주 구성원 액세스 경계(PAB) 정책을 사용하면 주 구성원 집합이 액세스할 수 있는 리소스를 제한할 수 있습니다. 이 페이지에서는 주 구성원 액세스 경계 정책 및 주 구성원 액세스 경계 정책의 정책 바인딩을 보는 방법을 설명합니다.
시작하기 전에
인증을 설정합니다.
Select the tab for how you plan to use the samples on this page:
gcloud
Google Cloud CLI를 설치한 후 제휴 ID로 gcloud CLI에 로그인합니다. 로그인한 후 다음 명령어를 실행하여 Google Cloud CLI를 초기화합니다.
gcloud initREST
로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공한 사용자 인증 정보를 사용합니다.
Google Cloud CLI를 설치한 후 제휴 ID로 gcloud CLI에 로그인합니다. 로그인한 후 다음 명령어를 실행하여 Google Cloud CLI를 초기화합니다.
gcloud init자세한 내용은 Trusted Cloud 인증 문서의 REST 사용을 위한 인증을 참조하세요.
주 구성원 액세스 경계 정책 개요를 읽어 보세요.
주 구성원 액세스 경계 정책을 보는 데 필요한 역할
주 구성원 액세스 경계 정책을 보는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 주 구성원 액세스 경계 뷰어(
roles/iam.principalAccessBoundaryViewer) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.이 사전 정의된 역할에는 주 구성원 액세스 경계 정책을 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
주 구성원 액세스 경계 정책을 보려면 다음 권한이 필요합니다.
-
단일 주 구성원 액세스 경계 정책 보기:
iam.principalaccessboundarypolicies.get -
조직의 주 구성원 액세스 경계 정책 나열:
iam.principalaccessboundarypolicies.list
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
정책 바인딩을 보는 데 필요한 역할
정책 결합을 보는 데 필요한 권한을 얻으려면 관리자에게 정책 결합의 상위 리소스에 다음 IAM 역할을 부여해 달라고 요청하세요.
- 프로젝트에서 정책 바인딩 보기:
프로젝트 IAM 관리자(
roles/resourcemanager.projectIamAdmin) - 폴더에서 정책 바인딩 보기:
폴더 IAM 관리자(
roles/resourcemanager.folderIamAdmin) -
조직에서 정책 바인딩 보기:
조직 관리자(
roles/resourcemanager.organizationAdmin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 정책 바인딩을 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
정책 바인딩을 보려면 다음 권한이 필요합니다.
-
단일 정책 바인딩 보기:
iam.policybindings.get -
프로젝트, 폴더 또는 조직의 정책 바인딩 나열:
iam.policybindings.list
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
주 구성원 액세스 경계 정책의 모든 정책 바인딩을 보는 데 필요한 역할
주 구성원 액세스 경계 정책의 모든 정책 바인딩을 보는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 주 구성원 액세스 경계 뷰어(
roles/iam.principalAccessBoundaryViewer) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.이 사전 정의된 역할에는 주 구성원 액세스 경계 정책의 모든 정책 바인딩을 보는 데 필요한
iam.principalaccessboundarypolicies.searchIamPolicyBindings권한이 포함되어 있습니다.커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
주 구성원 집합의 정책 바인딩을 보는 데 필요한 역할
주 구성원 집합의 모든 정책 바인딩을 보려면 필요한 권한은 정책을 보려는 주 구성원 집합에 따라 다릅니다.
정책 결합을 보는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.
