Principal Access Boundary-Richtlinien erstellen und anwenden

Konsole

1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

   Zu Principal Access Boundary-Richtlinien

2. Wählen Sie die Organisation aus, für die Sie Principal Access Boundary-Richtlinien erstellen möchten.

3. Klicken Sie auf add_box Richtlinie erstellen.

4. Fügen Sie der Richtlinie Regeln zur Begrenzung des Hauptkontozugriffs hinzu:

   1. Klicken Sie auf add_box Regel für Grenzwerte hinzufügen.
   2. Fügen Sie im Feld Beschreibung eine Beschreibung der Regel für die Principal Access Boundary-Richtlinie hinzu. Die Beschreibung darf maximal 256 Zeichen lang sein.

   3. Geben Sie im Bereich Ressourcen alle Resource Manager-Ressourcen (Projekte, Ordner und Organisationen) ein, auf die Hauptkonten zugreifen dürfen sollen. Alle Hauptkonten, die dieser Richtlinie unterliegen, dürfen auf diese Ressourcen zugreifen.

      In jeder Principal Access Boundary-Richtlinie können in allen Regeln der Richtlinie maximal 500 Ressourcen referenziert werden.

   4. Klicken Sie auf Fertig.

   5. Wiederholen Sie diese Schritte, um weitere Richtlinienregeln hinzuzufügen. Jede Principal Access Boundary-Richtlinie kann bis zu 500 Regeln enthalten.

5. Geben Sie im Bereich Richtlinienname einen Namen für die Richtlinie ein. Der Name darf maximal 63 Zeichen lang sein.

6. Wählen Sie in der Liste Version der Durchsetzung die Version der Durchsetzung für die Richtlinie aus. Die Version der Principal Access Boundary-Richtlinie bestimmt, für welche Berechtigungen IAM die Richtlinie erzwingt.

   Weitere Informationen zu Erzwingungsversionen finden Sie unter Principal Access Boundary-Erzwingungsversionen.

7. Klicken Sie auf Erstellen.

gcloud

Mit dem Befehl gcloud iam principal-access-boundary-policies create wird eine Principal Access Boundary-Richtlinie erstellt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• ORG_ID: Die ID der Organisation, in der Sie die Principal Access Boundary-Richtlinie erstellen möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
• PAB_POLICY_ID: Eine eindeutige ID für die Principal Access Boundary-Richtlinie, z. B. example-policy. :
• DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Principal Access Boundary-Richtlinie, z. B. Example policy. Der Anzeigename darf maximal 63 Zeichen lang sein.

• FILE_PATH: Der Pfad zu einer JSON-Datei mit den Regeldetails zur Principal Access Boundary-Richtlinie. Diese Datei sollte das folgende Format haben:

  {
    "description": DESCRIPTION,
    "resources": [
      RESOURCES
    ],
    "effect": ALLOW
  }
      

  Ersetzen Sie die folgenden Werte:

  • DESCRIPTION: Optional. Die Beschreibung der Regel für die Principal Access Boundary-Richtlinie. Die Beschreibung darf maximal 256 Zeichen lang sein.

  • RESOURCES: Eine Liste der Resource Manager-Ressourcen (Projekte, Ordner und Organisationen), auf die Hauptkonten zugreifen dürfen sollen. Alle Hauptkonten, die dieser Richtlinie unterliegen, dürfen auf diese Ressourcen zugreifen.

    In jeder Principal Access Boundary-Richtlinie können in allen Regeln der Richtlinie maximal 500 Ressourcen referenziert werden.

• ENFORCEMENT_VERSION: Die Version der Principal Access Boundary-Richtlinie, die von IAM bei der Durchsetzung der Richtlinie verwendet wird. Die Erzwingungsversion bestimmt, für welche Berechtigungen IAM die Principal Access Boundary-Richtlinie erzwingt.

  Zulässige Werte sind 1, 2, 3 und latest.

  Weitere Informationen zu Erzwingungsversionen finden Sie unter Versionen der Principal Access Boundary-Durchsetzung.

