IAM 許可ポリシーの以前の版を復元する

このページでは、誤って変更したり、誤って削除したりした後に、IAM 許可ポリシーの以前のバージョンを復元する方法について説明します。

以前の IAM ポリシーを復元するには、変更または削除前の最後の成功した setIamPolicy を見つけて、それを使用してポリシーを復元します。

必要なロール

以前の許可ポリシーを復元するために必要な権限を取得するには、プロジェクト、フォルダ、または組織に対する次の IAM ロールを付与するよう管理者に依頼します。

• setIamPolicy を使用して許可ポリシーを復元します。
  • ロギング閲覧者 （roles/logging.viewer）
  • 組織管理者 （roles/resourcemanager.organizationAdmin）
  • オーナー （roles/owner）
• Cloud Asset Inventory を使用して許可ポリシーを復元する: Cloud Asset オーナー （roles/cloudasset.owner）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

最後に成功した setIamPolicy インスタンスを使用して許可ポリシーを復元する

許可ポリシーを以前のバージョンに復元するには、変更または削除前の setIamPolicy の最後の成功インスタンスの監査ログを確認し、そのインスタンスの情報を使用してポリシーを復元します。このプロセスには、次のステップが含まれます。

1. 許可ポリシーの最後の成功した setIamPolicy インスタンスを特定し、insertId を取得します。
2. setIamPolicy リクエストの insertId を使用して、許可ポリシーを YAML 形式または JSON 形式でエクスポートします。
3. 出力ファイルを変更して、以前の動作中の許可ポリシーと一致させ、現在の許可ポリシーをオーバーライドします。

setIamPolicy の最後の成功したインスタンスを特定し、insertId を取得します。

setIamPolicy の最後の成功したインスタンスを特定して isertId を取得するには、 Google Cloud コンソールまたは gcloud CLI を使用して監査ログを確認します。

gcloud logging read \
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' \
    --freshness=TIME_PERIOD \
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read `
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' `
    --freshness=TIME_PERIOD `
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

gcloud logging read ^
    'logName:RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity
    AND protoPayload.methodName=SetIamPolicy' ^
    --freshness=TIME_PERIOD ^
    --RESOURCE_TYPE_SINGULAR=RESOURCE_ID

insertId を使用して許可ポリシーをエクスポートする

setIamPolicy の最後に成功したインスタンスから取得した insertId を使用して、gcloud CLI で次のコマンドを実行し、JSON または YAML 形式で許可ポリシーをエクスポートします。組織とプロジェクトの許可ポリシーをエクスポートできます。

gcloud logging read organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com
insertId="INSERT_ID"'
--organization=ORGANIZATION_ID
--format="FORMAT(protoPayload.request.policy)"
--freshness=TIME_PERIOD > OUTPUT_FILE

gcloud logging read organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com
insertId="INSERT_ID"'
--organization=ORGANIZATION_ID
--format="FORMAT(protoPayload.request.policy)"
--freshness=TIME_PERIOD > OUTPUT_FILE

gcloud logging read organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com
insertId="INSERT_ID"'
--organization=ORGANIZATION_ID
--format="FORMAT(protoPayload.request.policy)"
--freshness=TIME_PERIOD > OUTPUT_FILE

gcloud logging read \
'protoPayload.methodName="SetIamPolicy" AND insertId="INSERT_ID"' \
--freshness=TIME_PERIOD \
--format="FORMAT(protoPayload.request.policy)" > OUTPUT_FILE

gcloud logging read `
'protoPayload.methodName="SetIamPolicy" AND insertId="INSERT_ID"' `
--freshness=TIME_PERIOD `
--format="FORMAT(protoPayload.request.policy)" > OUTPUT_FILE

gcloud logging read ^
'protoPayload.methodName="SetIamPolicy" AND insertId="INSERT_ID"' ^
--freshness=TIME_PERIOD ^
--format="FORMAT(protoPayload.request.policy)" > OUTPUT_FILE

