    3. Klicken Sie auf Fertig.

  6. Wenn Sie eine Regel aus der Richtlinie löschen möchten, klicken Sie in der Zeile der Regel auf  Löschen.

  7. Wenn Sie den Anzeigenamen der Richtlinie bearbeiten möchten, bearbeiten Sie das Feld Anzeigename.

  8. Wenn Sie die Durchsetzungsversion der Richtlinie bearbeiten möchten, klicken Sie auf die Liste Durchsetzungsversion und wählen Sie einen neuen Wert aus.

  9. Optional: Wenn Sie Ihre Änderungen an der Principal Access Boundary-Richtlinie mit dem Policy Simulator testen möchten, klicken Sie auf Änderungen testen. Prüfen Sie die Simulationsergebnisse und aktualisieren Sie die Richtlinie bei Bedarf.

    Weitere Informationen zum Testen von Principal Access Boundary-Richtlinien mit dem Richtliniensimulator finden Sie unter Richtliniensimulator für Principal Access Boundary-Richtlinien.

  10. Klicken Sie auf Speichern.

gcloud

Mit dem Befehl gcloud iam principal-access-boundary-policies update wird eine vorhandene Principal Access Boundary-Richtlinie aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie aktualisieren möchten, z. B. example-policy.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.

  • FIELD_TO_UPDATE=UPDATED_VALUE: Die Felder, die Sie aktualisieren möchten, und der entsprechende aktualisierte Wert.

    Im Folgenden finden Sie Beispiele für Flags, mit denen Sie die Felder in der Richtlinie aktualisieren können:

    • --display-name=DISPLAY_NAME: Ersetzen Sie den Anzeigenamen der Richtlinie durch DISPLAY_NAME.
    • --details-enforcement-version=ENFORCEMENT_VERSION: Aktualisieren Sie die Durchsetzungsversion der Richtlinie auf ENFORCEMENT_VERSION.

    • --details-rules=RULES_FILE.json: Ersetzen Sie die Regeln der Principal Access Boundary-Richtlinie durch die Regeln in RULES_FILE.json. Informationen zum Formatieren der Regelfile finden Sie unter Principal Access Boundary-Richtlinie erstellen.

      Wenn Sie dieses Flag verwenden, können Sie das Flag --add-details-rules nicht verwenden.

    • --add-details-rules=RULES_FILE: Hängen Sie die Regeln in RULES_FILE.json an die vorhandenen Regeln der Richtlinie an. Informationen zum Formatieren der Regelfile finden Sie unter Principal Access Boundary-Richtlinie erstellen.

      Wenn Sie dieses Flag verwenden, können Sie das Flag --details-rules nicht verwenden.

    • --remove-details-rules=RULES_FILE: Entfernen Sie die Regeln in RULES_FILE.json aus den vorhandenen Regeln der Richtlinie. Informationen zum Formatieren der Regelfile finden Sie unter Principal Access Boundary-Richtlinie erstellen. Es werden nur Regeln entfernt, die genau mit einer der Regeln in RULES_FILE.json übereinstimmen.

      Wenn Sie dieses Flag verwenden, können Sie das Flag --clear-rule-details nicht verwenden.

    • --clear-details-rules: Alle Regeln aus der Principal Access Boundary-Richtlinie löschen.

      Wenn Sie dieses Flag verwenden, können Sie das Flag --remove-rule-details nicht verwenden.

    Eine vollständige Liste der Flags, die Sie zum Aktualisieren einer Principal Access Boundary-Richtlinie verwenden können, finden Sie in der Referenz zum Befehl gcloud iam principal-access-boundary-policies update.

  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Nach Abschluss des Vorgangs wird in der Antwort die aktualisierte Principal Access Boundary-Richtlinie ausgegeben. 

Request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374208720-6181fae5e2034-2d8a712b-5c92e5b9] to complete...done.
Updated principalAccessBoundaryPolicy [example-policy].
{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Updated display name",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-10T20:50:09.200421Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

REST

Mit der Methode principalAccessBoundaryPolicies.patch wird eine vorhandene Principal Access Boundary-Richtlinie aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie aktualisieren möchten, z. B. example-policy.

