Principal Access Boundary-Richtlinien aufrufen

Mit PAB-Richtlinien (Principal Access Boundary) können Sie die Ressourcen einschränken, auf die eine Gruppe von Hauptkonten zugreifen darf. Auf dieser Seite wird beschrieben, wie Sie Principal Access Boundary-Richtlinien und Richtlinienbindungen für Principal Access Boundary-Richtlinien ansehen.

Hinweise

Rollen, die zum Ansehen von Principal Access Boundary-Richtlinien erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Principal Access Boundary-Richtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Aufrufen von Principal Access Boundary-Richtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Aufrufen von Principal Access Boundary-Richtlinien erforderlich:

  • So rufen Sie eine einzelne Principal Access Boundary-Richtlinie auf: iam.principalaccessboundarypolicies.get
  • Principal Access Boundary-Richtlinien in einer Organisation auflisten: iam.principalaccessboundarypolicies.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Aufrufen von Richtlinienbindungen erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die übergeordnete Ressource der Richtlinienbindungen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Richtlinienbindungen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen von Richtlinienbindungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für das Aufrufen von Richtlinienbindungen erforderlich:

  • Einzelne Richtlinienbindung ansehen: iam.policybindings.get
  • Richtlinienbindungen in einem Projekt, Ordner oder einer Organisation auflisten: iam.policybindings.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Ansehen aller Richtlinienbindungen für eine Principal Access Boundary-Richtlinie erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) für die Organisation zuzuweisen, um die Berechtigung zu erhalten, die Sie zum Aufrufen aller Richtlinienbindungen für eine Principal Access Boundary-Richtlinie benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung iam.principalaccessboundarypolicies.searchIamPolicyBindings, die zum Aufrufen aller Richtlinienbindungen für eine Principal Access Boundary-Richtlinie erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Ansehen von Richtlinienbindungen für eine Hauptkontogruppe erforderlich sind

Die Berechtigungen, die Sie zum Aufrufen aller Richtlinienbindungen für einen Hauptkontensatz benötigen, hängen vom Hauptkontensatz ab, für den Sie Richtlinien aufrufen möchten.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Richtlinienbindungen benötigen:

  • Richtlinienbindungen für Mitarbeiteridentitätsföderationspools ansehen: IAM-Mitarbeiterpool-Administrator (roles/iam.workforcePoolAdmin) für den Ziel-Workforce Identity-Föderationspool
  • Richtlinienbindungen für Workload Identity-Föderationspools ansehen: IAM Workload Identity-Pool-Administrator (roles/iam.workloadIdentityPoolAdmin) für das Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Richtlinienbindungen für eine Google Workspace-Domain ansehen: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) für die Organisation
  • Richtlinienbindungen für den Hauptkontensatz eines Projekts ansehen: Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt
  • Richtlinienbindungen für den Hauptkontosatz eines Ordners ansehen: Folder IAM Admin (roles/resourcemanager.folderIamAdmin) für den Ordner
  • Richtlinienbindungen für den Hauptkontosatz einer Organisation ansehen: Organisationsadministrator (roles/resourcemanager.organizationAdmin) für die Organisation

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen von Richtlinienbindungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für das Aufrufen von Richtlinienbindungen erforderlich:

  • Richtlinienbindungen für Pools der Mitarbeiteridentitätsföderation ansehen: iam.workforcePools.searchPolicyBindings für den Zielpool der Mitarbeiteridentitätsföderation
  • Richtlinienbindungen für Pools der Workload Identity-Föderation ansehen: iam.workloadIdentityPools.searchPolicyBindings im Projekt, zu dem der Zielpool der Mitarbeiteridentitätsföderation gehört
  • Richtlinienbindungen für eine Google Workspace-Domain ansehen: iam.workspacePools.searchPolicyBindings für die Organisation
  • Richtlinienbindungen für den Hauptkontosatz eines Projekts ansehen: resourcemanager.projects.searchPolicyBindings für das Projekt
  • Richtlinienbindungen für den Hauptkontosatz eines Ordners ansehen: resourcemanager.folders.searchPolicyBindings für den Ordner
  • Richtlinienbindungen für den Hauptkontosatz einer Organisation ansehen: resourcemanager.organizations.searchPolicyBindings für die Organisation

