Las políticas de límites de acceso de principales (PAB) te permiten limitar los recursos a los que puede acceder un conjunto de principales. Si ya no quieres que se aplique una política de límites de acceso de principales a un conjunto de principales, puedes eliminar la vinculación de la política que vincula la política al conjunto de principales. Si quieres quitar una política de límite de acceso de principal de todos los conjuntos de principales a los que esté vinculada, puedes eliminarla.
Si quitas una política de límites de acceso de principales de un conjunto de principales, ocurrirá una de las siguientes situaciones:
- Si las entidades de seguridad del conjunto de entidades de seguridad no están sujetas a ninguna otra política de límite de acceso de la entidad de seguridad, podrán acceder a todos los recursos deTrusted Cloud .
- Si las entidades principales del conjunto de entidades principales están sujetas a otras políticas de límite de acceso de entidades principales, solo podrán acceder a los recursos de esas políticas.
Antes de empezar
Configura la autenticación.
Select the tab for how you plan to use the samples on this page:
gcloud
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initREST
Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initPara obtener más información, consulta el artículo Autenticación para usar REST de la documentación sobre autenticación de Trusted Cloud .
Consulta la descripción general de las políticas de límites de acceso de principales.
Roles necesarios para eliminar políticas de límites de acceso de principales
Para obtener el permiso que necesitas para eliminar políticas de límites de acceso de principales, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de límites de acceso de principales (
roles/iam.principalAccessBoundaryAdmin) en tu organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.Este rol predefinido contiene el permiso
iam.principalaccessboundarypolicies.delete, que es necesario para eliminar políticas de límites de acceso de principales.También puedes obtener este permiso con roles personalizados u otros roles predefinidos.
Roles necesarios para eliminar enlaces de políticas de límites de acceso de principales
Los permisos que necesitas para eliminar las vinculaciones de políticas de límites de acceso de principales dependen del conjunto de principales vinculado a la política.
Para obtener los permisos que necesitas para eliminar las vinculaciones de políticas de las políticas de límites de acceso de principales, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:
-
Usuario de límite de acceso principal (
roles/iam.principalAccessBoundaryUser) en tu organización -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a grupos de identidades de Workforce:
Administrador de grupos de Workforce de IAM (
roles/iam.workforcePoolAdmin) en el grupo de identidades de Workforce de destino -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a grupos de identidades de carga de trabajo:
Administrador de grupos de Workload Identity de IAM (
roles/iam.workloadIdentityPoolAdmin) en el proyecto propietario del grupo de identidades de carga de trabajo de destino. -
Obtén el estado de una operación de larga duración para eliminar un enlace que haga referencia a un grupo de identidades de carga de trabajo:
Visor de operaciones de IAM (
roles/iam.operationViewer) en el proyecto propietario del grupo de identidades de carga de trabajo de destino -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a un dominio de Google Workspace:
Administrador de IAM de la colección de Workspace (
roles/iam.workspacePoolAdmin) en la organización -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de un proyecto:
Administrador de gestión de identidades y accesos de proyecto (
roles/resourcemanager.projectIamAdmin) en el proyecto -
Obtén el estado de una operación de larga duración para eliminar una vinculación que haga referencia al conjunto de principales de un proyecto:
Visor de operaciones de gestión de identidades y accesos (
roles/iam.operationViewer) en el proyecto -
Eliminar las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de una carpeta:
Administrador de gestión de identidades y accesos de la carpeta (
roles/resourcemanager.folderIamAdmin) en la carpeta -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de una organización:
Administrador de la organización (
roles/resourcemanager.organizationAdmin) en la organización
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para eliminar las vinculaciones de políticas de las políticas de límites de acceso de principales. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Se necesitan los siguientes permisos para eliminar las vinculaciones de políticas de las políticas de límites de acceso de principales:
-
iam.principalaccessboundarypolicies.unbindde la organización -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a grupos de identidades de Workforce:
iam.workforcePools.deletePolicyBindingen el grupo de identidades de Workforce de destino -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a grupos de identidades de carga de trabajo:
iam.workloadIdentityPools.deletePolicyBindingen el proyecto propietario del grupo de identidades de carga de trabajo de destino -
Obtén el estado de una operación de larga duración para eliminar un enlace que haga referencia a un grupo de identidades de carga de trabajo:
iam.operations.geten el proyecto propietario del grupo de identidades de carga de trabajo de destino -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas a un dominio de Google Workspace:
iam.workspacePools.deletePolicyBindingen la organización -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de un proyecto:
resourcemanager.projects.deletePolicyBindingen el proyecto -
Obtiene el estado de una operación de larga duración para eliminar una vinculación que hace referencia al conjunto de principales de un proyecto:
iam.operations.geten el proyecto -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de una carpeta:
resourcemanager.folders.deletePolicyBindingen la carpeta -
Elimina las vinculaciones de políticas de las políticas de límites de acceso de principales vinculadas al conjunto de principales de una organización:
resourcemanager.organizations.deletePolicyBindingen la organización
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Preparar la eliminación de una política de límites de acceso de principales
Antes de quitar una política de límites de acceso de principales, decide cuál de los siguientes objetivos quieres conseguir:
- Hacer que las entidades de un conjunto de entidades puedan acceder a todos los recursos
- Reduce el número de recursos a los que pueden acceder las entidades principales de un conjunto de entidades principales
En las siguientes secciones se describen los pasos que debes seguir para alcanzar cada uno de estos objetivos.
