Edite as políticas de limite de acesso principal

As políticas de limite de acesso principal (PAB) permitem limitar os recursos aos quais um conjunto de principais é elegível para aceder. Esta página explica como editar as políticas de limite de acesso principal existentes e como editar as associações de políticas para as políticas de limite de acesso principal de modo a alterar a quem as políticas se aplicam.

Antes de começar

Funções necessárias para editar políticas de limite de acesso principal

Para receber a autorização de que precisa para editar políticas de limites de acesso principais, peça ao seu administrador para lhe conceder a função do IAM Administrador de limites de acesso principais (roles/iam.principalAccessBoundaryAdmin) na sua organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém a autorização iam.principalaccessboundarypolicies.update , que é necessária para editar políticas de limites de acesso principais.

Também pode receber esta autorização com funções personalizadas ou outras funções predefinidas.

Funções necessárias para editar associações de políticas de limites de acesso de entidades

As autorizações de que precisa para editar associações de políticas para políticas de limites de acesso de entidades dependem do conjunto de entidades associado à política.

Para receber as autorizações de que precisa para editar associações de políticas para políticas de limites de acesso principais, peça ao seu administrador que lhe conceda as seguintes funções do IAM:

  • Limite de acesso principal Utilizador (roles/iam.principalAccessBoundaryUser) na sua organização
  • Edite as associações de políticas para políticas de limite de acesso principal associadas a grupos do Workforce Identity: Administrador do grupo do Workforce da IAM (roles/iam.workforcePoolAdmin) no grupo do Workforce Identity de destino
  • Edite as associações de políticas para políticas de limite de acesso principal associadas a Workload Identity Pools: Administrador do Workload Identity Pool da IAM (roles/iam.workloadIdentityPoolAdmin) no projeto proprietário do Workload Identity Pool de destino
  • Obtenha o estado de uma operação de longa duração para editar uma associação que faça referência a um Workload Identity Pool: Visualizador de operações da IAM (roles/iam.operationViewer) no projeto proprietário do Workload Identity Pool de destino
  • Edite as associações de políticas para políticas de limite de acesso principal associadas a um domínio do Google Workspace: Administrador de IAM do conjunto do Workspace (roles/iam.workspacePoolAdmin) na organização
  • Edite as associações de políticas para as políticas de limite de acesso principal associadas ao conjunto de principais de um projeto: Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto
  • Obtenha o estado de uma operação de longa duração para editar uma associação que faça referência ao conjunto de principais de um projeto: Visualizador de operações da IAM (roles/iam.operationViewer) no projeto
  • Edite as associações de políticas para as políticas de limite de acesso principal associadas ao conjunto principal de uma pasta: Administrador da IAM da pasta (roles/resourcemanager.folderIamAdmin) na pasta
  • Edite as associações de políticas para políticas de limite de acesso principal associadas ao conjunto principal de uma organização: Administrador da organização (roles/resourcemanager.organizationAdmin) na organização

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para editar associações de políticas para políticas de limite de acesso principal. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

As seguintes autorizações são necessárias para editar associações de políticas para políticas de limites de acesso principais:

  • iam.principalaccessboundarypolicies.bind na organização
  • Edite as associações de políticas para políticas de limite de acesso principal associadas a Workload Identity Pools: iam.workforcePools.updatePolicyBinding no Workload Identity Pool de destino
  • Edite as associações de políticas para políticas de limites de acesso principais associadas a Workload Identity Pools: iam.workloadIdentityPools.updatePolicyBinding no projeto proprietário do Workload Identity Pool de destino
  • Obtenha o estado de uma operação de longa duração para editar uma associação que faça referência a um Workload Identity Pool: iam.operations.get no projeto que detém o Workload Identity Pool de destino
  • Edite as associações de políticas para políticas de limite de acesso principal associadas a um domínio do Google Workspace: iam.workspacePools.updatePolicyBinding na organização
  • Edite as associações de políticas para políticas de limite de acesso principal associadas ao conjunto de principais de um projeto: resourcemanager.projects.updatePolicyBinding no projeto
  • Obtenha o estado de uma operação de longa duração para editar uma associação que faça referência ao conjunto de principais de um projeto: iam.operations.get no projeto
  • Edite as associações de políticas para políticas de limite de acesso principal associadas ao conjunto de principais de uma pasta: resourcemanager.folders.updatePolicyBinding na pasta
  • Edite as associações de políticas para políticas de limite de acesso principal associadas ao conjunto de principais de uma organização: resourcemanager.organizations.updatePolicyBinding na organização

