מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) מאפשרת להגביל את המשאבים שקבוצה של חשבונות משתמשים יכולה לגשת אליהם. בדף הזה מוסבר איך לצפות במדיניות לקביעת גבול הגישה לחשבונות משתמשים ובקישורי מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים.
לפני שמתחילים
מגדירים אימות.
צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:
gcloud
במסוף Google Cloud , מפעילים את Cloud Shell.
בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.
REST
כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.
התקינו את ה-CLI של Google Cloud.
אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Google Cloud .
כדאי לקרוא את הסקירה הכללית של כללי מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB).
התפקידים שנדרשים כדי להציג מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
כדי לקבל את ההרשאות שדרושות בשביל לראות את מדיניות בקרת הגישה לישויות מורשות (PAB), אתם צריכים לבקש מהאדמין לתת לכם את תפקיד ה-IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) בארגון.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקיד המוגדר מראש הזה כולל את ההרשאות שנדרשות כדי להציג מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB). כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי להציג את המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), נדרשות ההרשאות הבאות:
-
כדי להציג מדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים:
iam.principalaccessboundarypolicies.get -
כדי להציג רשימה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון:
iam.principalaccessboundarypolicies.list
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
התפקידים שנדרשים לצפייה בקישורי מדיניות
כדי לקבל את ההרשאות שדרושות בשביל לראות את קישורי המדיניות, אתם צריכים לבקש מהאדמין לתת לכם את תפקידי ה-IAM הבאים במשאב האב של קישורי המדיניות:
-
כדי לראות את הקישורים למדיניות בפרויקט:
אדמין IAM של פרויקט (
roles/resourcemanager.projectIamAdmin) -
כדי לראות את הקישורים למדיניות בתיקייה:
אדמין IAM בתיקייה (
roles/resourcemanager.folderIamAdmin) -
כדי להציג את הקישורים למדיניות בארגון:
אדמין של ארגון (
roles/resourcemanager.organizationAdmin)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות כדי להציג קישורי מדיניות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי לראות את הקישורים למדיניות, נדרשות ההרשאות הבאות:
-
כדי להציג קשירת מדיניות יחידה:
iam.policybindings.get -
כדי להציג את מדיניות הקישור בפרויקט, בתיקייה או בארגון:
iam.policybindings.list
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
תפקידים שנדרשים כדי לראות את כל קישורי המדיניות במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
כדי לקבל את ההרשאה שדרושה לצפייה בכל קישורי המדיניות של מדיניות בקרת גישה לישויות מורשות (PAB), צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) בארגון.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקיד המוגדר מראש הזה מכיל את ההרשאה iam.principalaccessboundarypolicies.searchIamPolicyBindings, שנדרשת כדי להציג את כל קישורי המדיניות של מדיניות גבולות הגישה של חשבון משתמש.
יכול להיות שתוכלו לקבל את ההרשאה הזו גם בתפקידים בהתאמה אישית או בתפקידים אחרים שמוגדרים מראש.
תפקידים שנדרשים כדי להציג קישורי מדיניות עבור קבוצת חשבונות משתמשים
ההרשאות שנדרשות כדי להציג את כל קשרי המדיניות של קבוצת משתמשים תלויות בקבוצת המשתמשים שעבורה רוצים להציג את המדיניות.
