Kebijakan batas akses utama (PAB) memungkinkan Anda membatasi resource yang memenuhi syarat untuk diakses oleh sekumpulan akun utama. Jika Anda tidak ingin lagi kebijakan batas akses akun utama diterapkan untuk set akun utama, Anda dapat menghapus binding kebijakan yang mengikat kebijakan ke set akun utama. Jika ingin menghapus kebijakan batas akses akun utama dari semua set akun utama yang terikat dengannya, Anda dapat menghapus kebijakan tersebut.
Menghapus kebijakan batas akses akun utama dari set akun utama akan memiliki salah satu efek berikut:
- Jika akun utama dalam set akun utama tidak tunduk pada kebijakan batas akses akun utama lainnya, maka akun utama tersebut akan memenuhi syarat untuk mengakses semua resourceTrusted Cloud .
- Jika akun utama dalam set akun utama tunduk pada kebijakan batas akses akun utama lainnya, maka akun utama tersebut hanya akan memenuhi syarat untuk mengakses resource dalam kebijakan tersebut.
Sebelum memulai
Menyiapkan autentikasi.
Select the tab for how you plan to use the samples on this page:
gcloud
Instal Google Cloud CLI, lalu login ke gcloud CLI dengan identitas gabungan Anda. Setelah login, lakukan inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:
gcloud initREST
Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, Anda menggunakan kredensial yang Anda berikan ke gcloud CLI.
Instal Google Cloud CLI, lalu login ke gcloud CLI dengan identitas gabungan Anda. Setelah login, lakukan inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:
gcloud initUntuk mengetahui informasi selengkapnya, lihat Melakukan autentikasi untuk menggunakan REST dalam dokumentasi autentikasi Trusted Cloud .
Peran yang diperlukan untuk menghapus kebijakan batas akses akun utama
Untuk mendapatkan izin yang diperlukan untuk menghapus kebijakan batas akses utama, minta administrator untuk memberi Anda peran IAM Principal Access Boundary Admin (
roles/iam.principalAccessBoundaryAdmin) di organisasi Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.Peran bawaan ini berisi izin
iam.principalaccessboundarypolicies.deleteyang diperlukan untuk menghapus kebijakan batas akses utama.Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Peran yang diperlukan untuk menghapus binding kebijakan batas akses akun utama
Izin yang Anda perlukan untuk menghapus binding kebijakan bagi kebijakan batas akses akun utama bergantung pada set akun utama yang terikat pada kebijakan.
Untuk mendapatkan izin yang diperlukan untuk menghapus binding kebijakan untuk kebijakan batas akses utama, minta administrator Anda untuk memberi Anda peran IAM berikut:
-
Pengguna Batas Akses Akun Utama (
roles/iam.principalAccessBoundaryUser) di organisasi Anda -
Hapus binding kebijakan untuk kebijakan batas akses utama yang terikat ke workforce identity pool:
IAM Workforce Pool Admin (
roles/iam.workforcePoolAdmin) di workforce identity pool target -
Menghapus binding kebijakan untuk kebijakan batas akses utama yang terikat ke workload identity pool:
IAM Workload Identity Pool Admin (
roles/iam.workloadIdentityPoolAdmin) di project yang memiliki target workload identity pool -
Mendapatkan status operasi yang berjalan lama untuk menghapus binding yang mereferensikan workload identity pool:
IAM Operation Viewer (
roles/iam.operationViewer) pada project yang memiliki target workload identity pool -
Menghapus binding kebijakan untuk kebijakan batas akses utama yang terikat ke domain Google Workspace:
Admin IAM Pool Workspace (
roles/iam.workspacePoolAdmin) di organisasi -
Menghapus binding kebijakan untuk kebijakan batas akses entity utama yang terikat ke set entity utama project:
Admin IAM Project (
roles/resourcemanager.projectIamAdmin) pada project -
Mendapatkan status operasi yang berjalan lama untuk menghapus binding yang mereferensikan set entity utama project:
IAM Operation Viewer (
roles/iam.operationViewer) pada project -
Menghapus binding kebijakan untuk kebijakan batas akses akun utama yang terikat ke set akun utama folder:
Admin IAM Folder (
roles/resourcemanager.folderIamAdmin) di folder tersebut -
Menghapus binding kebijakan untuk kebijakan batas akses akun utama yang terikat ke set akun utama organisasi:
Administrator Organisasi (
roles/resourcemanager.organizationAdmin) di organisasi
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk menghapus binding kebijakan untuk kebijakan batas akses utama. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menghapus binding kebijakan untuk kebijakan batas akses utama:
-
iam.principalaccessboundarypolicies.unbinddi organisasi -
