As políticas de limite de acesso principal (PAB) permitem limitar os recursos aos quais um conjunto de principais é elegível para aceder. Se já não quiser que uma política de limite de acesso principal seja aplicada a um conjunto de principais, pode eliminar a associação de políticas que associa a política ao conjunto de principais. Se quiser remover uma política de limite de acesso principal de todos os conjuntos de principais aos quais está associada, pode eliminar a política.
A remoção de uma política de limite de acesso principal de um conjunto de principais tem um dos seguintes efeitos:
- Se os principais no conjunto de principais não estiverem sujeitos a outras políticas de limite de acesso principal, são elegíveis para aceder a todos osTrusted Cloud recursos.
- Se os diretores no conjunto de diretores estiverem sujeitos a outras políticas de limite de acesso de diretores, só serão elegíveis para aceder aos recursos nessas políticas.
Antes de começar
Configurar autenticação.
Select the tab for how you plan to use the samples on this page:
gcloud
Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:
gcloud initREST
Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.
Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:
gcloud initPara mais informações, consulte o artigo Autenticar para usar REST na Trusted Cloud documentação de autenticação.
Leia a vista geral das políticas de limite de acesso principal.
Funções necessárias para eliminar políticas de limite de acesso principal
Para receber a autorização de que precisa para eliminar políticas de limites de acesso principais, peça ao seu administrador para lhe conceder a função do IAM Administrador de limites de acesso principais (
roles/iam.principalAccessBoundaryAdmin) na sua organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.Esta função predefinida contém a autorização
iam.principalaccessboundarypolicies.delete, que é necessária para eliminar políticas de limite de acesso principal.Também pode receber esta autorização com funções personalizadas ou outras funções predefinidas.
Funções necessárias para eliminar associações de políticas de limites de acesso principais
As autorizações de que precisa para eliminar associações de políticas de limites de acesso principais dependem do conjunto principal associado à política.
Para receber as autorizações de que precisa para eliminar associações de políticas para políticas de limites de acesso principais, peça ao seu administrador para lhe conceder as seguintes funções do IAM:
-
Limite de acesso principal Utilizador (
roles/iam.principalAccessBoundaryUser) na sua organização -
Elimine as associações de políticas para políticas de limite de acesso principal associadas a Workforce Identity Pools:
Administrador do Workforce Pool da IAM (
roles/iam.workforcePoolAdmin) no Workforce Identity Pool de destino -
Elimine as associações de políticas para políticas de limite de acesso principal associadas a Workload Identity Pools:
Administrador do Workload Identity Pool da IAM (
roles/iam.workloadIdentityPoolAdmin) no projeto proprietário do Workload Identity Pool de destino -
Obtenha o estado de uma operação de longa duração para eliminar uma associação que faça referência a um Workload Identity Pool:
Visualizador de operações da IAM (
roles/iam.operationViewer) no projeto proprietário do Workload Identity Pool de destino -
Elimine as associações de políticas para políticas de limite de acesso principal associadas a um domínio do Google Workspace:
Administrador de IAM do conjunto do Workspace (
roles/iam.workspacePoolAdmin) na organização -
Elimine as associações de políticas para as políticas de limite de acesso principal associadas ao conjunto de principais de um projeto:
Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin) no projeto -
Obtenha o estado de uma operação de longa duração para eliminar uma associação que faça referência ao conjunto de principais de um projeto:
Visualizador de operações do IAM (
roles/iam.operationViewer) no projeto -
Elimine as associações de políticas para as políticas de limite de acesso principal associadas a um conjunto de principais de uma pasta:
Administrador IAM da pasta (
roles/resourcemanager.folderIamAdmin) na pasta -
Elimine as associações de políticas para as políticas de limite de acesso principal associadas a um conjunto de principais de uma organização:
Administrador da organização (
roles/resourcemanager.organizationAdmin) na organização
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Estas funções predefinidas contêm as autorizações necessárias para eliminar associações de políticas para políticas de limite de acesso principal. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
As seguintes autorizações são necessárias para eliminar associações de políticas para políticas de limites de acesso principais:
-
iam.principalaccessboundarypolicies.unbindna organização -
Elimine as associações de políticas para as políticas de limite de acesso principal associadas a Workload Identity Pools:
iam.workforcePools.deletePolicyBindingno Workload Identity Pool de destino -
Elimine as associações de políticas para políticas de limite de acesso principal associadas a Workload Identity Pools:
iam.workloadIdentityPools.deletePolicyBindingno projeto proprietário do Workload Identity Pool de destino -
Obtenha o estado de uma operação de longa duração para eliminar uma associação que faz referência a um Workload Identity Pool:
iam.operations.getno projeto que é proprietário do Workload Identity Pool de destino -
Elimine as associações de políticas para políticas de limite de acesso principal associadas a um domínio do Google Workspace:
iam.workspacePools.deletePolicyBindingna organização -
Elimine as associações de políticas para as políticas de limite de acesso principal associadas ao conjunto de principais de um projeto:
resourcemanager.projects.deletePolicyBindingno projeto -
Obtenha o estado de uma operação de longa duração para eliminar uma associação que faça referência ao conjunto de principais de um projeto:
iam.operations.getno projeto -
Elimine as associações de políticas para as políticas de limite de acesso principal associadas ao conjunto de principais de uma pasta:
resourcemanager.folders.deletePolicyBindingna pasta -
Elimine as associações de políticas para as políticas de limite de acesso principal associadas ao conjunto de principais de uma organização:
resourcemanager.organizations.deletePolicyBindingna organização
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Prepare-se para remover uma política de limite de acesso principal
Antes de remover uma política de limite de acesso principal, decida que dos seguintes objetivos quer alcançar:
- Tornar os principais num conjunto de principais elegíveis para aceder a todos os recursos
- Reduza o número de recursos aos quais os diretores num conjunto de diretores são elegíveis para aceder
As secções seguintes descrevem os passos a seguir para alcançar cada um destes objetivos.
Tornar os principais elegíveis para aceder a todos os recursos
Se quiser tornar os principais num conjunto de principais elegíveis para aceder a todos os recursos, faça o seguinte:
- Identifique todas as políticas de limite de acesso principal associadas ao conjunto principal.
- Remova todas as políticas de limite de acesso principal associadas ao principal definido através da eliminação das associações de políticas relevantes.
Se um principal não estiver sujeito a nenhuma política de limite de acesso principal, o principal é elegível para aceder a todos os recursos do Trusted Cloud .
Ser elegível para aceder a um recurso não significa necessariamente que um utilizador consiga aceder a um recurso. Para mais informações, consulte a avaliação de políticas.
Reduza os recursos aos quais os diretores são elegíveis para aceder
Se os principais num conjunto de principais estiverem sujeitos a várias políticas de limite de acesso principal, pode reduzir o número de recursos aos quais os principais são elegíveis para aceder removendo uma ou mais das políticas de limite de acesso principal às quais estão sujeitos. No entanto, não remova, em nenhum momento, todas as políticas de limite de acesso principal às quais os principais estão sujeitos. Se o fizer, os principais vão ser elegíveis para aceder a todos os recursos Trusted Cloud .
Para remover uma política de limite de acesso principal e garantir que os principais num conjunto de principais estão sempre sujeitos a, pelo menos, uma política de limite de acesso principal, siga estes passos:
- Identifique todas as políticas de limite de acesso principal associadas ao conjunto principal.
Identifique as políticas de limite de acesso principal que contêm apenas recursos que quer que os principais no conjunto de principais sejam elegíveis para aceder. Estas são as políticas que não vai remover do conjunto principal.
Se não tiver nenhuma dessas políticas, crie uma nova política de limite de acesso principal com apenas os recursos aos quais quer que os principais sejam elegíveis para aceder. Em seguida, anexe a política ao conjunto principal.
Identifique as políticas de limite de acesso principais que contêm recursos aos quais não quer que os principais no conjunto de principais sejam elegíveis para aceder. Em seguida, remova essas políticas de limite de acesso principal eliminando a associação de políticas relevante.
Se quiser reduzir o acesso para determinados responsáveis, adicione uma condição à associação da política em vez de a eliminar.
Se quiser reduzir o número de recursos aos quais um principal é elegível para aceder, mas não quiser remover nenhuma política de limite de acesso principal, pode, em alternativa, modificar as políticas de limite de acesso principal às quais o principal está sujeito. Para saber como modificar as políticas de limite de acesso principal, consulte o artigo Edite políticas de limite de acesso principal.
Teste a eliminação de uma política ou uma associação de limites de acesso principais
Antes de confirmar a eliminação de uma política ou uma associação de limites de acesso principais, recomendamos que teste como a alteração pode afetar o acesso dos seus principais. Pode usar o simulador de políticas para simular uma eliminação e ajudar a compreender o potencial impacto da mesma.
Para testar uma eliminação, consulte os seguintes procedimentos na documentação de Policy Intelligence:
- Simule a eliminação de regras de limite de acesso principal
- Simule a eliminação de uma política de limite de acesso principal
- Simule a eliminação de uma associação para uma política de limite de acesso principal
Para saber como testar políticas de limites de acesso principais com o Simulador de políticas, consulte o artigo Simulador de políticas para políticas de limites de acesso principais.
