Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzare i criteri di Principal Access Boundary

I criteri di Principal Access Boundary (PAB) ti consentono di limitare le risorse a cui un insieme di entità può accedere. Questa pagina spiega come visualizzare le policy di Principal Access Boundary e le associazioni di policy per le policy di Principal Access Boundary.

Prima di iniziare

Configurare l'autenticazione.

Select the tab for how you plan to use the samples on this page:
gcloud

Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata. Dopo aver eseguito l'accesso, inizializza Google Cloud CLI eseguendo il seguente comando:
```
gcloud init
```
REST

Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, devi utilizzare le credenziali che fornisci a gcloud CLI.
Per saperne di più, consulta Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Trusted Cloud .
Leggi la panoramica delle policy di Principal Access Boundary.

Ruoli richiesti per visualizzare le policy di Principal Access Boundary

Per ottenere le autorizzazioni necessarie per visualizzare le policy Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare le policy di Principal Access Boundary. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare le policy di Principal Access Boundary sono necessarie le seguenti autorizzazioni:

Visualizza una singola policy di Principal Access Boundary: iam.principalaccessboundarypolicies.get
Elenca le policy di Principal Access Boundary in un'organizzazione: iam.principalaccessboundarypolicies.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ruoli necessari per visualizzare le associazioni delle policy

Per ottenere le autorizzazioni necessarie per visualizzare i binding dei criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa padre dei binding dei criteri:

Visualizza i binding dei criteri in un progetto: Project IAM Admin (roles/resourcemanager.projectIamAdmin)
Visualizza i binding dei criteri in una cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Visualizza i binding delle policy in un'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare le associazioni delle policy. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare i binding delle policy sono necessarie le seguenti autorizzazioni:

Visualizza un singolo binding dei criteri: iam.policybindings.get
Elenca le associazioni di policy in un progetto, una cartella o un'organizzazione: iam.policybindings.list

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per visualizzare tutte le associazioni di policy per una policy di Principal Access Boundary

Per ottenere l'autorizzazione necessaria per visualizzare tutte le associazioni dei criteri per un criterio di Principal Access Boundary, chiedi all'amministratore di concederti il ruolo IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione iam.principalaccessboundarypolicies.searchIamPolicyBindings necessaria per visualizzare tutte le associazioni delle policy per una policy di Principal Access Boundary.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per visualizzare le associazioni di policy per un set di entità

Le autorizzazioni necessarie per visualizzare tutte le associazioni di policy per un insieme di entità dipendono dall'insieme di entità per cui vuoi visualizzare le policy.

Per ottenere le autorizzazioni necessarie per visualizzare i binding delle policy, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Visualizza i binding dei criteri per i pool della federazione delle identità della forza lavoro: Amministratore pool di forza lavoro IAM (roles/iam.workforcePoolAdmin) sul pool della federazione delle identità della forza lavoro di destinazione
Visualizza i binding dei criteri per i pool della federazione delle identità per la forza lavoro: Amministratore pool Workload Identity IAM (roles/iam.workloadIdentityPoolAdmin) sul progetto proprietario del pool della federazione delle identità per la forza lavoro di destinazione
Visualizza i binding dei criteri per un dominio Google Workspace: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) nell'organizzazione
Visualizza le associazioni di policy per il set di entità di un progetto: Project IAM Admin (roles/resourcemanager.projectIamAdmin) sul progetto
Visualizza le associazioni di policy per il set di entità di una cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin) sulla cartella
Visualizza le associazioni di policy per un insieme di entità dell'organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin) sull'organizzazione

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Autorizzazioni obbligatorie

Per visualizzare i binding delle policy sono necessarie le seguenti autorizzazioni:

Visualizza i binding dei criteri per i pool della federazione delle identità della forza lavoro: iam.workforcePools.searchPolicyBindings nel pool di destinazione della federazione delle identità della forza lavoro
Visualizza i binding dei criteri per i pool di federazione delle identità della forza lavoro: iam.workloadIdentityPools.searchPolicyBindings sul progetto proprietario del pool di federazione delle identità della forza lavoro di destinazione
Visualizza i binding delle policy per un dominio Google Workspace: iam.workspacePools.searchPolicyBindings sull'organizzazione
Visualizza i binding dei criteri per il set di entità di un progetto: resourcemanager.projects.searchPolicyBindings sul progetto
Visualizza le associazioni di policy per il set di entità di una cartella: resourcemanager.folders.searchPolicyBindings nella cartella
Visualizza i binding delle policy per un insieme di entità dell'organizzazione: resourcemanager.organizations.searchPolicyBindings sull'organizzazione

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Elenca le policy di Principal Access Boundary per un'organizzazione

Per visualizzare tutte le policy di Principal Access Boundary create in un'organizzazione, elenca le policy di Principal Access Boundary nell'organizzazione.

Puoi elencare i criteri perimetrali di accesso delle entità in un'organizzazione utilizzando la consoleTrusted Cloud , gcloud CLI o l'API REST IAM.

Console

Nella console Trusted Cloud , vai alla pagina Policy del limite di accesso principale.

Vai alle policy di Principal Access Boundary
Seleziona l'organizzazione per cui vuoi creare le policy di Principal Access Boundary.

La console Trusted Cloud elenca tutte le norme dell'organizzazione che selezioni.

gcloud

Il comando gcloud iam principal-access-boundary-policies list elenca tutte le policy di Principal Access Boundary in un'organizzazione.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

ORG_ID: l'ID dell'organizzazione Trusted Cloud by S3NS per cui vuoi elencare le policy di confine di accesso dei principal. Gli ID organizzazione sono numerici, ad esempio 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

La risposta contiene le policy di Principal Access Boundary nell'organizzazione specificata.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

Il metodo principalAccessBoundaryPolicies.list elenca tutte le policy di Principal Access Boundary in un'organizzazione.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORG_ID: l'ID dell'organizzazione Trusted Cloud by S3NS per cui vuoi elencare le policy di confine di accesso dei principal. Gli ID organizzazione sono numerici, ad esempio 123456789012.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies" | Select-Object -Expand Content

La risposta contiene le policy di Principal Access Boundary nell'organizzazione specificata.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Recupera una singola policy di Principal Access Boundary

Per visualizzare i dettagli di una singola policy di Principal Access Boundary, utilizza l'ID della policy per recuperarla.

Puoi ottenere una policy del limite di accesso dell'entità utilizzando la console Trusted Cloud , gcloud CLI o l'API REST IAM.

Console

Nella console Trusted Cloud , vai alla pagina Policy del limite di accesso principale.

Vai alle policy di Principal Access Boundary
Seleziona l'organizzazione per cui vuoi creare le policy di Principal Access Boundary.
Fai clic sull'ID della policy di Principal Access Boundary che vuoi visualizzare.

La console Trusted Cloud mostra i dettagli della policy di Principal Access Boundary che selezioni.

gcloud

Il comando gcloud iam principal-access-boundary-policies describe recupera una singola policy di Principal Access Boundary.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

PAB_POLICY_ID: l'ID della policy di Principal Access Boundary che vuoi recuperare, ad esempio example-policy.
ORG_ID: l'ID dell'organizzazione proprietaria della policy del perimetro di accesso del principal. Gli ID organizzazione sono numerici, ad esempio 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

Il metodo principalAccessBoundaryPolicies.get recupera una singola policy di Principal Access Boundary.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORG_ID: l'ID dell'organizzazione proprietaria della policy del perimetro di accesso del principal. Gli ID organizzazione sono numerici, ad esempio 123456789012.
PAB_POLICY_ID: l'ID della policy di Principal Access Boundary che vuoi recuperare, ad esempio example-policy.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" | Select-Object -Expand Content

