Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Veja as políticas de limite de acesso principal

As políticas de limite de acesso principal (PAB) permitem limitar os recursos aos quais um conjunto de principais é elegível para aceder. Esta página explica como ver as políticas de limite de acesso principal e as associações de políticas para políticas de limite de acesso principal.

Antes de começar

Configurar autenticação.

Select the tab for how you plan to use the samples on this page:
gcloud

Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:
```
gcloud init
```
REST

Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.
Para mais informações, consulte o artigo Autenticar para usar REST na Cloud de Confiance documentação de autenticação.
Leia a vista geral das políticas de limite de acesso principal.

Funções necessárias para ver as políticas de limite de acesso principal

Para receber as autorizações de que precisa para ver as políticas de limite de acesso principal, peça ao seu administrador para lhe conceder a função de IAM Visualizador do limite de acesso principal (roles/iam.principalAccessBoundaryViewer) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém as autorizações necessárias para ver as políticas de limite de acesso principal. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para ver políticas de limite de acesso principal:

Ver uma única política de limite de acesso principal: iam.principalaccessboundarypolicies.get
Liste as políticas de limite de acesso principal numa organização: iam.principalaccessboundarypolicies.list

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Funções necessárias para ver associações de políticas

Para receber as autorizações de que precisa para ver as associações de políticas, peça ao seu administrador que lhe conceda as seguintes funções do IAM no recurso principal das associações de políticas:

Veja as associações de políticas num projeto: Administrador de IAM de projetos (roles/resourcemanager.projectIamAdmin)
Ver associações de políticas numa pasta: Administrador de IAM de pastas (roles/resourcemanager.folderIamAdmin)
Ver associações de políticas numa organização: Administrador da organização (roles/resourcemanager.organizationAdmin)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para ver associações de políticas. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

As seguintes autorizações são necessárias para ver associações de políticas:

Veja uma única associação de políticas: iam.policybindings.get
Liste as associações de políticas num projeto, numa pasta ou numa organização: iam.policybindings.list

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Funções necessárias para ver todas as associações de políticas de uma política de limite de acesso principal

Para receber a autorização de que precisa para ver todas as associações de políticas de uma política de limite de acesso principal, peça ao seu administrador para lhe conceder a função do IAM Visualizador do limite de acesso principal (roles/iam.principalAccessBoundaryViewer) na organização. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém a autorização iam.principalaccessboundarypolicies.searchIamPolicyBindings , que é necessária para ver todas as associações de políticas para uma política de limite de acesso principal.

Também pode obter esta autorização com funções personalizadas ou outras funções predefinidas.

Funções necessárias para ver associações de políticas para um conjunto de entidades

As autorizações de que precisa para ver todas as associações de políticas de um conjunto de principais dependem do conjunto de principais para o qual quer ver as políticas.

Para receber as autorizações de que precisa para ver as associações de políticas, peça ao seu administrador que lhe conceda as seguintes funções de IAM:

Veja as associações de políticas para pools de federação de identidade da força de trabalho: Administrador do Workforce Pool do IAM (roles/iam.workforcePoolAdmin) no Workforce Identity Federation pool de destino
Veja as associações de políticas para Workload Identity Federation Pools: Administrador do Workload Identity Pool da IAM (roles/iam.workloadIdentityPoolAdmin) no projeto proprietário do Workforce Identity Federation Pool de destino
Veja as associações de políticas para um domínio do Google Workspace: Administrador de IAM do pool do Workspace (roles/iam.workspacePoolAdmin) na organização
Veja as associações de políticas para o conjunto de principais de um projeto: Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) no projeto
Veja as associações de políticas para o conjunto de principais de uma pasta: Administrador de IAM de pastas (roles/resourcemanager.folderIamAdmin) na pasta
Ver associações de políticas para o conjunto de principais de uma organização: Administrador da organização (roles/resourcemanager.organizationAdmin) na organização

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Autorizações necessárias

As seguintes autorizações são necessárias para ver associações de políticas:

Veja as associações de políticas para conjuntos da federação de identidade da força de trabalho: iam.workforcePools.searchPolicyBindings no conjunto da federação de identidade da força de trabalho de destino
Veja as associações de políticas para Workload Identity Federation pools: iam.workloadIdentityPools.searchPolicyBindings no projeto proprietário do Workforce Identity Federation pool de destino
Ver associações de políticas para um domínio do Google Workspace: iam.workspacePools.searchPolicyBindings na organização
Veja as associações de políticas para o conjunto de principais de um projeto: resourcemanager.projects.searchPolicyBindings no projeto
Veja as associações de políticas para o conjunto de principais de uma pasta: resourcemanager.folders.searchPolicyBindings na pasta
Veja as associações de políticas para um conjunto de principais de uma organização: resourcemanager.organizations.searchPolicyBindings na organização

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Liste as políticas de limite de acesso principal de uma organização

Para ver todas as políticas de limite de acesso principal criadas numa organização, liste as políticas de limite de acesso principal na organização.

Pode listar as políticas de limite de acesso principal numa organização através da Cloud de Confiance consola, da CLI gcloud ou da API REST IAM.