-
직원 ID 제휴 풀의 정책 바인딩 보기:
대상 직원 ID 제휴 풀의 IAM 직원 풀 관리자(
roles/iam.workforcePoolAdmin) - 워크로드 아이덴티티 제휴 풀의 정책 바인딩 보기:
대상 직원 ID 제휴 풀을 소유한 프로젝트의 IAM 워크로드 아이덴티티 풀 관리자(
roles/iam.workloadIdentityPoolAdmin) - Google Workspace 도메인의 정책 바인딩 보기:
작업공간 풀 IAM 관리자(
roles/iam.workspacePoolAdmin) - 프로젝트의 주 구성원 집합에 대한 정책 바인딩 보기:
프로젝트의 프로젝트 IAM 관리자(
roles/resourcemanager.projectIamAdmin) - 폴더의 주 구성원 집합에 대한 정책 바인딩 보기:
폴더의 폴더 IAM 관리자(
roles/resourcemanager.folderIamAdmin) - 조직의 주 구성원 집합에 대한 정책 바인딩 보기:
조직 관리자(
roles/resourcemanager.organizationAdmin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 정책 바인딩을 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
정책 바인딩을 보려면 다음 권한이 필요합니다.
-
직원 ID 제휴 풀의 정책 바인딩 보기:
iam.workforcePools.searchPolicyBindings대상 직원 ID 제휴 풀 -
워크로드 아이덴티티 제휴 풀의 정책 바인딩 보기:
대상 직원 ID 제휴 풀을 소유한 프로젝트의
iam.workloadIdentityPools.searchPolicyBindings -
Google Workspace 도메인의 정책 바인딩 보기: 조직의
iam.workspacePools.searchPolicyBindings -
프로젝트의 주 구성원 집합에 대한 정책 바인딩 보기: 프로젝트의
resourcemanager.projects.searchPolicyBindings권한 -
폴더의 주 구성원 집합에 대한 정책 바인딩 보기: 폴더의
resourcemanager.folders.searchPolicyBindings -
조직의 주 구성원 집합에 대한 정책 바인딩 보기: 조직의
resourcemanager.organizations.searchPolicyBindings
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
조직의 주 구성원 액세스 경계 정책 나열
조직에서 만든 모든 주 구성원 액세스 경계 정책을 보려면 조직의 주 구성원 액세스 경계 정책을 나열합니다.
Trusted Cloud 콘솔, gcloud CLI 또는 IAM REST API를 사용하여 조직의 주 구성원 액세스 경계 정책을 나열할 수 있습니다.
콘솔
Trusted Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.
주 구성원 액세스 경계 정책을 만들려는 조직을 선택합니다.
Trusted Cloud 콘솔에 선택한 조직의 모든 정책이 표시됩니다.
gcloud
gcloud iam principal-access-boundary-policies list명령어는 조직의 모든 주 구성원 액세스 경계 정책을 나열합니다.아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
ORG_ID: 주 구성원 액세스 경계 정책을 나열할 Trusted Cloud by S3NS 조직의 ID입니다. 조직 ID는123456789012같은 숫자입니다. FORMAT: 응답 형식입니다.json또는yaml을 사용합니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud iam principal-access-boundary-policies list --organization=ORG_ID \ --location=global --format=FORMAT
Windows(PowerShell)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ` --location=global --format=FORMAT
Windows(cmd.exe)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^ --location=global --format=FORMAT
응답에는 지정된 조직의 주 구성원 액세스 경계 정책이 포함됩니다.
{ "principalAccessBoundaryPolicies": [ { "createTime": "2024-05-07T00:05:48.295209Z", "details": [ "enforcementVersion": 1, "rules": { [ "description": "Make principals eligible to access resources in example.com", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" } ] } ], "displayName": "Example policy 1", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1", "uid": "puid_13364150419245236225", "updateTime": "2024-05-07T00:05:48.295209Z" }, { "createTime": "2024-02-29T23:25:01.606730Z", "details": [ "enforcementVersion": 1, "rules": { [ "description": "Make principals eligible to access resources in example-project", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/projects/example-project" } ] } ], "displayName": "Example policy 2", "etag": "d6BJBTsk2+oDCygmr5ANxA==", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2", "uid": "puid_13064942519001808897", "updateTime": "2024-02-29T23:25:01.606730Z" } ] }REST
principalAccessBoundaryPolicies.list메서드는 조직의 모든 주 구성원 액세스 경계 정책을 나열합니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
ORG_ID: 주 구성원 액세스 경계 정책을 나열할 Trusted Cloud by S3NS 조직의 ID입니다. 조직 ID는123456789012같은 숫자입니다.
