主體存取邊界 (PAB) 政策可限制一組主體可存取的資源。本頁面說明如何查看主體存取邊界政策和政策繫結。
事前準備
設定驗證方法。
Select the tab for how you plan to use the samples on this page:
gcloud
安裝 Google Cloud CLI,然後 使用同盟身分登入 gcloud CLI。 登入後,執行下列指令初始化 Google Cloud CLI:
gcloud initREST
如要在本機開發環境中使用本頁的 REST API 範例,請使用您提供給 gcloud CLI 的憑證。
安裝 Google Cloud CLI,然後 使用同盟身分登入 gcloud CLI。 登入後,執行下列指令初始化 Google Cloud CLI:
gcloud init詳情請參閱 Trusted Cloud 驗證說明文件中的「Authenticate for using REST」。
閱讀主體存取邊界政策總覽。
查看主體存取邊界政策所需的角色
如要取得查看主體存取權範圍政策所需的權限,請要求管理員授予您機構的主體存取權範圍檢視者 (
roles/iam.principalAccessBoundaryViewer) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。這個預先定義的角色具備查看主體存取邊界政策所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要查看主體存取邊界政策,必須具備下列權限:
-
查看單一主體存取邊界政策:
iam.principalaccessboundarypolicies.get -
列出機構中的主體存取邊界政策:
iam.principalaccessboundarypolicies.list
查看政策繫結所需的角色
如要取得查看政策繫結所需的權限,請要求管理員在政策繫結的父項資源上,授予您下列 IAM 角色:
-
查看專案中的政策繫結:
專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) -
查看資料夾中的政策繫結:
資料夾 IAM 管理員 (
roles/resourcemanager.folderIamAdmin) -
查看機構中的政策繫結:
機構管理員 (
roles/resourcemanager.organizationAdmin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這些預先定義的角色具備查看政策繫結所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要查看政策繫結,必須具備下列權限:
-
查看單一政策繫結:
iam.policybindings.get -
列出專案、資料夾或機構中的政策繫結:
iam.policybindings.list
查看主體存取邊界政策所有政策繫結所需的角色
如要取得權限,查看主體存取權範圍政策的所有政策繫結,請要求管理員授予您機構的主體存取權範圍檢視者 (
roles/iam.principalAccessBoundaryViewer) 身分與存取權管理角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。這個預先定義的角色具備
iam.principalaccessboundarypolicies.searchIamPolicyBindings權限,可查看主體存取權範圍政策的所有政策繫結。查看主體組合政策繫結所需的角色
如要查看主體集的所有政策繫結,您必須具備的權限取決於要查看政策的主體集。
如要取得查看政策繫結所需的權限,請要求管理員授予下列 IAM 角色:
-
查看員工身分聯盟集區的政策繫結:
目標員工身分聯盟集區的「身分與存取權管理工作團隊集區管理員」 (
roles/iam.workforcePoolAdmin) -
查看 Workload Identity Federation 集區的政策繫結:
在擁有目標 Workforce Identity Federation 集區的專案中,身分與存取權管理 Workload Identity 集區管理員 (
roles/iam.workloadIdentityPoolAdmin) -
查看 Google Workspace 網域的政策繫結:
Workspace 集區 IAM 管理員 (
roles/iam.workspacePoolAdmin) 機構 -
查看專案主體組合的政策繫結:
專案的專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) -
查看資料夾主體集的政策繫結:
資料夾的資料夾 IAM 管理員 (
roles/resourcemanager.folderIamAdmin) -
查看機構主體集的政策繫結:
機構管理員 (
roles/resourcemanager.organizationAdmin) 機構
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這些預先定義的角色具備查看政策繫結所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要查看政策繫結,必須具備下列權限:
-
查看員工身分聯盟集區的政策繫結:
iam.workforcePools.searchPolicyBindings在目標員工身分聯盟集區上 -
查看 Workload Identity Federation 集區的政策繫結:
iam.workloadIdentityPools.searchPolicyBindings在擁有目標員工身分聯盟集區的專案中 -
查看 Google Workspace 網域的政策繫結:
iam.workspacePools.searchPolicyBindings在機構上 -
查看專案主體組合的政策繫結:
resourcemanager.projects.searchPolicyBindings在專案上 -
查看資料夾主體組合的政策繫結:
resourcemanager.folders.searchPolicyBindings在資料夾上 -
查看機構主體集的政策繫結:
resourcemanager.organizations.searchPolicyBindings在機構上
列出機構的主體存取邊界政策
如要查看機構中建立的所有主體存取邊界政策,請列出機構中的主體存取邊界政策。
您可以使用Trusted Cloud 主控台、gcloud CLI 或 IAM REST API,列出機構中的主體存取權界線政策。
控制台
前往 Trusted Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。
選取要建立主體存取權範圍政策的機構。
Trusted Cloud 控制台會列出您所選機構中的所有政策。
gcloud
gcloud iam principal-access-boundary-policies list指令會列出機構中的所有主體存取邊界政策。使用下列任何指令資料之前,請先替換以下項目:
-
ORG_ID:您要列出主體存取權界線政策的 Trusted Cloud by S3NS 機構 ID。機構 ID 為數字,例如123456789012。 FORMAT:回覆的格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies list --organization=ORG_ID \ --location=global --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ` --location=global --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^ --location=global --format=FORMAT
回應會包含指定機構中的主體存取邊界政策。
{ "principalAccessBoundaryPolicies": [ { "createTime": "2024-05-07T00:05:48.295209Z", "details": [ "enforcementVersion": 1, "rules": { [ "description": "Make principals eligible to access resources in example.com", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" } ] } ], "displayName": "Example policy 1", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1", "uid": "puid_13364150419245236225", "updateTime": "2024-05-07T00:05:48.295209Z" }, { "createTime": "2024-02-29T23:25:01.606730Z", "details": [ "enforcementVersion": 1, "rules": { [ "description": "Make principals eligible to access resources in example-project", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/projects/example-project" } ] } ], "displayName": "Example policy 2", "etag": "d6BJBTsk2+oDCygmr5ANxA==", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2", "uid": "puid_13064942519001808897", "updateTime": "2024-02-29T23:25:01.606730Z" } ] }REST