出力ファイルを変更して現在の許可ポリシーをオーバーライドする

出力ファイルを次の方法で変更し、現在の許可ポリシーをオーバーライドします。

1. プログラムまたはテキスト エディタを使用して、次の行を削除して出力ファイルを変更します。

    ---
    protoPayload:
       request:
         policy:
   

   生成されるファイルは auditConfigs: で始まります。

2. 現在の許可ポリシーを取得します。

   gcloud

   gcloud get-iam-policy コマンドは、プロジェクト、フォルダ、または組織の許可ポリシーを取得します。

   後述のコマンドデータを使用する前に、次のように置き換えます。

   • RESOURCE_TYPE: 許可ポリシーを取得するリソースのタイプ。有効な値は projects、resource-manager folders、organizations です。

   • RESOURCE_ID: Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字です（例: my-project）。フォルダ ID と組織 ID は数値です（例: 123456789012）。

   • FORMAT: 許可ポリシーの形式。json または yaml を使用します。

   • PATH: 許可ポリシーの新しい出力ファイルのパス。

   次のコマンドを実行します。

   Linux、macOS、Cloud Shell

   gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH

   Windows（PowerShell）

   gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH

   Windows（cmd.exe）

   gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH

   たとえば、次のコマンドはプロジェクト my-project の許可ポリシーを取得し、JSON 形式でホーム ディレクトリに保存します。

   gcloud projects get-iam-policy my-project --format json > ~/policy.json

   C#

   Resource Manager に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、始める前にをご覧ください。

   Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。

   次の例は、プロジェクトの許可ポリシーを取得する方法を示しています。フォルダまたは組織の許可ポリシーを取得する方法については、ご使用のプログラミング言語の Resource Manager クライアント ライブラリのドキュメントをご覧ください。

   
   using Google.Apis.Auth.OAuth2;
   using Google.Apis.CloudResourceManager.v1;
   using Google.Apis.CloudResourceManager.v1.Data;
   
   public partial class AccessManager
   {
       public static Policy GetPolicy(string projectId)
       {
           var credential = GoogleCredential.GetApplicationDefault()
               .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
           var service = new CloudResourceManagerService(
               new CloudResourceManagerService.Initializer
               {
                   HttpClientInitializer = credential
               });
   
           var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
               projectId).Execute();
           return policy;
       }
   }
   

   Java

   Resource Manager に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、始める前にをご覧ください。

   Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。

   次の例は、プロジェクトの許可ポリシーを取得する方法を示しています。フォルダまたは組織の許可ポリシーを取得する方法については、ご使用のプログラミング言語の Resource Manager クライアント ライブラリのドキュメントをご覧ください。

   import com.google.cloud.resourcemanager.v3.ProjectsClient;
   import com.google.iam.admin.v1.ProjectName;
   import com.google.iam.v1.GetIamPolicyRequest;
   import com.google.iam.v1.Policy;
   import java.io.IOException;
   
   public class GetProjectPolicy {
     public static void main(String[] args) throws IOException {
       // TODO(developer): Replace the variables before running the sample.
       // TODO: Replace with your project ID.
       String projectId = "your-project-id";
   
       getProjectPolicy(projectId);
     }
   
     // Gets a project's policy.
     public static Policy getProjectPolicy(String projectId) throws IOException {
       // Initialize client that will be used to send requests.
       // This client only needs to be created once, and can be reused for multiple requests.
       try (ProjectsClient projectsClient = ProjectsClient.create()) {
         GetIamPolicyRequest request = GetIamPolicyRequest.newBuilder()
                 .setResource(ProjectName.of(projectId).toString())
                 .build();
         return projectsClient.getIamPolicy(request);
       }
     }
   }

   Python

   Resource Manager に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、始める前にをご覧ください。

   Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。

   次の例は、プロジェクトの許可ポリシーを取得する方法を示しています。フォルダまたは組織の許可ポリシーを取得する方法については、ご使用のプログラミング言語の Resource Manager クライアント ライブラリのドキュメントをご覧ください。

   from google.cloud import resourcemanager_v3
   from google.iam.v1 import iam_policy_pb2, policy_pb2
   
   
   def get_project_policy(project_id: str) -> policy_pb2.Policy:
       """Get policy for project.
   