HTTP 메서드 및 URL:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 지정된 조직의 주 구성원 액세스 경계 정책이 포함됩니다.
{ "principalAccessBoundaryPolicies": [ { "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1", "uid": "puid_13364150419245236225", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "displayName": "Example policy 1", "createTime": "2024-05-07T00:05:48.295209Z", "updateTime": "2024-05-07T00:05:48.295209Z", "details": [ "rules": { [ "description": "Make principals eligible to access resources in example.com", "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "effect": ALLOW ] }, "enforcementVersion": 1, ] }, { "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2", "uid": "puid_13064942519001808897", "etag": "d6BJBTsk2+oDCygmr5ANxA==", "displayName": "Example policy 2", "createTime": "2024-02-29T23:25:01.606730Z", "updateTime": "2024-02-29T23:25:01.606730Z", "details": [ "rules": { [ "description": "Make principals eligible to access resources in example-project", "resources": { "//cloudresourcemanager.googleapis.com/projects/example-project" }, "effect": ALLOW ] }, "enforcementVersion": 1 ] } ] }단일 주 구성원 액세스 경계 정책 가져오기
단일 주 구성원 액세스 경계 정책의 세부정보를 보려면 정책의 ID를 사용하여 정책을 가져옵니다.
Trusted Cloud 콘솔, gcloud CLI 또는 IAM REST API를 사용하여 주 구성원 액세스 경계 정책을 가져올 수 있습니다.
콘솔
Trusted Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.
주 구성원 액세스 경계 정책을 만들려는 조직을 선택합니다.
확인하려는 주 구성원 액세스 경계 정책의 정책 ID를 클릭합니다.
Trusted Cloud 콘솔에 선택한 주 구성원 액세스 경계 정책의 세부정보가 표시됩니다.
gcloud
gcloud iam principal-access-boundary-policies describe명령어는 단일 주 구성원 액세스 경계 정책을 가져옵니다.아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
PAB_POLICY_ID: 가져오려는 주 구성원 액세스 경계 정책의 ID입니다(예:example-policy). ORG_ID: 주 구성원 액세스 경계 정책을 소유하는 조직의 ID입니다. 조직 ID는123456789012와 같은 숫자입니다.FORMAT: 응답 형식입니다.json또는yaml을 사용합니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows(PowerShell)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows(cmd.exe)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
응답에는 요청에 지정된 주 구성원 액세스 경계 정책이 포함됩니다.
{ "createTime": "2024-05-07T00:05:48.295209Z", "details": [ "enforcementVersion": "1", "rules": { [ "description": "Make principals eligible to access example.com", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" } ] }, ], "displayName": "Example policy", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy", "uid": "puid_13364150419245236225", "updateTime": "2024-05-07T00:05:48.295209Z" }REST
principalAccessBoundaryPolicies.get메서드는 단일 주 구성원 액세스 경계 정책을 가져옵니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
ORG_ID: 주 구성원 액세스 경계 정책을 소유하는 조직의 ID입니다. 조직 ID는123456789012와 같은 숫자입니다.-
PAB_POLICY_ID: 가져오려는 주 구성원 액세스 경계 정책의 ID입니다(예:example-policy).
HTTP 메서드 및 URL:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 요청에 지정된 주 구성원 액세스 경계 정책이 포함됩니다.
{ "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy", "uid": "puid_13364150419245236225", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "displayName": "Example policy", "createTime": "2024-05-07T00:05:48.295209Z", "updateTime": "2024-05-07T00:05:48.295209Z", "details": [ "rules": { [ "description": "Make principals eligible to access example.com" "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "effect": ALLOW ] }, "enforcementVersion": "1" ] }주 구성원 액세스 경계 정책의 정책 바인딩 나열
주 구성원 액세스 경계 정책의 정책 바인딩을 나열하는 방법에는 여러 가지가 있습니다.