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Edite uma política de limite de acesso principal existente

Se quiser adicionar regras a uma política de limite de acesso principal, remover regras de uma política de limite de acesso principal ou modificar os metadados de uma política de limite de acesso principal, edite a política de limite de acesso principal.

Pode editar uma política de limite de acesso principal através da Trusted Cloud consola, da CLI gcloud ou da API REST do IAM.

Consola

  1. Na Trusted Cloud consola, aceda à página Políticas de limites de acesso principal.

    Aceda às políticas de limite de acesso principal

  2. Selecione a organização proprietária da política de limite de acesso principal que quer editar.

  3. Clique no ID da política da política de limite de acesso principal que quer editar.

  4. Clique em Editar política.

  5. Para editar as regras da política, faça o seguinte:

    1. Clique na regra que quer editar.
    2. Editar a descrição da regra ou os recursos incluídos na regra.
    3. Clique em Concluído.

  6. Para eliminar uma regra da política, clique em Eliminar na linha dessa regra.

  7. Para editar o nome a apresentar da política, edite o campo Nome a apresentar.

  8. Para editar a versão de aplicação da política, clique na lista Versão de aplicação e escolha um novo valor.

  9. Opcional: para testar as alterações à política de limite de acesso principal com o Simulador de políticas, clique em Testar alterações. Reveja os resultados da simulação e, se necessário, atualize a política.

    Para saber como testar políticas de limites de acesso de entidades principais com o Simulador de políticas, consulte o artigo Simulador de políticas para políticas de limites de acesso de entidades principais.

  10. Clique em Guardar.

gcloud

O comando gcloud iam principal-access-boundary-policies update atualiza uma política de limite de acesso principal existente.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • PAB_POLICY_ID: o ID da política de limite de acesso principal que quer atualizar, por exemplo, example-policy.
  • ORG_ID: o ID da organização proprietária da política de limite de acesso principal. Os IDs das organizações são numéricos, como 123456789012.

  • FIELD_TO_UPDATE=UPDATED_VALUE: os campos que quer atualizar e o valor atualizado correspondente.

    Seguem-se exemplos de flags que pode usar para atualizar os campos na política:

    • --display-name=DISPLAY_NAME: substitua o nome a apresentar da política por DISPLAY_NAME.
    • --details-enforcement-version=ENFORCEMENT_VERSION: atualize a versão de aplicação da política para ENFORCEMENT_VERSION.

    • --details-rules=RULES_FILE.json: substitui as regras da política de limite de acesso principal pelas regras em RULES_FILE.json. Para saber como formatar o ficheiro de regras, consulte o artigo Crie uma política de limite de acesso principal.

      Se usar esta flag, não pode usar a flag --add-details-rules.

    • --add-details-rules=RULES_FILE: Anexar as regras em RULES_FILE.json às regras existentes da política. Para saber como formatar o ficheiro de regras, consulte o artigo Crie uma política de limite de acesso principal.

      Se usar esta flag, não pode usar a flag --details-rules.

    • --remove-details-rules=RULES_FILE: remova as regras em RULES_FILE.json das regras existentes da política. Para saber como formatar o ficheiro de regras, consulte o artigo Crie uma política de limite de acesso principal. Apenas as regras que correspondem exatamente a uma das regras em RULES_FILE.json são removidas.