כדי לקבל את ההרשאות שדרושות בשביל להציג את קישורי המדיניות, אתם צריכים לבקש מהאדמין לתת לכם את התפקידים הבאים ב-IAM:
-
צפייה בהרשאות שמוקצות למאגרי איחוד שירותי אימות הזהות של כוח העבודה:
אדמין של מאגר זהויות של כוח עבודה ב-IAM (
roles/iam.workforcePoolAdmin) במאגר היעד של איחוד שירותי אימות הזהות של כוח העבודה -
הצגת קשרי מדיניות למאגרי זהויות של עומסי עבודה:
אדמין של מאגר זהויות של כוח עבודה ב-IAM (
roles/iam.workloadIdentityPoolAdmin) בפרויקט שבבעלותו מאגר הזהויות של עומסי העבודה -
כדי לראות את הקישורים למדיניות בדומיין Google Workspace:
אדמין של מאגר זהויות של כוח עבודה ב-IAM (
roles/iam.workspacePoolAdmin) בארגון -
כדי לראות את הקישורים למדיניות של קבוצת החשבונות הראשיים בפרויקט: אדמין IAM של פרויקט (
roles/resourcemanager.projectIamAdmin) בפרויקט -
הצגת קשרי מדיניות לקבוצת המשתמשים העיקריים של תיקייה: אדמין IAM של תיקייה (
roles/resourcemanager.folderIamAdmin) בתיקייה -
כדי לראות את הקישורים למדיניות של קבוצת החשבונות הראשיים בארגון: אדמין ארגוני (
roles/resourcemanager.organizationAdmin) בארגון
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות כדי להציג קישורי מדיניות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי לראות את הקישורים למדיניות, נדרשות ההרשאות הבאות:
-
צפייה בקשרי מדיניות למאגרי זהויות של כוח עבודה:
iam.workforcePools.searchPolicyBindingsבמאגר היעד של איחוד שירותי אימות הזהויות של כוח העבודה -
צפייה בקשרי מדיניות למאגרי איחוד שירותי אימות הזהויות של עומסי עבודה:
iam.workloadIdentityPools.searchPolicyBindingsבפרויקט שבבעלותו מאגר היעד של איחוד שירותי אימות הזהויות של כוח העבודה -
צפייה בקשרי מדיניות בדומיין של Google Workspace:
iam.workspacePools.searchPolicyBindingsבארגון -
כדי לראות את קשרי המדיניות של קבוצת החשבונות העיקריים בפרויקט:
resourcemanager.projects.searchPolicyBindingsבפרויקט -
צפייה בקשרי מדיניות לקבוצת העקרונות של תיקייה:
resourcemanager.folders.searchPolicyBindingsבתיקייה -
הצגת קשרי מדיניות לקבוצת ישויות בארגון:
resourcemanager.organizations.searchPolicyBindingsבאופן כללי בארגון
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
רשימת מדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון
כדי להציג את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שנוצרה בארגון, מציגים רשימה של המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון.
אפשר לרשום את מדיניות גבולות הגישה של הגורמים בארגון באמצעות מסוףGoogle Cloud , ה-CLI של gcloud או IAM REST API.
המסוף
נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .
בוחרים את הארגון שעבורו רוצים ליצור מדיניות של גבולות גישה לחשבונות ראשיים.
במסוף מפורטות כל המדיניות בארגון שבחרתם. Google Cloud
gcloud
הפקודה gcloud iam principal-access-boundary-policies list מציגה רשימה של כל כללי המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
ORG_ID: המזהה של Google Cloud הארגון שרוצים להציג את מדיניות הגבלת הגישה של הגורמים הראשיים שלו. מזהי ארגונים הם מספרים, למשל123456789012. -
FORMAT: הפורמט של התגובה. אפשר להשתמש ב-jsonאו ב-yaml.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud iam principal-access-boundary-policies list --organization=ORG_ID \ --location=global --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ` --location=global --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^ --location=global --format=FORMAT
התשובה מכילה את המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון שצוין.
{
"principalAccessBoundaryPolicies": [
{
"createTime": "2024-05-07T00:05:48.295209Z",
"details": [
"enforcementVersion": 1,
"rules": {
[
"description": "Make principals eligible to access resources in example.com",
"effect": ALLOW,
"resources": {
"//cloudresourcemanager.googleapis.com/organizations/123456789012"
}
]
}
],
"displayName": "Example policy 1",
"etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
"uid": "puid_13364150419245236225",
"updateTime": "2024-05-07T00:05:48.295209Z"
},
{
"createTime": "2024-02-29T23:25:01.606730Z",
"details": [
"enforcementVersion": 1,
"rules": {
[
"description": "Make principals eligible to access resources in example-project",
"effect": ALLOW,
"resources": {
"//cloudresourcemanager.googleapis.com/projects/example-project"
}
]
}
],
"displayName": "Example policy 2",
"etag": "d6BJBTsk2+oDCygmr5ANxA==",
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
"uid": "puid_13064942519001808897",
"updateTime": "2024-02-29T23:25:01.606730Z"
}
]
}
REST
השיטה principalAccessBoundaryPolicies.list מציגה רשימה של כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
ORG_ID: המזהה של Google Cloud הארגון שרוצים להציג את מדיניות הגבלת הגישה של הגורמים הראשיים שלו. מזהי ארגונים הם מספרים, למשל123456789012.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון שצוין.