주 구성원 액세스 경계 정책의 정책 바인딩 나열
특정 주 구성원 액세스 경계 정책이 포함된 모든 정책 바인딩을 보려면 주 구성원 액세스 경계 정책의 바인딩을 검색합니다.
Trusted Cloud 콘솔, gcloud CLI 또는 IAM REST API를 사용하여 주 구성원 액세스 경계 정책의 모든 정책 결합을 볼 수 있습니다.
콘솔
Trusted Cloud 콘솔에서 주 구성원 액세스 경계 정책 페이지로 이동합니다.
바인딩을 보려는 주 구성원 액세스 경계 정책을 소유한 조직을 선택합니다.
바인딩을 보려는 주 구성원 액세스 경계 정책의 정책 ID를 클릭합니다.
바인딩 탭을 클릭합니다.
바인딩 탭에는 주 구성원 액세스 경계 정책을 포함하는 모든 주 구성원 액세스 경계 정책 바인딩이 나열됩니다.
gcloud
gcloud iam principal-access-boundary-policies search-policy-bindings명령어는 지정된 주 구성원 액세스 경계 정책의 모든 정책 바인딩을 나열합니다.아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
PAB_POLICY_ID: 정책 바인딩을 나열하려는 주 구성원 액세스 경계 정책의 ID입니다(예:example-policy). ORG_ID: 주 구성원 액세스 경계 정책을 소유하는 조직의 ID입니다. 조직 ID는123456789012와 같은 숫자입니다.FORMAT: 응답 형식입니다.json또는yaml을 사용합니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows(PowerShell)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows(cmd.exe)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
응답에는 지정된 주 구성원 액세스 경계 정책의 정책 바인딩이 포함됩니다.
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "createTime": "2024-05-07T07:05:06.203861Z", "displayName": "Example binding 2", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }REST
principalAccessBoundaryPolicies.searchPolicyBindings메서드는 지정된 주 구성원 액세스 경계 정책의 모든 정책 바인딩을 나열합니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
ORG_ID: 주 구성원 액세스 경계 정책을 소유하는 조직의 ID입니다. 조직 ID는123456789012와 같은 숫자입니다.-
PAB_POLICY_ID: 정책 바인딩을 나열하려는 주 구성원 액세스 경계 정책의 ID입니다(예:example-policy).
HTTP 메서드 및 URL:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 지정된 주 구성원 액세스 경계 정책의 정책 바인딩이 포함됩니다.
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "uid": "buid_4331055466646863873", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-07T07:05:06.203861Z", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }주 구성원 집합의 정책 바인딩 나열
특정 주 구성원 집합이 포함된 모든 정책 바인딩을 보려면 주 구성원 집합의 바인딩을 검색합니다.
이러한 바인딩에는 주 구성원 집합에 바인딩된 주 구성원 액세스 경계 정책의 ID가 포함됩니다. 이러한 정책의 세부정보를 보려면 정책 ID를 사용하여 주 구성원 액세스 경계 정책을 가져옵니다.
gcloud CLI 또는 IAM REST API를 사용하여 주 구성원 집합의 모든 정책 바인딩을 볼 수 있습니다.
gcloud
gcloud iam policy-bindings search-target-policy-bindings명령어는 주 구성원 집합에 바인딩된 모든 주 구성원 액세스 경계 정책을 가져옵니다.아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 대상 주 구성원 집합이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다.project,folder또는organization값을 사용합니다.리소스 유형은 정책 바인딩을 나열하려는 주 구성원 집합의 유형에 따라 다릅니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.
