צפייה במדיניות לקביעת גבול הגישה לחשבונות משתמשים

מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) מאפשרת להגביל את המשאבים שקבוצה של חשבונות משתמשים יכולה לגשת אליהם. בדף הזה מוסבר איך לצפות במדיניות לקביעת גבול הגישה לחשבונות משתמשים ובקישורי מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים.

לפני שמתחילים

התפקידים שנדרשים כדי להציג מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

כדי לקבל את ההרשאות שדרושות בשביל לראות את מדיניות בקרת הגישה לישויות מורשות (PAB), אתם צריכים לבקש מהאדמין לתת לכם את תפקיד ה-IAM‏ Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד המוגדר מראש הזה כולל את ההרשאות שנדרשות כדי להציג מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB). כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי להציג את המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), נדרשות ההרשאות הבאות:

  • כדי להציג מדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים: iam.principalaccessboundarypolicies.get
  • כדי להציג רשימה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון: iam.principalaccessboundarypolicies.list

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

התפקידים שנדרשים לצפייה בקישורי מדיניות

כדי לקבל את ההרשאות שדרושות בשביל לראות את קישורי המדיניות, אתם צריכים לבקש מהאדמין לתת לכם את תפקידי ה-IAM הבאים במשאב האב של קישורי המדיניות:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות כדי להציג קישורי מדיניות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לראות את הקישורים למדיניות, נדרשות ההרשאות הבאות:

  • כדי להציג קשירת מדיניות יחידה: iam.policybindings.get
  • כדי להציג את מדיניות הקישור בפרויקט, בתיקייה או בארגון: iam.policybindings.list

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

תפקידים שנדרשים כדי לראות את כל קישורי המדיניות במדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

כדי לקבל את ההרשאה שדרושה לצפייה בכל קישורי המדיניות של מדיניות בקרת גישה לישויות מורשות (PAB), צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Principal Access Boundary Viewer (roles/iam.principalAccessBoundaryViewer) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד המוגדר מראש הזה מכיל את ההרשאה iam.principalaccessboundarypolicies.searchIamPolicyBindings, שנדרשת כדי להציג את כל קישורי המדיניות של מדיניות גבולות הגישה של חשבון משתמש.

יכול להיות שתוכלו לקבל את ההרשאה הזו גם בתפקידים בהתאמה אישית או בתפקידים אחרים שמוגדרים מראש.

תפקידים שנדרשים כדי להציג קישורי מדיניות עבור קבוצת חשבונות משתמשים

ההרשאות שנדרשות כדי להציג את כל קשרי המדיניות של קבוצת משתמשים תלויות בקבוצת המשתמשים שעבורה רוצים להציג את המדיניות.

כדי לקבל את ההרשאות שדרושות בשביל להציג את קישורי המדיניות, אתם צריכים לבקש מהאדמין לתת לכם את התפקידים הבאים ב-IAM:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות כדי להציג קישורי מדיניות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לראות את הקישורים למדיניות, נדרשות ההרשאות הבאות:

  • צפייה בקשרי מדיניות למאגרי זהויות של כוח עבודה: iam.workforcePools.searchPolicyBindings במאגר היעד של איחוד שירותי אימות הזהויות של כוח העבודה
  • צפייה בקשרי מדיניות למאגרי איחוד שירותי אימות הזהויות של עומסי עבודה: iam.workloadIdentityPools.searchPolicyBindings בפרויקט שבבעלותו מאגר היעד של איחוד שירותי אימות הזהויות של כוח העבודה
  • צפייה בקשרי מדיניות בדומיין של Google Workspace: iam.workspacePools.searchPolicyBindings בארגון
  • כדי לראות את קשרי המדיניות של קבוצת החשבונות העיקריים בפרויקט: resourcemanager.projects.searchPolicyBindings בפרויקט
  • צפייה בקשרי מדיניות לקבוצת העקרונות של תיקייה: resourcemanager.folders.searchPolicyBindings בתיקייה
  • הצגת קשרי מדיניות לקבוצת ישויות בארגון: resourcemanager.organizations.searchPolicyBindings באופן כללי בארגון

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

רשימת מדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון

כדי להציג את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שנוצרה בארגון, מציגים רשימה של המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון.