{
"principalAccessBoundaryPolicies": [
{
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
"uid": "puid_13364150419245236225",
"etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
"displayName": "Example policy 1",
"createTime": "2024-05-07T00:05:48.295209Z",
"updateTime": "2024-05-07T00:05:48.295209Z",
"details": [
"rules": {
[
"description": "Make principals eligible to access resources in example.com",
"resources": {
"//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"effect": ALLOW
]
},
"enforcementVersion": 1,
]
},
{
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
"uid": "puid_13064942519001808897",
"etag": "d6BJBTsk2+oDCygmr5ANxA==",
"displayName": "Example policy 2",
"createTime": "2024-02-29T23:25:01.606730Z",
"updateTime": "2024-02-29T23:25:01.606730Z",
"details": [
"rules": {
[
"description": "Make principals eligible to access resources in example-project",
"resources": {
"//cloudresourcemanager.googleapis.com/projects/example-project"
},
"effect": ALLOW
]
},
"enforcementVersion": 1
]
}
]
}
אחזור של מדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים
כדי להציג את הפרטים של מדיניות אחת של גבולות גישה של חשבונות משתמשים, משתמשים במזהה המדיניות כדי לקבל את המדיניות.
אפשר לקבל מדיניות של גבולות גישה של ישויות באמצעות מסוף Google Cloud , ה-CLI של gcloud או API בארכיטקטורת REST של IAM.
המסוף
נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .
בוחרים את הארגון שעבורו רוצים ליצור מדיניות של גבולות גישה לחשבונות ראשיים.
לוחצים על מזהה המדיניות של המדיניות לקביעת גבול הגישה לחשבונות משתמשים שרוצים להציג.
Google Cloud במסוף מוצגים הפרטים של המדיניות לקביעת גבול הגישה לחשבונות משתמשים שבחרתם.
gcloud
הפקודה gcloud iam principal-access-boundary-policies describe מקבלת מדיניות אחת לקביעת גבול הגישה לחשבון משתמש.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
PAB_POLICY_ID: המזהה של מדיניות הגבלת הגישה של חשבון המשתמש שרוצים לקבל, לדוגמהexample-policy. -
ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל123456789012. -
FORMAT: הפורמט של התגובה. אפשר להשתמש ב-jsonאו ב-yaml.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
התשובה מכילה את המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שצוינה בבקשה.
{
"createTime": "2024-05-07T00:05:48.295209Z",
"details": [
"enforcementVersion": "1",
"rules": {
[
"description": "Make principals eligible to access example.com",
"effect": ALLOW,
"resources": {
"//cloudresourcemanager.googleapis.com/organizations/123456789012"
}
]
},
],
"displayName": "Example policy",
"etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
"uid": "puid_13364150419245236225",
"updateTime": "2024-05-07T00:05:48.295209Z"
}
REST
השיטה
principalAccessBoundaryPolicies.get
מקבלת מדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל123456789012. -
PAB_POLICY_ID: המזהה של מדיניות הגבלת הגישה של חשבון המשתמש שרוצים לקבל, לדוגמהexample-policy.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שצוינה בבקשה.
{
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
"uid": "puid_13364150419245236225",
"etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
"displayName": "Example policy",
"createTime": "2024-05-07T00:05:48.295209Z",
"updateTime": "2024-05-07T00:05:48.295209Z",
"details": [
"rules": {
[
"description": "Make principals eligible to access example.com"
"resources": {
"//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"effect": ALLOW
]
},
"enforcementVersion": "1"
]
}
רשימת קישורי מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
יש כמה דרכים להציג את קישורי המדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB):
- רשימת קישורי מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים
- הצגת קישורי מדיניות עבור קבוצת חשבונות משתמשים
- הצגת קשרי מדיניות לפרויקט, לתיקייה או לארגון
רשימת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
כדי לראות את כל הקישורים למדיניות שכוללים מדיניות מסוימת לקביעת גבול הגישה לחשבונות משתמשים, מחפשים את הקישורים למדיניות לקביעת גבול הגישה לחשבונות משתמשים.
אפשר לראות את כל קישורי המדיניות של מדיניות גבולות הגישה של גורם ראשי באמצעות מסוףGoogle Cloud , ה-CLI של gcloud או IAM REST API.
המסוף
נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .
בוחרים את הארגון שבבעלותו מדיניות הגבלת הגישה של חשבון המשתמש שרוצים לראות את הקישורים שלה.
לוחצים על מזהה המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שרוצים לראות את הקישורים שלה.
לוחצים על הכרטיסייה Bindings (קישורים).
בכרטיסייה Bindings מפורטים כל הקישורים של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שכוללים את המדיניות הזו.
gcloud
הפקודה gcloud iam principal-access-boundary-policies search-policy-bindings מציגה רשימה של כל קישורי המדיניות של המדיניות שצוינה לקביעת גבול הגישה לחשבונות משתמשים.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
PAB_POLICY_ID: המזהה של מדיניות גבולות הגישה של חשבון המשתמש שרוצים להציג את הקישורים למדיניות שלו, לדוגמה:example-policy. -
ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל123456789012. -
FORMAT: הפורמט של התגובה. אפשר להשתמש ב-jsonאו ב-yaml.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
התשובה מכילה את קישורי המדיניות של המדיניות שצוינה לקביעת גבול הגישה לחשבונות משתמשים.