RESOURCE_ID: 대상 주 구성원 인증 정보 집합이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는123456789012와 같은 숫자입니다.-
PRINCIPAL_SET: 주 구성원 액세스 경계 정책 바인딩을 보려는 주 구성원 집합입니다. 유효한 주 구성원 유형 목록은 지원되는 주 구성원 집합을 참조하세요. FORMAT: 응답 형식입니다.json또는yaml을 사용합니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud iam policy-bindings search-target-policy-bindings \ --RESOURCE_TYPE=RESOURCE_ID \ --target=PRINCPAL_SET \ --format=FORMAT
Windows(PowerShell)
gcloud iam policy-bindings search-target-policy-bindings ` --RESOURCE_TYPE=RESOURCE_ID ` --target=PRINCPAL_SET ` --format=FORMAT
Windows(cmd.exe)
gcloud iam policy-bindings search-target-policy-bindings ^ --RESOURCE_TYPE=RESOURCE_ID ^ --target=PRINCPAL_SET ^ --format=FORMAT
응답에는 대상 주 구성원 집합에 바인딩된 모든 정책 바인딩이 포함됩니다.
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:11:16.798841Z" }, { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 2", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_10358560617928851457", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-06T18:11:16.798841Z" } ] }REST
SearchTargetPolicyBindings.search메서드는 주 구성원 집합에 바인딩된 모든 주 구성원 액세스 경계 정책을 가져옵니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 대상 주 구성원 집합이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다.projects,folders또는organizations값을 사용합니다.리소스 유형은 정책 바인딩을 나열하려는 주 구성원 집합의 유형에 따라 다릅니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.
RESOURCE_ID: 대상 주 구성원 인증 정보 집합이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는123456789012와 같은 숫자입니다.-
PRINCIPAL_SET: 주 구성원 액세스 경계 정책 바인딩을 보려는 주 구성원 집합입니다. 유효한 주 구성원 유형 목록은 지원되는 주 구성원 집합을 참조하세요.
HTTP 메서드 및 URL:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 대상 주 구성원 집합에 바인딩된 모든 정책 바인딩이 포함됩니다.
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:11:16.798841Z", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "uid": "buid_4331055466646863873", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:11:16.798841Z", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_10358560617928851457" } ] }프로젝트, 폴더 또는 조직의 정책 바인딩 나열
특정 프로젝트, 폴더 또는 조직의 하위 요소인 모든 정책 바인딩을 보려면 해당 프로젝트, 폴더 또는 조직의 정책 바인딩을 나열합니다.
정책 바인딩의 상위 리소스는 정책 바인딩에 설정된 주 구성원에 따라 다릅니다. 자세한 내용은 지원되는 주 구성원 유형을 참조하세요.
gcloud CLI 또는 IAM REST API를 사용하여 프로젝트, 폴더 또는 조직의 모든 정책 바인딩을 볼 수 있습니다.
gcloud
gcloud iam policy-bindings list명령어는 특정 리소스의 하위 요소인 모든 정책 바인딩을 나열합니다.아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 정책 바인딩이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다.project,folder또는organization값을 사용합니다.리소스 유형은 정책 바인딩의 주 구성원 집합에 따라 달라집니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.
RESOURCE_ID: 정책 바인딩이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는123456789012와 같은 숫자입니다.FORMAT: 응답 형식입니다.json또는yaml을 사용합니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --format=FORMAT
Windows(PowerShell)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ` --location=global ` --format=FORMAT
Windows(cmd.exe)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^ --location=global ^ --format=FORMAT
응답에는 명령어의 리소스의 하위 요소인 정책 바인딩이 포함됩니다.
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "createTime": "2024-05-07T07:05:06.203861Z", "displayName": "Example binding 2", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_1566408245394800641", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }REST
policyBindings.list메서드는 특정 리소스의 하위 요소인 모든 정책 바인딩을 나열합니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 정책 바인딩이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다.projects,folders또는organizations값을 사용합니다.리소스 유형은 정책 바인딩의 주 구성원 집합에 따라 달라집니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.