       project_id: ID or number of the Google Cloud project you want to use.
       """
   
       client = resourcemanager_v3.ProjectsClient()
       request = iam_policy_pb2.GetIamPolicyRequest()
       request.resource = f"projects/{project_id}"
   
       policy = client.get_iam_policy(request)
       print(f"Policy retrieved: {policy}")
   
       return policy

   REST

   Resource Manager API の get-iam-policy メソッドは、プロジェクト、フォルダ、または組織の許可ポリシーを取得します。

   リクエストのデータを使用する前に、次のように置き換えます。

   • API_VERSION: 使用する API のバージョン。プロジェクトと組織の場合は、v1 を使用します。フォルダの場合は、v2 を使用します。
   • RESOURCE_TYPE: ポリシーを管理するリソースタイプ。値 projects、folders、または organizations を使用します。
   • RESOURCE_ID: Google Cloudプロジェクト、組織、またはフォルダ ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。フォルダ ID と組織 ID は数値です（例: 123456789012）。
   • POLICY_VERSION: 返されるポリシー バージョン。リクエストでは、最新のポリシー バージョン（ポリシー バージョン 3）を指定する必要があります。詳細については、ポリシーの取得時にポリシー バージョンを指定するをご覧ください。

   HTTP メソッドと URL:

   POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

   リクエストの本文（JSON）:

   {
     "options": {
       "requestedPolicyVersion": POLICY_VERSION
     }
   }
   

   リクエストを送信するには、次のいずれかのオプションを展開します。

   curl（Linux、macOS、Cloud Shell）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy"

   PowerShell（Windows）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy" | Select-Object -Expand Content

   API Explorer（ブラウザ）

   リクエスト本文をコピーして、メソッドのリファレンス ページを開きます。ページの右側に [API Explorer] パネルが開きます。このツールを操作してリクエストを送信できます。このツールにリクエスト本文を貼り付け、その他の必須フィールドに入力して、[Execute] をクリックします。

   レスポンスには、リソースの許可ポリシーが含まれます。次に例を示します。

   {
     "version": 1,
     "etag": "BwWKmjvelug=",
     "bindings": [
       {
         "role": "roles/owner",
         "members": [
           "user:my-user@example.com"
         ]
       }
     ]
   }
   

   レスポンスを適切なタイプ（json または yaml）のファイルに保存します。

3. 現在の許可ポリシーから etag の値をコピーします。

4. 出力ファイルの etag 値を、現在の許可ポリシーからコピーした etag 値に置き換えます。出力ファイルの etag は、新しい setIamPolicy リクエストを開始するために現在の etag と一致している必要があります。出力ファイルで etag の間隔が変更されていないことを確認します。

5. ファイルを確認して、以前の動作中の許可ポリシーと一致していることを確認します。新しいプロジェクトを作成してポリシーを適用し、意図したとおりに動作することを確認することをおすすめします。

6. 許可ポリシーを設定して、作成した出力ファイルのポリシーで現在の許可ポリシーをオーバーライドします。

   gcloud

   gcloud set-iam-policy コマンドは、リクエストのポリシーをプロジェクト、フォルダ、組織の新しい許可ポリシーとして設定します。

   後述のコマンドデータを使用する前に、次のように置き換えます。

   • RESOURCE_TYPE: 許可ポリシーを設定するリソースのタイプ。有効な値は projects、resource-manager folders、organizations です。

   • RESOURCE_ID: Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字です（例: my-project）。フォルダ ID と組織 ID は数値です（例: 123456789012）。