אפשר לרשום את מדיניות גבולות הגישה של הגורמים בארגון באמצעות מסוףGoogle Cloud , ‏ ה-CLI של gcloud או IAM REST API.

המסוף

  1. נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .

    מעבר אל מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

  2. בוחרים את הארגון שעבורו רוצים ליצור מדיניות של גבולות גישה לחשבונות ראשיים.

במסוף מפורטות כל המדיניות בארגון שבחרתם. Google Cloud

gcloud

הפקודה gcloud iam principal-access-boundary-policies list מציגה רשימה של כל כללי המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • ORG_ID: המזהה של Google Cloud הארגון שרוצים להציג את מדיניות הגבלת הגישה של הגורמים הראשיים שלו. מזהי ארגונים הם מספרים, למשל 123456789012.
  • FORMAT: הפורמט של התגובה. אפשר להשתמש ב-json או ב-yaml.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud iam principal-access-boundary-policies list --organization=ORG_ID \
    --location=global  --format=FORMAT

‏Windows (PowerShell)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID `
    --location=global  --format=FORMAT

Windows‏ (cmd.exe)

gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^
    --location=global  --format=FORMAT

התשובה מכילה את המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון שצוין.

{
  "principalAccessBoundaryPolicies": [
    {
      "createTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            }
          ]
        }
      ],
      "displayName": "Example policy 1",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "updateTime": "2024-05-07T00:05:48.295209Z"
    },
    {
      "createTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "enforcementVersion": 1,
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "effect": ALLOW,
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            }
          ]
        }
      ],
      "displayName": "Example policy 2",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "updateTime": "2024-02-29T23:25:01.606730Z"
    }
  ]
}

REST

השיטה principalAccessBoundaryPolicies.list מציגה רשימה של כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • ORG_ID: המזהה של Google Cloud הארגון שרוצים להציג את מדיניות הגבלת הגישה של הגורמים הראשיים שלו. מזהי ארגונים הם מספרים, למשל 123456789012.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את המדיניות לקביעת גבול הגישה לחשבונות משתמשים בארגון שצוין.

{
  "principalAccessBoundaryPolicies": [
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
      "uid": "puid_13364150419245236225",
      "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
      "displayName": "Example policy 1",
      "createTime": "2024-05-07T00:05:48.295209Z",
      "updateTime": "2024-05-07T00:05:48.295209Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example.com",
            "resources": {
              "//cloudresourcemanager.googleapis.com/organizations/123456789012"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1,
      ]
    },
    {
      "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
      "uid": "puid_13064942519001808897",
      "etag": "d6BJBTsk2+oDCygmr5ANxA==",
      "displayName": "Example policy 2",
      "createTime": "2024-02-29T23:25:01.606730Z",
      "updateTime": "2024-02-29T23:25:01.606730Z",
      "details": [
        "rules": {
          [
            "description": "Make principals eligible to access resources in example-project",
            "resources": {
              "//cloudresourcemanager.googleapis.com/projects/example-project"
            },
            "effect": ALLOW
          ]
        },
        "enforcementVersion": 1
      ]
    }
  ]
}

אחזור של מדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים

כדי להציג את הפרטים של מדיניות אחת של גבולות גישה של חשבונות משתמשים, משתמשים במזהה המדיניות כדי לקבל את המדיניות.

אפשר לקבל מדיניות של גבולות גישה של ישויות באמצעות מסוף Google Cloud , ‏ ה-CLI של gcloud או API בארכיטקטורת REST של IAM.

המסוף

  1. נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .

    מעבר אל מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

  2. בוחרים את הארגון שעבורו רוצים ליצור מדיניות של גבולות גישה לחשבונות ראשיים.

  3. לוחצים על מזהה המדיניות של המדיניות לקביעת גבול הגישה לחשבונות משתמשים שרוצים להציג.

Google Cloud במסוף מוצגים הפרטים של המדיניות לקביעת גבול הגישה לחשבונות משתמשים שבחרתם.

gcloud

הפקודה gcloud iam principal-access-boundary-policies describe מקבלת מדיניות אחת לקביעת גבול הגישה לחשבון משתמש.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • PAB_POLICY_ID: המזהה של מדיניות הגבלת הגישה של חשבון המשתמש שרוצים לקבל, לדוגמה example-policy.
  • ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל 123456789012.
  • FORMAT: הפורמט של התגובה. אפשר להשתמש ב-json או ב-yaml.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

‏Windows (PowerShell)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows‏ (cmd.exe)

gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

התשובה מכילה את המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שצוינה בבקשה.