  • FIELDS_TO_UPDATE: Eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Wenn Sie die zu aktualisierenden Felder nicht angeben, ersetzt IAM die vorhandene Richtlinie durch den Inhalt des Anfragetexts.

    Zulässige Werte sind displayName, details, details.rules, details.rules.description, details.rules.resources, details.rules.effect und details.enforcementVersion.

  • DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Principal Access Boundary-Richtlinie, z. B. Example policy. Der Anzeigename darf maximal 63 Zeichen lang sein.

  • PAB_RULES: Liste der Principal Access Boundary-Regeln, die die Ressourcen definieren, auf die die betroffenen Hauptkonten zugreifen dürfen. Eine Principal Access Boundary-Richtlinie kann bis zu 500 Regeln enthalten. Jede Regel hat das folgende Format: 

    {
"description": "DESCRIPTION",
"resources": [
  RESOURCES
],
"effect": ALLOW
}

    Ersetzen Sie die folgenden Werte:

    • DESCRIPTION: Optional. Die Beschreibung der Regel für die Principal Access Boundary-Richtlinie. Die Beschreibung darf maximal 256 Zeichen lang sein.

    • RESOURCES: Eine Liste der Resource Manager-Ressourcen (Projekte, Ordner und Organisationen), auf die Hauptkonten zugreifen dürfen sollen. Alle Hauptkonten, die dieser Richtlinie unterliegen, dürfen auf diese Ressourcen zugreifen.

      In jeder Principal Access Boundary-Richtlinie können in allen Regeln der Richtlinie maximal 500 Ressourcen referenziert werden.

  • ENFORCEMENT_VERSION: Die Version der Principal Access Boundary-Richtlinie, die von IAM bei der Durchsetzung der Richtlinie verwendet wird. Die Erzwingungsversion bestimmt, für welche Berechtigungen IAM die Principal Access Boundary-Richtlinie erzwingt.

    Zulässige Werte sind 1, 2, 3 und latest.

    Weitere Informationen zu Erzwingungsversionen finden Sie unter Versionen der Principal Access Boundary-Durchsetzung.

HTTP-Methode und URL:

PATCH https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?updateMask=FIELDS_TO_UPDATE

JSON-Text anfordern:

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "enforcementVersion": "ENFORCEMENT_VERSION",
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Informationen zum Abrufen des Status eines Vorgangs mit langer Ausführungszeit finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715626721931-6185a7953ef76-76f80ee4-19cd1bf7",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-13T18:58:43.721277235Z",
    "target": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Ändern, für wen eine Principal Access Boundary-Richtlinie erzwungen wird

Nachdem Sie eine Richtlinienbindung für eine Principal Access Boundary-Richtlinie erstellt haben, können Sie die Richtlinien-ID oder das in der Bindung festgelegte Hauptkonto nicht mehr ändern. Wenn Sie ändern möchten, für wen eine Principal Access Boundary-Richtlinie erzwungen wird, müssen Sie daher eine der folgenden Aktionen ausführen:

  • Wenn Sie den Satz Hauptkonten eingrenzen möchten, für die eine Principal Access Boundary-Richtlinie erzwungen wird, können Sie die Bedingungen in der Richtlinienbindung ändern. Wenn Sie die Bedingungen in einer Bindung ändern möchten, bearbeiten Sie die Richtlinienbindung.
  • Wenn Sie die Principal Access Boundary-Richtlinie für einen zusätzlichen Hauptkontosatz erzwingen möchten, erstellen Sie eine neue Richtlinienbindung, die die Richtlinie an diesen Hauptkontosatz bindet.
  • Wenn Sie eine Principal Access Boundary-Richtlinie aus einem Hauptkontosatz entfernen möchten, löschen Sie die Richtlinienbindung, die die Richtlinie an den Hauptkontosatz bindet.

Vorhandene Richtlinienbindungen für Principal Access Boundary-Richtlinien bearbeiten

Nachdem Sie eine Richtlinienbindung erstellt haben, können Sie sie bearbeiten, um die Bedingungen oder den Anzeigenamen der Bindung zu ändern.