Consola

Na Cloud de Confiance consola, aceda à página Políticas de limites de acesso principal.

Aceda às políticas de limite de acesso principal
Selecione a organização para a qual quer criar políticas de limite de acesso principal.

A Cloud de Confiance consola lista todas as políticas na organização que selecionar.

gcloud

O comando gcloud iam principal-access-boundary-policies list lista todas as políticas de limite de acesso principal numa organização.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ORG_ID: o ID da Cloud de Confiance by S3NS organização para a qual quer listar as políticas de limite de acesso principal. Os IDs das organizações são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

A resposta contém as políticas de limite de acesso principal na organização especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

O método principalAccessBoundaryPolicies.list lista todas as políticas de limite de acesso principal numa organização.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

ORG_ID: o ID da Cloud de Confiance by S3NS organização para a qual quer listar as políticas de limite de acesso principal. Os IDs das organizações são numéricos, como 123456789012.

Método HTTP e URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies" | Select-Object -Expand Content

A resposta contém as políticas de limite de acesso principal na organização especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Obtenha uma política de limite de acesso de entidade principal única

Para ver os detalhes de uma única política de limite de acesso principal, use o ID da política para obter a política.

Pode obter uma política de limite de acesso principal através da Cloud de Confiance consola, da CLI gcloud ou da API REST IAM.

Consola

Na Cloud de Confiance consola, aceda à página Políticas de limites de acesso principal.

Aceda às políticas de limite de acesso principal
Selecione a organização para a qual quer criar políticas de limite de acesso principal.
Clique no ID da política de limite de acesso principal que quer ver.

A Cloud de Confiance consola mostra os detalhes da política de limite de acesso principal que selecionar.

gcloud

O comando gcloud iam principal-access-boundary-policies describe obtém uma única política de limite de acesso principal.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

PAB_POLICY_ID: o ID da política de limite de acesso principal que quer obter. Por exemplo, example-policy.
ORG_ID: o ID da organização proprietária da política de limite de acesso principal. Os IDs das organizações são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

A resposta contém a política de limite de acesso principal especificada no pedido.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

O método principalAccessBoundaryPolicies.get obtém uma única política de limite de acesso principal.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

ORG_ID: o ID da organização proprietária da política de limite de acesso principal. Os IDs das organizações são numéricos, como 123456789012.
PAB_POLICY_ID: o ID da política de limite de acesso principal que quer obter. Por exemplo, example-policy.

Método HTTP e URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" | Select-Object -Expand Content

A resposta contém a política de limite de acesso principal especificada no pedido.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Liste as associações de políticas para políticas de limites de acesso principais

Existem várias formas de listar as associações de políticas para políticas de limite de acesso principal:

Liste as associações de políticas para uma política de limite de acesso principal
Listar associações de políticas para um conjunto de principais
Apresente uma lista de associações de políticas para um projeto, uma pasta ou uma organização

Liste as associações de políticas para uma política de limite de acesso principal

Para ver todas as associações de políticas que incluem uma determinada política de limite de acesso principal, pesquise as associações da política de limite de acesso principal.

Pode ver todas as associações de políticas para uma política de limite de acesso principal através da Cloud de Confiance consola, da CLI gcloud ou da API REST IAM.

Consola

Na Cloud de Confiance consola, aceda à página Políticas de limites de acesso principal.

Aceda às políticas de limite de acesso principal
Selecione a organização proprietária da política de limite de acesso principal para a qual quer ver as associações.
Clique no ID da política de limite de acesso principal para a qual quer ver as associações.
Clique no separador Associações.

O separador Associações apresenta todas as associações de políticas de limites de acesso principais que incluem a política de limites de acesso principais.

gcloud

O comando gcloud iam principal-access-boundary-policies search-policy-bindings lista todas as associações de políticas para a política de limite de acesso principal especificada.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

PAB_POLICY_ID: o ID da política de limite de acesso principal para a qual quer listar associações de políticas, por exemplo, example-policy.
ORG_ID: o ID da organização proprietária da política de limite de acesso principal. Os IDs das organizações são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

A resposta contém as associações de políticas para a política de limite de acesso principal especificada.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

O método principalAccessBoundaryPolicies.searchPolicyBindings lista todas as associações de políticas para a política de limite de acesso principal especificada.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

ORG_ID: o ID da organização proprietária da política de limite de acesso principal. Os IDs das organizações são numéricos, como 123456789012.
PAB_POLICY_ID: o ID da política de limite de acesso principal para a qual quer listar associações de políticas, por exemplo, example-policy.

Método HTTP e URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings" | Select-Object -Expand Content

A resposta contém as associações de políticas para a política de limite de acesso principal especificada.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Liste as associações de políticas para um conjunto de entidades

Para ver todas as associações de políticas que incluem um determinado conjunto de principais, pesquise as associações do conjunto de principais.

Estas associações contêm os IDs das políticas de limite de acesso principal que estão associadas ao conjunto principal. Para ver os detalhes destas políticas, use o ID da política para obter a política de limite de acesso principal.

