Ver las políticas de límites de acceso de principales

Las políticas de límites de acceso de principales (PAB) te permiten limitar los recursos a los que puede acceder un conjunto de principales. En esta página se explica cómo ver las políticas de límites de acceso de principales y los enlaces de políticas de límites de acceso de principales.

Antes de empezar

Roles necesarios para ver las políticas de límites de acceso de principales

Para obtener los permisos que necesitas para ver las políticas de límites de acceso de principales, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Lector de límites de acceso de principales (roles/iam.principalAccessBoundaryViewer) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para ver las políticas de límites de acceso de principales. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para ver las políticas de límites de acceso de principales, se necesitan los siguientes permisos:

  • Para ver una sola política de límites de acceso de principales, haz lo siguiente: iam.principalaccessboundarypolicies.get
  • Mostrar las políticas de límites de acceso de principales de una organización: iam.principalaccessboundarypolicies.list

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Roles necesarios para ver las vinculaciones de políticas

Para obtener los permisos que necesitas para ver las vinculaciones de políticas, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el recurso principal de las vinculaciones de políticas:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver las vinculaciones de políticas. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para ver las vinculaciones de políticas, se necesitan los siguientes permisos:

  • Ver un solo enlace de política: iam.policybindings.get
  • Lista las vinculaciones de políticas de un proyecto, una carpeta o una organización: iam.policybindings.list

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Roles necesarios para ver todos los enlaces de políticas de una política de límites de acceso de principales

Para obtener el permiso que necesitas para ver todos los enlaces de políticas de una política de límites de acceso de principales, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Lector de límites de acceso de principales (roles/iam.principalAccessBoundaryViewer) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene el permiso iam.principalaccessboundarypolicies.searchIamPolicyBindings , que es necesario para ver todos los enlaces de políticas de una política de límites de acceso de principales.

También puedes obtener este permiso con roles personalizados u otros roles predefinidos.

Roles necesarios para ver las vinculaciones de políticas de un conjunto de principales

Los permisos que necesitas para ver todos los enlaces de políticas de un conjunto de principales dependen del conjunto de principales cuyas políticas quieras ver.

Para obtener los permisos que necesitas para ver las vinculaciones de políticas, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver las vinculaciones de políticas. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para ver las vinculaciones de políticas, se necesitan los siguientes permisos:

  • Consulta las vinculaciones de políticas de los grupos de Workforce Identity Federation: iam.workforcePools.searchPolicyBindings en el grupo de Workforce Identity Federation de destino
  • Consulta las vinculaciones de políticas de los grupos de identidades de carga de trabajo de la federación de identidades de Workforce: iam.workloadIdentityPools.searchPolicyBindings en el proyecto propietario del grupo de identidades de carga de trabajo de la federación de identidades de Workforce de destino
  • Ver las vinculaciones de políticas de un dominio de Google Workspace: iam.workspacePools.searchPolicyBindings en la organización
  • Ver las vinculaciones de políticas de un conjunto de principales de un proyecto: resourcemanager.projects.searchPolicyBindings en el proyecto
  • Ver las vinculaciones de políticas de un conjunto de principales de una carpeta: resourcemanager.folders.searchPolicyBindings en la carpeta
  • Ver las vinculaciones de políticas de un conjunto de principales de una organización: resourcemanager.organizations.searchPolicyBindings en la organización

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Mostrar las políticas de límites de acceso de principales de una organización

Para ver todas las políticas de límites de acceso de principales creadas en una organización, enumera las políticas de límites de acceso de principales de la organización.

Puedes enumerar las políticas de límite de acceso de principales de una organización mediante la consolaTrusted Cloud , la CLI de gcloud o la API REST de gestión de identidades y accesos.

Consola

  1. En la Trusted Cloud consola, ve a la página Políticas de límite de acceso de principales.

    Ir a las políticas de límites de acceso de principales

  2. Seleccione la organización para la que quiera crear políticas de límite de acceso de principales.

En la consola Trusted Cloud se muestran todas las políticas de la organización que selecciones.

gcloud

El comando gcloud iam principal-access-boundary-policies list muestra todas las políticas de límite de acceso de principales de una organización.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • ORG_ID: el ID de la organización Trusted Cloud by S3NS de la que quieres obtener una lista de políticas de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
  • FORMAT: el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

La respuesta contiene las políticas de límites de acceso de principales de la organización especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

El método principalAccessBoundaryPolicies.list muestra todas las políticas de límite de acceso de principales de una organización.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • ORG_ID: el ID de la organización Trusted Cloud by S3NS de la que quieres obtener una lista de políticas de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta contiene las políticas de límites de acceso de principales de la organización especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Obtener una sola política de límites de acceso de principales

Para ver los detalles de una sola política de límite de acceso de un principal, usa el ID de la política para obtenerla.