Menghapus binding kebijakan untuk kebijakan batas akses utama yang terikat ke workforce identity pool:
iam.workforcePools.deletePolicyBindingdi workforce identity pool target -
Menghapus binding kebijakan untuk kebijakan batas akses utama yang terikat ke workload identity pool:
iam.workloadIdentityPools.deletePolicyBindingdi project yang memiliki target workload identity pool -
Dapatkan status operasi yang berjalan lama untuk menghapus binding yang mereferensikan workload identity pool:
iam.operations.getdi project yang memiliki target workload identity pool -
Hapus binding kebijakan untuk kebijakan batas akses utama yang terikat ke domain Google Workspace:
iam.workspacePools.deletePolicyBindingdi organisasi -
Menghapus binding kebijakan untuk kebijakan batas akses akun utama yang terikat ke set akun utama project:
resourcemanager.projects.deletePolicyBindingpada project tersebut -
Mendapatkan status operasi yang berjalan lama untuk menghapus binding yang mereferensikan set utama project:
iam.operations.getdi project -
Menghapus binding kebijakan untuk kebijakan batas akses utama yang terikat ke set utama folder:
resourcemanager.folders.deletePolicyBindingdi folder -
Menghapus binding kebijakan untuk kebijakan batas akses akun utama yang terikat ke set akun utama organisasi:
resourcemanager.organizations.deletePolicyBindingdi organisasi
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Bersiap untuk menghapus kebijakan batas akses utama
Sebelum menghapus kebijakan batas akses akun utama, tentukan tujuan mana yang ingin Anda capai dari opsi berikut:
- Membuat akun utama dalam set akun utama memenuhi syarat untuk mengakses semua resource
- Mengurangi jumlah resource yang dapat diakses oleh akun utama dalam set akun utama
Bagian berikut menjelaskan langkah-langkah yang harus dilakukan untuk mencapai setiap tujuan ini.
Membuat principal memenuhi syarat untuk mengakses semua resource
Jika Anda ingin membuat akun utama dalam set akun utama memenuhi syarat untuk mengakses semua resource, lakukan hal berikut:
- Mengidentifikasi semua kebijakan batas akses akun utama yang terikat ke set akun utama.
- Hapus semua kebijakan batas akses akun utama yang terikat ke set akun utama dengan menghapus binding kebijakan yang relevan.
Jika akun utama tidak tunduk pada kebijakan batas akses akun utama, maka akun utama tersebut memenuhi syarat untuk mengakses semua Trusted Cloud resource.
Memenuhi syarat untuk mengakses resource tidak berarti pengguna dapat mengakses resource. Untuk mengetahui informasi selengkapnya, lihat Evaluasi kebijakan.
Mengurangi resource yang dapat diakses oleh akun utama
Jika akun utama dalam set akun utama tunduk pada beberapa kebijakan batas akses akun utama, Anda dapat mengurangi jumlah resource yang dapat diakses akun utama dengan menghapus satu atau beberapa kebijakan batas akses akun utama yang berlaku untuknya. Namun, jangan menghapus semua kebijakan batas akses akun utama yang tunduk pada akun utama tersebut kapan pun—jika Anda melakukannya, akun utama tersebut akan memenuhi syarat untuk mengakses semua resource Trusted Cloud .
Untuk menghapus kebijakan batas akses akun utama sambil memastikan bahwa akun utama dalam kumpulan akun utama selalu tunduk pada setidaknya satu kebijakan batas akses akun utama, ikuti langkah-langkah berikut:
- Mengidentifikasi semua kebijakan batas akses akun utama yang terikat ke set akun utama.
Identifikasi kebijakan batas akses akun utama yang hanya berisi resource yang ingin Anda izinkan aksesnya bagi akun utama dalam set akun utama. Ini adalah kebijakan yang tidak akan Anda hapus dari set akun utama.
Jika Anda tidak memiliki kebijakan tersebut, buat kebijakan batas akses utama baru dengan hanya resource yang Anda inginkan agar akun utama memenuhi syarat untuk mengaksesnya. Kemudian, lampirkan kebijakan ke set akun utama.
Identifikasi kebijakan batas akses utama yang berisi resource yang tidak ingin Anda izinkan untuk diakses oleh akun utama dalam set akun utama. Kemudian, hapus kebijakan batas akses akun utama tersebut dengan menghapus binding kebijakan yang relevan.
Jika Anda ingin mengurangi akses untuk akun utama tertentu, tambahkan kondisi ke binding kebijakan, bukan menghapusnya.
Jika Anda ingin mengurangi jumlah resource yang dapat diakses oleh akun utama, tetapi tidak ingin menghapus kebijakan batas akses akun utama, Anda dapat mengubah kebijakan batas akses akun utama yang tunduk pada akun utama tersebut. Untuk mempelajari cara mengubah kebijakan batas akses akun utama, lihat Mengedit kebijakan batas akses akun utama.