La risposta contiene il criterio di Principal Access Boundary specificato nella richiesta.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Elenca le associazioni di policy per le policy di Principal Access Boundary

Esistono diversi modi per elencare le associazioni dei criteri per le policy di Principal Access Boundary:

Elenca le associazioni di policy per una policy di Principal Access Boundary
Elenca le associazioni di policy per un set di entità
Elenca le associazioni di criteri per un progetto, una cartella o un'organizzazione

Elenca le associazioni di policy per una policy di Principal Access Boundary

Per visualizzare tutte le associazioni di policy che includono una determinata policy di Principal Access Boundary, cerca le associazioni per la policy di Principal Access Boundary.

Puoi visualizzare tutte le associazioni di policy per una policy del boundary di accesso principale utilizzando la consoleTrusted Cloud , gcloud CLI o l'API REST IAM.

Console

Nella console Trusted Cloud , vai alla pagina Policy del limite di accesso principale.

Vai alle policy di Principal Access Boundary
Seleziona l'organizzazione proprietaria della policy di Principal Access Boundary per cui vuoi visualizzare le associazioni.
Fai clic sull'ID criterio del criterio di Principal Access Boundary per cui vuoi visualizzare le associazioni.
Fai clic sulla scheda Binding.

La scheda Associazioni elenca tutte le associazioni delle policy di Principal Access Boundary che includono la policy di Principal Access Boundary.

gcloud

Il comando gcloud iam principal-access-boundary-policies search-policy-bindings elenca tutte le associazioni di policy per la policy di Principal Access Boundary specificata.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

PAB_POLICY_ID: l'ID della policy di Principal Access Boundary per cui vuoi elencare le associazioni di policy, ad esempio example-policy.
ORG_ID: l'ID dell'organizzazione proprietaria della policy del perimetro di accesso del principal. Gli ID organizzazione sono numerici, ad esempio 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

La risposta contiene le associazioni di policy per la policy di Principal Access Boundary specificata.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Il metodo principalAccessBoundaryPolicies.searchPolicyBindings elenca tutte le associazioni dei criteri per la policy di Principal Access Boundary specificata.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORG_ID: l'ID dell'organizzazione proprietaria della policy del perimetro di accesso del principal. Gli ID organizzazione sono numerici, ad esempio 123456789012.
PAB_POLICY_ID: l'ID della policy di Principal Access Boundary per cui vuoi elencare le associazioni di policy, ad esempio example-policy.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings" | Select-Object -Expand Content

La risposta contiene le associazioni di policy per la policy di Principal Access Boundary specificata.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Elenca le associazioni di policy per un set di entità

Per visualizzare tutte le associazioni di policy che includono un determinato set di entità, cerca le associazioni per il set di entità.

Queste associazioni contengono gli ID delle policy di Principal Access Boundary associate al set di entità. Per visualizzare i dettagli di queste policy, utilizza l'ID policy per recuperare la policy di Principal Access Boundary.

Puoi visualizzare tutte le associazioni di policy per un insieme di entità utilizzando gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud iam policy-bindings search-target-policy-bindings recupera tutte le policy di Principal Access Boundary associate a un set di entità.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è figlio l'insieme di entità di destinazione. Utilizza il valore project, folder o organization

Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di policy. Per vedere quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è figlio il set di entità di destinazione. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
PRINCIPAL_SET: l'insieme di entità di cui vuoi visualizzare le associazioni di policy di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Set di entità supportati.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

La risposta contiene tutte le associazioni di policy associate al set di entità di destinazione.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

Il metodo SearchTargetPolicyBindings.search recupera tutte le policy di Principal Access Boundary associate a un insieme di entità.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui è figlio l'insieme di entità di destinazione. Utilizza il valore projects, folders o organizations