Sie können eine Richtlinienbindung mit der Cloud de Confiance Console, der gcloud CLI oder der IAM REST API bearbeiten.

Konsole

  1. Rufen Sie in der Cloud de Confiance Console die Seite Principal Access Boundary-Richtlinien auf.

    Zu Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, die Sie bearbeiten möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, deren Bindungen Sie bearbeiten möchten.

  4. Klicken Sie auf den Tab Bindings.

  5. Suchen Sie die ID der Bindung, die Sie bearbeiten möchten. Klicken Sie in der Zeile dieser Bindung auf  Aktionen und dann auf Bindung bearbeiten.

  6. Wenn Sie den Anzeigenamen der Bindung aktualisieren möchten, bearbeiten Sie das Feld Anzeigename.

  7. So fügen Sie der Bindung eine Bedingung hinzu:

    1. Klicken Sie auf Bedingung hinzufügen.
    2. Geben Sie im Feld Titel eine kurze Zusammenfassung des Zwecks der Bedingung ein.
    3. Optional: Geben Sie im Feld Beschreibung eine längere Beschreibung der Bedingung ein.
    4. Geben Sie im Feld Ausdruck einen Bedingungsausdruck mit der Common Expression Language (CEL)-Syntax ein. Der Ausdruck muss auf die Attribute principal.type oder principal.subject verweisen. Andere Attribute werden nicht unterstützt.
    5. Klicken Sie auf Speichern.

  8. So aktualisieren Sie eine vorhandene Bedingung:

    1. Klicken Sie neben dem Namen der Bedingung auf  Bedingung bearbeiten.
    2. Aktualisieren Sie den Titel, die Beschreibung oder den Ausdruck der Bedingung.
    3. Klicken Sie auf Speichern.

  9. Optional: Wenn Sie die Änderungen an der Principal Access Boundary-Richtlinienbindung mit dem Policy Simulator testen möchten, klicken Sie auf Änderungen testen. Prüfen Sie die Simulationsergebnisse und aktualisieren Sie die Richtlinienbindung bei Bedarf.

    Weitere Informationen zum Testen von Principal Access Boundary-Richtlinien mit dem Richtliniensimulator finden Sie unter Richtliniensimulator für Principal Access Boundary-Richtlinien.

  10. Um die Änderungen zu speichern, klicken Sie auf Speichern.

gcloud

Mit dem Befehl gcloud iam policy-bindings update wird eine vorhandene Richtlinienbindung aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • BINDING_ID: Die ID der Richtlinienbindung, die Sie aktualisieren möchten, z. B. example-binding.

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Richtlinienbindung untergeordnet ist. Verwenden Sie den Wert project, folder oder organization

    Der Ressourcentyp hängt vom Hauptkonto ab, das in der Richtlinienbindung festgelegt ist. Informationen dazu, welcher Ressourcentyp verwendet werden muss, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Richtlinienbindung untergeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

  • FIELD_TO_UPDATE=UPDATED_VALUE: Die Felder, die Sie aktualisieren möchten, und der entsprechende aktualisierte Wert.

    Im Folgenden finden Sie Beispiele für Flags, mit denen Sie die Felder in einer Richtlinienbindung aktualisieren können:

    • --display-name=DISPLAY_NAME: Ersetzen Sie den Anzeigenamen der Bindung durch DISPLAY_NAME.
    • --condition-description=CONDITION_DESCRIPTION: Wenn die Bindung eine Bedingung hat, ersetzen Sie die Beschreibung der Bedingung durch CONDITION_DESCRIPTION. Fügen Sie andernfalls der Bindung eine neue Bedingung mit der angegebenen Beschreibung hinzu. Wenn Sie dieses Flag verwenden, um ein Binding zu aktualisieren, für das keine Bedingung festgelegt ist, müssen Sie auch das Flag --condition-expression festlegen.
    • --condition-expression=CONDITION_EXPRESSION: Wenn die Bindung eine Bedingung hat, ersetzen Sie den Ausdruck der Bedingung durch CONDITION_EXPRESSION. Fügen Sie andernfalls der Bindung eine neue Bedingung mit dem angegebenen Ausdruck hinzu.
    • --condition-title=CONDITION_TITLE: Wenn die Bindung eine Bedingung hat, ersetzen Sie den Titel der Bedingung durch CONDITION_TITLE. Andernfalls fügen Sie der Bindung mit dem angegebenen Titel eine neue Bedingung hinzu. Wenn Sie dieses Flag verwenden, um eine Bindung ohne Bedingung zu aktualisieren, müssen Sie auch das Flag --condition-expression festlegen.