Hacer que las entidades puedan acceder a todos los recursos
Si quieres que las entidades de un conjunto de entidades puedan acceder a todos los recursos, haz lo siguiente:
- Identifica todas las políticas de límites de acceso de principales vinculadas al conjunto de principales.
- Elimina todas las políticas de límites de acceso de principales vinculadas al principal eliminando las vinculaciones de políticas correspondientes.
Si un principal no está sujeto a ninguna política de límites de acceso de principales, podrá acceder a todos los recursos de Trusted Cloud .
Tener derecho a acceder a un recurso no significa necesariamente que un usuario pueda acceder a él. Para obtener más información, consulta la sección Evaluación de políticas.
Reducir los recursos a los que pueden acceder las entidades principales
Si las entidades principales de un conjunto de entidades principales están sujetas a varias políticas de límite de acceso de entidades principales, puedes reducir el número de recursos a los que pueden acceder las entidades principales quitando una o varias de las políticas de límite de acceso de entidades principales a las que están sujetas. Sin embargo, no elimines en ningún momento todas las políticas de límite de acceso de principales a las que estén sujetos los principales. Si lo haces, los principales podrán acceder a todos los recursos de Trusted Cloud .
Para quitar una política de límites de acceso de principales y asegurarse de que los principales de un conjunto de principales siempre estén sujetos a al menos una política de límites de acceso de principales, siga estos pasos:
- Identifica todas las políticas de límites de acceso de principales vinculadas al conjunto de principales.
Identifica las políticas de límites de acceso de principales que contengan solo los recursos a los que quieras que puedan acceder los principales del conjunto de principales. Estas son las políticas que no eliminará del conjunto principal.
Si no tienes ninguna política de este tipo, crea una política de límite de acceso de principales con solo los recursos a los que quieras que puedan acceder los principales. A continuación, asocia la política al conjunto de principales.
Identifica las políticas de límite de acceso de la entidad principal que contengan recursos a los que no quieras que puedan acceder las entidades principales del conjunto de entidades principales. A continuación, elimina esas políticas de límite de acceso de principales suprimiendo la vinculación de la política correspondiente.
Si quieres reducir el acceso de determinados principales, añade una condición al enlace de la política en lugar de eliminarlo.
Si quieres reducir el número de recursos a los que puede acceder un principal, pero no quieres quitar ninguna política de límite de acceso de principal, puedes modificar las políticas de límite de acceso de principal a las que está sujeto el principal. Para obtener información sobre cómo modificar las políticas de límites de acceso de principales, consulta Editar políticas de límites de acceso de principales.
Probar la eliminación de una política o una vinculación de límites de acceso de principales
Antes de eliminar una política o una vinculación de límites de acceso de un principal, te recomendamos que pruebes cómo podría afectar el cambio al acceso de tus principales. Puedes usar el simulador de políticas para simular una eliminación y ayudarte a entender el posible impacto que tendría.
Para probar una eliminación, consulta los siguientes procedimientos en la documentación de Policy Intelligence:
- Simular la eliminación de reglas de límite de acceso de principales
- Simular la eliminación de una política de límites de acceso de principales
- Simular la eliminación de una vinculación de una política de límites de acceso de principales
Para obtener más información sobre cómo probar las políticas de límites de acceso de principales con el simulador de políticas, consulte el artículo Simulador de políticas para políticas de límites de acceso de principales.
