הסרה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) מאפשרת להגביל את המשאבים שקבוצה של חשבונות משתמשים יכולה לגשת אליהם. אם אתם כבר לא רוצים לאכוף מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) עבור קבוצת חשבונות משתמשים, אתם יכולים למחוק את הקישור של המדיניות לקבוצת החשבונות. אם רוצים להסיר מדיניות לקביעת גבול הגישה לחשבונות משתמשים מכל קבוצות החשבונות שהיא מקושרת אליהן, אפשר למחוק את המדיניות.

הסרת מדיניות לקביעת גבול הגישה לחשבונות משתמשים מקבוצת חשבונות משתמשים גורמת לאחת מהתוצאות הבאות:

• אם חשבונות המשתמש בקבוצת חשבונות המשתמש לא כפופים למדיניות אחרת של גבולות גישה לחשבונות משתמש, הם יוכלו לגשת לכל המשאבים שלGoogle Cloud .
• אם החשבונות הראשיים בקבוצת החשבונות הראשיים כפופים למדיניות אחרת של גבולות גישה לחשבונות ראשיים, הם יוכלו לגשת רק למשאבים שמוגדרים במדיניות הזו.

לפני שמתחילים

• מגדירים אימות.

  Select the tab for how you plan to use the samples on this page:

  gcloud

  In the Google Cloud console, activate Cloud Shell.

  Activate Cloud Shell

  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  REST

  כדי להשתמש בדוגמאות של API בארכיטקטורת REST שבדף הזה בסביבת פיתוח מקומית, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.

  התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:

  gcloud init

  אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Google Cloud .

  כדאי לקרוא את הסקירה הכללית של כללי מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB).

תפקידים שנדרשים למחיקת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

כדי לקבל את ההרשאה שנדרשת למחיקת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Principal Access Boundary Admin (roles/iam.principalAccessBoundaryAdmin) בארגון. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד שמוגדר מראש מכיל את ההרשאה iam.principalaccessboundarypolicies.delete, שנדרשת כדי למחוק מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB).

יכול להיות שתוכלו לקבל את ההרשאה הזו גם בתפקידים בהתאמה אישית או בתפקידים אחרים שמוגדרים מראש.

תפקידים שנדרשים למחיקת קישורי מדיניות לקביעת גבול הגישה לחשבונות משתמשים

ההרשאות שנדרשות כדי למחוק קישורי מדיניות עבור מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) תלויות בקבוצת חשבונות המשתמשים שמקושרת למדיניות.

כדי לקבל את ההרשאות שדרושות למחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), אתם צריכים לבקש מהאדמין לתת לכם את תפקידי ה-IAM הבאים:

• גבול הגישה של הגורם המרכזי משתמש (roles/iam.principalAccessBoundaryUser) בארגון שלכם
• מחיקת קשרי מדיניות (policy bindings) של מדיניות גבולות גישה של חשבונות משתמשים שקשורים למאגרי זהויות של כוח עבודה: אדמין של מאגר זהויות של כוח עבודה ב-IAM (roles/iam.workforcePoolAdmin) במאגר הזהויות של כוח העבודה
• מחיקת קשרי מדיניות למדיניות של גבולות גישה של חשבונות ראשיים שקשורים למאגרי זהויות של עומסי עבודה: אדמין של מאגר זהויות של כוח עבודה ב-IAM (roles/iam.workloadIdentityPoolAdmin) בפרויקט שבבעלותו מאגר הזהויות של עומסי העבודה
• קבלת הסטטוס של פעולה ממושכת למחיקת קישור שמפנה למאגר זהויות של עומסי עבודה: צפייה בפעולות ב-IAM (roles/iam.operationViewer) בפרויקט שכולל את מאגר הזהויות של עומסי עבודה
• מחיקת מדיניות של קשירת מדיניות לגבי מדיניות של גבולות גישה של חשבונות משתמשים שקשורים לדומיין ב-Google Workspace: אדמין של מאגר זהויות של כוח עבודה ב-IAM (roles/iam.workspacePoolAdmin) בארגון
• מחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה לקבוצת חשבונות משתמשים בפרויקט: אדמין IAM של פרויקט (roles/resourcemanager.projectIamAdmin) בפרויקט
• קבלת הסטטוס של פעולה ממושכת למחיקת קישור שמפנה לקבוצת חשבונות משתמש בפרויקט: IAM Operation Viewer (roles/iam.operationViewer) on the project
• מחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורים לקבוצת חשבונות משתמשים של תיקייה: אדמין IAM של תיקייה (roles/resourcemanager.folderIamAdmin) בתיקייה
• מחיקת קשרי מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה לקבוצת החשבונות של הארגון: אדמין ארגוני (roles/resourcemanager.organizationAdmin) בארגון

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה מכילים את ההרשאות שנדרשות למחיקת קישורי מדיניות של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB). כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הכנה להסרה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

לפני שמסירים מדיניות לקביעת גבול הגישה לחשבונות משתמשים, צריך להחליט איזו מהמטרות הבאות רוצים להשיג:

• הגדרת החשבונות בקבוצת חשבונות כבעלי הרשאה לגשת לכל המשאבים
• צמצום מספר המשאבים שחשבונות המשתמשים בקבוצת חשבונות משתמשים יכולים לגשת אליהם

בקטעים הבאים מפורטים השלבים לביצוע כל אחת מהמטרות האלה.

