הסרה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) מאפשרת להגביל את המשאבים שקבוצה של חשבונות משתמשים יכולה לגשת אליהם. אם אתם כבר לא רוצים לאכוף מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) עבור קבוצת חשבונות משתמשים, אתם יכולים למחוק את הקישור של המדיניות לקבוצת החשבונות. אם רוצים להסיר מדיניות לקביעת גבול הגישה לחשבונות משתמשים מכל קבוצות חשבונות המשתמשים שהיא מקושרת אליהן, אפשר למחוק את המדיניות.

הסרת מדיניות לקביעת גבול הגישה לחשבונות משתמשים מקבוצת חשבונות משתמשים גורמת לאחד מהשינויים הבאים:

  • אם חשבונות המשתמש בקבוצת חשבונות המשתמש לא כפופים למדיניות אחרת של גבולות גישה לחשבונות משתמש, הם יוכלו לגשת לכל המשאבים שלGoogle Cloud .
  • אם החשבונות הראשיים בקבוצת החשבונות הראשיים כפופים למדיניות אחרת של גבולות גישה לחשבונות ראשיים, הם יוכלו לגשת רק למשאבים שמוגדרים במדיניות הזו.

לפני שמתחילים

תפקידים שנדרשים למחיקת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

כדי לקבל את ההרשאה שנדרשת למחיקת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Principal Access Boundary Admin (roles/iam.principalAccessBoundaryAdmin) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד שמוגדר מראש מכיל את ההרשאה iam.principalaccessboundarypolicies.delete, שנדרשת כדי למחוק מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB).

יכול להיות שתוכלו לקבל את ההרשאה הזו גם בתפקידים בהתאמה אישית או בתפקידים אחרים שמוגדרים מראש.

תפקידים שנדרשים למחיקת קישורי מדיניות לקביעת גבול הגישה לחשבונות משתמשים

ההרשאות שנדרשות כדי למחוק קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) תלויות בקבוצת חשבונות המשתמשים שמקושרת למדיניות.

כדי לקבל את ההרשאות שדרושות למחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

  • בקרת גישה לישויות מורשות (PAB) משתמש (roles/iam.principalAccessBoundaryUser) בארגון שלכם
  • מחיקת קשרי מדיניות למדיניות של גבולות גישה של חשבונות משתמשים שקשורים למאגרי זהויות של כוח עבודה: אדמין של מאגר זהויות של כוח עבודה ב-IAM (roles/iam.workforcePoolAdmin) במאגר הזהויות של כוח העבודה
  • מחיקת קשרי מדיניות למדיניות של גבולות גישה של חשבונות ראשיים שקשורים למאגרי זהויות של עומסי עבודה: אדמין של מאגר זהויות של כוח עבודה ב-IAM (roles/iam.workloadIdentityPoolAdmin) בפרויקט שבבעלותו מאגר הזהויות של עומסי העבודה
  • קבלת הסטטוס של פעולה ממושכת למחיקת קישור שמפנה למאגר זהויות של עומסי עבודה: צפייה בפעולות ב-IAM (roles/iam.operationViewer) בפרויקט שכולל את מאגר הזהויות של עומסי עבודה
  • מחיקת מדיניות של קשרי מדיניות לגבי מדיניות של גבולות גישה של חשבונות משתמשים שקשורים לדומיין ב-Google Workspace: אדמין של מאגר זהויות של כוח עבודה ב-IAM (roles/iam.workspacePoolAdmin) בארגון
  • מחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורים לקבוצת חשבונות משתמשים בפרויקט:אדמין IAM של פרויקט (roles/resourcemanager.projectIamAdmin) בפרויקט
  • כדי לקבל את הסטטוס של פעולה ממושכת למחיקת קישור שמפנה לקבוצת חשבונות משתמש בפרויקט: IAM Operation Viewer (roles/iam.operationViewer) בפרויקט
  • מחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורים לקבוצת חשבונות משתמשים בתיקייה:אדמין IAM של תיקייה (roles/resourcemanager.folderIamAdmin) בתיקייה
  • כדי למחוק קשרי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורים לקבוצת החשבונות של הארגון: אדמין ארגוני (roles/resourcemanager.organizationAdmin) בארגון

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה מכילים את ההרשאות שנדרשות למחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB). כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי למחוק קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), נדרשות ההרשאות הבאות:

  • iam.principalaccessboundarypolicies.unbind בארגון
  • מחיקת מדיניות מחייבת למדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה למאגרי זהויות של כוח עבודה: iam.workforcePools.deletePolicyBinding במאגר הזהויות של כוח העבודה
  • מחיקת קשרי מדיניות למדיניות של גבולות גישה של ישויות שקשורים למאגרי זהויות של עומסי עבודה: iam.workloadIdentityPools.deletePolicyBinding בפרויקט שבבעלותו מאגר הזהויות של עומסי העבודה
  • מקבלים את הסטטוס של פעולה ארוכת טווח למחיקת קישור שמפנה למאגר זהויות של עומסי עבודה: iam.operations.get בפרויקט שבבעלותו מאגר הזהויות של עומסי העבודה
  • מחיקת קשרי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שקשורים לדומיין של Google Workspace: iam.workspacePools.deletePolicyBinding בארגון
  • מחיקת קשרי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורים לקבוצת חשבונות משתמשים של פרויקט: resourcemanager.projects.deletePolicyBinding בפרויקט
  • קבלת הסטטוס של פעולה ארוכת טווח למחיקת קישור שמפנה לקבוצת חשבונות ראשיים של פרויקט: iam.operations.get בפרויקט
  • מחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורים לקבוצת חשבונות משתמשים של תיקייה: resourcemanager.folders.deletePolicyBinding בתיקייה
  • מחיקת קשרי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שקשורים לקבוצת חשבונות משתמשים בארגון: resourcemanager.organizations.deletePolicyBinding בארגון

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הכנה להסרה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

לפני שמסירים מדיניות לקביעת גבול הגישה לחשבונות משתמשים, צריך להחליט איזו מהמטרות הבאות רוצים להשיג:

  • הגדרת חשבונות משתמשים בקבוצת חשבונות משתמשים כבעלי הרשאה לגשת לכל המשאבים
  • צמצום מספר המשאבים שחשבונות המשתמשים בקבוצת חשבונות משתמשים יכולים לגשת אליהם

בקטעים הבאים מפורטים השלבים שצריך לבצע כדי להשיג כל אחת מהמטרות האלה.

הגדרת ישויות ראשיות שעומדות בדרישות לגישה לכל המשאבים

אם רוצים לתת לחשבונות הראשיים בקבוצת חשבונות ראשיים אפשרות לגשת לכל המשאבים, צריך לבצע את הפעולות הבאות:

  1. זיהוי כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה לקבוצת חשבונות המשתמשים.
  2. מסירים את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה לחשבון המשתמש שהוגדר על ידי מחיקת הקישורים הרלוונטיים למדיניות.

אם חשבון משתמש לא כפוף למדיניות כלשהי לקביעת גבול הגישה לחשבונות משתמשים, הוא יכול לגשת לכל המשאבים Google Cloud .

העובדה שלמשתמש יש זכאות לגשת למשאב לא אומרת בהכרח שהוא יכול לגשת אליו. מידע נוסף מופיע במאמר בנושא הערכת מדיניות.

צמצום המשאבים שחשבונות המשתמשים יכולים לגשת אליהם

אם חשבונות המשתמשים בקבוצת חשבונות משתמשים כפופים לכמה כללי מדיניות לקביעת גבול הגישה לחשבונות משתמשים, אפשר לצמצם את מספר המשאבים שחשבונות המשתמשים יכולים לגשת אליהם על ידי הסרה של אחד או יותר מכללי המדיניות לקביעת גבול הגישה לחשבונות משתמשים שהם כפופים להם. עם זאת, בשום שלב אל תסירו את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שחלה על החשבונות הראשיים. אם תעשו זאת, החשבונות הראשיים יוכלו לגשת לכל המשאבים של Google Cloud .

כדי להסיר מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) תוך הקפדה על כך שחשבונות המשתמשים בקבוצת חשבונות משתמשים תמיד יהיו כפופים למדיניות אחת לפחות לקביעת גבול הגישה לחשבונות משתמשים, פועלים לפי השלבים הבאים:

  1. זיהוי כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה לקבוצת חשבונות המשתמשים.

  2. מזהים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים שמכילה רק משאבים שרוצים שחשבונות משתמשים בקבוצת החשבונות יוכלו לגשת אליהם. אלה המדיניות שלא תסירו מקבוצת חשבונות המשתמשים.

    אם אין לכם כללי מדיניות כאלה, צריך ליצור כללי מדיניות חדשים של גבולות גישה לחשבונות משתמש עם משאבים שאתם רוצים שחשבונות המשתמש יוכלו לגשת אליהם. לאחר מכן, מצרפים את המדיניות לקבוצת המשתמשים.