Quitar una política de límites de acceso de principales de un conjunto de principales
Antes de quitar una política de límite de acceso de un conjunto de principales, primero prepara la eliminación de la política. A continuación, elimina la política suprimiendo el enlace de la política que la vincula al conjunto de principales.
Puedes eliminar una vinculación de política mediante la Trusted Cloud consola, la CLI de gcloud o la API REST de gestión de identidades y accesos.
Consola
En la Trusted Cloud consola, ve a la página Políticas de límite de acceso de principales.
Selecciona la organización propietaria de la política de límite de acceso principal cuyo enlace quieras eliminar.
Haga clic en el ID de la política de límites de acceso de principales cuyas vinculaciones quiera eliminar.
Haz clic en la pestaña Enlaces.
Busca el ID del enlace que quieras eliminar. En la fila de esa vinculación, haz clic en Acciones y, a continuación, en Eliminar vinculación.
En el cuadro de diálogo de confirmación, haz clic en Eliminar.
gcloud
El comando
gcloud iam policy-bindings deleteelimina un enlace de política.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
BINDING_ID: el ID de la vinculación de la política que quieres eliminar (por ejemplo,example-binding). -
RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valorproject,folderoorganization.El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.
RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud iam policy-bindings delete BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (PowerShell)
gcloud iam policy-bindings delete BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (cmd.exe)
gcloud iam policy-bindings delete BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global
La respuesta contiene una operación de larga duración que representa tu solicitud. Para saber cómo obtener el estado de una operación de larga duración, consulta Comprobar el estado de una operación de larga duración en esta página.
Delete request issued for: [example-binding] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done. Deleted policyBinding [example-binding].
REST
El método
policyBindings.deleteelimina un enlace de política.Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valorprojects,foldersoorganizations.El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.
RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.-
BINDING_ID: el ID de la vinculación de la política que quieres eliminar (por ejemplo,example-binding).
Método HTTP y URL:
DELETE https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
Para enviar tu solicitud, despliega una de estas opciones:
La respuesta contiene una operación de larga duración que representa tu solicitud. Para saber cómo obtener el estado de una operación de larga duración, consulta Comprobar el estado de una operación de larga duración en esta página.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-binding", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3" }, "done": false }Eliminar una política de límites de acceso de principales
Antes de eliminar una política de límites de acceso de principales, te recomendamos que identifiques y elimines todos los enlaces de políticas de límites de acceso de principales que hagan referencia a la política de límites de acceso de principales.
Si eliminas una política de límites de acceso de principales que tiene enlaces de políticas, esos enlaces se eliminarán con el tiempo. Sin embargo, hasta que se eliminen, los enlaces de políticas seguirán contando para el límite de 10 enlaces que pueden hacer referencia a un único conjunto de principales.
Puedes eliminar una política de límite de acceso de un principal mediante la consola de Trusted Cloud , la CLI de gcloud o la API REST de gestión de identidades y accesos.
Consola
En la Trusted Cloud consola, ve a la página Políticas de límite de acceso de principales.
Selecciona la organización propietaria de la política de límite de acceso principal cuyo enlace quieras eliminar.
Busca el ID de la política que quieras eliminar. En la fila de esa política, haz clic en Acciones y, a continuación, en Eliminar política.
En el cuadro de diálogo de confirmación, confirma que quieres eliminar la política:
- Para eliminar la política solo si no tiene ninguna vinculación asociada, haz clic en Eliminar.
- Para eliminar la política y todos los enlaces asociados, selecciona la casilla Eliminar política por la fuerza y, a continuación, haz clic en Eliminar.
gcloud
El comando
gcloud iam gcloud iam principal-access-boundary-policies deleteelimina una política de límites de acceso de principales y todos los enlaces asociados.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
PAB_POLICY_ID: el ID de la política de límite de acceso principal que quieras eliminar. Por ejemplo,example-policy. ORG_ID: ID de la organización propietaria de la política de límites de acceso de principales. Los IDs de organización son numéricos, como123456789012.FORCE_FLAG: Opcional. Para forzar la eliminación de una política, aunque se haga referencia a ella en enlaces de políticas, usa la marca--force. Si no se define esta marca y se hace referencia a la política en enlaces de políticas, el comando fallará.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID \ --organization=ORG_ID --location=global FORCE_FLAG
Windows (PowerShell)
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ` --organization=ORG_ID --location=global FORCE_FLAG
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ^ --organization=ORG_ID --location=global FORCE_FLAG
La respuesta contiene una operación de larga duración que representa tu solicitud. Para saber cómo obtener el estado de una operación de larga duración, consulta Comprobar el estado de una operación de larga duración en esta página.