{
  "createTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "enforcementVersion": "1",
    "rules": {
      [
        "description": "Make principals eligible to access example.com",
        "effect": ALLOW,
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        }
      ]
    },
  ],
  "displayName": "Example policy",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "updateTime": "2024-05-07T00:05:48.295209Z"
}

REST

השיטה principalAccessBoundaryPolicies.get מקבלת מדיניות אחת לקביעת גבול הגישה לחשבונות משתמשים.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל 123456789012.
  • PAB_POLICY_ID: המזהה של מדיניות הגבלת הגישה של חשבון המשתמש שרוצים לקבל, לדוגמה example-policy.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שצוינה בבקשה.

{
  "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
  "uid": "puid_13364150419245236225",
  "etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
  "displayName": "Example policy",
  "createTime": "2024-05-07T00:05:48.295209Z",
  "updateTime": "2024-05-07T00:05:48.295209Z",
  "details": [
    "rules": {
      [
        "description": "Make principals eligible to access example.com"
        "resources": {
          "//cloudresourcemanager.googleapis.com/organizations/123456789012"
        },
        "effect": ALLOW
      ]
    },
    "enforcementVersion": "1"
  ]
}

רשימת קישורי מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

יש כמה דרכים להציג את קישורי המדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB):

רשימת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

כדי לראות את כל הקישורים למדיניות שכוללים מדיניות מסוימת לקביעת גבול הגישה לחשבונות משתמשים, מחפשים את הקישורים למדיניות לקביעת גבול הגישה לחשבונות משתמשים.

אפשר לראות את כל קישורי המדיניות של מדיניות גבולות הגישה של גורם ראשי באמצעות מסוףGoogle Cloud , ‏ ה-CLI של gcloud או IAM REST API.

המסוף

  1. נכנסים לדף Principal Access Boundary policies במסוף Google Cloud .

    מעבר אל מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

  2. בוחרים את הארגון שבבעלותו מדיניות הגבלת הגישה של חשבון המשתמש שרוצים לראות את הקישורים שלה.

  3. לוחצים על מזהה המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שרוצים לראות את הקישורים שלה.

  4. לוחצים על הכרטיסייה Bindings (קישורים).

בכרטיסייה Bindings מפורטים כל הקישורים של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שכוללים את המדיניות הזו.

gcloud

הפקודה gcloud iam principal-access-boundary-policies search-policy-bindings מציגה רשימה של כל קישורי המדיניות של המדיניות שצוינה לקביעת גבול הגישה לחשבונות משתמשים.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • PAB_POLICY_ID: המזהה של מדיניות גבולות הגישה של חשבון המשתמש שרוצים להציג את הקישורים למדיניות שלו, לדוגמה: example-policy.
  • ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל 123456789012.
  • FORMAT: הפורמט של התגובה. אפשר להשתמש ב-json או ב-yaml.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \
    --organization=ORG_ID --location=global \
    --format=FORMAT

‏Windows (PowerShell)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID `
    --organization=ORG_ID --location=global `
    --format=FORMAT

Windows‏ (cmd.exe)

gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^
    --organization=ORG_ID --location=global ^
    --format=FORMAT

התשובה מכילה את קישורי המדיניות של המדיניות שצוינה לקביעת גבול הגישה לחשבונות משתמשים.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

השיטה principalAccessBoundaryPolicies.searchPolicyBindings מציגה ברשימה את כל קישורי המדיניות של המדיניות שצוינה לקביעת גבול הגישה לחשבונות משתמשים.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • ORG_ID: המזהה של הארגון שבבעלותו מדיניות גבולות הגישה של החשבון הראשי. מזהי ארגונים הם מספרים, למשל 123456789012.
  • PAB_POLICY_ID: המזהה של מדיניות גבולות הגישה של חשבון המשתמש שרוצים להציג את הקישורים למדיניות שלו, לדוגמה: example-policy.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את קישורי המדיניות של המדיניות שצוינה לקביעת גבול הגישה לחשבונות משתמשים.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

הצגת רשימת קישורי מדיניות לקבוצת חשבונות משתמשים

כדי לראות את כל קישורי המדיניות שכוללים קבוצה מסוימת של חשבונות משתמשים, מחפשים את הקישורים של קבוצת החשבונות.