Remova uma política de limite de acesso principal de um conjunto de principais
Antes de remover uma política de limite de acesso principal de um conjunto de principais, primeiro prepare-se para a remoção da política. Em seguida, remova a política eliminando a associação de políticas que associa a política ao conjunto de principais.
Pode eliminar uma associação de políticas através da Trusted Cloud consola, da CLI gcloud ou da API REST IAM.
Consola
Na Trusted Cloud consola, aceda à página Políticas de limites de acesso principal.
Selecione a organização proprietária da política de limite de acesso principal cuja associação quer eliminar.
Clique no ID da política de limite de acesso principal cujas associações quer eliminar.
Clique no separador Associações.
Encontre o ID da associação que quer eliminar. Na linha dessa associação, clique em Ações e, de seguida, clique em Eliminar associação.
Na caixa de diálogo de confirmação, clique em Eliminar.
gcloud
O comando
gcloud iam policy-bindings deleteelimina uma associação de políticas.Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
-
BINDING_ID: o ID da associação de políticas que quer eliminar, por exemplo,example-binding. -
RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a associação de políticas é filho. Use o valorproject,folderouorganizationO tipo de recurso depende do principal definido na associação de políticas. Para ver que tipo de recurso usar, consulte os tipos de principais compatíveis.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a associação de políticas é filha. Os IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud iam policy-bindings delete BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (PowerShell)
gcloud iam policy-bindings delete BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global
Windows (cmd.exe)
gcloud iam policy-bindings delete BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global
A resposta contém uma operação de longa duração que representa o seu pedido. Para saber como obter o estado de uma operação de longa duração, consulte a secção Verifique o estado de uma operação de longa duração nesta página.
Delete request issued for: [example-binding] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done. Deleted policyBinding [example-binding].
REST
O método
policyBindings.deleteelimina uma associação de políticas.Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
-
RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a associação de políticas é filho. Use o valorprojects,foldersouorganizationsO tipo de recurso depende do principal definido na associação de políticas. Para ver que tipo de recurso usar, consulte os tipos de principais compatíveis.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a associação de políticas é filha. Os IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.-
BINDING_ID: o ID da associação de políticas que quer eliminar, por exemplo,example-binding.
Método HTTP e URL:
DELETE https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
Para enviar o seu pedido, expanda uma destas opções:
A resposta contém uma operação de longa duração que representa o seu pedido. Para saber como obter o estado de uma operação de longa duração, consulte a secção Verifique o estado de uma operação de longa duração nesta página.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-binding", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3" }, "done": false }Elimine uma política de limite de acesso principal
Antes de eliminar uma política de limite de acesso principal, recomendamos que identifique e elimine todas as associações de políticas de limite de acesso principal que referenciam a política de limite de acesso principal.
Se eliminar uma política de limite de acesso principal com associações de políticas existentes, essas associações acabam por ser eliminadas. No entanto, até serem eliminadas, as associações de políticas continuam a contar para o limite de 10 associações que podem referir-se a um único conjunto de principais.
Pode eliminar uma política de limite de acesso principal através da Trusted Cloud consola, da CLI gcloud ou da API REST IAM.
Consola
Na Trusted Cloud consola, aceda à página Políticas de limites de acesso principal.
Selecione a organização proprietária da política de limite de acesso principal cuja associação quer eliminar.
Encontre o ID da política que quer eliminar. Na linha dessa política, clique em Ações e, de seguida, clique em Eliminar política.
Na caixa de diálogo de confirmação, confirme que quer eliminar a política:
- Para eliminar a política apenas se não tiver associações associadas, clique em Eliminar.
- Para eliminar a política e todas as associações associadas, selecione a caixa de verificação Eliminar política à força e, de seguida, clique em Eliminar.
gcloud
O comando
gcloud iam gcloud iam principal-access-boundary-policies deleteelimina uma política de limite de acesso principal e todas as associações associadas.Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
-
PAB_POLICY_ID: o ID da política de limite de acesso principal que quer eliminar, por exemplo,example-policy. ORG_ID: o ID da organização proprietária da política de limite de acesso principal. Os IDs das organizações são numéricos, como123456789012.FORCE_FLAG: Opcional. Para forçar o comando a eliminar uma política, mesmo que essa política seja referenciada em associações de políticas existentes, use a flag--force. Se esta flag não estiver definida e a política for referenciada em associações de políticas existentes, o comando falha.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID \ --organization=ORG_ID --location=global FORCE_FLAG
Windows (PowerShell)
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ` --organization=ORG_ID --location=global FORCE_FLAG
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ^ --organization=ORG_ID --location=global FORCE_FLAG
A resposta contém uma operação de longa duração que representa o seu pedido. Para saber como obter o estado de uma operação de longa duração, consulte a secção Verifique o estado de uma operação de longa duração nesta página.