principalAccessBoundaryPolicies.list方法會列出機構中的所有主體存取邊界政策。使用任何要求資料之前,請先替換以下項目:
-
ORG_ID:您要列出主體存取權界線政策的 Trusted Cloud by S3NS 機構 ID。機構 ID 為數字,例如123456789012。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies
如要傳送要求,請展開以下其中一個選項:
回應會包含指定機構中的主體存取邊界政策。
{ "principalAccessBoundaryPolicies": [ { "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1", "uid": "puid_13364150419245236225", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "displayName": "Example policy 1", "createTime": "2024-05-07T00:05:48.295209Z", "updateTime": "2024-05-07T00:05:48.295209Z", "details": [ "rules": { [ "description": "Make principals eligible to access resources in example.com", "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "effect": ALLOW ] }, "enforcementVersion": 1, ] }, { "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2", "uid": "puid_13064942519001808897", "etag": "d6BJBTsk2+oDCygmr5ANxA==", "displayName": "Example policy 2", "createTime": "2024-02-29T23:25:01.606730Z", "updateTime": "2024-02-29T23:25:01.606730Z", "details": [ "rules": { [ "description": "Make principals eligible to access resources in example-project", "resources": { "//cloudresourcemanager.googleapis.com/projects/example-project" }, "effect": ALLOW ] }, "enforcementVersion": 1 ] } ] }取得單一主體存取邊界政策
如要查看單一主體存取邊界政策的詳細資料,請使用政策 ID 取得政策。
您可以使用 Trusted Cloud 控制台、gcloud CLI 或 IAM REST API 取得主體存取權界線政策。
控制台
前往 Trusted Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。
選取要建立主體存取權範圍政策的機構。
按一下要查看的主體存取邊界政策 ID。
控制台會顯示所選主體存取邊界政策的詳細資料。 Trusted Cloud
gcloud
gcloud iam principal-access-boundary-policies describe指令會取得單一主體存取邊界政策。使用下列任何指令資料之前,請先替換以下項目:
-
PAB_POLICY_ID:您要取得的主體存取邊界政策 ID,例如example-policy。 ORG_ID:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如123456789012。FORMAT:回覆的格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
回應會包含要求中指定的主體存取邊界政策。
{ "createTime": "2024-05-07T00:05:48.295209Z", "details": [ "enforcementVersion": "1", "rules": { [ "description": "Make principals eligible to access example.com", "effect": ALLOW, "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" } ] }, ], "displayName": "Example policy", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy", "uid": "puid_13364150419245236225", "updateTime": "2024-05-07T00:05:48.295209Z" }REST
principalAccessBoundaryPolicies.get方法會取得單一主體存取邊界政策。使用任何要求資料之前,請先替換以下項目:
ORG_ID:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如123456789012。-
PAB_POLICY_ID:您要取得的主體存取邊界政策 ID,例如example-policy。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID
如要傳送要求,請展開以下其中一個選項:
回應會包含要求中指定的主體存取邊界政策。
{ "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy", "uid": "puid_13364150419245236225", "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"", "displayName": "Example policy", "createTime": "2024-05-07T00:05:48.295209Z", "updateTime": "2024-05-07T00:05:48.295209Z", "details": [ "rules": { [ "description": "Make principals eligible to access example.com" "resources": { "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "effect": ALLOW ] }, "enforcementVersion": "1" ] }列出主體存取邊界政策的政策繫結
您可以透過多種方式列出主體存取邊界政策的政策繫結:
列出主體存取邊界政策的政策繫結
如要查看包含特定主體存取邊界政策的所有政策繫結,請搜尋該政策的繫結。
您可以使用Trusted Cloud 控制台、gcloud CLI 或 IAM REST API,查看主體存取權界線政策的所有政策繫結。
控制台
前往 Trusted Cloud 控制台的「Principal Access Boundary policies」(主體存取權界線政策) 頁面。
選取擁有您要查看繫結的主體存取權範圍政策的機構。
按一下要查看繫結的主體存取邊界政策 ID。
按一下「Bindings」(繫結) 分頁標籤。
「繫結」分頁會列出所有包含主體存取邊界政策的主體存取邊界政策繫結。
gcloud
gcloud iam principal-access-boundary-policies search-policy-bindings指令會列出指定主體存取邊界政策的所有政策繫結。使用下列任何指令資料之前,請先替換以下項目:
-
PAB_POLICY_ID:您要列出政策繫結的主體存取邊界政策 ID,例如example-policy。 ORG_ID:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如123456789012。FORMAT:回覆的格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
回應會包含指定主體存取邊界政策的政策繫結。