Il tipo di risorsa dipende dal tipo di set di entità di cui vuoi elencare le associazioni di policy. Per vedere quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione di cui è figlio il set di entità di destinazione. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
PRINCIPAL_SET: il set di entità di cui vuoi visualizzare le associazioni della policy di Principal Access Boundary. Per un elenco dei tipi di entità validi, consulta Set di entità supportati.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET" | Select-Object -Expand Content

La risposta contiene tutte le associazioni di policy associate al set di entità di destinazione.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Elenca le associazioni di criteri per un progetto, una cartella o un'organizzazione

Per visualizzare tutti i binding dei criteri secondari di un progetto, una cartella o un'organizzazione specifici, elenca i binding dei criteri per quel progetto, quella cartella o quell'organizzazione.

La risorsa padre di un'associazione di policy dipende dall'entità impostata nell'associazione di policy. Per saperne di più, vedi Tipi di entità supportati.

Puoi visualizzare tutti i binding dei criteri per un progetto, una cartella o un'organizzazione utilizzando gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud iam policy-bindings list elenca tutti i binding dei criteri che sono elementi secondari di una determinata risorsa.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore project, folder o organization

Il tipo di risorsa dipende dall'entità impostata nel binding della policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.
RESOURCE_ID: L'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

La risposta contiene i binding dei criteri figlio della risorsa nel comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

Il metodo policyBindings.list elenca tutti i binding dei criteri che sono elementi secondari di una determinata risorsa.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore projects, folders o organizations

Il tipo di risorsa dipende dall'entità impostata nel binding della policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.
RESOURCE_ID: L'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings" | Select-Object -Expand Content

La risposta contiene i binding delle policy che sono figli della risorsa nella richiesta.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Recupera un'associazione di policy per una policy di Principal Access Boundary

Per visualizzare i dettagli di una singola associazione policy, utilizza l'ID dell'associazione policy per recuperarla.

Puoi ottenere un binding dei criteri utilizzando gcloud CLI o l'API REST IAM.

gcloud

Il comando gcloud iam policy-bindings describe recupera un'associazione di policy.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

BINDING_ID: l'ID del binding della policy che vuoi recuperare, ad esempio example-binding.
RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore project, folder o organization

Il tipo di risorsa dipende dall'entità impostata nel binding della policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.
RESOURCE_ID: L'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

La risposta contiene l'associazione delle policy.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

Il metodo policyBindings.get recupera un'associazione di policy.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa Resource Manager (progetto, cartella o organizzazione) di cui l'associazione di criteri è un elemento secondario. Utilizza il valore projects, folders o organizations

Il tipo di risorsa dipende dall'entità impostata nel binding della policy. Per scoprire quale tipo di risorsa utilizzare, consulta Tipi di entità supportati.
RESOURCE_ID: L'ID del progetto, della cartella o dell'organizzazione di cui è figlio il binding della policy. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
BINDING_ID: l'ID del binding della policy che vuoi recuperare, ad esempio example-binding.

Metodo HTTP e URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

La risposta contiene l'associazione delle policy.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Visualizzare i criteri di Principal Access Boundary

Prima di iniziare

gcloud

REST

Ruoli richiesti per visualizzare le policy di Principal Access Boundary

Autorizzazioni obbligatorie

Ruoli necessari per visualizzare le associazioni delle policy

Autorizzazioni obbligatorie

Ruoli richiesti per visualizzare tutte le associazioni di policy per una policy di Principal Access Boundary

Ruoli richiesti per visualizzare le associazioni di policy per un set di entità

Autorizzazioni obbligatorie

Elenca le policy di Principal Access Boundary per un'organizzazione

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Recupera una singola policy di Principal Access Boundary

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Elenca le associazioni di policy per le policy di Principal Access Boundary

Elenca le associazioni di policy per una policy di Principal Access Boundary

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Elenca le associazioni di policy per un set di entità

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Elenca le associazioni di criteri per un progetto, una cartella o un'organizzazione

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Recupera un'associazione di policy per una policy di Principal Access Boundary

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Passaggi successivi