{
"policyBindings": [
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding 1",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_9904260005517852673",
"updateTime": "2024-05-06T18:08:24.729843Z"
},
{
"createTime": "2024-05-07T07:05:06.203861Z",
"displayName": "Example binding 2",
"etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
},
"uid": "buid_4331055466646863873",
"updateTime": "2024-05-07T07:05:06.203861Z"
}
]
}
REST
השיטה
principalAccessBoundaryPolicies.searchPolicyBindings
מציגה ברשימה את כל קישורי המדיניות של המדיניות שצוינה לקביעת גבול הגישה לחשבונות משתמשים.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל123456789012. -
PAB_POLICY_ID: המזהה של מדיניות גבולות הגישה של חשבון המשתמש שרוצים להציג את הקישורים למדיניות שלו, לדוגמה:example-policy.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את קישורי המדיניות של המדיניות שצוינה לקביעת גבול הגישה לחשבונות משתמשים.
{
"policyBindings": [
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
"uid": "buid_9904260005517852673",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding 1",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyUid": "puid_9519202237377675265",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:08:24.729843Z"
},
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
"uid": "buid_4331055466646863873",
"etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
"displayName": "Example binding 2",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyUid": "puid_9519202237377675265",
"createTime": "2024-05-07T07:05:06.203861Z",
"updateTime": "2024-05-07T07:05:06.203861Z"
}
]
}
הצגת רשימת קישורי מדיניות לקבוצת חשבונות משתמשים
כדי לראות את כל קישורי המדיניות שכוללים קבוצה מסוימת של חשבונות משתמשים, מחפשים את הקישורים של קבוצת החשבונות.
הקישורים האלה מכילים את המזהים של כללי המדיניות לקביעת גבול הגישה לחשבונות משתמשים שמקושרים לקבוצת החשבונות הראשיים. כדי לראות את פרטי המדיניות האלה, משתמשים במזהה המדיניות כדי לקבל את המדיניות לקביעת גבול הגישה לחשבונות משתמשים.
אפשר לראות את כל קישורי המדיניות של קבוצת ישויות באמצעות ה-CLI של gcloud או API בארכיטקטורת REST של IAM.
gcloud
הפקודה gcloud iam policy-bindings search-target-policy-bindings מחזירה את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שמשויכת לקבוצת חשבונות משתמשים.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב ב-מנהל המשאבים (פרויקט, תיקייה או ארגון) שהקבוצה של חשבונות היעד היא צאצא שלו. אפשר להשתמש בערךproject,folderאוorganizationסוג המשאב תלוי בסוג של קבוצת חשבונות משתמש שרוצים להציג את הקישורים למדיניות שלה. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבון משתמש נתמכים.
-
RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהם ההורה של קבוצת היעד של החשבונות הראשיים. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
PRINCIPAL_SET: קבוצת החשבונות שרוצים להציג את הקישורים שלהם למדיניות לקביעת גבול הגישה לחשבונות משתמשים. רשימת הסוגים החוקיים של חשבונות משתמשים מופיעה במאמר קבוצות חשבונות משתמשים נתמכות. -
FORMAT: הפורמט של התגובה. אפשר להשתמש ב-jsonאו ב-yaml.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud iam policy-bindings search-target-policy-bindings \ --RESOURCE_TYPE=RESOURCE_ID \ --target=PRINCPAL_SET \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings search-target-policy-bindings ` --RESOURCE_TYPE=RESOURCE_ID ` --target=PRINCPAL_SET ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings search-target-policy-bindings ^ --RESOURCE_TYPE=RESOURCE_ID ^ --target=PRINCPAL_SET ^ --format=FORMAT
התשובה מכילה את כל קישורי המדיניות שקשורים לקבוצת חשבונות המשתמשים של היעד.
{
"policyBindings": [
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding 1",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_9904260005517852673",
"updateTime": "2024-05-06T18:11:16.798841Z"
},
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding 2",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_10358560617928851457",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_4331055466646863873",
"updateTime": "2024-05-06T18:11:16.798841Z"
}
]
}
REST
השיטה
SearchTargetPolicyBindings.search
מקבלת את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה לקבוצת חשבונות משתמשים.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב ב-מנהל המשאבים (פרויקט, תיקייה או ארגון) שהקבוצה של חשבונות היעד היא צאצא שלו. אפשר להשתמש בערךprojects,foldersאוorganizationsסוג המשאב תלוי בסוג של קבוצת חשבונות משתמש שרוצים להציג את הקישורים למדיניות שלה. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבון משתמש נתמכים.