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "createTime": "2024-05-07T07:05:06.203861Z", "displayName": "Example binding 2", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }REST
principalAccessBoundaryPolicies.searchPolicyBindings方法會列出指定主體存取邊界政策的所有政策繫結。使用任何要求資料之前,請先替換以下項目:
ORG_ID:擁有主體存取權範圍政策的機構 ID。機構 ID 為數字,例如123456789012。-
PAB_POLICY_ID:您要列出政策繫結的主體存取邊界政策 ID,例如example-policy。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings
如要傳送要求,請展開以下其中一個選項:
回應會包含指定主體存取邊界政策的政策繫結。
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "uid": "buid_4331055466646863873", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-07T07:05:06.203861Z", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }列出主體組合的政策繫結
如要查看包含特定主體組合的所有政策繫結,請搜尋該主體組合的繫結。
這些繫結包含繫結至主體組合的主體存取邊界政策 ID。如要查看這些政策的詳細資料,請使用政策 ID 取得主體存取邊界政策。
您可以使用 gcloud CLI 或 IAM REST API,查看主體集的所有政策繫結。
gcloud
gcloud iam policy-bindings search-target-policy-bindings指令會取得繫結至主體組合的所有主體存取邊界政策。使用下列任何指令資料之前,請先替換以下項目:
-
RESOURCE_TYPE:目標主體集所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project、folder或organization值資源類型取決於您要列出政策繫結的主體組合類型。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:目標主體集所屬專案、資料夾或機構的 ID。專案 ID 為英數字元字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。-
PRINCIPAL_SET:您要查看主體存取邊界政策繫結的主體集。如需有效主體類型清單,請參閱「支援的主體集」。 FORMAT:回覆的格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings search-target-policy-bindings \ --RESOURCE_TYPE=RESOURCE_ID \ --target=PRINCPAL_SET \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings search-target-policy-bindings ` --RESOURCE_TYPE=RESOURCE_ID ` --target=PRINCPAL_SET ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings search-target-policy-bindings ^ --RESOURCE_TYPE=RESOURCE_ID ^ --target=PRINCPAL_SET ^ --format=FORMAT
回應會包含繫結至目標主體組合的所有政策繫結。
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:11:16.798841Z" }, { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 2", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_10358560617928851457", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-06T18:11:16.798841Z" } ] }REST
SearchTargetPolicyBindings.search方法會取得繫結至主體組合的所有主體存取邊界政策。使用任何要求資料之前,請先替換以下項目:
-
RESOURCE_TYPE:目標主體集所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects、folders或organizations值資源類型取決於您要列出政策繫結的主體組合類型。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:目標主體集所屬專案、資料夾或機構的 ID。專案 ID 為英數字元字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。-
PRINCIPAL_SET:您要查看主體存取邊界政策繫結的主體集。如需有效主體類型清單,請參閱「支援的主體集」。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET
如要傳送要求,請展開以下其中一個選項:
回應會包含繫結至目標主體組合的所有政策繫結。
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:11:16.798841Z", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding2", "uid": "buid_4331055466646863873", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:11:16.798841Z", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_10358560617928851457" } ] }列出專案、資料夾或機構的政策繫結
如要查看特定專案、資料夾或機構的所有子項政策繫結,請列出該專案、資料夾或機構的政策繫結。
政策繫結的父項資源取決於政策繫結中設定的主體。詳情請參閱「支援的主體類型」。
您可以使用 gcloud CLI 或 IAM REST API,查看專案、資料夾或機構的所有政策繫結。
gcloud
gcloud iam policy-bindings list指令會列出特定資源的所有子項政策繫結。使用下列任何指令資料之前,請先替換以下項目:
-
RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project、folder或organization值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。FORMAT:回覆的格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ` --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^ --location=global ^ --format=FORMAT
回應包含指令中資源的子項政策繫結。
{ "policyBindings": [ { "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding 1", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "createTime": "2024-05-07T07:05:06.203861Z", "displayName": "Example binding 2", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_1566408245394800641", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_4331055466646863873", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }REST
policyBindings.list方法會列出特定資源的所有子項政策繫結。使用任何要求資料之前,請先替換以下項目:
-
RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects、folders或organizations值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings
如要傳送要求,請展開以下其中一個選項:
回應包含要求中資源的子項政策繫結。