      Se usar esta flag, não pode usar a flag --clear-rule-details.

    • --clear-details-rules: limpar todas as regras da política de limite de acesso principal.

      Se usar esta flag, não pode usar a flag --remove-rule-details.

    Para ver uma lista completa das flags que pode usar para atualizar uma política de limite de acesso principal, consulte a referência de comandos.gcloud iam principal-access-boundary-policies update

  • FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies update PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

A resposta contém uma operação de longa duração que representa o seu pedido. Após a conclusão da operação, a resposta imprime a política de limite de acesso principal atualizada. 

Request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374208720-6181fae5e2034-2d8a712b-5c92e5b9] to complete...done.
Updated principalAccessBoundaryPolicy [example-policy].
{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Updated display name",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-10T20:50:09.200421Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

REST

O método principalAccessBoundaryPolicies.patch atualiza uma política de limite de acesso principal existente.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • ORG_ID: o ID da organização proprietária da política de limite de acesso principal. Os IDs das organizações são numéricos, como 123456789012.
  • PAB_POLICY_ID: o ID da política de limite de acesso principal que quer atualizar, por exemplo, example-policy.

  • FIELDS_TO_UPDATE: uma lista separada por vírgulas dos campos que quer atualizar. Se não especificar os campos a atualizar, o IAM substitui a política existente pelo conteúdo do corpo do pedido.

    Os valores aceites são displayName, details, details.rules, details.rules.description, details.rules.resources, details.rules.effect e details.enforcementVersion.

  • DISPLAY_NAME: opcional. Uma descrição legível por humanos da política de limite de acesso principal, por exemplo, Example policy. O nome a apresentar pode ter um máximo de 63 carateres.

  • PAB_RULES: Uma lista de regras de limite de acesso principal, que definem os recursos aos quais os principais afetados são elegíveis para aceder. Uma política de limite de acesso principal pode ter até 500 regras. Cada regra tem o seguinte formato: 

    {
"description": "DESCRIPTION",
"resources": [
  RESOURCES
],
"effect": ALLOW
}

    Substitua os seguintes valores:

    • DESCRIPTION: opcional. A descrição da regra da política de limite de acesso principal. A descrição pode ter um máximo de 256 carateres.

    • RESOURCES: Uma lista de recursos do Resource Manager (projetos, pastas e organizações) aos quais quer que os principais sejam elegíveis para aceder. Qualquer principal sujeito a esta política é elegível para aceder a estes recursos.

      Cada política de limite de acesso principal pode fazer referência a um máximo de 500 recursos em todas as regras na política.

  • ENFORCEMENT_VERSION: a versão das políticas de limite de acesso principal que o IAM usa quando aplica a política. A versão de aplicação determina as autorizações que o IAM aplica à política de limite de acesso principal.

    Os valores aceites são 1, 2, 3 e latest.

    Para mais informações sobre as versões de aplicação, consulte o artigo Versões de aplicação do limite de acesso principal.

Método HTTP e URL: 

PATCH https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?updateMask=FIELDS_TO_UPDATE

Corpo JSON do pedido: 

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "enforcementVersion": "ENFORCEMENT_VERSION",
  }
}

Para enviar o seu pedido, expanda uma destas opções:

A resposta contém uma operação de longa duração que representa o seu pedido. Para saber como obter o estado de uma operação de longa duração, consulte a secção Verifique o estado de uma operação de longa duração nesta página. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715626721931-6185a7953ef76-76f80ee4-19cd1bf7",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-13T18:58:43.721277235Z",
    "target": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Altere para quem é aplicada uma política de limite de acesso principal

Depois de criar uma associação de políticas para uma política de limite de acesso principal, não pode alterar o ID da política nem o conjunto de principais na associação. Como resultado, se quiser alterar os utilizadores para os quais uma política de limite de acesso principal é aplicada, tem de fazer uma das seguintes ações:

  • Para refinar o conjunto de entidades para as quais uma política de limite de acesso principal é aplicada, pode modificar as condições na associação de políticas. Para modificar as condições numa associação, edite a associação de políticas.
  • Para aplicar a política de limite de acesso principal a um conjunto de principais adicional, crie uma nova associação de políticas que associe a política a esse conjunto de principais.
  • Para remover uma política de limite de acesso principal de um conjunto de principais, elimine a associação de políticas que associa a política ao conjunto de principais.