  3. מזהים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שמכילה משאבים שלא רוצים שחשבונות משתמשים בקבוצת החשבונות יוכלו לגשת אליהם. לאחר מכן, מסירים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים על ידי מחיקת קישור המדיניות הרלוונטי.

    אם רוצים לצמצם את הגישה של חשבונות משתמשים ספציפיים, מוסיפים תנאי לקישור של המדיניות במקום למחוק אותו.

אם אתם רוצים לצמצם את מספר המשאבים שחשבון משתמש יכול לגשת אליהם, אבל לא רוצים להסיר מדיניות לקביעת גבול הגישה לחשבונות משתמשים, אתם יכולים במקום זאת לשנות את המדיניות לקביעת גבול הגישה לחשבונות משתמשים שחלה על חשבון המשתמש. במאמר עריכת מדיניות לקביעת גבול הגישה לחשבונות משתמשים מוסבר איך לשנות את המדיניות לקביעת גבול הגישה לחשבונות משתמשים.

בדיקת המחיקה של מדיניות או קישור לקביעת גבול הגישה לחשבונות משתמשים

לפני שמחליטים למחוק מדיניות או קשירה של גבול גישה לחשבון משתמש, מומלץ לבדוק איך השינוי ישפיע על הגישה של חשבונות המשתמשים. אפשר להשתמש בסימולטור המדיניות כדי לדמות מחיקה ולהבין את ההשפעה הפוטנציאלית שלה.

כדי לבדוק מחיקה, אפשר לעיין בהליכים הבאים במסמכי המידע בנושא Policy Intelligence:

מידע נוסף על בדיקת מדיניות של גבולות גישה של ישויות באמצעות סימולטור המדיניות זמין במאמר סימולטור המדיניות למדיניות של גבולות גישה של ישויות.

הסרת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) מקבוצת חשבונות משתמשים

לפני שמסירים מדיניות לקביעת גבול הגישה לחשבונות משתמשים מקבוצת חשבונות משתמשים, צריך קודם להכין את ההסרה של המדיניות. לאחר מכן, מסירים את המדיניות על ידי מחיקת קישור המדיניות שמקשר את המדיניות לקבוצת חשבונות המשתמשים.

אפשר למחוק קישור למדיניות באמצעות מסוף Google Cloud ,‏ ה-CLI של gcloud או IAM API בארכיטקטורת REST.

המסוף

  1. נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .

    מעבר אל מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

  2. בוחרים את הארגון שבבעלותו מדיניות הגבלת הגישה של חשבון המשתמש שרוצים למחוק את הקישור שלה.

  3. לוחצים על מזהה המדיניות של המדיניות לקביעת גבול הגישה לחשבונות משתמשים שרוצים למחוק את הקישורים שלה.

  4. לוחצים על הכרטיסייה Bindings (קישורים).

  5. מאתרים את המזהה של הקישור שרוצים למחוק. בשורה של הקישור, לוחצים על פעולות ואז על מחיקת הקישור.

  6. בתיבת הדו-שיח לאישור, לוחצים על מחיקה.

gcloud

הפקודה gcloud iam policy-bindings delete מוחקת קישור למדיניות.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • BINDING_ID: המזהה של מדיניות ה-IAM שרוצים למחוק. לדוגמה: example-binding.

  • RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערך project,‏ folder או organization

    סוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.

  • RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

‏Windows (PowerShell)

gcloud iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Windows‏ (cmd.exe)

gcloud iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

התשובה מכילה פעולה ממושכת שמייצגת את הבקשה שלכם. בקטע בדיקת הסטטוס של פעולה ממושכת שבדף הזה מוסבר איך מקבלים את הסטטוס של פעולה ממושכת. 

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

REST

השיטה policyBindings.delete מוחקת קישור למדיניות.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערך projects,‏ folders או organizations

    סוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.

  • RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • BINDING_ID: המזהה של מדיניות ה-IAM שרוצים למחוק. לדוגמה: example-binding.

ה-method של ה-HTTP וכתובת ה-URL: 

DELETE https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה פעולה ממושכת שמייצגת את הבקשה שלכם. בקטע בדיקת הסטטוס של פעולה ממושכת שבדף הזה מוסבר איך מקבלים את הסטטוס של פעולה ממושכת. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

מחיקה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

לפני שמוחקים מדיניות לקביעת גבול הגישה לחשבונות משתמשים, מומלץ לזהות ולמחוק את כל הקישורים למדיניות לקביעת גבול הגישה לחשבונות משתמשים שמפנים למדיניות הזו.