Delete request issued for: [example-policy] Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete... Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done. Deleted principalAccessBoundaryPolicy [example-policy].
REST
O método
principalAccessBoundaryPolicies.deleteelimina uma política de limite de acesso principal e todas as associações associadas.Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
ORG_ID: o ID da organização proprietária da política de limite de acesso principal. Os IDs das organizações são numéricos, como123456789012.-
PAB_POLICY_ID: o ID da política de limite de acesso principal que quer eliminar, por exemplo,example-policy. -
FORCE_DELETE: opcional. Para forçar o pedido de eliminação da política, mesmo que a política seja referenciada em associações de políticas existentes, adicione o parâmetro de consultaforce=true. Se este parâmetro de consulta não estiver definido e a política for referenciada em associações de políticas existentes, o pedido falha.
Método HTTP e URL:
DELETE https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE
Para enviar o seu pedido, expanda uma destas opções:
A resposta contém uma operação de longa duração que representa o seu pedido. Para saber como obter o estado de uma operação de longa duração, consulte a secção Verifique o estado de uma operação de longa duração nesta página.
{ "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-05-10T20:33:11.165728913Z", "target": "organizations/123456789012/locations/global/policyBindings/example-policy", "verb": "delete", "requestedCancellation": false, "apiVersion": "v3" }, "done": false }Verifique o estado de uma operação de longa duração
Quando usa a API REST ou as bibliotecas cliente, qualquer método que altere uma política ou uma associação de limites de acesso principais devolve uma operação de longa duração (LRO). A operação de longa duração monitoriza o estado do pedido e indica se a alteração à política ou à associação está concluída.
REST
O método
operations.getdevolve o estado de uma operação de longa duração.Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
-
OPERATION_NAME: o nome completo da operação. Recebe este nome na resposta ao seu pedido original.O nome da operação tem o seguinte formato:
RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID
Método HTTP e URL:
GET https://iam.googleapis.com/v3/OPERATION_NAME
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{ "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07", "metadata": { "@type": "type.googleapis.com/google.iam.v3.OperationMetadata", "createTime": "2024-11-28T00:05:12.006289686Z", "endTime": "2024-11-28T00:05:12.192141801Z", "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy", "verb": "create", "requestedCancellation": false, "apiVersion": "v3" }, "done": true, "response": { PAB_POLICY } }Se o campo
doneda operação não estiver presente, continue a monitorizar o respetivo estado através da obtenção repetida da operação. Use a retirada exponencial truncada para introduzir um atraso entre cada pedido. Quando o campodoneestá definido comotrue, a operação está concluída e pode parar de receber a operação.O que se segue?
- Crie e aplique políticas de limite de acesso principal
- Veja as políticas de limite de acesso principal
- Edite políticas de limite de acesso principal
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-08-20 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Não contém as informações de que eu preciso","missingTheInformationINeed","thumb-down"],["Muito complicado / etapas demais","tooComplicatedTooManySteps","thumb-down"],["Desatualizado","outOfDate","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Problema com as amostras / o código","samplesCodeIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-20 UTC."],[[["\u003cp\u003ePrincipal access boundary (PAB) policies can be deleted to remove access restrictions for principals, either by deleting the policy itself or by deleting the policy binding that links the policy to a principal set.\u003c/p\u003e\n"],["\u003cp\u003eRemoving all PAB policies from a principal set grants those principals access to all Google Cloud resources, while removing some but not all will restrict them to resources defined in the remaining policies.\u003c/p\u003e\n"],["\u003cp\u003eTo delete a PAB policy binding, specific IAM roles are required, varying depending on the type of principal set involved, such as workforce identity pools, workload identity pools, or project/folder/organization principal sets.\u003c/p\u003e\n"],["\u003cp\u003eDeleting a PAB policy can be done with or without deleting all bindings, however, deleting the policy with bindings can still have them count against their limit until they are eventually fully deleted.\u003c/p\u003e\n"],["\u003cp\u003eThe deletion of policies or bindings can be done through the Google Cloud console, gcloud CLI, or the REST API, with each having its own required steps and parameters.\u003c/p\u003e\n"]]],[],null,[]]