Cómo quitar las políticas de límite de acceso de las principales

Las Políticas de Límite de Acceso de las Principales (PAB) te permiten establecer límites a los recursos a los que puede acceder un conjunto de principales. Si ya no quieres que se aplique una Política de Límite de Acceso de las Principales a un conjunto de principales, puedes borrar la vinculación de la política que la vincula al conjunto de principales. Si quieres quitar una Política de Límite de Acceso de las Principales de todos los conjuntos de principales a los que está vinculada, puedes borrar la política.

Quitar una política de límite de acceso de las principales de un conjunto de principales tiene uno de los siguientes efectos:

• Si las principales del conjunto de principales no están sujetas a ninguna otra política de límite de acceso de principales, podrán acceder a todos los recursos deGoogle Cloud .
• Si los principales del conjunto de principales están sujetos a otras políticas de límite de acceso de principales, solo podrán acceder a los recursos incluidos en esas políticas.

Antes de comenzar

• Configura la autenticación.

  Select the tab for how you plan to use the samples on this page:

  gcloud

  In the Google Cloud console, activate Cloud Shell.

  Activate Cloud Shell

  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  REST

  Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a gcloud CLI.

  Instala Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI ejecutando el siguiente comando:

  gcloud init

  Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

  Para obtener más información, consulta Autentícate para usar REST en la documentación de autenticación de Google Cloud .

  Lee la descripción general de las Políticas de Límite de Acceso de las Principales.

Roles necesarios para borrar Políticas de Límite de Acceso de las Principales

Para obtener el permiso que necesitas para borrar las políticas de límite de acceso de las principales, pídele a tu administrador que te otorgue el rol de IAM de Administrador de límites de acceso principal (roles/iam.principalAccessBoundaryAdmin) en tu organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene el permiso iam.principalaccessboundarypolicies.delete, que se requiere para borrar las Políticas de Límite de Acceso de las Principales.

También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

Roles necesarios para borrar vinculaciones de Políticas de Límite de Acceso de las Principales

Los permisos que necesitas para borrar vinculaciones de políticas de Políticas de Límite de Acceso de las Principales dependen del conjunto de principales vinculado a la política.

Para obtener los permisos que necesitas para borrar vinculaciones de políticas para las políticas de límite de acceso de las principales, pídele a tu administrador que te otorgue los siguientes roles de IAM:

• Usuario del límite de acceso principal (roles/iam.principalAccessBoundaryUser) en tu organización
• Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas a los grupos de identidades de personal: Administrador de grupos de trabajadores de IAM (roles/iam.workforcePoolAdmin) en el grupo de identidades de personal de destino
• Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas a los grupos de identidades para cargas de trabajo: Administrador de grupos de identidades para cargas de trabajo de IAM (roles/iam.workloadIdentityPoolAdmin) en el proyecto al que pertenece el grupo de identidades para cargas de trabajo de destino
• Obtén el estado de una operación de larga duración para borrar una vinculación que hace referencia a un grupo de identidades para cargas de trabajo: Visualizador de operaciones de IAM (roles/iam.operationViewer) en el proyecto al que pertenece el grupo de identidades para cargas de trabajo de destino
• Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas a un dominio de Google Workspace: Administrador de IAM de grupos de espacios de trabajo (roles/iam.workspacePoolAdmin) en la organización
• Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas al conjunto de principales de un proyecto: Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto
• Obtén el estado de una operación de larga duración para borrar una vinculación que hace referencia al conjunto de principales de un proyecto: Visualizador de operaciones de IAM (roles/iam.operationViewer) en el proyecto
• Borra las vinculaciones de políticas de las políticas de límite de acceso de las principales vinculadas al conjunto de principales de una carpeta: Administrador de IAM de la carpeta (roles/resourcemanager.folderIamAdmin) en la carpeta
• Borra las vinculaciones de políticas para las políticas de límite de acceso de las principales vinculadas al conjunto de principales de una organización: Administrador de la organización (roles/resourcemanager.organizationAdmin) en la organización

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para borrar las vinculaciones de políticas de las políticas de límite de acceso de las principales. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Prepárate para quitar una Política de Límite de Acceso de las Principales

Antes de quitar una política de límite de acceso de las principales, decide cuál de los siguientes objetivos quieres lograr:

• Cómo hacer que las principales de un conjunto de principales sean aptas para acceder a todos los recursos
• Reduce la cantidad de recursos a los que pueden acceder las principales de un conjunto de principales

En las siguientes secciones, se describen los pasos que debes seguir para alcanzar cada uno de estos objetivos.

Cómo hacer que las principales sean aptas para acceder a todos los recursos

Si quieres que las principales de un conjunto de principales sean aptas para acceder a todos los recursos, haz lo siguiente:

1. Identifica todas las políticas de límite de acceso de la principal vinculadas al conjunto de principales.
2. Borra las vinculaciones de políticas pertinentes para quitar todas las políticas de límite de acceso de las principales vinculadas al conjunto de principales.