   • PATH: 新しい許可ポリシーを含むファイルのパス。

   次のコマンドを実行します。

   Linux、macOS、Cloud Shell

   gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

   Windows（PowerShell）

   gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

   Windows（cmd.exe）

   gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

   レスポンスには、更新された許可ポリシーが含まれます。

   たとえば、次のコマンドは、policy.json に保存されている許可ポリシーをプロジェクト my-project の許可ポリシーとして設定します。

   gcloud projects set-iam-policy my-project ~/policy.json

   C#

   
   using Google.Apis.Auth.OAuth2;
   using Google.Apis.CloudResourceManager.v1;
   using Google.Apis.CloudResourceManager.v1.Data;
   
   public partial class AccessManager
   {
       public static Policy SetPolicy(string projectId, Policy policy)
       {
           var credential = GoogleCredential.GetApplicationDefault()
               .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
           var service = new CloudResourceManagerService(
               new CloudResourceManagerService.Initializer
               {
                   HttpClientInitializer = credential
               });
   
           return service.Projects.SetIamPolicy(new SetIamPolicyRequest
           {
               Policy = policy
           }, projectId).Execute();
       }
   }
   

   Java

   Resource Manager に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、始める前にをご覧ください。

   Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。

   次の例は、プロジェクトの許可ポリシーを設定する方法を示しています。フォルダまたは組織の許可ポリシーを設定する方法については、ご使用のプログラミング言語の Resource Manager クライアント ライブラリのドキュメントをご覧ください。

   import com.google.cloud.resourcemanager.v3.ProjectsClient;
   import com.google.iam.admin.v1.ProjectName;
   import com.google.iam.v1.Policy;
   import com.google.iam.v1.SetIamPolicyRequest;
   import com.google.protobuf.FieldMask;
   import java.io.IOException;
   import java.util.Arrays;
   import java.util.List;
   
   public class SetProjectPolicy {
     public static void main(String[] args) throws IOException {
       // TODO(developer): Replace the variables before running the sample.
       // TODO: Replace with your project ID.
       String projectId = "your-project-id";
       // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
       Policy policy = Policy.newBuilder().build();
   
       setProjectPolicy(policy, projectId);
     }
   
     // Sets a project's policy.
     public static Policy setProjectPolicy(Policy policy, String projectId)
             throws IOException {
   
       // Initialize client that will be used to send requests.
       // This client only needs to be created once, and can be reused for multiple requests.
       try (ProjectsClient projectsClient = ProjectsClient.create()) {
         List<String> paths = Arrays.asList("bindings", "etag");
         SetIamPolicyRequest request = SetIamPolicyRequest.newBuilder()
                 .setResource(ProjectName.of(projectId).toString())
                 .setPolicy(policy)
                 // A FieldMask specifying which fields of the policy to modify. Only
                 // the fields in the mask will be modified. If no mask is provided, the
                 // following default mask is used:
                 // `paths: "bindings, etag"`
                 .setUpdateMask(FieldMask.newBuilder().addAllPaths(paths).build())
                 .build();
   
         return projectsClient.setIamPolicy(request);
       }
     }
   }

   Python

   Resource Manager に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、始める前にをご覧ください。

   Resource Manager 用のクライアント ライブラリをインストールして使用する方法については、Resource Manager クライアント ライブラリをご覧ください。

   次の例は、プロジェクトの許可ポリシーを設定する方法を示しています。フォルダまたは組織の許可ポリシーを設定する方法については、ご使用のプログラミング言語の Resource Manager クライアント ライブラリのドキュメントをご覧ください。

   from google.cloud import resourcemanager_v3
   from google.iam.v1 import iam_policy_pb2, policy_pb2
   
   
   def set_project_policy(
       project_id: str, policy: policy_pb2.Policy, merge: bool = True
   ) -> policy_pb2.Policy:
       """
       Set policy for project. Pay attention that previous state will be completely rewritten.
       If you want to update only part of the policy follow the approach read->modify->write.
       For more details about policies check out https://cloud.google.com/iam/docs/policies
   
       project_id: ID or number of the Google Cloud project you want to use.
       policy: Policy which has to be set.
       merge: The strategy to be used forming the request. CopyFrom is clearing both mutable and immutable fields,
       when MergeFrom is replacing only immutable fields and extending mutable.
       https://googleapis.dev/python/protobuf/latest/google/protobuf/message.html#google.protobuf.message.Message.CopyFrom
       """
       client = resourcemanager_v3.ProjectsClient()
   
       request = iam_policy_pb2.GetIamPolicyRequest()
       request.resource = f"projects/{project_id}"
       current_policy = client.get_iam_policy(request)
   