Puede obtener una política de límite de acceso de un principal mediante la consola de Trusted Cloud , la CLI de gcloud o la API REST de gestión de identidades y accesos.

Consola

  1. En la Trusted Cloud consola, ve a la página Políticas de límite de acceso de principales.

    Ir a las políticas de límites de acceso de principales

  2. Seleccione la organización para la que quiera crear políticas de límite de acceso de principales.

  3. Haga clic en el ID de la política de límites de acceso de principales que quiera ver.

La consola Trusted Cloud muestra los detalles de la política de límite de acceso de la cuenta principal que selecciones.

gcloud

El comando gcloud iam principal-access-boundary-policies describe obtiene una sola política de límites de acceso de principales.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • PAB_POLICY_ID: el ID de la política de límite de acceso principal que quieras obtener. Por ejemplo, example-policy.
  • ORG_ID: ID de la organización propietaria de la política de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
  • FORMAT: el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La respuesta contiene la política de límites de acceso de principales especificada en la solicitud.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

El método principalAccessBoundaryPolicies.get obtiene una sola política de límites de acceso de principales.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • ORG_ID: ID de la organización propietaria de la política de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
  • PAB_POLICY_ID: el ID de la política de límite de acceso principal que quieras obtener. Por ejemplo, example-policy.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta contiene la política de límites de acceso de principales especificada en la solicitud.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Mostrar las vinculaciones de políticas de las políticas de límites de acceso de principales

Hay varias formas de enumerar las vinculaciones de políticas de límites de acceso de principales:

Mostrar los enlaces de políticas de una política de límites de acceso de principales

Para ver todos los enlaces de políticas que incluyen una determinada política de límites de acceso de principales, busca los enlaces de la política de límites de acceso de principales.

Puede ver todos los enlaces de políticas de una política de límites de acceso de un principal mediante la consolaTrusted Cloud , la CLI de gcloud o la API REST de gestión de identidades y accesos.

Consola

  1. En la Trusted Cloud consola, ve a la página Políticas de límite de acceso de principales.

    Ir a las políticas de límites de acceso de principales

  2. Selecciona la organización propietaria de la política de límites de acceso de principales de la que quieras ver las vinculaciones.

  3. Haga clic en el ID de la política de límites de acceso de principales cuyos enlaces quiera ver.

  4. Haz clic en la pestaña Enlaces.

En la pestaña Enlaces se muestran todos los enlaces de la política de límites de acceso de principales que incluyen la política de límites de acceso de principales.

gcloud

El comando gcloud iam principal-access-boundary-policies search-policy-bindings muestra todas las vinculaciones de políticas de la política de límites de acceso de principales especificada.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • PAB_POLICY_ID: el ID de la política de límites de acceso de principales de la que quieres enumerar las vinculaciones de políticas. Por ejemplo, example-policy.
  • ORG_ID: ID de la organización propietaria de la política de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
  • FORMAT: el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La respuesta contiene las vinculaciones de políticas de la política de límites de acceso de principales especificada.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

El método principalAccessBoundaryPolicies.searchPolicyBindings muestra todos los enlaces de políticas de la política de límites de acceso de principales especificada.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • ORG_ID: ID de la organización propietaria de la política de límites de acceso de principales. Los IDs de organización son numéricos, como 123456789012.
  • PAB_POLICY_ID: el ID de la política de límites de acceso de principales de la que quieres enumerar las vinculaciones de políticas. Por ejemplo, example-policy.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta contiene las vinculaciones de políticas de la política de límites de acceso de principales especificada.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Mostrar las vinculaciones de políticas de un conjunto de principales

Para ver todas las vinculaciones de políticas que incluyen un conjunto de principales determinado, busca las vinculaciones del conjunto de principales.