Führen Sie folgenden Befehl aus:

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json \
    --details-enforcement-version=ENFORCEMENT_VERSION

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json `
    --details-enforcement-version=ENFORCEMENT_VERSION

gcloud iam principal-access-boundary-policies create PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --display-name=DISPLAY_NAME --details-rules=FILE_PATH.json ^
    --details-enforcement-version=ENFORCEMENT_VERSION

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Informationen zum Abrufen des Status eines Vorgangs mit langer Ausführungszeit finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.

Create request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715373988044-6181fa136df85-3b06a30a-4816d25b] to complete...done.
Created principalAccessBoundaryPolicy [example-policy].

REST

Mit der Methode principalAccessBoundaryPolicies.create wird eine Principal Access Boundary-Richtlinie erstellt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• ORG_ID: Die ID der Organisation, in der Sie die Principal Access Boundary-Richtlinie erstellen möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
• PAB_POLICY_ID: Eine eindeutige ID für die Principal Access Boundary-Richtlinie, z. B. example-policy.
• DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Principal Access Boundary-Richtlinie, z. B. Example policy. Der Anzeigename darf maximal 63 Zeichen lang sein.

• PAB_RULES: Liste der Principal Access Boundary-Regeln, die die Ressourcen definieren, auf die die betroffenen Hauptkonten zugreifen dürfen. Eine Principal Access Boundary-Richtlinie kann bis zu 500 Regeln enthalten. Jede Regel hat das folgende Format:

  {
  "description": "DESCRIPTION",
  "resources": [
    RESOURCES
  ],
  "effect": ALLOW
  }

  Ersetzen Sie die folgenden Werte:

  • DESCRIPTION: Optional. Die Beschreibung der Regel für die Principal Access Boundary-Richtlinie. Die Beschreibung darf maximal 256 Zeichen lang sein.

  • RESOURCES: Eine Liste der Resource Manager-Ressourcen (Projekte, Ordner und Organisationen), auf die Hauptkonten zugreifen dürfen sollen. Alle Hauptkonten, die dieser Richtlinie unterliegen, dürfen auf diese Ressourcen zugreifen.

    In jeder Principal Access Boundary-Richtlinie können in allen Regeln der Richtlinie maximal 500 Ressourcen referenziert werden.

• ENFORCEMENT_VERSION: Die Version der Principal Access Boundary-Richtlinie, die von IAM bei der Durchsetzung der Richtlinie verwendet wird. Die Erzwingungsversion bestimmt, für welche Berechtigungen IAM die Principal Access Boundary-Richtlinie erzwingt.

  Zulässige Werte sind 1, 2, 3 und latest.

  Weitere Informationen zu Erzwingungsversionen finden Sie unter Versionen der Principal Access Boundary-Durchsetzung.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID

JSON-Text anfordern:

{
  "displayName": DISPLAY_NAME,
  "details": {
    "rules": [
      PAB_RULES
    ],
    "effect": ALLOW
    }
  ],
  "enforcementVersion": "ENFORCEMENT_VERSION"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global?principalAccessBoundaryPolicyId=PAB_POLICY_ID" | Select-Object -Expand Content

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Informationen zum Abrufen des Status eines Vorgangs mit langer Ausführungszeit finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:00.898809495Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Konsole

1. Rufen Sie in der Google Cloud Console die Seite Principal Access Boundary-Richtlinien auf.

   Zu Principal Access Boundary-Richtlinien

2. Wählen Sie die Organisation aus, zu der die Principal Access Boundary-Richtlinie gehört, für die Sie eine Bindung erstellen möchten.

3. Klicken Sie auf die Richtlinien-ID der Principal Access Boundary-Richtlinie, für die Sie eine Bindung erstellen möchten.

4. Klicken Sie auf den Tab Bindungen und dann auf add_box Bindung hinzufügen.

5. Geben Sie die Bindungsdetails ein:

   1. Optional: Geben Sie im Feld Anzeigename einen Anzeigenamen für die Bindung ein. Der Anzeigename darf maximal 63 Zeichen lang sein.
   2. Geben Sie im Feld Binding ID (Bindungs-ID) einen eindeutigen Namen für die Bindung ein, z. B. example-binding.