Edite associações de políticas existentes para políticas de limite de acesso principal

Depois de criar uma associação de políticas, pode editar a associação para modificar as condições na associação ou o nome a apresentar da associação.

Pode editar uma associação de políticas através da Trusted Cloud consola, da CLI gcloud ou da API REST do IAM.

Consola

  1. Na Trusted Cloud consola, aceda à página Políticas de limites de acesso principal.

    Aceda às políticas de limite de acesso principal

  2. Selecione a organização proprietária da política de limite de acesso principal que quer editar.

  3. Clique no ID da política do limite de acesso principal cujas associações quer editar.

  4. Clique no separador Associações.

  5. Encontre o ID da associação que quer editar. Na linha dessa associação, clique em Ações e, de seguida, clique em Editar associação.

  6. Para atualizar o nome a apresentar da associação, edite o campo Nome a apresentar.

  7. Para adicionar uma condição à associação, faça o seguinte:

    1. Clique em Adicionar condição.
    2. No campo Título, introduza um breve resumo da finalidade da condição.
    3. Opcional: no campo Descrição, introduza uma descrição mais longa da condição.
    4. No campo Expressão, introduza a expressão de condição que usa a sintaxe do Idioma de expressão comum (IEC). A expressão tem de fazer referência aos atributos principal.type ou principal.subject. Outros atributos não são suportados.
    5. Clique em Guardar.

  8. Para atualizar uma condição existente, faça o seguinte:

    1. Clique em Editar condição junto ao nome da condição.
    2. Atualize o título, a descrição ou a expressão da condição.
    3. Clique em Guardar.

  9. Opcional: para testar as alterações à associação da política de limite de acesso principal com o Simulador de políticas, clique em Testar alterações. Reveja os resultados da simulação e, se necessário, atualize a associação de políticas.

    Para saber como testar políticas de limites de acesso de entidades principais com o Simulador de políticas, consulte o artigo Simulador de políticas para políticas de limites de acesso de entidades principais.

  10. Para guardar as alterações, clique em Guardar.

gcloud

O comando gcloud iam policy-bindings update atualiza uma associação de políticas existente.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • BINDING_ID: o ID da associação de políticas que quer atualizar, por exemplo, example-binding.

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a associação de políticas é filho. Use o valor project, folder ou organization

    O tipo de recurso depende do principal definido na associação de políticas. Para ver que tipo de recurso usar, consulte os tipos de principais compatíveis.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a associação de políticas é filha. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

  • FIELD_TO_UPDATE=UPDATED_VALUE: os campos que quer atualizar e o valor atualizado correspondente.

    Seguem-se exemplos de flags que pode usar para atualizar os campos numa associação de políticas:

    • --display-name=DISPLAY_NAME: substitua o nome a apresentar da associação por DISPLAY_NAME.
    • --condition-description=CONDITION_DESCRIPTION: se a associação tiver uma condição, substitua a descrição da condição por CONDITION_DESCRIPTION. Caso contrário, adicione uma nova condição à associação com a descrição especificada. Se usar esta flag para atualizar uma associação que não tenha uma condição, também tem de definir a flag --condition-expression.
    • --condition-expression=CONDITION_EXPRESSION: se a associação tiver uma condição, substitua a expressão da condição por CONDITION_EXPRESSION. Caso contrário, adicione uma nova condição à associação com a expressão especificada.
    • --condition-title=CONDITION_TITLE: se a associação tiver uma condição, substitua o título da condição por CONDITION_TITLE. Caso contrário, adicione uma nova condição à associação com o título especificado. Se usar esta flag para atualizar uma associação que não tenha uma condição, também tem de definir a flag --condition-expression.

