Conferir as políticas de limite de acesso principal

As políticas de limite de acesso principal (PAB) permitem limitar os recursos que um conjunto de principais pode acessar. Nesta página, explicamos como visualizar políticas de limite de acesso principal e vinculações de políticas para políticas de limite de acesso principal.

Antes de começar

Funções necessárias para visualizar políticas de limite de acesso de principal

Para receber as permissões necessárias para visualizar as políticas de limite de acesso de principal, peça ao administrador para conceder a você o papel do IAM de Leitor de limite de acesso de principal (roles/iam.principalAccessBoundaryViewer) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para visualizar políticas de limite de acesso de principal. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para visualizar políticas de limite de acesso de principal:

  • Ver uma única política de limite de acesso de principal: iam.principalaccessboundarypolicies.get
  • Liste as políticas de limite de acesso de principal em uma organização: iam.principalaccessboundarypolicies.list

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Funções necessárias para visualizar vinculações de políticas

Para ter as permissões necessárias para ver as vinculações de políticas, peça ao administrador para conceder a você os seguintes papéis do IAM no recurso pai das vinculações de políticas:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para ver as vinculações de política. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para conferir vinculações de políticas:

  • Ver uma única vinculação de política: iam.policybindings.get
  • Listar vinculações de política em um projeto, uma pasta ou uma organização: iam.policybindings.list

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Funções necessárias para ver todas as vinculações de políticas de uma política de limite de acesso de principal

Para receber a permissão necessária para visualizar todas as vinculações de políticas de limite de acesso de principal, peça ao administrador para conceder a você o papel do IAM de Leitor de limite de acesso de principal (roles/iam.principalAccessBoundaryViewer) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém a permissão iam.principalaccessboundarypolicies.searchIamPolicyBindings, necessária para visualizar todas as vinculações de políticas para uma política de limite de acesso de principal.

Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.

Funções necessárias para visualizar vinculações de políticas para um conjunto de principais

As permissões necessárias para conferir todas as vinculações de políticas de um conjunto de principais dependem do conjunto para o qual você quer ver as políticas.

Para ter as permissões necessárias para visualizar vinculações de políticas, peça ao administrador para conceder a você os seguintes papéis do IAM:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para ver as vinculações de política. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para conferir vinculações de políticas:

  • Confira as vinculações de políticas para pools da Federação de identidade da força de trabalho: iam.workforcePools.searchPolicyBindings no pool de federação de identidade da força de trabalho de destino
  • Confira as vinculações de políticas para pools de federação de identidade da carga de trabalho: iam.workloadIdentityPools.searchPolicyBindings no projeto que é proprietário do pool de federação da identidade de colaboradores de destino
  • Visualizar as vinculações de políticas de um domínio do Google Workspace: iam.workspacePools.searchPolicyBindings na organização
  • Confira as vinculações de políticas para o conjunto principal de um projeto: resourcemanager.projects.searchPolicyBindings no projeto
  • Confira as vinculações de políticas para o conjunto principal de uma pasta: resourcemanager.folders.searchPolicyBindings na pasta
  • Visualizar as vinculações de políticas para o conjunto principal de uma organização: resourcemanager.organizations.searchPolicyBindings na organização

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Listar políticas de limite de acesso principal de uma organização

Para conferir todas as políticas de limite de acesso de principal criadas em uma organização, liste as políticas de limite de acesso de principal na organização.

É possível listar as políticas de limite de acesso principal em uma organização usando o consoleTrusted Cloud , a CLI gcloud ou a API REST do IAM.

Console

  1. No console Trusted Cloud , acesse a página Políticas de limite de acesso de principal.

    Acesse as políticas de limite de acesso de principal

  2. Selecione a organização para a qual você quer criar políticas de limite de acesso de principal.

O console Trusted Cloud lista todas as políticas na organização que você selecionar.

gcloud

O comando gcloud iam principal-access-boundary-policies list lista todas as políticas de limite de acesso de principal em uma organização.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORG_ID: o ID da organização Trusted Cloud by S3NS para a qual você quer listar políticas de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
  • FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

A resposta contém as políticas de limite de acesso de principal na organização especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

O método principalAccessBoundaryPolicies.list lista todas as políticas de limite de acesso de principal em uma organização.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORG_ID: o ID da organização Trusted Cloud by S3NS para a qual você quer listar políticas de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.