Pode ver todas as associações de políticas para um conjunto de principais através da CLI gcloud ou da API REST do IAM.

gcloud

O comando gcloud iam policy-bindings search-target-policy-bindings obtém todas as políticas de limite de acesso principais associadas a um conjunto principal.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual o conjunto de principais de destino é filho. Use o valor project, folder ou organization

O tipo de recurso depende do tipo de conjunto de entidades de segurança cujas associações de políticas quer listar. Para ver que tipo de recurso usar, consulte a secção Tipos de principais suportados.
RESOURCE_ID: o ID do projeto, da pasta ou da organização da qual o conjunto de principais de destino é filho. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
PRINCIPAL_SET: o conjunto de entidades cuja política de limite de acesso principal quer ver. Para ver uma lista dos tipos de principais válidos, consulte o artigo Conjuntos de principais suportados.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

A resposta contém todas as associações de políticas associadas ao conjunto de entidades de segurança principal de destino.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

O método SearchTargetPolicyBindings.search obtém todas as políticas de limite de acesso principal associadas a um conjunto principal.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual o conjunto de principais de destino é filho. Use o valor projects, folders ou organizations

O tipo de recurso depende do tipo de conjunto de entidades de segurança cujas associações de políticas quer listar. Para ver que tipo de recurso usar, consulte a secção Tipos de principais suportados.
RESOURCE_ID: o ID do projeto, da pasta ou da organização da qual o conjunto de principais de destino é filho. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
PRINCIPAL_SET: o conjunto de entidades cuja política de limite de acesso principal quer ver as associações. Para ver uma lista dos tipos de principais válidos, consulte o artigo Conjuntos de principais suportados.

Método HTTP e URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET" | Select-Object -Expand Content

A resposta contém todas as associações de políticas associadas ao conjunto de entidades de segurança principal de destino.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Liste as associações de políticas de um projeto, uma pasta ou uma organização

Para ver todas as associações de políticas que são secundárias de um projeto, uma pasta ou uma organização específicos, liste as associações de políticas desse projeto, pasta ou organização.

O recurso principal de uma associação de políticas depende do principal definido na associação de políticas. Para saber mais, consulte os tipos de principais suportados.

Pode ver todas as associações de políticas de um projeto, uma pasta ou uma organização através da CLI gcloud ou da API REST IAM.

gcloud

O comando gcloud iam policy-bindings list lista todas as associações de políticas que são elementos secundários de um determinado recurso.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a associação de políticas é filho. Use o valor project, folder ou organization

O tipo de recurso depende do principal definido na associação de políticas. Para ver que tipo de recurso usar, consulte Tipos de principais compatíveis.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a associação de políticas é filha. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

A resposta contém as associações de políticas que são filhos do recurso no comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

O método policyBindings.list apresenta todas as associações de políticas que são elementos secundários de um determinado recurso.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a associação de políticas é filho. Use o valor projects, folders ou organizations

O tipo de recurso depende do principal definido na associação de políticas. Para ver que tipo de recurso usar, consulte Tipos de principais compatíveis.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a associação de políticas é filha. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Método HTTP e URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings" | Select-Object -Expand Content

A resposta contém as associações de políticas que são filhos do recurso no pedido.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Obtenha uma associação de políticas para uma política de limite de acesso principal

Para ver os detalhes de uma única associação de políticas, use o ID da associação de políticas para obter a associação de políticas.

Pode obter uma associação de políticas através da CLI gcloud ou da API REST IAM.

gcloud

O comando gcloud iam policy-bindings describe obtém uma associação de políticas.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

BINDING_ID: O ID da associação de políticas que quer obter, por exemplo, example-binding.
RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a associação de políticas é filho. Use o valor project, folder ou organization

O tipo de recurso depende do principal definido na associação de políticas. Para ver que tipo de recurso usar, consulte Tipos de principais compatíveis.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a associação de políticas é filha. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

A resposta contém a associação de políticas.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

O método policyBindings.get obtém uma associação de políticas.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a associação de políticas é filho. Use o valor projects, folders ou organizations

O tipo de recurso depende do principal definido na associação de políticas. Para ver que tipo de recurso usar, consulte Tipos de principais compatíveis.
RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a associação de políticas é filha. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
BINDING_ID: O ID da associação de políticas que quer obter, por exemplo, example-binding.

Método HTTP e URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

A resposta contém a associação de políticas.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

Veja as políticas de limite de acesso principal

Antes de começar

gcloud

REST

Funções necessárias para ver as políticas de limite de acesso principal

Autorizações necessárias

Funções necessárias para ver associações de políticas

Autorizações necessárias

Funções necessárias para ver todas as associações de políticas de uma política de limite de acesso principal

Funções necessárias para ver associações de políticas para um conjunto de entidades

Autorizações necessárias

Liste as políticas de limite de acesso principal de uma organização

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Obtenha uma política de limite de acesso de entidade principal única

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Liste as associações de políticas para políticas de limites de acesso principais

Liste as associações de políticas para uma política de limite de acesso principal

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Liste as associações de políticas para um conjunto de entidades

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Liste as associações de políticas de um projeto, uma pasta ou uma organização

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Obtenha uma associação de políticas para uma política de limite de acesso principal

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

O que se segue?