Menghapus kebijakan batas akses utama dari set utama
Sebelum menghapus kebijakan batas akses akun utama dari set akun utama, siapkan penghapusan kebijakan terlebih dahulu. Kemudian, hapus kebijakan dengan menghapus binding kebijakan yang mengikat kebijakan ke set akun utama.
Anda dapat menghapus binding kebijakan menggunakan konsol Trusted Cloud , gcloud CLI, atau IAM REST API.
Konsol
Di konsol Trusted Cloud , buka halaman Principal Access Boundary policies.
Pilih organisasi yang memiliki kebijakan batas akses utama yang pengikatannya ingin Anda hapus.
Klik ID kebijakan dari kebijakan batas akses utama yang binding-nya ingin Anda hapus.
Klik tab Bindings.
Temukan ID binding yang ingin Anda hapus. Di baris binding tersebut, klik Tindakan, lalu klik Hapus binding.
Pada dialog konfirmasi, klik Delete.
gcloud
Perintah
gcloud iam policy-bindings deletemenghapus binding kebijakan.Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
BINDING_ID: ID binding kebijakan yang ingin Anda hapus—misalnya,example-binding. -
RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari binding kebijakan. Gunakan nilaiproject,folder, atauorganizationJenis resource bergantung pada prinsipal yang ditetapkan dalam pengikatan kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.
RESOURCE_ID: ID project, folder, atau organisasi yang menjadi induk binding kebijakan. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud iam policy-bindings delete BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (PowerShell)
gcloud iam policy-bindings delete BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (cmd.exe)
gcloud iam policy-bindings delete BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global
Respons berisi operasi yang berjalan lama yang mewakili permintaan Anda. Untuk mempelajari cara mendapatkan status operasi yang berjalan lama, lihat Memeriksa status operasi yang berjalan lama di halaman ini.
Delete request issued for: [example-binding] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done. Deleted policyBinding [example-binding].
REST
Metode
policyBindings.deletemenghapus binding kebijakan.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: Jenis resource Resource Manager (project, folder, atau organisasi) yang merupakan induk dari binding kebijakan. Gunakan nilaiprojects,folders, atauorganizationsJenis resource bergantung pada prinsipal yang ditetapkan dalam pengikatan kebijakan. Untuk melihat jenis resource yang akan digunakan, lihat Jenis utama yang didukung.
RESOURCE_ID: ID project, folder, atau organisasi yang menjadi induk binding kebijakan. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.-
BINDING_ID: ID binding kebijakan yang ingin Anda hapus—misalnya,example-binding.
Metode HTTP dan URL:
DELETE https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi operasi yang berjalan lama yang mewakili permintaan Anda. Untuk mempelajari cara mendapatkan status operasi yang berjalan lama, lihat Memeriksa status operasi yang berjalan lama di halaman ini.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-binding", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3" }, "done": false }Menghapus kebijakan batas akses utama
Sebelum menghapus kebijakan batas akses akun utama, sebaiknya Anda mengidentifikasi dan menghapus semua binding kebijakan batas akses akun utama yang mereferensikan kebijakan batas akses akun utama.
Jika Anda menghapus kebijakan batas akses utama dengan binding kebijakan yang ada, binding tersebut pada akhirnya akan dihapus. Namun, hingga dihapus, pengikatan kebijakan masih dihitung terhadap batas 10 pengikatan yang dapat merujuk ke satu set akun utama.
Anda dapat menghapus kebijakan batas akses utama menggunakan konsol Trusted Cloud , gcloud CLI, atau IAM REST API.
Konsol
Di konsol Trusted Cloud , buka halaman Principal Access Boundary policies.
Pilih organisasi yang memiliki kebijakan batas akses utama yang pengikatannya ingin Anda hapus.
Temukan ID kebijakan yang ingin Anda hapus. Di baris kebijakan tersebut, klik Tindakan, lalu klik Hapus kebijakan.
Pada dialog konfirmasi, konfirmasi bahwa Anda ingin menghapus kebijakan:
- Untuk menghapus kebijakan hanya jika kebijakan tidak memiliki binding yang terkait dengannya, klik Hapus.