Método HTTP e URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

Para enviar a solicitação, expanda uma destas opções:

A resposta contém as políticas de limite de acesso de principal na organização especificada.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

Receber uma única política de limite de acesso principal

Para conferir os detalhes de uma única política de limite de acesso de principal, use o ID dela para acessar a política.

É possível receber uma política de limite de acesso principal usando o console Trusted Cloud , a CLI gcloud ou a API REST do IAM.

Console

  1. No console Trusted Cloud , acesse a página Políticas de limite de acesso de principal.

    Acesse as políticas de limite de acesso de principal

  2. Selecione a organização para a qual você quer criar políticas de limite de acesso de principal.

  3. Clique no ID da política de limite de acesso de principal que você quer ver.

O console Trusted Cloud mostra os detalhes da política de limite de acesso de principal que você selecionou.

gcloud

O comando gcloud iam principal-access-boundary-policies describe recebe uma única política de limite de acesso de principal.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • PAB_POLICY_ID: o ID da política de limite de acesso de principal que você quer receber, por exemplo, example-policy.
  • ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
  • FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

A resposta contém a política de limite de acesso principal especificada na solicitação.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

O método principalAccessBoundaryPolicies.get recebe uma única política de limite de acesso de principal.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
  • PAB_POLICY_ID: o ID da política de limite de acesso de principal que você quer receber, por exemplo, example-policy.

Método HTTP e URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

Para enviar a solicitação, expanda uma destas opções:

A resposta contém a política de limite de acesso principal especificada na solicitação.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

Listar vinculações de políticas para políticas de limite de acesso principal

Há várias maneiras de listar as vinculações de políticas para políticas de limite de acesso principal:

Listar vinculações de políticas para uma política de limite de acesso principal

Para conferir todas as vinculações de políticas que incluem uma determinada política de limite de acesso principal, pesquise as vinculações da política de limite de acesso principal.

É possível conferir todas as vinculações de política para uma política de limite de acesso principal usando o console doTrusted Cloud , a CLI gcloud ou a API REST do IAM.

Console

  1. No console Trusted Cloud , acesse a página Políticas de limite de acesso de principal.

    Acesse as políticas de limite de acesso de principal

  2. Selecione a organização que tem a política de limite de acesso de principal para a qual você quer ver as vinculações.

  3. Clique no ID da política de limite de acesso de principal para conferir as vinculações.

  4. Clique na guia Vinculações.

A guia Vinculações lista todas as vinculações de políticas de limite de acesso de principal que incluem a política de limite de acesso de principal.

gcloud

O comando gcloud iam principal-access-boundary-policies search-policy-bindings lista todas as vinculações de políticas para a política de limite de acesso de principal especificada.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • PAB_POLICY_ID: o ID da política de limite de acesso de principal para que você quer listar vinculações de política, por exemplo, example-policy.
  • ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
  • FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

A resposta contém as vinculações de políticas para a política de limite de acesso principal especificada.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

O método principalAccessBoundaryPolicies.searchPolicyBindings lista todas as vinculações de políticas para a política de limite de acesso de principal especificada.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORG_ID: o ID da organização proprietária da política de limite de acesso de principal. Os códigos da organização são numéricos, como 123456789012.
  • PAB_POLICY_ID: o ID da política de limite de acesso de principal para que você quer listar vinculações de política, por exemplo, example-policy.

Método HTTP e URL: 

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

Para enviar a solicitação, expanda uma destas opções:

A resposta contém as vinculações de políticas para a política de limite de acesso principal especificada.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Listar vinculações de política para um conjunto de principais

Para conferir todas as vinculações de políticas que incluem um determinado conjunto de principais, pesquise as vinculações do conjunto.