       # Etag should as fresh as possible to lower chance of collisions
       policy.ClearField("etag")
       if merge:
           current_policy.MergeFrom(policy)
       else:
           current_policy.CopyFrom(policy)
   
       request = iam_policy_pb2.SetIamPolicyRequest()
       request.resource = f"projects/{project_id}"
   
       # request.etag field also will be merged which means you are secured from collision,
       # but it means that request may fail and you need to leverage exponential retries approach
       # to be sure policy has been updated.
       request.policy.CopyFrom(current_policy)
   
       policy = client.set_iam_policy(request)
       return policy
   
   

   REST

   Resource Manager API の set-iam-policy メソッドを使用して、プロジェクト、フォルダまたは組織の新しい許可ポリシーとしてリクエストのポリシーを設定します。

   リクエストのデータを使用する前に、次のように置き換えます。

   • API_VERSION: 使用する API のバージョン。プロジェクトと組織の場合は、v1 を使用します。フォルダの場合は、v2 を使用します。
   • RESOURCE_TYPE: ポリシーを管理するリソースタイプ。値 projects、folders、または organizations を使用します。
   • RESOURCE_ID: Google Cloudプロジェクト、組織、またはフォルダ ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。フォルダ ID と組織 ID は数値です（例: 123456789012）。

   • POLICY: 設定するポリシーの JSON 表現。ポリシーの形式については、ポリシー リファレンスをご覧ください。

   HTTP メソッドと URL:

   POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

   リクエストの本文（JSON）:

   {
     "policy": POLICY
   }
   

   リクエストを送信するには、次のいずれかのオプションを展開します。

   curl（Linux、macOS、Cloud Shell）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy"

   PowerShell（Windows）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy" | Select-Object -Expand Content

   API Explorer（ブラウザ）

   リクエスト本文をコピーして、メソッドのリファレンス ページを開きます。ページの右側に [API Explorer] パネルが開きます。このツールを操作してリクエストを送信できます。このツールにリクエスト本文を貼り付け、その他の必須フィールドに入力して、[Execute] をクリックします。

   レスポンスには、更新された許可ポリシーが含まれます。

Cloud Asset Inventory で許可ポリシーを復元する

許可ポリシーを以前のバージョンに復元するには、Cloud Asset Inventory を使用してリソースの許可ポリシーの変更履歴を表示し、その情報を使用してポリシーを復元します。このプロセスには、次のステップが含まれます。

1. Cloud Asset Inventory を使用して、許可ポリシーの変更履歴を確認し、復元する許可ポリシーを特定します。
2. 許可ポリシーをコピーし、JSON 形式で新しいファイルを作成します。
3. 現在の許可ポリシーを新しいファイルのポリシーでオーバーライドします。

Cloud Asset Inventory で許可ポリシーの変更履歴を確認する

gcloud asset get-history \
    --RESOURCE_TYPE=RESOURCE_ID \
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... \
    --content-type=iam-policy \
    --start-time=START_TIME \
    --end-time=END_TIME

gcloud asset get-history `
    --RESOURCE_TYPE=RESOURCE_ID `
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... `
    --content-type=iam-policy `
    --start-time=START_TIME `
    --end-time=END_TIME

gcloud asset get-history ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --asset-names=ASSET_NAME_1,ASSET_NAME_2,... ^
    --content-type=iam-policy ^
    --start-time=START_TIME ^
    --end-time=END_TIME