הקישורים האלה מכילים את המזהים של כללי המדיניות לקביעת גבול הגישה לחשבונות משתמשים שמקושרים לקבוצת החשבונות הראשיים. כדי לראות את פרטי המדיניות האלה, משתמשים במזהה המדיניות כדי לקבל את המדיניות לקביעת גבול הגישה לחשבונות משתמשים.

אפשר לראות את כל קישורי המדיניות של קבוצת ישויות באמצעות ה-CLI של gcloud או API בארכיטקטורת REST של IAM.

gcloud

הפקודה gcloud iam policy-bindings search-target-policy-bindings מחזירה את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שמשויכת לקבוצת חשבונות משתמשים.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב ב-מנהל המשאבים (פרויקט, תיקייה או ארגון) שהקבוצה של חשבונות היעד היא צאצא שלו. אפשר להשתמש בערך project,‏ folder או organization

    סוג המשאב תלוי בסוג של קבוצת חשבונות משתמש שרוצים להציג את הקישורים למדיניות שלה. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבון משתמש נתמכים.

  • RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהם ההורה של קבוצת היעד של החשבונות הראשיים. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • PRINCIPAL_SET: קבוצת החשבונות שרוצים להציג את הקישורים שלהם למדיניות לקביעת גבול הגישה לחשבונות משתמשים. רשימת הסוגים החוקיים של חשבונות משתמשים מופיעה במאמר קבוצות חשבונות משתמשים נתמכות.
  • FORMAT: הפורמט של התגובה. אפשר להשתמש ב-json או ב-yaml.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud iam policy-bindings search-target-policy-bindings \
    --RESOURCE_TYPE=RESOURCE_ID \
    --target=PRINCPAL_SET \
    --format=FORMAT

‏Windows (PowerShell)

gcloud iam policy-bindings search-target-policy-bindings `
    --RESOURCE_TYPE=RESOURCE_ID `
    --target=PRINCPAL_SET `
    --format=FORMAT

Windows‏ (cmd.exe)

gcloud iam policy-bindings search-target-policy-bindings ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --target=PRINCPAL_SET ^
    --format=FORMAT

התשובה מכילה את כל קישורי המדיניות שקשורים לקבוצת חשבונות המשתמשים של היעד.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    },
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 2",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-06T18:11:16.798841Z"
    }
  ]
}

REST

השיטה SearchTargetPolicyBindings.search מקבלת את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה לקבוצת חשבונות משתמשים.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב ב-מנהל המשאבים (פרויקט, תיקייה או ארגון) שהקבוצה של חשבונות היעד היא צאצא שלו. אפשר להשתמש בערך projects,‏ folders או organizations

    סוג המשאב תלוי בסוג של קבוצת חשבונות משתמש שרוצים להציג את הקישורים למדיניות שלה. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבון משתמש נתמכים.

  • RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהם ההורה של קבוצת היעד של החשבונות הראשיים. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • PRINCIPAL_SET: קבוצת החשבונות שרוצים להציג את הקישורים שלהם למדיניות לקביעת גבול הגישה לחשבונות משתמשים. רשימת הסוגים החוקיים של חשבונות משתמשים מופיעה במאמר קבוצות חשבונות משתמשים נתמכות.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את כל קישורי המדיניות שקשורים לקבוצת חשבונות המשתמשים של היעד.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:11:16.798841Z",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_10358560617928851457"
    }
  ]
}

הצגת מדיניות שקשורה לפרויקט, לתיקייה או לארגון

כדי לראות את כל קשרי המדיניות שהם צאצאים של פרויקט, תיקייה או ארגון ספציפיים, מציגים את רשימת קשרי המדיניות של הפרויקט, התיקייה או הארגון.

משאב ההורה של קישור מדיניות תלוי בחשבון המשתמש שמוגדר בקישור המדיניות. מידע נוסף זמין במאמר בנושא סוגי ישויות נתמכים.

אפשר לראות את כל קישורי המדיניות בפרויקט, בתיקייה או בארגון באמצעות ה-CLI של gcloud או API בארכיטקטורת REST של IAM.

gcloud

הפקודה gcloud iam policy-bindings list מציגה רשימה של כל קישורי המדיניות שהם צאצאים של משאב מסוים.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערך project,‏ folder או organization

    סוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.

  • RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • FORMAT: הפורמט של התגובה. אפשר להשתמש ב-json או ב-yaml.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --format=FORMAT

‏Windows (PowerShell)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID `
    --location=global `
    --format=FORMAT

Windows‏ (cmd.exe)

gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^
    --location=global ^
    --format=FORMAT

התשובה תכיל את קשרי המדיניות שהם צאצאים של המשאב בפקודה.

{
  "policyBindings": [
    {
      "createTime": "2024-05-06T18:08:24.729843Z",
      "displayName": "Example binding 1",
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_9519202237377675265",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_9904260005517852673", 
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "createTime": "2024-05-07T07:05:06.203861Z",
      "displayName": "Example binding 2",
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policyUid": "puid_1566408245394800641",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "uid": "buid_4331055466646863873", 
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

REST

השיטה policyBindings.list מציגה ברשימה את כל קשרי המדיניות שמהווים צאצאים של משאב מסוים.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערך projects,‏ folders או organizations

    סוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.

  • RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את הקישורים למדיניות שהם צאצאים של המשאב בבקשה.

{
  "policyBindings": [
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
      "uid": "buid_9904260005517852673", 
      "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
      "displayName": "Example binding 1",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
      "policyUid": "puid_9519202237377675265",
      "createTime": "2024-05-06T18:08:24.729843Z",
      "updateTime": "2024-05-06T18:08:24.729843Z"
    },
    {
      "name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
      "uid": "buid_4331055466646863873", 
      "etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
      "displayName": "Example binding 2",
      "target": {
        "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
      },
      "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
      "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
      "policyUid": "puid_1566408245394800641",
      "createTime": "2024-05-07T07:05:06.203861Z",
      "updateTime": "2024-05-07T07:05:06.203861Z"
    }
  ]
}

אחזור של קישור מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים

כדי להציג את הפרטים של קשירת מדיניות יחידה, משתמשים במזהה של קשירת המדיניות כדי לאחזר את קשירת המדיניות.

אפשר לקבל קשירת מדיניות באמצעות ה-CLI של gcloud או API בארכיטקטורת REST של IAM.

gcloud

הפקודה gcloud iam policy-bindings describe מקבלת קישור למדיניות.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • BINDING_ID: המזהה של מדיניות ה-IAM שרוצים לקבל. לדוגמה, example-binding.
  • RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערך project,‏ folder או organization

    סוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.

  • RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • FORMAT: הפורמט של התגובה. אפשר להשתמש ב-json או ב-yaml.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud iam policy-bindings describe BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global \
    --format=FORMAT

‏Windows (PowerShell)

gcloud iam policy-bindings describe BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global `
    --format=FORMAT

Windows‏ (cmd.exe)

gcloud iam policy-bindings describe BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global ^
    --format=FORMAT

התשובה מכילה את קישור המדיניות.

{
  "createTime": "2024-05-06T18:08:24.729843Z",
  "displayName": "Example binding",
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policyUid": "puid_9519202237377675265",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "uid": "buid_9904260005517852673", 
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

REST

השיטה policyBindings.get מקבלת קישור למדיניות.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב במנהל המשאבים (פרויקט, תיקייה או ארגון) שה-policy binding הוא צאצא שלו. אפשר להשתמש בערך projects,‏ folders או organizations

    סוג המשאב תלוי בישות העיקרית שמוגדרת בקשירת המדיניות. כדי לראות באיזה סוג משאב צריך להשתמש, אפשר לעיין במאמר סוגי חשבונות משתמש נתמכים.

  • RESOURCE_ID: המזהה של הפרויקט, התיקייה או הארגון שהקישור למדיניות הוא צאצא שלהם. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • BINDING_ID: המזהה של מדיניות ה-IAM שרוצים לקבל. לדוגמה, example-binding.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את קישור המדיניות.

{
  "name": "organizations/123456789012/locations/global/policyBindings/example-binding",
  "uid": "buid_9904260005517852673", 
  "etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
  "displayName": "Example binding",
  "target": {
    "principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
  },
  "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
  "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
  "policyUid": "puid_9519202237377675265",
  "createTime": "2024-05-06T18:08:24.729843Z",
  "updateTime": "2024-05-06T18:08:24.729843Z"
}

המאמרים הבאים