主體存取邊界 (PAB) 政策可限制一組主體可存取的資源。本頁說明如何查看主體存取邊界政策和主體存取邊界政策的政策繫結。
事前準備
設定驗證方法。
選取這個頁面上的分頁,瞭解如何使用範例:
gcloud
在 Google Cloud 控制台中啟用 Cloud Shell。
Google Cloud 主控台底部會開啟一個 Cloud Shell 工作階段,並顯示指令列提示。Cloud Shell 是已安裝 Google Cloud CLI 的殼層環境,並已針對您目前的專案設定好相關值。工作階段可能要幾秒鐘的時間才能初始化。
REST
如要在本機開發環境中使用本頁的 REST API 範例,請使用您提供給 gcloud CLI 的憑證。
安裝 Google Cloud CLI。
若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI。
詳情請參閱 Google Cloud 驗證說明文件中的「使用 REST 進行驗證」。
閱讀主體存取邊界政策總覽。
查看主體存取邊界政策所需的角色
如要取得查看主體存取邊界政策所需的權限,請要求管理員授予您組織的主體存取邊界檢視者 (roles/iam.principalAccessBoundaryViewer) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這個預先定義的角色具備查看主體存取權範圍政策所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
如要查看主體存取邊界政策,必須具備下列權限:
-
查看單一主體存取邊界政策:
iam.principalaccessboundarypolicies.get -
列出機構中的主體存取邊界政策:
iam.principalaccessboundarypolicies.list
查看政策繫結所需的角色
如要取得查看政策繫結所需的權限,請要求管理員在政策繫結的父項資源中,授予您下列 IAM 角色:
-
查看專案中的政策繫結:專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) -
查看資料夾中的政策繫結:
「資料夾 IAM 管理員」 (
roles/resourcemanager.folderIamAdmin) -
查看機構中的政策繫結:
機構管理員 (
roles/resourcemanager.organizationAdmin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這些預先定義的角色具備查看政策繫結所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
必須具備下列權限,才能查看政策繫結:
-
查看單一政策繫結:
iam.policybindings.get -
列出專案、資料夾或機構中的政策繫結:
iam.policybindings.list
查看主體存取邊界政策所有政策繫結所需的角色
如要取得查看主體存取邊界政策所有政策繫結所需的權限,請要求管理員授予您組織的主體存取邊界檢視者 (roles/iam.principalAccessBoundaryViewer) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這個預先定義的角色具備 iam.principalaccessboundarypolicies.searchIamPolicyBindings 權限,可查看主體存取權範圍政策的所有政策繫結。
查看主體組合政策繫結所需的角色
如要查看主體集的所有政策繫結,您必須具備的權限取決於要查看政策的主體集。
如要取得查看政策繫結所需的權限,請要求管理員授予您下列 IAM 角色:
-
查看員工身分聯盟集區的政策繫結:
目標員工身分聯盟集區的「身分與存取權管理工作團隊集區管理員」 (
roles/iam.workforcePoolAdmin) -
查看 Workload Identity Federation 集區的政策繫結:
目標 Workload Identity Federation 集區所屬專案的「身分與存取權管理 Workload Identity Pool 管理員」 (
roles/iam.workloadIdentityPoolAdmin) -
查看 Google Workspace 網域的政策繫結:
工作區集區 IAM 管理員 (
roles/iam.workspacePoolAdmin) 在機構上 -
查看專案主體組合的政策繫結:
專案的專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) -
查看資料夾主體集的政策繫結:
資料夾的身分與存取權管理管理員 (
roles/resourcemanager.folderIamAdmin) 位於資料夾 -
查看機構主體集的政策繫結:
機構的機構管理員 (
roles/resourcemanager.organizationAdmin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這些預先定義的角色具備查看政策繫結所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
必須具備下列權限,才能查看政策繫結:
-
查看員工身分聯盟集區的政策繫結:
iam.workforcePools.searchPolicyBindings在目標員工身分聯盟集區 -
查看 Workload Identity 聯盟集區的政策繫結:
iam.workloadIdentityPools.searchPolicyBindings在擁有目標員工身分聯盟集區的專案中 -
查看 Google Workspace 網域的政策繫結:
iam.workspacePools.searchPolicyBindings在機構上 -
查看專案主體組合的政策繫結:
resourcemanager.projects.searchPolicyBindings在專案中 -
查看資料夾主體組合的政策繫結:
resourcemanager.folders.searchPolicyBindings在資料夾上 -
查看機構主體集的政策繫結:
resourcemanager.organizations.searchPolicyBindings在機構上
列出機構的主體存取邊界政策
如要查看在機構中建立的所有主體存取邊界政策,請列出機構中的主體存取邊界政策。