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Principal Access Boundary-Richtlinien für eine Organisation auflisten

Wenn Sie alle in einer Organisation erstellten Principal Access Boundary-Richtlinien aufrufen möchten, listen Sie die Principal Access Boundary-Richtlinien in der Organisation auf.

Sie können die Principal Access Boundary-Richtlinien in einer Organisation mit derCloud de Confiance -Konsole, der gcloud CLI oder der IAM REST API auflisten.

Konsole

  1. Rufen Sie in der Cloud de Confiance Console die Seite Principal Access Boundary-Richtlinien auf.

    Zu Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, für die Sie Principal Access Boundary-Richtlinien erstellen möchten.

In der Cloud de Confiance Console werden alle Richtlinien in der ausgewählten Organisation aufgeführt.

gcloud

Mit dem Befehl gcloud iam principal-access-boundary-policies list werden alle Principal Access Boundary-Richtlinien in einer Organisation aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORG_ID: Die ID der Cloud de Confiance by S3NS Organisation, für die Sie Principal Access Boundary-Richtlinien auflisten möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

Die Antwort enthält die Principal Access Boundary-Richtlinien in der angegebenen Organisation.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

Mit der Methode principalAccessBoundaryPolicies.list werden alle Principal Access Boundary-Richtlinien in einer Organisation aufgelistet.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Cloud de Confiance by S3NS Organisation, für die Sie Principal Access Boundary-Richtlinien auflisten möchten. Organisations-IDs sind numerisch, z. B. 123456789012.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Principal Access Boundary-Richtlinien in der angegebenen Organisation.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Einzelne Principal Access Boundary-Richtlinie abrufen

Wenn Sie die Details einer einzelnen Principal Access Boundary-Richtlinie aufrufen möchten, verwenden Sie die ID der Richtlinie, um die Richtlinie abzurufen.

Sie können eine Principal Access Boundary-Richtlinie mit der Cloud de Confiance Console, der gcloud CLI oder der IAM REST API abrufen.

Konsole

  1. Rufen Sie in der Cloud de Confiance Console die Seite Principal Access Boundary-Richtlinien auf.

    Zu Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, für die Sie Principal Access Boundary-Richtlinien erstellen möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, die Sie aufrufen möchten.

In der Cloud de Confiance Console werden die Details der ausgewählten Principal Access Boundary-Richtlinie angezeigt.

gcloud

Mit dem Befehl gcloud iam principal-access-boundary-policies describe wird eine einzelne Principal Access Boundary-Richtlinie abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie abrufen möchten, z. B. example-policy.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

Die Antwort enthält die in der Anfrage angegebene Principal Access Boundary-Richtlinie.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

Mit der Methode principalAccessBoundaryPolicies.get wird eine einzelne Principal Access Boundary-Richtlinie abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie abrufen möchten, z. B. example-policy.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die in der Anfrage angegebene Principal Access Boundary-Richtlinie.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Richtlinienbindungen für Principal Access Boundary-Richtlinien auflisten

Es gibt mehrere Möglichkeiten, Richtlinienbindungen für Principal Access Boundary-Richtlinien aufzulisten:

Richtlinienbindungen für eine Principal Access Boundary-Richtlinie auflisten

Wenn Sie alle Richtlinienbindungen ansehen möchten, die eine bestimmte Principal Access Boundary-Richtlinie enthalten, suchen Sie in den Bindungen nach der Principal Access Boundary-Richtlinie.

