Principal Access Boundary-Richtlinien entfernen

Mit PAB-Richtlinien (Principal Access Boundary) können Sie die Ressourcen einschränken, auf die eine Gruppe von Hauptkonten zugreifen darf. Wenn Sie nicht mehr möchten, dass eine Principal Access Boundary-Richtlinie für einen Hauptkontosatz erzwungen wird, können Sie die Richtlinienbindung löschen, die die Richtlinie an den Hauptkontosatz bindet. Wenn Sie eine Richtlinie für die Principal Access Boundary-Richtlinie aus allen Hauptkontensätzen entfernen möchten, an die sie gebunden ist, können Sie die Richtlinie löschen.

Wenn Sie eine Principal Access Boundary-Richtlinie aus einem Hauptkontosatz entfernen, hat das eine der folgenden Auswirkungen:

• Wenn für die Hauptkonten im Hauptkontensatz keine anderen Principal Access Boundary-Richtlinien gelten, können sie auf alleGoogle Cloud -Ressourcen zugreifen.
• Wenn die Hauptkonten im Hauptkontensatz anderen Principal Access Boundary-Richtlinien unterliegen, dürfen sie nur auf die Ressourcen in diesen Richtlinien zugreifen.

Hinweise

• Richten Sie die Authentifizierung ein.

  Select the tab for how you plan to use the samples on this page:

  gcloud

  In the Google Cloud console, activate Cloud Shell.

  Activate Cloud Shell

  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  REST

  Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, nutzen Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.

  Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:

  gcloud init

  Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.

  Lesen Sie die Übersicht über Principal Access Boundary-Richtlinien.

Rollen, die zum Löschen von Principal Access Boundary-Richtlinien erforderlich sind

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Principal Access Boundary Admin (roles/iam.principalAccessBoundaryAdmin) für Ihre Organisation zu gewähren, um die Berechtigung zum Löschen von Principal Access Boundary-Richtlinien zu erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung iam.principalaccessboundarypolicies.delete, die zum Löschen von Principal Access Boundary-Richtlinien erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Rollen, die zum Löschen von Principal Access Boundary-Richtlinienbindungen erforderlich sind

Die Berechtigungen, die Sie zum Löschen von Richtlinienbindungen für Principal Access Boundary-Richtlinien benötigen, hängen vom Hauptkontosatz ab, der an die Richtlinie gebunden ist.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Löschen von Richtlinienbindungen für Principal Access Boundary-Richtlinien benötigen:

• Principal Access Boundary User (roles/iam.principalAccessBoundaryUser) für Ihre Organisation
• Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an Mitarbeiteridentitätspools gebunden sind: IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin) für den Ziel-Mitarbeiteridentitätspool
• Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an Workload Identity-Pools gebunden sind: IAM Workload Identity-Pool-Administrator (roles/iam.workloadIdentityPoolAdmin) für das Projekt, zu dem der Ziel-Workload Identity-Pool gehört
• Status eines lang andauernden Vorgangs zum Löschen einer Bindung abrufen, die auf einen Workload Identity-Pool verweist: IAM-Vorgangsbetrachter (roles/iam.operationViewer) für das Projekt, zu dem der Ziel-Workload Identity-Pool gehört
• Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an eine Google Workspace-Domain gebunden sind: Workspace Pool IAM Admin (roles/iam.workspacePoolAdmin) für die Organisation
• Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an den Hauptkontensatz eines Projekts gebunden sind: Project IAM Admin (roles/resourcemanager.projectIamAdmin) für das Projekt
• Status eines lange laufenden Vorgangs zum Löschen einer Bindung abrufen, die auf den Hauptkontensatz eines Projekts verweist: IAM Operation Viewer (roles/iam.operationViewer) für das Projekt
• Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an den Hauptkontosatz eines Ordners gebunden sind: Folder IAM Admin (roles/resourcemanager.folderIamAdmin) für den Ordner
• Richtlinienbindungen für Principal Access Boundary-Richtlinien löschen, die an den Hauptkontosatz einer Organisation gebunden sind: Organization Administrator (roles/resourcemanager.organizationAdmin) für die Organisation

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Löschen von Richtlinienbindungen für Principal Access Boundary-Richtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Entfernen einer Principal Access Boundary-Richtlinie vorbereiten

Bevor Sie eine Principal Access Boundary-Richtlinie entfernen, müssen Sie entscheiden, welches der folgenden Ziele Sie erreichen möchten:

• Hauptkonten in einer Hauptkontogruppe für den Zugriff auf alle Ressourcen berechtigen
• Anzahl der Ressourcen reduzieren, auf die die Hauptkonten in einer Hauptkontengruppe zugreifen dürfen

In den folgenden Abschnitten wird beschrieben, wie Sie die einzelnen Ziele erreichen.

Hauptkonten für den Zugriff auf alle Ressourcen berechtigen

Wenn Sie die Hauptkonten in einem Hauptkontensatz für den Zugriff auf alle Ressourcen berechtigen möchten, gehen Sie so vor:

1. Alle Principal Access Boundary-Richtlinien ermitteln, die an den Hauptkontensatz gebunden sind.
2. Entfernen Sie alle Principal Access Boundary-Richtlinien, die an den Hauptkontosatz gebunden sind, indem Sie die entsprechenden Richtlinienbindungen löschen.

Wenn für ein Hauptkonto keine Principal Access Boundary-Richtlinien gelten, kann es auf alle Google Cloud Ressourcen zugreifen.

Die Berechtigung für den Zugriff auf eine Ressource bedeutet nicht zwangsläufig, dass ein Nutzer auf eine Ressource zugreifen kann. Weitere Informationen finden Sie unter Richtlinienbewertung.