您可以使用Google Cloud 控制台、gcloud CLI 或 IAM REST API,列出機構中的主體存取權界線政策。
控制台
前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取邊界政策) 頁面。
選取要建立主體存取權範圍政策的機構。
Google Cloud 控制台會列出您選取機構中的所有政策。
gcloud
gcloud iam principal-access-boundary-policies list
指令會列出機構中的所有主體存取邊界政策。
使用下列任何指令資料之前,請先替換以下項目:
-
ORG_ID:要列出主體存取權界線政策的 Google Cloud 組織 ID。機構 ID 為數字,例如123456789012。 FORMAT:回應格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies list --organization=ORG_ID \ --location=global --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ` --location=global --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies list --organization=ORG_ID ^ --location=global --format=FORMAT
回應會包含指定機構中的主體存取邊界政策。
{
"principalAccessBoundaryPolicies": [
{
"createTime": "2024-05-07T00:05:48.295209Z",
"details": [
"enforcementVersion": 1,
"rules": {
[
"description": "Make principals eligible to access resources in example.com",
"effect": ALLOW,
"resources": {
"//cloudresourcemanager.googleapis.com/organizations/123456789012"
}
]
}
],
"displayName": "Example policy 1",
"etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
"uid": "puid_13364150419245236225",
"updateTime": "2024-05-07T00:05:48.295209Z"
},
{
"createTime": "2024-02-29T23:25:01.606730Z",
"details": [
"enforcementVersion": 1,
"rules": {
[
"description": "Make principals eligible to access resources in example-project",
"effect": ALLOW,
"resources": {
"//cloudresourcemanager.googleapis.com/projects/example-project"
}
]
}
],
"displayName": "Example policy 2",
"etag": "d6BJBTsk2+oDCygmr5ANxA==",
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
"uid": "puid_13064942519001808897",
"updateTime": "2024-02-29T23:25:01.606730Z"
}
]
}
REST
principalAccessBoundaryPolicies.list
方法會列出機構中的所有主體存取邊界政策。
使用任何要求資料之前,請先修改下列項目的值:
-
ORG_ID:要列出主體存取權界線政策的 Google Cloud 組織 ID。機構 ID 為數字,例如123456789012。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies
請展開以下其中一個選項,以傳送要求:
回應會包含指定機構中的主體存取邊界政策。
{
"principalAccessBoundaryPolicies": [
{
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-1",
"uid": "puid_13364150419245236225",
"etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
"displayName": "Example policy 1",
"createTime": "2024-05-07T00:05:48.295209Z",
"updateTime": "2024-05-07T00:05:48.295209Z",
"details": [
"rules": {
[
"description": "Make principals eligible to access resources in example.com",
"resources": {
"//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"effect": ALLOW
]
},
"enforcementVersion": 1,
]
},
{
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy-2",
"uid": "puid_13064942519001808897",
"etag": "d6BJBTsk2+oDCygmr5ANxA==",
"displayName": "Example policy 2",
"createTime": "2024-02-29T23:25:01.606730Z",
"updateTime": "2024-02-29T23:25:01.606730Z",
"details": [
"rules": {
[
"description": "Make principals eligible to access resources in example-project",