הגדרת ישויות ראשיות שעומדות בדרישות לגישה לכל המשאבים

אם רוצים לתת לחשבונות הראשיים בקבוצת חשבונות ראשיים אפשרות לגשת לכל המשאבים, צריך לבצע את הפעולות הבאות:

1. זיהוי כל כללי המדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורים לקבוצת חשבונות המשתמשים.
2. מסירים את כל המדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורה לחשבון המשתמש על ידי מחיקת הקישורים הרלוונטיים למדיניות.

אם חשבון משתמש לא כפוף למדיניות כלשהי לקביעת גבול הגישה לחשבונות משתמשים, הוא יכול לגשת לכל המשאבים Google Cloud .

העובדה שלמשתמש יש זכאות לגשת למשאב לא אומרת שהוא יכול לגשת אליו. מידע נוסף מופיע במאמר בנושא הערכת מדיניות.

צמצום המשאבים שחשבונות המשתמשים יכולים לגשת אליהם

אם חשבונות המשתמשים בקבוצת חשבונות משתמשים כפופים לכמה כללי מדיניות לקביעת גבולות גישה לחשבונות משתמשים, אפשר לצמצם את מספר המשאבים שחשבונות המשתמשים יכולים לגשת אליהם על ידי הסרה של אחד או יותר מכללי המדיניות לקביעת גבולות גישה לחשבונות משתמשים שהם כפופים להם. עם זאת, אל תסירו בשום שלב את כל כללי המדיניות לקביעת גבול הגישה לחשבונות משתמשים שחלים על חשבונות המשתמשים. אם תסירו את כולם, חשבונות המשתמשים יוכלו לגשת לכל המשאבים של Google Cloud .

כדי להסיר מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) תוך הקפדה על כך שחשבונות המשתמשים בקבוצת חשבונות משתמשים תמיד יהיו כפופים למדיניות אחת לפחות לקביעת גבול הגישה לחשבונות משתמשים, פועלים לפי השלבים הבאים:

1. זיהוי כל כללי המדיניות לקביעת גבול הגישה לחשבונות משתמשים שקשורים לקבוצת חשבונות המשתמשים.

2. מזהים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים שמכילה רק משאבים שרוצים שחשבונות המשתמשים בקבוצת חשבונות המשתמשים יוכלו לגשת אליהם. אלה המדיניות שלא תסירו מקבוצת חשבונות המשתמשים.

   אם אין לכם כללי מדיניות כאלה, צריך ליצור כללי מדיניות חדשים של גבולות גישה לחשבונות משתמשים עם משאבים שאתם רוצים שהחשבונות יוכלו לגשת אליהם. לאחר מכן, מצרפים את המדיניות לקבוצת בעלי ההרשאות.

3. מזהים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) שמכילה משאבים שלא רוצים שחשבונות משתמשים בקבוצת החשבונות יוכלו לגשת אליהם. לאחר מכן, מסירים את המדיניות לקביעת גבול הגישה לחשבונות משתמשים על ידי מחיקת קישור המדיניות הרלוונטי.

   אם רוצים לצמצם את הגישה של חשבונות משתמשים ספציפיים, מוסיפים תנאי לקישור המדיניות במקום למחוק אותו.

אם רוצים לצמצם את מספר המשאבים שחשבון משתמש יכול לגשת אליהם, אבל לא רוצים להסיר מדיניות לקביעת גבול הגישה לחשבונות משתמשים, אפשר במקום זאת לשנות את המדיניות לקביעת גבול הגישה לחשבונות משתמשים שחלה על חשבון המשתמש. במאמר עריכת מדיניות לקביעת גבול הגישה לחשבונות משתמשים מוסבר איך לשנות את המדיניות לקביעת גבול הגישה לחשבונות משתמשים.

בדיקת המחיקה של מדיניות או קישור לקביעת גבול הגישה לחשבונות משתמשים

לפני שמחליטים למחוק מדיניות לקביעת גבול הגישה לחשבונות משתמשים או קשירה, מומלץ לבדוק איך השינוי עשוי להשפיע על הגישה של חשבונות המשתמשים. אפשר להשתמש בסימולטור המדיניות כדי לדמות מחיקה ולעזור לכם להבין את ההשפעה הפוטנציאלית שלה.