    Eine vollständige Liste der Felder, die Sie aktualisieren können, finden Sie in der gcloud iam policy-bindings update-Befehlsreferenz.

  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud iam policy-bindings update BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings update BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings update BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Informationen zum Abrufen des Status eines Vorgangs mit langer Ausführungszeit finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen. 

Update request issued for: [my-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Updated policyBinding [my-binding].
{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Updated display name",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:11:16.798841Z"
}

REST

Mit der Methode policyBindings.patch wird eine vorhandene Richtlinienbindung aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Richtlinienbindung untergeordnet ist. Verwenden Sie den Wert projects, folders oder organizations

    Der Ressourcentyp hängt vom Hauptkonto ab, das in der Richtlinienbindung festgelegt ist. Informationen dazu, welcher Ressourcentyp verwendet werden muss, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Richtlinienbindung untergeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • BINDING_ID: Die ID der Richtlinienbindung, die Sie aktualisieren möchten, z. B. example-binding.

  • FIELDS_TO_UPDATE: Eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Wenn Sie die zu aktualisierenden Felder nicht angeben, ersetzt IAM die vorhandene Bindung durch den Inhalt des Anfragetexts.

    Zulässige Werte sind displayName, condition, condition.expression, condition.title und condition.description.

  • DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Bindung, z. B. Example binding. Der Anzeigename darf maximal 63 Zeichen lang sein.

  • CONDITION_DETAILS: Optional. Ein Bedingungsausdruck, der angibt, für welche Hauptkonten in der Hauptkontogruppe die Principal Access Boundary-Richtlinie erzwungen wird. Enthält die folgenden Felder:

    • expression: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss auf die Attribute principal.type oder principal.subject verweisen. Andere Attribute werden nicht unterstützt.

      Der Ausdruck kann bis zu 10 logische Operatoren (&&, ||, !) enthalten und bis zu 250 Zeichen lang sein.

    • title: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung.
    • description: Optional. Eine längere Beschreibung der Bedingung.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID?updateMask=FIELDS_TO_UPDATE

JSON-Text anfordern:

{
  "displayName": DISPLAY_NAME,
  "condition": {
    CONDITION_DETAILS
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Informationen zum Abrufen des Status eines Vorgangs mit langer Ausführungszeit finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373159010-6181f6fcccfa7-dcd0055c-00c22cad",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:39.254910121Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Status eines Vorgangs mit langer Ausführungszeit prüfen

Wenn Sie die REST API oder die Clientbibliotheken verwenden, gibt jede Methode, die eine Richtlinie oder Bindung für die Zugriffsgrenze von Identitäten ändert, einen Vorgang mit langer Ausführungszeit zurück. Der Vorgang mit langer Ausführungszeit verfolgt den Status der Anfrage und gibt an, ob die Änderung der Richtlinie oder Bindung abgeschlossen ist.

REST

Die Methode operations.get gibt den Status eines Vorgang mit langer Ausführungszeit zurück.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • OPERATION_NAME: Der vollständige Name des Vorgangs. Sie erhalten diesen Namen in der Antwort auf Ihre ursprüngliche Anfrage.

    Der Vorgangsname hat das folgende Format: 

          RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3/OPERATION_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

Wenn das Feld done des Vorgangs nicht vorhanden ist, überwachen Sie seinen Status, indem Sie den Vorgang wiederholt abrufen. Verwenden Sie den abgeschnittenen exponentiellen Backoff, um zwischen jeder Anfrage eine Verzögerung einzuführen. Wenn das Feld done auf true gesetzt ist, ist der Vorgang abgeschlossen und Sie können den Vorgang beenden.

Nächste Schritte