Estas vinculaciones contienen los IDs de las políticas de límites de acceso de principales que están vinculadas al conjunto de principales. Para ver los detalles de estas políticas, usa el ID de la política para obtener la política de límite de acceso principal.

Puedes ver todas las vinculaciones de políticas de un conjunto de principales mediante la CLI de gcloud o la API REST de gestión de identidades y accesos.

gcloud

El comando gcloud iam policy-bindings search-target-policy-bindings obtiene todas las políticas de límites de acceso de principales vinculadas a un conjunto de principales.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el conjunto de principales de destino. Usa el valor project, folder o organization.

    El tipo de recurso depende del tipo de conjunto de principales del que quieras enumerar las vinculaciones de políticas. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.

  • RESOURCE_ID: ID del proyecto, la carpeta o la organización de la que es hijo el conjunto de principales de destino. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
  • PRINCIPAL_SET: el conjunto de principales cuyos enlaces de política de límites de acceso de principales quieres ver. Para ver una lista de los tipos de principales válidos, consulta Conjuntos de principales admitidos.
  • FORMAT: el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

La respuesta contiene todos los enlaces de políticas que están vinculados al conjunto de principales de destino.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

El método SearchTargetPolicyBindings.search obtiene todas las políticas de límites de acceso de principales vinculadas a un conjunto de principales.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el conjunto de principales de destino. Usa el valor projects, folders o organizations.

    El tipo de recurso depende del tipo de conjunto de principales del que quieras enumerar las vinculaciones de políticas. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.

  • RESOURCE_ID: ID del proyecto, la carpeta o la organización de la que es hijo el conjunto de principales de destino. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.

  • PRINCIPAL_SET: el conjunto de principales cuyas vinculaciones de la política de límites de acceso de principales quieres ver. Para ver una lista de los tipos de principales válidos, consulta Conjuntos de principales admitidos.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta contiene todos los enlaces de políticas que están vinculados al conjunto de principales de destino.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Lista las vinculaciones de políticas de un proyecto, una carpeta o una organización

Para ver todos los enlaces de políticas que son elementos secundarios de un proyecto, una carpeta o una organización específicos, enumera los enlaces de políticas de ese proyecto, carpeta u organización.

El recurso superior de un enlace de política depende del principal definido en el enlace de política. Para obtener más información, consulta Tipos de principales admitidos.

Puede ver todos los enlaces de políticas de un proyecto, una carpeta o una organización mediante la CLI de gcloud o la API REST de gestión de identidades y accesos.

gcloud

El comando gcloud iam policy-bindings list muestra todas las vinculaciones de políticas que son elementos secundarios de un recurso determinado.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valor project, folder o organization.

    El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.

  • RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
  • FORMAT: el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

La respuesta contiene las vinculaciones de políticas que son elementos secundarios del recurso del comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

El método policyBindings.list muestra todas las vinculaciones de políticas que son elementos secundarios de un recurso determinado.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valor projects, folders o organizations.

    El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.

  • RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta contiene las vinculaciones de políticas que son elementos secundarios del recurso de la solicitud.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Obtener un enlace de política de una política de límites de acceso de principales

Para ver los detalles de una vinculación de políticas concreta, usa el ID de la vinculación de políticas para obtenerla.

Puedes obtener una vinculación de política mediante la CLI de gcloud o la API REST de IAM.

gcloud

El comando gcloud iam policy-bindings describe obtiene una vinculación de políticas.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • BINDING_ID: el ID de la vinculación de la política que quieras obtener. Por ejemplo, example-binding.

  • RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valor project, folder o organization.

    El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.

  • RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
  • FORMAT: el formato de la respuesta. Usa json o yaml.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

La respuesta contiene la vinculación de la política.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

El método policyBindings.get obtiene un enlace de política.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso de Resource Manager (proyecto, carpeta u organización) del que es hijo el enlace de política. Usa el valor projects, folders o organizations.

    El tipo de recurso depende de la entidad definida en la vinculación de la política. Para ver qué tipo de recurso debes usar, consulta Tipos de principales admitidos.

  • RESOURCE_ID: ID del proyecto, la carpeta o la organización de los que depende el enlace de la política. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
  • BINDING_ID: el ID de la vinculación de la política que quieras obtener. Por ejemplo, example-binding.

Método HTTP y URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta contiene la vinculación de la política.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Siguientes pasos