Essas vinculações contêm os IDs das políticas de limite de acesso de principal vinculadas ao conjunto de principais. Para conferir os detalhes dessas políticas, use o ID para receber a política de limite de acesso principal.

É possível conferir todas as vinculações de política de um conjunto de principais usando a CLI gcloud ou a API REST do IAM.

gcloud

O comando gcloud iam policy-bindings search-target-policy-bindings recebe todas as políticas de limite de acesso de principal vinculadas a um conjunto de principais.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual o conjunto de principais de destino é filho. Use o valor project, folder ou organization

    O tipo de recurso depende do tipo de conjunto principal para o qual você quer listar as vinculações de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que o conjunto principal de destino é filho. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • PRINCIPAL_SET: o conjunto de principais cujas vinculações de política de limite de acesso de principal você quer visualizar. Para uma lista de tipos de principais válidos, consulte Conjuntos de principais compatíveis.
  • FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

A resposta contém todas as vinculações de política associadas ao conjunto de principais de destino.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

O método SearchTargetPolicyBindings.search recebe todas as políticas de limite de acesso de principal vinculadas a um conjunto de principais.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual o conjunto de principais de destino é filho. Use o valor projects, folders ou organizations

    O tipo de recurso depende do tipo de conjunto principal para o qual você quer listar as vinculações de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que o conjunto principal de destino é filho. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.

  • PRINCIPAL_SET: o conjunto de principais cujas vinculações de política de limite de acesso de principal você quer visualizar. Para uma lista de tipos de principais válidos, consulte Conjuntos de principais compatíveis.

Método HTTP e URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

Para enviar a solicitação, expanda uma destas opções:

A resposta contém todas as vinculações de política associadas ao conjunto de principais de destino.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

Listar vinculações de política para um projeto, uma pasta ou uma organização

Para conferir todas as vinculações de políticas que são filhas de um projeto, pasta ou organização específica, liste as vinculações de políticas desse projeto, pasta ou organização.

O recurso pai de uma vinculação de política depende do conjunto principal na vinculação de política. Para saber mais, consulte Tipos principais compatíveis.

É possível conferir todas as vinculações de política de um projeto, uma pasta ou uma organização usando a CLI gcloud ou a API REST do IAM.

gcloud

O comando gcloud iam policy-bindings list lista todas as vinculações de política que são filhas de um determinado recurso.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor project, folder ou organization

    O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

A resposta contém as vinculações de política que são filhas do recurso no comando.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

O método policyBindings.list lista todas as vinculações de política que são filhas de um determinado recurso.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor projects, folders ou organizations

    O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.

Método HTTP e URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

Para enviar a solicitação, expanda uma destas opções:

A resposta contém as vinculações de política que são filhas do recurso na solicitação.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

Receber uma vinculação de política para uma política de limite de acesso principal

Para conferir os detalhes de uma única vinculação de política, use o ID dela para acessar a vinculação.

É possível receber uma vinculação de política usando a CLI gcloud ou a API REST do IAM.

gcloud

O comando gcloud iam policy-bindings describe recebe uma vinculação de política.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • BINDING_ID: o ID da vinculação de política que você quer receber como, por exemplo, example-binding.

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor project, folder ou organization

    O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • FORMAT: o formato da resposta. Use json ou yaml.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

A resposta contém a vinculação de política.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

O método policyBindings.get recebe uma vinculação de política.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso do Resource Manager (projeto, pasta ou organização) do qual a vinculação de políticas é filha. Use o valor projects, folders ou organizations

    O tipo de recurso depende do principal definido na vinculação de políticas. Para saber qual tipo de recurso usar, consulte Tipos de principais aceitos.

  • RESOURCE_ID: o ID do projeto, da pasta ou da organização de que a vinculação de políticas é filha. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • BINDING_ID: o ID da vinculação de política que você quer receber como, por exemplo, example-binding.

Método HTTP e URL: 

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

Para enviar a solicitação, expanda uma destas opções:

A resposta contém a vinculação de política.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

A seguir