Sie können alle Richtlinienbindungen für eine Principal Access Boundary-Richtlinie mit derCloud de Confiance Console, der gcloud CLI oder der IAM REST API aufrufen.

Konsole

  1. Rufen Sie in der Cloud de Confiance Console die Seite Principal Access Boundary-Richtlinien auf.

    Zu Principal Access Boundary-Richtlinien

  2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, für die Sie Bindungen aufrufen möchten.

  3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, für die Sie Bindungen aufrufen möchten.

  4. Klicken Sie auf den Tab Bindings.

Auf dem Tab Bindungen werden alle Bindungen für Principal Access Boundary-Richtlinien aufgeführt, die die Principal Access Boundary-Richtlinie enthalten.

gcloud

Mit dem Befehl gcloud iam principal-access-boundary-policies search-policy-bindings werden alle Richtlinienbindungen für die angegebene Principal Access Boundary-Richtlinie aufgeführt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, für die Sie Richtlinienbindungen auflisten möchten, z. B. example-policy.
  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

Die Antwort enthält die Richtlinienbindungen für die angegebene Principal Access Boundary-Richtlinie.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Mit der Methode principalAccessBoundaryPolicies.searchPolicyBindings werden alle Richtlinienbindungen für die angegebene Principal Access Boundary-Richtlinie aufgelistet.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie zugewiesen ist. Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, für die Sie Richtlinienbindungen auflisten möchten, z. B. example-policy.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Richtlinienbindungen für die angegebene Principal Access Boundary-Richtlinie.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Richtlinienbindungen für eine Hauptkontogruppe auflisten

Wenn Sie alle Richtlinienbindungen ansehen möchten, die eine bestimmte Hauptkontogruppe enthalten, suchen Sie in den Bindungen nach der Hauptkontogruppe.

Diese Bindungen enthalten die IDs der Principal Access Boundary-Richtlinien, die an die Hauptkontogruppe gebunden sind. Wenn Sie die Details dieser Richtlinien aufrufen möchten, verwenden Sie die Richtlinien-ID, um die Principal Access Boundary-Richtlinie abzurufen.

Sie können alle Richtlinienbindungen für eine Principal-Gruppe mit der gcloud CLI oder der IAM REST API aufrufen.

gcloud

Mit dem Befehl gcloud iam policy-bindings search-target-policy-bindings werden alle Principal Access Boundary-Richtlinien abgerufen, die an eine Hauptkontogruppe gebunden sind.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Zielgruppe von Hauptkonten untergeordnet ist. Verwenden Sie den Wert project, folder oder organization

    Der Ressourcentyp hängt vom Typ der Hauptkontogruppe ab, für die Sie die Richtlinienbindungen auflisten möchten. Informationen dazu, welcher Ressourcentyp verwendet werden sollte, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Zielhauptkontogruppe angeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PRINCIPAL_SET: Der Hauptkontosatz, dessen Bindungen von Principal Access Boundary-Richtlinien Sie ansehen möchten. Eine Liste der gültigen Hauptkontotypen finden Sie unter Unterstützte Hauptkontosets.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

Die Antwort enthält alle Richtlinienbindungen, die an die Zielhauptkontogruppe gebunden sind.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

Mit der Methode SearchTargetPolicyBindings.search werden alle Principal Access Boundary-Richtlinien abgerufen, die an eine Hauptkontogruppe gebunden sind.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Zielgruppe von Hauptkonten untergeordnet ist. Verwenden Sie den Wert projects, folders oder organizations

    Der Ressourcentyp hängt vom Typ der Hauptkontogruppe ab, für die Sie die Richtlinienbindungen auflisten möchten. Informationen dazu, welcher Ressourcentyp verwendet werden sollte, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Zielhauptkontogruppe angeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