אם מוחקים מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) עם קישורי מדיניות קיימים, הקישורים האלה יימחקו בסופו של דבר. עם זאת, עד שהם יימחקו, קשרי המדיניות עדיין ייספרו במגבלה של 10 קשרים שיכולים להתייחס לקבוצת משתמשים אחת.

אפשר למחוק מדיניות של גבולות גישה של גורם מרכזי באמצעות Google Cloud המסוף, ה-CLI של gcloud או IAM API בארכיטקטורת REST.

המסוף

  1. נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .

    מעבר אל מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

  2. בוחרים את הארגון שבבעלותו מדיניות הגבלת הגישה של חשבון המשתמש שרוצים למחוק את הקישור שלה.

  3. מאתרים את המדיניות שרוצים למחוק. בשורה של המדיניות, לוחצים על פעולות ואז על מחיקת המדיניות.

  4. בתיבת הדו-שיח לאישור, מאשרים שרוצים למחוק את המדיניות:

    • כדי למחוק את המדיניות רק אם לא משויכים אליה קשרים, לוחצים על מחיקה.
    • כדי למחוק את המדיניות ואת כל ההתאמות המשויכות, מסמנים את תיבת הסימון מחיקת המדיניות בכוח ואז לוחצים על מחיקה.

gcloud

הפקודה gcloud iam gcloud iam principal-access-boundary-policies delete מוחקת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) ואת כל הקישורים שמשויכים אליה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • PAB_POLICY_ID: המזהה של מדיניות גבולות הגישה של החשבון הראשי שרוצים למחוק. לדוגמה, example-policy.
  • ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל 123456789012.
  • FORCE_FLAG: אופציונלי. כדי לאלץ את הפקודה למחוק מדיניות, גם אם יש הפניה למדיניות הזו בקשרי מדיניות קיימים, משתמשים בדגל --force. אם לא מגדירים את הדגל הזה והמדיניות מוזכרת בקשרי מדיניות קיימים, הפקודה תיכשל.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

‏Windows (PowerShell)

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

Windows‏ (cmd.exe)

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

התשובה מכילה פעולה ממושכת שמייצגת את הבקשה שלכם. בקטע בדיקת הסטטוס של פעולה ממושכת שבדף הזה מוסבר איך מקבלים את הסטטוס של פעולה ממושכת. 

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

REST

השיטה principalAccessBoundaryPolicies.delete מוחקת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) ואת כל הקישורים שמשויכים אליה.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל 123456789012.
  • PAB_POLICY_ID: המזהה של מדיניות גבולות הגישה של החשבון הראשי שרוצים למחוק. לדוגמה, example-policy.
  • FORCE_DELETE: אופציונלי. כדי לכפות על הבקשה למחוק את המדיניות, גם אם יש הפניה למדיניות בקישורי מדיניות קיימים, מוסיפים את פרמטר השאילתה force=true. אם פרמטר השאילתה הזה לא מוגדר והמדיניות מפנה לקשרי מדיניות קיימים, הבקשה תיכשל.

ה-method של ה-HTTP וכתובת ה-URL: 

DELETE https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה פעולה ממושכת שמייצגת את הבקשה שלכם. בקטע בדיקת הסטטוס של פעולה ממושכת שבדף הזה מוסבר איך מקבלים את הסטטוס של פעולה ממושכת. 

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

בדיקת הסטטוס של פעולה ממושכת

כשמשתמשים ב-API בארכיטקטורת REST או בספריות הלקוח, כל שיטה שמשנה מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) או קישור מחזירה פעולה ממושכת (LRO). הפעולה הממושכת עוקבת אחרי הסטטוס של הבקשה ומציינת אם השינוי במדיניות או בהרשאה הושלם.

REST

השיטה operations.get מחזירה את הסטטוס של פעולה ממושכת.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • OPERATION_NAME: השם המלא של הפעולה. השם הזה מופיע בתגובה לבקשה המקורית.

    שם הפעולה מופיע בפורמט הבא: 

          RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID

ה-method של ה-HTTP וכתובת ה-URL: 

GET https://iam.googleapis.com/v3/OPERATION_NAME

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

אם השדה done של הפעולה לא מופיע, אפשר לבצע את הפעולה שוב ושוב כדי להמשיך לעקוב אחר הסטטוס שלה. כדי ליצור עיכוב בין כל בקשה, צריך להשתמש בהשהיה מעריכית קטועה לפני ניסיון חוזר. כשהערך של השדה done מוגדר בתור true, הפעולה הושלמה ואפשר להפסיק לבצע אותה.

המאמרים הבאים