{ "policyBindings": [ { "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding 1", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }, { "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2", "uid": "buid_4331055466646863873", "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"", "displayName": "Example binding 2", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2", "policyUid": "puid_1566408245394800641", "createTime": "2024-05-07T07:05:06.203861Z", "updateTime": "2024-05-07T07:05:06.203861Z" } ] }取得主體存取邊界政策的政策繫結
如要查看單一政策繫結的詳細資料,請使用政策繫結的 ID 取得政策繫結。
您可以使用 gcloud CLI 或 IAM REST API 取得政策繫結。
gcloud
gcloud iam policy-bindings describe指令會取得政策繫結。使用下列任何指令資料之前,請先替換以下項目:
-
BINDING_ID:您要取得的政策繫結 ID,例如example-binding。 -
RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project、folder或organization值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。FORMAT:回覆的格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings describe BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings describe BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings describe BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global ^ --format=FORMAT
回應會包含政策繫結。
{ "createTime": "2024-05-06T18:08:24.729843Z", "displayName": "Example binding", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "name": "organizations/123456789012/locations/global/policyBindings/example-binding", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policyUid": "puid_9519202237377675265", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "uid": "buid_9904260005517852673", "updateTime": "2024-05-06T18:08:24.729843Z" }REST
policyBindings.get方法會取得政策繫結。使用任何要求資料之前,請先替換以下項目:
-
RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects、folders或organizations值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。-
BINDING_ID:您要取得的政策繫結 ID,例如example-binding。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
如要傳送要求,請展開以下其中一個選項:
回應會包含政策繫結。
{ "name": "organizations/123456789012/locations/global/policyBindings/example-binding", "uid": "buid_9904260005517852673", "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"", "displayName": "Example binding", "target": { "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012" }, "policyKind": "PRINCIPAL_ACCESS_BOUNDARY", "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy", "policyUid": "puid_9519202237377675265", "createTime": "2024-05-06T18:08:24.729843Z", "updateTime": "2024-05-06T18:08:24.729843Z" }後續步驟
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-08-08 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["缺少我需要的資訊","missingTheInformationINeed","thumb-down"],["過於複雜/步驟過多","tooComplicatedTooManySteps","thumb-down"],["過時","outOfDate","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["示例/程式碼問題","samplesCodeIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-08-08 (世界標準時間)。"],[[["Principal access boundary (PAB) policies allow you to restrict the resources that a specific set of principals can access, and this document explains how to view these policies and their corresponding policy bindings."],["To view principal access boundary policies, you must have the Principal Access Boundary Viewer role (`roles/iam.principalAccessBoundaryViewer`), or equivalent permissions, which allows you to view a single policy and list policies within an organization."],["Viewing policy bindings requires different IAM roles based on the parent resource, such as Project IAM Admin, Folder IAM Admin, or Organization Administrator, and specific roles are also needed to view bindings for Workforce or Workload Identity Federation pools, or Google Workspace domains."],["You can list all principal access boundary policies in an organization using the Google Cloud console, the gcloud CLI, or the IAM REST API, and you can also retrieve a single policy by its ID."],["Policy bindings for a principal access boundary policy or principal set can be viewed through the console, gcloud CLI, or REST API, offering flexibility in searching and listing bindings by policy, principal set, or the parent project, folder, or organization."]]],[]]