Ressourcen reduzieren, auf die Hauptkonten zugreifen dürfen

Wenn die Hauptkonten in einem Hauptkontensatz mehreren Principal Access Boundary-Richtlinien unterliegen, können Sie die Anzahl der Ressourcen, auf die die Hauptkonten zugreifen dürfen, verringern, indem Sie eine oder mehrere der Principal Access Boundary-Richtlinien entfernen, denen sie unterliegen. Entfernen Sie jedoch zu keinem Zeitpunkt alle Principal Access Boundary-Richtlinien, denen die Hauptkonten unterliegen. Andernfalls können die Hauptkonten auf alle Google Cloud Ressourcen zugreifen.

So entfernen Sie eine Principal Access Boundary-Richtlinie und sorgen gleichzeitig dafür, dass für die Hauptkonten in einem Hauptkontosatz immer mindestens eine Principal Access Boundary-Richtlinie gilt:

1. Alle Principal Access Boundary-Richtlinien ermitteln, die an den Hauptkontensatz gebunden sind.

2. Suchen Sie die Principal Access Boundary-Richtlinien heraus, die nur Ressourcen enthalten, auf die Hauptkonten im Hauptkontensatz zugreifen dürfen. Das sind die Richtlinien, die Sie nicht aus dem Hauptkontensatz entfernen.

   Wenn Sie keine solchen Richtlinien haben, erstellen Sie eine neue Principal Access Boundary-Richtlinie mit nur den Ressourcen, auf die die Hauptkonten zugreifen dürfen. Hängen Sie dann die Richtlinie an die Hauptkontogruppe an.

3. Suchen Sie nach den Principal Access Boundary-Richtlinien, die Ressourcen enthalten, auf die Hauptkonten in der Hauptkontogruppe nicht zugreifen dürfen. Entfernen Sie dann diese Principal Access Boundary-Richtlinien, indem Sie die entsprechende Richtlinienbindung löschen.

   Wenn Sie den Zugriff für bestimmte Hauptkonten einschränken möchten, fügen Sie der Richtlinienbindung eine Bedingung hinzu, anstatt sie zu löschen.

Wenn Sie die Anzahl der Ressourcen verringern möchten, auf die ein Hauptkonto zugreifen darf, aber keine Principal Access Boundary-Richtlinien entfernen möchten, können Sie stattdessen die Principal Access Boundary-Richtlinien ändern, denen das Hauptkonto unterliegt. Informationen zum Ändern von Principal Access Boundary-Richtlinien finden Sie unter Principal Access Boundary-Richtlinien bearbeiten.

Löschen einer Principal Access Boundary-Richtlinie oder -Bindung testen

Bevor Sie eine Principal Access Boundary-Richtlinie oder -Bindung löschen, sollten Sie testen, wie sich die Änderung auf den Zugriff Ihrer Hauptkonten auswirken könnte. Mit dem Policy Simulator können Sie eine Löschung simulieren und so die potenziellen Auswirkungen nachvollziehen.

Informationen zum Testen des Löschens finden Sie in der Policy Intelligence-Dokumentation in den folgenden Abschnitten:

• Löschen von Principal Access Boundary-Regeln simulieren
• Löschen einer Principal Access Boundary-Richtlinie simulieren
• Löschen einer Bindung für eine Principal Access Boundary-Richtlinie simulieren

Weitere Informationen zum Testen von Principal Access Boundary-Richtlinien mit dem Richtliniensimulator finden Sie unter Richtliniensimulator für Principal Access Boundary-Richtlinien.

Principal Access Boundary-Richtlinie aus einem Hauptkontosatz entfernen

Bevor Sie eine Principal Access Boundary-Richtlinie aus einem Hauptkontosatz entfernen, müssen Sie zuerst die Entfernung der Richtlinie vorbereiten. Entfernen Sie dann die Richtlinie, indem Sie die Richtlinienbindung löschen, mit der die Richtlinie an den Hauptkontosatz gebunden ist.

Sie können eine Richtlinienbindung mit der Google Cloud Console, der gcloud CLI oder der IAM REST API löschen.

gcloud iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

DELETE https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Principal Access Boundary-Richtlinie löschen

Bevor Sie eine Principal Access Boundary-Richtlinie löschen, empfehlen wir, alle Principal Access Boundary-Richtlinienbindungen, die auf die Principal Access Boundary-Richtlinie verweisen, zu identifizieren und zu löschen.

Wenn Sie eine Principal Access Boundary-Richtlinie mit vorhandenen Richtlinienbindungen löschen, werden diese Bindungen schließlich gelöscht. Bis sie gelöscht werden, werden die Richtlinienbindungen jedoch weiterhin auf das Limit von 10 Bindungen angerechnet, die auf eine einzelne Hauptkontogruppe verweisen können.

Sie können eine Principal Access Boundary-Richtlinie mit der Google Cloud Console, der gcloud CLI oder der IAM REST API löschen.

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

DELETE https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Status eines Vorgangs mit langer Ausführungszeit prüfen

Wenn Sie die REST API oder die Clientbibliotheken verwenden, gibt jede Methode, die eine Richtlinie oder Bindung für die Zugriffsgrenze von Identitäten ändert, einen Vorgang mit langer Ausführungszeit zurück. Der Vorgang mit langer Ausführungszeit verfolgt den Status der Anfrage und gibt an, ob die Änderung der Richtlinie oder Bindung abgeschlossen ist.

GET https://iam.googleapis.com/v3/OPERATION_NAME

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/OPERATION_NAME"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/OPERATION_NAME" | Select-Object -Expand Content

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

Nächste Schritte

• Principal Access Boundary-Richtlinien erstellen und anwenden
• Principal Access Boundary-Richtlinien ansehen
• Principal Access Boundary-Richtlinien bearbeiten