RESOURCE_ID: 정책 바인딩이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는123456789012와 같은 숫자입니다.
HTTP 메서드 및 URL:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 요청의 리소스의 하위 요소인 정책 바인딩이 포함됩니다.
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2", "uid": "buid_4331055466646863873", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2", "policyUid": "puid_1566408245394800641", "createTime": "2024-05-07T07:05:06.203861Z", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }주 구성원 액세스 경계 정책의 정책 바인딩 가져오기
단일 정책 바인딩의 세부정보를 보려면 정책 바인딩의 ID를 사용하여 정책 바인딩을 가져옵니다.
gcloud CLI 또는 IAM REST API를 사용하여 정책 바인딩을 가져올 수 있습니다.
gcloud
gcloud iam policy-bindings describe명령어는 정책 바인딩을 가져옵니다.아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
BINDING_ID: 가져오려는 정책 바인딩의 ID입니다(예:example-binding). -
RESOURCE_TYPE: 정책 바인딩이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다.project,folder또는organization값을 사용합니다.리소스 유형은 정책 바인딩의 주 구성원 집합에 따라 달라집니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.
RESOURCE_ID: 정책 바인딩이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는123456789012와 같은 숫자입니다.FORMAT: 응답 형식입니다.json또는yaml을 사용합니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud iam policy-bindings describe BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global \ --format=FORMAT
Windows(PowerShell)
gcloud iam policy-bindings describe BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global ` --format=FORMAT
Windows(cmd.exe)
gcloud iam policy-bindings describe BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global ^ --format=FORMAT
응답에는 정책 바인딩이 포함됩니다.
{ "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }REST
policyBindings.get메서드는 정책 바인딩을 가져옵니다.요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 정책 바인딩이 하위 요소인 Resource Manager 리소스(프로젝트, 폴더 또는 조직)의 유형입니다.projects,folders또는organizations값을 사용합니다.리소스 유형은 정책 바인딩의 주 구성원 집합에 따라 달라집니다. 사용할 리소스 유형을 확인하려면 지원되는 주 구성원 유형을 참조하세요.
RESOURCE_ID: 정책 바인딩이 하위 요소인 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는123456789012와 같은 숫자입니다.-
BINDING_ID: 가져오려는 정책 바인딩의 ID입니다(예:example-binding).
HTTP 메서드 및 URL:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 정책 바인딩이 포함됩니다.
{ "name": "organizations/123456789012/locations/global/policyBindings/example-binding", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }다음 단계
달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.
최종 업데이트: 2025-08-20(UTC)
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["필요한 정보가 없음","missingTheInformationINeed","thumb-down"],["너무 복잡함/단계 수가 너무 많음","tooComplicatedTooManySteps","thumb-down"],["오래됨","outOfDate","thumb-down"],["번역 문제","translationIssue","thumb-down"],["샘플/코드 문제","samplesCodeIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-08-20(UTC)"],[[["Principal access boundary (PAB) policies allow you to restrict the resources that a specific set of principals can access, and this document explains how to view these policies and their corresponding policy bindings."],["To view principal access boundary policies, you must have the Principal Access Boundary Viewer role (`roles/iam.principalAccessBoundaryViewer`), or equivalent permissions, which allows you to view a single policy and list policies within an organization."],["Viewing policy bindings requires different IAM roles based on the parent resource, such as Project IAM Admin, Folder IAM Admin, or Organization Administrator, and specific roles are also needed to view bindings for Workforce or Workload Identity Federation pools, or Google Workspace domains."],["You can list all principal access boundary policies in an organization using the Google Cloud console, the gcloud CLI, or the IAM REST API, and you can also retrieve a single policy by its ID."],["Policy bindings for a principal access boundary policy or principal set can be viewed through the console, gcloud CLI, or REST API, offering flexibility in searching and listing bindings by policy, principal set, or the parent project, folder, or organization."]]],[]]