新しい許可ポリシー ファイルを作成する

許可ポリシーの履歴を確認し、復元する許可ポリシーを特定したら、次の手順を行います。

1. "bindings" 行から "etag" 行まで、復元する許可ポリシーをコピーします。

2. コピーした許可ポリシーを新しいファイルに貼り付け、中かっこ（{}）でポリシーを囲みます。たとえば、許可ポリシーは次のようになります。

    {
     "bindings": [
       {
         "role": "roles/resourcemanager.organizationAdmin",
         "members": [
           "user:mike@example.com",
           "group:admins@example.com",
           "domain:google.com",
           "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com"
         ]
       },
       {
         "role": "roles/resourcemanager.organizationViewer",
         "members": [
           "user:eve@example.com"
         ],
         "condition": {
           "title": "expirable access",
           "description": "Does not grant access after Sep 2020",
           "expression": "request.time < timestamp('2020-10-01T00:00:00.000Z')",
         }
       }
     ],
     "etag": "BwWWja0YfJA=",
    }
   

3. ファイルを JSON 形式で保存します。たとえば、新しいファイルに previous_iam_policy.json という名前を付けます。

新しい許可ポリシーを設定する

許可ポリシーを設定して、作成した出力ファイルのポリシーで現在の許可ポリシーをオーバーライドします。

gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

gcloud projects set-iam-policy my-project ~/policy.json

using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy SetPolicy(string projectId, Policy policy)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        return service.Projects.SetIamPolicy(new SetIamPolicyRequest
        {
            Policy = policy
        }, projectId).Execute();
    }
}

import com.google.cloud.resourcemanager.v3.ProjectsClient;
import com.google.iam.admin.v1.ProjectName;
import com.google.iam.v1.Policy;
import com.google.iam.v1.SetIamPolicyRequest;
import com.google.protobuf.FieldMask;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;

public class SetProjectPolicy {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your project ID.
    String projectId = "your-project-id";
    // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();

    setProjectPolicy(policy, projectId);
  }

  // Sets a project's policy.
  public static Policy setProjectPolicy(Policy policy, String projectId)
          throws IOException {

    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (ProjectsClient projectsClient = ProjectsClient.create()) {
      List<String> paths = Arrays.asList("bindings", "etag");
      SetIamPolicyRequest request = SetIamPolicyRequest.newBuilder()
              .setResource(ProjectName.of(projectId).toString())
              .setPolicy(policy)
              // A FieldMask specifying which fields of the policy to modify. Only
              // the fields in the mask will be modified. If no mask is provided, the
              // following default mask is used:
              // `paths: "bindings, etag"`
              .setUpdateMask(FieldMask.newBuilder().addAllPaths(paths).build())
              .build();

      return projectsClient.setIamPolicy(request);
    }
  }
}

from google.cloud import resourcemanager_v3
from google.iam.v1 import iam_policy_pb2, policy_pb2


def set_project_policy(
    project_id: str, policy: policy_pb2.Policy, merge: bool = True
) -> policy_pb2.Policy:
    """
    Set policy for project. Pay attention that previous state will be completely rewritten.
    If you want to update only part of the policy follow the approach read->modify->write.
    For more details about policies check out https://cloud.google.com/iam/docs/policies

    project_id: ID or number of the Google Cloud project you want to use.
    policy: Policy which has to be set.
    merge: The strategy to be used forming the request. CopyFrom is clearing both mutable and immutable fields,
    when MergeFrom is replacing only immutable fields and extending mutable.
    https://googleapis.dev/python/protobuf/latest/google/protobuf/message.html#google.protobuf.message.Message.CopyFrom
    """
    client = resourcemanager_v3.ProjectsClient()

    request = iam_policy_pb2.GetIamPolicyRequest()
    request.resource = f"projects/{project_id}"
    current_policy = client.get_iam_policy(request)

    # Etag should as fresh as possible to lower chance of collisions
    policy.ClearField("etag")
    if merge:
        current_policy.MergeFrom(policy)
    else:
        current_policy.CopyFrom(policy)

    request = iam_policy_pb2.SetIamPolicyRequest()
    request.resource = f"projects/{project_id}"

    # request.etag field also will be merged which means you are secured from collision,
    # but it means that request may fail and you need to leverage exponential retries approach
    # to be sure policy has been updated.
    request.policy.CopyFrom(current_policy)

    policy = client.set_iam_policy(request)
    return policy

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

{
  "policy": POLICY
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy" | Select-Object -Expand Content