   3. Geben Sie im Abschnitt Hauptkontogruppe für die Ausrichtung den Typ und die ID der Hauptkontogruppe ein, an die Sie die Richtlinie binden möchten. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.

      Weitere Informationen zu den in den einzelnen Hauptkontosätzen enthaltenen Hauptkonten finden Sie unter Unterstützte Hauptkontengruppen.

6. Optional: Wenn Sie angeben möchten, für welche Hauptkonten im Hauptkontosatz die Principal Access Boundary-Richtlinie erzwungen wird, fügen Sie der Bindung eine Bedingung hinzu:

   1. Klicken Sie auf add Bedingung hinzufügen.
   2. Geben Sie im Feld Titel eine kurze Zusammenfassung des Zwecks der Bedingung ein.
   3. Optional: Geben Sie im Feld Beschreibung eine längere Beschreibung der Bedingung ein.
   4. Geben Sie im Feld Ausdruck einen Bedingungsausdruck mit der Common Expression Language (CEL)-Syntax ein. Der Ausdruck muss auf die Attribute principal.type oder principal.subject verweisen. Andere Attribute werden nicht unterstützt.
   5. Klicken Sie auf Speichern.

7. Optional: Wenn Sie Ihre Änderungen an der Principal Access Boundary-Richtlinie mit dem Policy Simulator testen möchten, klicken Sie auf Änderungen testen. Prüfen Sie die Simulationsergebnisse und aktualisieren Sie die Richtlinie bei Bedarf.

   Weitere Informationen zum Testen von Principal Access Boundary-Richtlinien mit dem Richtliniensimulator finden Sie unter Richtliniensimulator für Principal Access Boundary-Richtlinien.

8. Klicken Sie auf Hinzufügen, um die Bindung zu erstellen.

gcloud

Mit dem Befehl gcloud iam policy-bindings create wird eine Richtlinienbindung erstellt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• BINDING_ID: Ein eindeutiger Name für die Richtlinienbindung, z. B. example-binding.

• RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Richtlinienbindung untergeordnet ist. Verwenden Sie den Wert project, folder oder organization

  Der Ressourcentyp hängt vom Hauptkonto ab, das in der Richtlinienbindung festgelegt ist. Informationen dazu, welcher Ressourcentyp verwendet werden muss, finden Sie unter Unterstützte Hauptkontotypen.

• RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Richtlinienbindung untergeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie gehört, die Sie an die Hauptkontogruppe binden möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
• PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie an den Hauptsatz binden möchten, z. B. example-pab-policy. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.
• PRINCIPAL_SET: Der Hauptkontosatz, an den Sie die Richtlinie binden möchten. Eine Liste der gültigen Hauptkontotypen finden Sie unter Unterstützte Hauptkontosets. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.
• DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Bindung, z. B. Example binding. Der Anzeigename darf maximal 63 Zeichen lang sein.

• CONDITION_DETAILS: Optional. Ein Bedingungsausdruck, der angibt, für welche Hauptkonten in der Hauptkontogruppe die Principal Access Boundary-Richtlinie erzwungen wird. Enthält die folgenden Felder:

  • expression: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss auf die Attribute principal.type oder principal.subject verweisen. Andere Attribute werden nicht unterstützt.

    Der Ausdruck kann bis zu 10 logische Operatoren (&&, ||, !) enthalten und bis zu 250 Zeichen lang sein.

  • title: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung.
  • description: Optional. Eine längere Beschreibung der Bedingung.

Führen Sie folgenden Befehl aus:

gcloud iam policy-bindings create BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" \
    --target-principal-set=PRINCIPAL_SET_ID \
    --display-name=DISPLAY_NAME \
    CONDITION_DETAILS

gcloud iam policy-bindings create BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" `
    --target-principal-set=PRINCIPAL_SET_ID `
    --display-name=DISPLAY_NAME `
    CONDITION_DETAILS

gcloud iam policy-bindings create BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --policy="organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID" ^
    --target-principal-set=PRINCIPAL_SET_ID ^
    --display-name=DISPLAY_NAME ^
    CONDITION_DETAILS

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Informationen zum Abrufen des Status eines Vorgangs mit langer Ausführungszeit finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.