- Untuk menghapus kebijakan dan semua binding terkait, pilih kotak centang Hapus kebijakan secara paksa, lalu klik Hapus.
gcloud
Perintah
gcloud iam gcloud iam principal-access-boundary-policies deletemenghapus kebijakan batas akses akun utama dan semua binding terkait.Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
PAB_POLICY_ID: ID kebijakan batas akses utama yang ingin Anda hapus—misalnya,example-policy. ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti123456789012.FORCE_FLAG: Opsional. Untuk memaksa perintah menghapus kebijakan, meskipun kebijakan tersebut dirujuk dalam binding kebijakan yang ada, gunakan flag--force. Jika tanda ini tidak disetel dan kebijakan dirujuk dalam binding kebijakan yang ada, perintah akan gagal.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID \ --organization=ORG_ID --location=global FORCE_FLAG
Windows (PowerShell)
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ` --organization=ORG_ID --location=global FORCE_FLAG
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ^ --organization=ORG_ID --location=global FORCE_FLAG
Respons berisi operasi yang berjalan lama yang mewakili permintaan Anda. Untuk mempelajari cara mendapatkan status operasi yang berjalan lama, lihat Memeriksa status operasi yang berjalan lama di halaman ini.
Delete request issued for: [example-policy] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete... Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done. Deleted principalAccessBoundaryPolicy [example-policy].
REST
Metode
principalAccessBoundaryPolicies.deletemenghapus kebijakan batas akses akun utama dan semua pengikatan yang terkait.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
ORG_ID: ID organisasi yang memiliki kebijakan batas akses utama. ID organisasi berupa angka, seperti123456789012.-
PAB_POLICY_ID: ID kebijakan batas akses utama yang ingin Anda hapus—misalnya,example-policy. -
FORCE_DELETE: Opsional. Untuk memaksa permintaan menghapus kebijakan, meskipun kebijakan dirujuk dalam binding kebijakan yang ada, tambahkan parameter kueriforce=true. Jika parameter kueri ini tidak disetel dan kebijakan dirujuk dalam binding kebijakan yang ada, permintaan akan gagal.
Metode HTTP dan URL:
DELETE https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi operasi yang berjalan lama yang mewakili permintaan Anda. Untuk mempelajari cara mendapatkan status operasi yang berjalan lama, lihat Memeriksa status operasi yang berjalan lama di halaman ini.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-policy", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3" }, "done": false }Memeriksa status operasi yang berjalan lama
Saat Anda menggunakan REST API atau library klien, metode apa pun yang mengubah kebijakan atau binding batas akses utama akan menampilkan operasi yang berjalan lama (LRO). Operasi yang berjalan lama akan melacak status permintaan dan menunjukkan apakah perubahan pada kebijakan atau binding sudah selesai.
REST
Metode
operations.getmenampilkan status operasi yang berjalan lama.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
OPERATION_NAME: Nama lengkap operasi. Anda menerima nama ini sebagai respons atas permintaan asli Anda.Nama operasi memiliki format berikut:
RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID
Metode HTTP dan URL:
GET https://iam.googleapis.com/v3/OPERATION_NAME
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-11-28T00:05:12.006289686Z", "endTime": "2024-11-28T00:05:12.192141801Z", "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy", "verb": "create", "requestedCancellation": false, "apiVersion": "v3" }, "done": true, "response": { PAB_POLICY } }Jika kolom
doneoperasi tidak ada, terus pantau statusnya dengan mendapatkan operasi tersebut berulang kali. Gunakan backoff eksponensial terpotong untuk menambahkan penundaan di antara setiap permintaan. Saat kolomdoneditetapkan ketrue, operasi akan selesai, dan Anda dapat berhenti mendapatkan operasi tersebut.Langkah berikutnya
- Membuat dan menerapkan kebijakan batas akses utama
- Melihat kebijakan batas akses utama
- Mengedit kebijakan batas akses prinsipal
Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2025-08-21 UTC.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Informasi yang saya butuhkan tidak ada","missingTheInformationINeed","thumb-down"],["Terlalu rumit/langkahnya terlalu banyak","tooComplicatedTooManySteps","thumb-down"],["Sudah usang","outOfDate","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Masalah kode / contoh","samplesCodeIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-08-21 UTC."],[[["\u003cp\u003ePrincipal access boundary (PAB) policies can be deleted to remove access restrictions for principals, either by deleting the policy itself or by deleting the policy binding that links the policy to a principal set.\u003c/p\u003e\n"],["\u003cp\u003eRemoving all PAB policies from a principal set grants those principals access to all Google Cloud resources, while removing some but not all will restrict them to resources defined in the remaining policies.\u003c/p\u003e\n"],["\u003cp\u003eTo delete a PAB policy binding, specific IAM roles are required, varying depending on the type of principal set involved, such as workforce identity pools, workload identity pools, or project/folder/organization principal sets.\u003c/p\u003e\n"],["\u003cp\u003eDeleting a PAB policy can be done with or without deleting all bindings, however, deleting the policy with bindings can still have them count against their limit until they are eventually fully deleted.\u003c/p\u003e\n"],["\u003cp\u003eThe deletion of policies or bindings can be done through the Google Cloud console, gcloud CLI, or the REST API, with each having its own required steps and parameters.\u003c/p\u003e\n"]]],[],null,[]]