    Para ver uma lista completa dos campos que pode atualizar, consulte a referência do comando gcloud iam policy-bindings update.

  • FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam policy-bindings update BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --FIELD_TO_UPDATE=UPDATED_VALUE \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings update BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --FIELD_TO_UPDATE=UPDATED_VALUE `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings update BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --FIELD_TO_UPDATE=UPDATED_VALUE ^
    --format=FORMAT

A resposta contém uma operação de longa duração que representa o seu pedido. Para saber como obter o estado de uma operação de longa duração, consulte a secção Verifique o estado de uma operação de longa duração nesta página. 

Update request issued for: [my-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Updated policyBinding [my-binding].
{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Updated display name",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:11:16.798841Z"
}

REST

O método policyBindings.patch atualiza uma associação de políticas existente.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a associação de políticas é filho. Use o valor projects, folders ou organizations

    O tipo de recurso depende do principal definido na associação de políticas. Para ver que tipo de recurso usar, consulte os tipos de principais compatíveis.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a associação de políticas é filha. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • BINDING_ID: o ID da associação de políticas que quer atualizar, por exemplo, example-binding.

  • FIELDS_TO_UPDATE: uma lista separada por vírgulas dos campos que quer atualizar. Se não especificar os campos a atualizar, o IAM substitui a associação existente pelo conteúdo do corpo do pedido.

    Os valores aceites são displayName, condition, condition.expression, condition.title e condition.description.

  • DISPLAY_NAME: opcional. Uma descrição legível da associação, por exemplo, Example binding. O nome a apresentar pode ter um máximo de 63 carateres.

  • CONDITION_DETAILS: opcional. Uma expressão de condição que especifica para que responsáveis no conjunto de responsáveis a política de limite de acesso de responsáveis é aplicada. Contém os seguintes campos:

    • expression: uma expressão de condição que usa a sintaxe do Idioma de expressão comum (IEC). A expressão tem de fazer referência aos atributos principal.type ou principal.subject. Outros atributos não são suportados.

      A expressão pode conter até 10 operadores lógicos (&&, ||, !) e ter um comprimento máximo de 250 carateres.

    • title: opcional. Um breve resumo da finalidade da condição.
    • description: opcional. Uma descrição mais longa da condição.

Método HTTP e URL: 

POST https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID?updateMask=FIELDS_TO_UPDATE

Corpo JSON do pedido: 

{
  "displayName": DISPLAY_NAME,
  "condition": {
    CONDITION_DETAILS
  }
}

Para enviar o seu pedido, expanda uma destas opções:

A resposta contém uma operação de longa duração que representa o seu pedido. Para saber como obter o estado de uma operação de longa duração, consulte a secção Verifique o estado de uma operação de longa duração nesta página. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373159010-6181f6fcccfa7-dcd0055c-00c22cad",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:39.254910121Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Verifique o estado de uma operação de longa duração

Quando usa a API REST ou as bibliotecas cliente, qualquer método que altere uma política ou uma associação de limites de acesso principais devolve uma operação de longa duração (LRO). A operação de longa duração monitoriza o estado do pedido e indica se a alteração à política ou à associação está concluída.

REST

O método operations.get devolve o estado de uma operação de longa duração.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • OPERATION_NAME: o nome completo da operação. Recebe este nome na resposta ao seu pedido original.

    O nome da operação tem o seguinte formato: 

          RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID

Método HTTP e URL: 

GET https://iam.googleapis.com/v3/OPERATION_NAME

Para enviar o seu pedido, expanda uma destas opções:

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

Se o campo done da operação não estiver presente, continue a monitorizar o respetivo estado através da obtenção repetida da operação. Use a retirada exponencial truncada para introduzir um atraso entre cada pedido. Quando o campo done está definido como true, a operação está concluída e pode parar de receber a operação.

O que se segue?