Create request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374545618-6181fc272c6f9-55ff07f4-97d0ac76] to complete...done.
Created policyBinding [example-binding].

REST

Mit der Methode policyBindings.create wird eine Richtlinienbindung erstellt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Typ der Resource Manager-Ressource (Projekt, Ordner oder Organisation), unter der die Richtlinienbindung untergeordnet ist. Verwenden Sie den Wert projects, folders oder organizations

  Der Ressourcentyp hängt vom Hauptkonto ab, das in der Richtlinienbindung festgelegt ist. Informationen dazu, welcher Ressourcentyp verwendet werden muss, finden Sie unter Unterstützte Hauptkontotypen.

• RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, unter der die Richtlinienbindung untergeordnet ist. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• BINDING_ID: Ein eindeutiger Name für die Richtlinienbindung, z. B. example-binding.
• DISPLAY_NAME: Optional. Eine menschenlesbare Beschreibung der Bindung, z. B. Example binding. Der Anzeigename darf maximal 63 Zeichen lang sein.
• PRINCIPAL_SET: Der Hauptkontosatz, an den Sie die Richtlinie binden möchten. Eine Liste der gültigen Hauptkontotypen finden Sie unter Unterstützte Hauptkontosets. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.
• ORG_ID: Die ID der Organisation, der die Principal Access Boundary-Richtlinie gehört, die Sie an die Hauptkontogruppe binden möchten. Organisations-IDs sind numerisch, z. B. 123456789012.
• PAB_POLICY_ID: Die ID der Principal Access Boundary-Richtlinie, die Sie an den Hauptsatz binden möchten, z. B. example-pab-policy. Sie können diesen Wert nicht mehr ändern, nachdem Sie die Richtlinienbindung erstellt haben.

• CONDITION_DETAILS: Optional. Ein Bedingungsausdruck, der angibt, für welche Hauptkonten in der Hauptkontogruppe die Principal Access Boundary-Richtlinie erzwungen wird. Enthält die folgenden Felder:

  • expression: Bedingungsausdruck, der die CEL-Syntax (Common Expression Language) verwendet. Der Ausdruck muss auf die Attribute principal.type oder principal.subject verweisen. Andere Attribute werden nicht unterstützt.

    Der Ausdruck kann bis zu 10 logische Operatoren (&&, ||, !) enthalten und bis zu 250 Zeichen lang sein.

  • title: Optional. Eine kurze Zusammenfassung des Zwecks der Bedingung.
  • description: Optional. Eine längere Beschreibung der Bedingung.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID

JSON-Text anfordern:

{
  "displayName": DISPLAY_NAME,
  "target": {
    "principalSet": PRINCIPAL_SET
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID",
  "condition": {
    CONDITION_DETAILS
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings?policyBindingId=BINDING_ID" | Select-Object -Expand Content

Die Antwort enthält einen Vorgang mit langer Ausführungszeit, der Ihre Anfrage darstellt. Informationen zum Abrufen des Status eines Vorgangs mit langer Ausführungszeit finden Sie auf dieser Seite unter Status eines Vorgangs mit langer Ausführungszeit prüfen.

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373120647-6181f6d8371d2-83309b71-2b8a7532",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:32:00.898809495Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

REST

Die Methode operations.get gibt den Status eines Vorgang mit langer Ausführungszeit zurück.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• OPERATION_NAME: Der vollständige Name des Vorgangs. Sie erhalten diesen Namen in der Antwort auf Ihre ursprüngliche Anfrage.

  Der Vorgangsname hat das folgende Format:

        RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID
      

HTTP-Methode und URL:

GET https://iam.googleapis.com/v3/OPERATION_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/OPERATION_NAME"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/OPERATION_NAME" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

Wenn das Feld done des Vorgangs nicht vorhanden ist, überwachen Sie seinen Status, indem Sie den Vorgang wiederholt abrufen. Verwenden Sie den abgeschnittenen exponentiellen Backoff, um zwischen jeder Anfrage eine Verzögerung einzuführen. Wenn das Feld done auf true gesetzt ist, ist der Vorgang abgeschlossen und Sie können den Vorgang beenden.