-
RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהם ההורה של קבוצת היעד של החשבונות הראשיים. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
PRINCIPAL_SET: קבוצת החשבונות שרוצים להציג את הקישורים שלהם למדיניות לקביעת גבול הגישה לחשבונות משתמשים. רשימת הסוגים החוקיים של חשבונות משתמשים מופיעה במאמר קבוצות חשבונות משתמשים נתמכות.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את כל קישורי המדיניות שקשורים לקבוצת חשבונות המשתמשים של היעד.
{
"policyBindings": [
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
"uid": "buid_9904260005517852673",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding 1",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:11:16.798841Z",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265"
},
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
"uid": "buid_4331055466646863873",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding 2",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:11:16.798841Z",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_10358560617928851457"
}
]
}
הצגת מדיניות שקשורה לפרויקט, לתיקייה או לארגון
כדי לראות את כל קשרי המדיניות שהם צאצאים של פרויקט, תיקייה או ארגון ספציפיים, מציגים את רשימת קשרי המדיניות של הפרויקט, התיקייה או הארגון.
משאב ההורה של קישור מדיניות תלוי בחשבון המשתמש שמוגדר בקישור המדיניות. מידע נוסף זמין במאמר בנושא סוגי ישויות נתמכים.
אפשר לראות את כל קישורי המדיניות בפרויקט, בתיקייה או בארגון באמצעות ה-CLI של gcloud או API בארכיטקטורת REST של IAM.
gcloud
הפקודה gcloud iam policy-bindings list מציגה רשימה של כל קישורי המדיניות שהם צאצאים של משאב מסוים.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערךproject,folderאוorganizationסוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.
-
RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
FORMAT: הפורמט של התגובה. אפשר להשתמש ב-jsonאו ב-yaml.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ` --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^ --location=global ^ --format=FORMAT
התשובה תכיל את קשרי המדיניות שהם צאצאים של המשאב בפקודה.
{
"policyBindings": [
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding 1",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_9904260005517852673",
"updateTime": "2024-05-06T18:08:24.729843Z"
},
{
"createTime": "2024-05-07T07:05:06.203861Z",
"displayName": "Example binding 2",
"etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_1566408245394800641",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_4331055466646863873",
"updateTime": "2024-05-07T07:05:06.203861Z"
}
]
}
REST
השיטה
policyBindings.list
מציגה ברשימה את כל קשרי המדיניות שמהווים צאצאים של משאב מסוים.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערךprojects,foldersאוorganizationsסוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.
-
RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את הקישורים למדיניות שהם צאצאים של המשאב בבקשה.
{
"policyBindings": [
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
"uid": "buid_9904260005517852673",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding 1",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
"policyUid": "puid_9519202237377675265",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:08:24.729843Z"
},
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
"uid": "buid_4331055466646863873",
"etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
"displayName": "Example binding 2",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
"policyUid": "puid_1566408245394800641",
"createTime": "2024-05-07T07:05:06.203861Z",
"updateTime": "2024-05-07T07:05:06.203861Z"
}
]
}
אחזור של קישור מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים
כדי להציג את הפרטים של קשירת מדיניות יחידה, משתמשים במזהה של קשירת המדיניות כדי לאחזר את קשירת המדיניות.
אפשר לקבל קשירת מדיניות באמצעות ה-CLI של gcloud או API בארכיטקטורת REST של IAM.
gcloud
הפקודה
gcloud iam policy-bindings describe
מקבלת קישור למדיניות.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
BINDING_ID: המזהה של מדיניות ה-IAM שרוצים לקבל. לדוגמה,example-binding. -
RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערךproject,folderאוorganizationסוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.
-
RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
FORMAT: הפורמט של התגובה. אפשר להשתמש ב-jsonאו ב-yaml.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud iam policy-bindings describe BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings describe BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings describe BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global ^ --format=FORMAT
התשובה מכילה את קישור המדיניות.
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_9904260005517852673",
"updateTime": "2024-05-06T18:08:24.729843Z"
}
REST
השיטה
policyBindings.get
מקבלת קישור למדיניות.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערךprojects,foldersאוorganizationsסוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.
-
RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
BINDING_ID: המזהה של מדיניות ה-IAM שרוצים לקבל. לדוגמה,example-binding.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את קישור המדיניות.
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding",
"uid": "buid_9904260005517852673",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyUid": "puid_9519202237377675265",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:08:24.729843Z"
}
המאמרים הבאים
- יצירה והחלה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים
- עריכת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
- הסרת מדיניות לקביעת גבול הגישה לחשבונות משתמשים