  • PRINCIPAL_SET: Der Hauptkontosatz, dessen Bindungen für die Richtlinie zur Begrenzung des Hauptkontozugriffs Sie ansehen möchten. Eine Liste der gültigen Hauptkontotypen finden Sie unter Unterstützte Hauptkontosets.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält alle Richtlinienbindungen, die an die Zielhauptkontogruppe gebunden sind.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Richtlinienbindungen für ein Projekt, einen Ordner oder eine Organisation auflisten

Wenn Sie alle Richtlinienbindungen sehen möchten, die untergeordnete Elemente eines bestimmten Projekts, Ordners oder einer bestimmten Organisation sind, listen Sie die Richtlinienbindungen für dieses Projekt, diesen Ordner oder diese Organisation auf.

Die übergeordnete Ressource einer Richtlinienbindung hängt von der Hauptkontogruppe ab, die in der Richtlinienbindung festgelegt ist. Weitere Informationen finden Sie unter Unterstützte Hauptkontotypen.

Mit der gcloud CLI oder der IAM REST API können Sie alle Richtlinienbindungen für ein Projekt, einen Ordner oder eine Organisation aufrufen.

gcloud

Mit dem Befehl gcloud iam policy-bindings list werden alle Richtlinienbindungen aufgelistet, die untergeordnete Elemente einer bestimmten Ressource sind.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Richtlinienbindung untergeordnet ist. Verwenden Sie den Wert project, folder oder organization

    Der Ressourcentyp hängt vom Hauptkonto ab, das in der Richtlinienbindung festgelegt ist. Informationen dazu, welcher Ressourcentyp verwendet werden muss, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Richtlinienbindung untergeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

Die Antwort enthält die Richtlinienbindungen, die untergeordnete Elemente der Ressource im Befehl sind.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Mit der Methode policyBindings.list werden alle Richtlinienbindungen aufgelistet, die untergeordnete Elemente einer bestimmten Ressource sind.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Richtlinienbindung untergeordnet ist. Verwenden Sie den Wert projects, folders oder organizations

    Der Ressourcentyp hängt vom Hauptkonto ab, das in der Richtlinienbindung festgelegt ist. Informationen dazu, welcher Ressourcentyp verwendet werden muss, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Richtlinienbindung untergeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Richtlinienbindungen, die untergeordnete Elemente der Ressource in der Anfrage sind.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Richtlinienbindung für eine Principal Access Boundary-Richtlinie abrufen

Wenn Sie die Details einer einzelnen Richtlinienbindung aufrufen möchten, verwenden Sie die ID der Richtlinienbindung, um die Richtlinienbindung abzurufen.

Sie können eine Richtlinienbindung mit der gcloud CLI oder der IAM REST API abrufen.

gcloud

Mit dem Befehl gcloud iam policy-bindings describe wird eine Richtlinienbindung abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • BINDING_ID: Die ID der Richtlinienbindung, die Sie abrufen möchten, z. B. example-binding.

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Richtlinienbindung untergeordnet ist. Verwenden Sie den Wert project, folder oder organization

    Der Ressourcentyp hängt vom Hauptkonto ab, das in der Richtlinienbindung festgelegt ist. Informationen dazu, welcher Ressourcentyp verwendet werden muss, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Richtlinienbindung untergeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FORMAT: Das Format für die Antwort. Verwenden Sie json oder yaml.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

Die Antwort enthält die Richtlinienbindung.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

Mit der Methode policyBindings.get wird eine Richtlinienbindung abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Richtlinienbindung untergeordnet ist. Verwenden Sie den Wert projects, folders oder organizations

    Der Ressourcentyp hängt vom Hauptkonto ab, das in der Richtlinienbindung festgelegt ist. Informationen dazu, welcher Ressourcentyp verwendet werden muss, finden Sie unter Unterstützte Hauptkontotypen.

  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Richtlinienbindung untergeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • BINDING_ID: Die ID der Richtlinienbindung, die Sie abrufen möchten, z. B. example-binding.

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Richtlinienbindung.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Nächste Schritte