כדי לבדוק מחיקה, אפשר לעיין בהליכים הבאים במסמכי המידע בנושא כלים לבקרת מדיניות:

• סימולציה של מחיקת כללים לקביעת גבול הגישה לחשבונות משתמשים
• סימולציה של מחיקת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
• סימולציה של מחיקת קישור למדיניות לקביעת גבול הגישה לחשבונות משתמשים

מידע נוסף על בדיקת מדיניות של גבולות גישה של ישויות באמצעות סימולטור המדיניות זמין במאמר סימולטור המדיניות בנושא מדיניות של גבולות גישה של ישויות.

הסרת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) מקבוצת חשבונות משתמשים

לפני שמסירים מדיניות לקביעת גבול הגישה לחשבונות משתמשים מקבוצת חשבונות משתמשים, צריך קודם להתכונן להסרת המדיניות. לאחר מכן, מסירים את המדיניות על ידי מחיקת קישור המדיניות שמקשר את המדיניות לקבוצת חשבונות המשתמש.

אפשר למחוק קישור למדיניות באמצעות מסוף Google Cloud ,‏ ה-CLI של gcloud או IAM API בארכיטקטורת REST.

gcloud iam policy-bindings delete BINDING_ID \
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud iam policy-bindings delete BINDING_ID `
    --RESOURCE_TYPE=RESOURCE_ID --location=global

gcloud iam policy-bindings delete BINDING_ID ^
    --RESOURCE_TYPE=RESOURCE_ID --location=global

Delete request issued for: [example-binding]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374724030-6181fcd1520c5-d21b0a12-b704e1ce] to complete...done.
Deleted policyBinding [example-binding].

DELETE https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-binding",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

מחיקה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים

לפני שמוחקים מדיניות לקביעת גבול הגישה לחשבונות משתמשים, מומלץ לזהות ולמחוק את כל הקישורים למדיניות לקביעת גבול הגישה לחשבונות משתמשים שמפנים למדיניות הזו.

אם מוחקים מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) עם קישורי מדיניות קיימים, הקישורים האלה יימחקו בסופו של דבר. עם זאת, עד שהם יימחקו, קשרי המדיניות עדיין ייספרו במגבלה של 10 קשרים שיכולים להתייחס לקבוצת משתמשים אחת.

אפשר למחוק מדיניות של גבולות גישה של גורם מרכזי באמצעות מסוף Google Cloud ,‏ ה-CLI של gcloud או API בארכיטקטורת REST של IAM.

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID \
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID `
    --organization=ORG_ID --location=global FORCE_FLAG

gcloud iam principal-access-boundary-policies delete PAB_POLICY_ID ^
    --organization=ORG_ID --location=global FORCE_FLAG

Delete request issued for: [example-policy]
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...
Waiting for operation [organizations/123456789012/locations/global/operations/operation-1715374811191-6181fd2471ab4-f0947406-85778c43] to complete...done.
Deleted principalAccessBoundaryPolicy [example-policy].

DELETE https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID?FORCE_DELETE" | Select-Object -Expand Content

{
  "name": "organizations/123456789012/locations/global/operations/operation-1715373190994-6181f71b4daad-6d8168c1-13cc6600",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-05-10T20:33:11.165728913Z",
    "target": "organizations/123456789012/locations/global/policyBindings/example-policy",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": false
}

בדיקת הסטטוס של פעולה ממושכת

כשמשתמשים ב-API בארכיטקטורת REST או בספריות הלקוח, כל שיטה שמשנה מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) או קשירה מחזירה פעולה ממושכת (LRO). הפעולה הממושכת עוקבת אחרי הסטטוס של הבקשה ומציינת אם השינוי במדיניות או בהרשאה הושלם.

GET https://iam.googleapis.com/v3/OPERATION_NAME

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v3/OPERATION_NAME"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v3/OPERATION_NAME" | Select-Object -Expand Content

{
  "name": "organizations/314340013352/locations/global/operations/operation-1732752311821-627edd607a3df-9a62cdea-2a7d9f07",
  "metadata": {
    "@type": "type.googleapis.com/google.iam.v3.OperationMetadata",
    "createTime": "2024-11-28T00:05:12.006289686Z",
    "endTime": "2024-11-28T00:05:12.192141801Z",
    "target": "organizations/314340013352/locations/global/principalAccessBoundaryPolicies/example-policy",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v3"
  },
  "done": true,
  "response": {
    PAB_POLICY
  }
}

המאמרים הבאים

• יצירה של מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB) והחלתה
• איך צופים במדיניות לקביעת גבול הגישה לחשבונות משתמשים
• עריכת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)