Si una principal no está sujeta a ninguna política de límite de acceso de las principales, entonces es apta para acceder a todos Google Cloud los recursos.

Ser apto para acceder a un recurso no significa necesariamente que un usuario pueda acceder a él. Para obtener más información, consulta Evaluación de políticas.

Reduce los recursos a los que pueden acceder las principales

Si las principales de un conjunto de principales están sujetas a varias políticas de límite de acceso de las principales, puedes reducir la cantidad de recursos a los que pueden acceder quitando una o más de las políticas de límite de acceso de las principales a las que están sujetas. Sin embargo, en ningún momento quites todas las políticas de límite de acceso de las principales a las que están sujetas las principales. Si lo haces, las principales podrán acceder a todos los recursos de Google Cloud .

Para quitar una política de límite de acceso de la principal y, al mismo tiempo, garantizar que las principales de un conjunto de principales siempre estén sujetas a al menos una política de límite de acceso de la principal, sigue estos pasos:

1. Identifica todas las políticas de límite de acceso de la principal vinculadas al conjunto de principales.

2. Identifica las políticas de límite de acceso de las principales que contienen solo los recursos a los que deseas que puedan acceder las principales del conjunto de principales. Estas son las políticas que no quitarás del conjunto de principales.

   Si no tienes ninguna política de este tipo, crea una nueva política de límite de acceso de la principal con solo los recursos a los que deseas que las principales sean aptas para acceder. Luego, adjunta la política al conjunto de principales.

3. Identifica las políticas de límite de acceso de las principales que contienen recursos a los que no quieres que puedan acceder las principales del conjunto de principales. Luego, borra las vinculaciones de políticas pertinentes para quitar esas políticas de límite de acceso de las principales.

   Si quieres reducir el acceso para principales específicos, agrega una condición a la vinculación de la política en lugar de borrarla.

Si quieres reducir la cantidad de recursos a los que puede acceder una principal, pero no quieres quitar ninguna política de límite de acceso de las principales, puedes modificar las políticas de límite de acceso de las principales a las que está sujeta la principal. Para obtener información sobre cómo modificar las Políticas de Límite de Acceso de las Principales, consulta Edita las Políticas de Límite de Acceso de las Principales.

Prueba el borrado de una política o vinculación de límite de acceso de la principal

Antes de confirmar la eliminación de una política o vinculación de límite de acceso de la principal, te recomendamos que pruebes cómo podría afectar el cambio al acceso de tus principales. Puedes usar Policy Simulator para simular un borrado y comprender su posible impacto.

Para probar un borrado, consulta los siguientes procedimientos en la documentación de Policy Intelligence:

• Simula el borrado de reglas de límite de acceso de la principal
• Simula el borrado de una política de límite de acceso de la principal
• Simula el borrado de una vinculación para una política de límite de acceso de la principal

Para obtener más información sobre cómo probar las políticas de límite de acceso de las principales con Policy Simulator, consulta Policy Simulator para las políticas de límite de acceso de las principales.

Quita una Política de Límite de Acceso de las Principales de un conjunto de principales

Antes de quitar una política de límite de acceso de las principales de un conjunto de las principales, primero prepárate para quitar la política. Luego, borra la política quitando la vinculación de la política que la vincula al conjunto de principales.

Puedes borrar una vinculación de políticas con la Google Cloud consola, gcloud CLI o la API de REST de IAM.

gcloud iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

DELETE https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Borra una Política de Límite de Acceso de las Principales

Antes de borrar una de estas política, te recomendamos que identifiques y borres todas las vinculaciones de políticas de límite de acceso de las principales que hagan referencia a la política de límite de acceso de las principales.

Si borras una política de límite de acceso de las principales con vinculaciones de políticas existentes, esas vinculaciones se borrarán con el tiempo. Sin embargo, hasta que se borren, las vinculaciones de políticas seguirán contando para el límite de 10 vinculaciones que pueden hacer referencia a un solo conjunto de principales.

Puedes borrar una política de límite de acceso de las principales con la Google Cloud consola, gcloud CLI o la API de REST de IAM.

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

DELETE https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

Revisa el estado de una operación de larga duración

Cuando usas la API de REST o las bibliotecas cliente, cualquier método que cambie una política o vinculación de límite de acceso de la entidad principal devuelve una operación de larga duración (LRO). La operación de larga duración realiza un seguimiento del estado de la solicitud y también indica si se completó el cambio en la política o la vinculación.

GET https://iam.googleapis.com/v3/OPERATION_NAME

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/OPERATION_NAME"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/OPERATION_NAME" | Select-Object -Expand Content

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

¿Qué sigue?

• Crea y aplica Políticas de Límite de Acceso de las Principales
• Consulta las Políticas de Límite de Acceso de las Principales
• Edita las Política de Límite de Acceso de las Principales