Delete request issued for: [example-policy] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete... Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done. Deleted principalAccessBoundaryPolicy [example-policy].
REST
El método
principalAccessBoundaryPolicies.deleteelimina una política de límites de acceso de principales y todas las vinculaciones asociadas.Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
ORG_ID: ID de la organización propietaria de la política de límites de acceso de principales. Los IDs de organización son numéricos, como123456789012.-
PAB_POLICY_ID: el ID de la política de límite de acceso principal que quieras eliminar. Por ejemplo,example-policy. -
FORCE_DELETE: opcional. Para forzar la eliminación de la política, aunque se haga referencia a ella en enlaces de políticas, añade el parámetro de consultaforce=true. Si no se define este parámetro de consulta y se hace referencia a la política en enlaces de políticas ya existentes, la solicitud fallará.
Método HTTP y URL:
DELETE https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE
Para enviar tu solicitud, despliega una de estas opciones:
La respuesta contiene una operación de larga duración que representa tu solicitud. Para saber cómo obtener el estado de una operación de larga duración, consulta Comprobar el estado de una operación de larga duración en esta página.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-policy", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3" }, "done": false }Comprobar el estado de una operación de larga duración
Cuando usas la API REST o las bibliotecas de cliente, cualquier método que cambie una política o una vinculación de límite de acceso principal devuelve una operación de larga duración (OLD). La operación de larga duración monitoriza el estado de la solicitud e indica si se ha completado el cambio en la política o la vinculación.
REST
El método
operations.getdevuelve el estado de una operación de larga duración.Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
OPERATION_NAME: nombre completo de la operación. Recibirás este nombre en la respuesta a tu solicitud original.El nombre de la operación tiene el siguiente formato:
RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID
Método HTTP y URL:
GET https://iam.googleapis.com/v3/OPERATION_NAME
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{ "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-11-28T00:05:12.006289686Z", "endTime": "2024-11-28T00:05:12.192141801Z", "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy", "verb": "create", "requestedCancellation": false, "apiVersion": "v3" }, "done": true, "response": { PAB_POLICY } }Si el campo
donede la operación no está presente, sigue monitorizando su estado obteniendo la operación repetidamente. Usa un tiempo de espera exponencial truncado para introducir un retraso entre cada solicitud. Cuando el campodonese define comotrue, la operación se completa y puedes dejar de obtener la operación.Siguientes pasos
- Crear y aplicar políticas de límites de acceso de principales
- Ver las políticas de límites de acceso de principales
- Editar políticas de límites de acceso de principales
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-08-20 (UTC).
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Me falta la información que necesito","missingTheInformationINeed","thumb-down"],["Es demasiado complicado o hay demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Está obsoleto","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema de muestras o código","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-20 (UTC)."],[[["\u003cp\u003ePrincipal access boundary (PAB) policies can be deleted to remove access restrictions for principals, either by deleting the policy itself or by deleting the policy binding that links the policy to a principal set.\u003c/p\u003e\n"],["\u003cp\u003eRemoving all PAB policies from a principal set grants those principals access to all Google Cloud resources, while removing some but not all will restrict them to resources defined in the remaining policies.\u003c/p\u003e\n"],["\u003cp\u003eTo delete a PAB policy binding, specific IAM roles are required, varying depending on the type of principal set involved, such as workforce identity pools, workload identity pools, or project/folder/organization principal sets.\u003c/p\u003e\n"],["\u003cp\u003eDeleting a PAB policy can be done with or without deleting all bindings, however, deleting the policy with bindings can still have them count against their limit until they are eventually fully deleted.\u003c/p\u003e\n"],["\u003cp\u003eThe deletion of policies or bindings can be done through the Google Cloud console, gcloud CLI, or the REST API, with each having its own required steps and parameters.\u003c/p\u003e\n"]]],[],null,[]]