"resources": {
"//cloudresourcemanager.googleapis.com/projects/example-project"
},
"effect": ALLOW
]
},
"enforcementVersion": 1
]
}
]
}
取得單一主體存取邊界政策
如要查看單一主體存取邊界政策的詳細資料,請使用政策 ID 取得政策。
您可以使用 Google Cloud 控制台、gcloud CLI 或 IAM REST API 取得主體存取權界線政策。
控制台
前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取邊界政策) 頁面。
選取要建立主體存取權範圍政策的機構。
按一下要查看的主體存取邊界政策 ID。
Google Cloud 控制台會顯示所選主體存取邊界政策的詳細資料。
gcloud
gcloud iam principal-access-boundary-policies describe
指令會取得單一主體存取邊界政策。
使用下列任何指令資料之前,請先替換以下項目:
-
PAB_POLICY_ID:您要取得的主體存取邊界政策 ID,例如example-policy。 ORG_ID:擁有主體存取權界線政策的機構 ID。機構 ID 為數字,例如123456789012。FORMAT:回應格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies describe PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
回應會包含要求中指定的主體存取邊界政策。
{
"createTime": "2024-05-07T00:05:48.295209Z",
"details": [
"enforcementVersion": "1",
"rules": {
[
"description": "Make principals eligible to access example.com",
"effect": ALLOW,
"resources": {
"//cloudresourcemanager.googleapis.com/organizations/123456789012"
}
]
},
],
"displayName": "Example policy",
"etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
"uid": "puid_13364150419245236225",
"updateTime": "2024-05-07T00:05:48.295209Z"
}
REST
principalAccessBoundaryPolicies.get
方法會取得單一主體存取邊界政策。
使用任何要求資料之前,請先修改下列項目的值:
ORG_ID:擁有主體存取權界線政策的機構 ID。機構 ID 為數字,例如123456789012。-
PAB_POLICY_ID:您要取得的主體存取邊界政策 ID,例如example-policy。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID
請展開以下其中一個選項,以傳送要求:
回應會包含要求中指定的主體存取邊界政策。
{
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-policy",
"uid": "puid_13364150419245236225",
"etag": "W/\"Gh/PcTdJD/AWHUhPW45kdw==\"",
"displayName": "Example policy",
"createTime": "2024-05-07T00:05:48.295209Z",
"updateTime": "2024-05-07T00:05:48.295209Z",
"details": [
"rules": {
[
"description": "Make principals eligible to access example.com"
"resources": {
"//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"effect": ALLOW
]
},
"enforcementVersion": "1"
]
}
列出主體存取邊界政策的政策繫結
您可以透過多種方式列出主體存取邊界政策的政策繫結:
列出主體存取邊界政策的政策繫結
如要查看包含特定主體存取邊界政策的所有政策繫結,請搜尋該政策的繫結。
您可以使用Google Cloud 控制台、gcloud CLI 或 IAM REST API,查看主體存取邊界政策的所有政策繫結。
控制台
前往 Google Cloud 控制台的「Principal Access Boundary policies」(主體存取邊界政策) 頁面。
選取擁有您要查看繫結的主體存取權範圍政策的機構。
按一下要查看繫結的主體存取邊界政策 ID。
按一下「Bindings」(繫結) 分頁標籤。
「繫結」分頁會列出所有包含主體存取邊界政策的主體存取邊界政策繫結。
gcloud
gcloud iam principal-access-boundary-policies search-policy-bindings
指令會列出指定主體存取邊界政策的所有政策繫結。
使用下列任何指令資料之前,請先替換以下項目:
-
PAB_POLICY_ID:您要列出政策繫結的主體存取邊界政策 ID,例如example-policy。 ORG_ID:擁有主體存取權界線政策的機構 ID。機構 ID 為數字,例如123456789012。FORMAT:回應格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID \ --organization=ORG_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ` --organization=ORG_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam principal-access-boundary-policies search-policy-bindings PAB_POLICY_ID ^ --organization=ORG_ID --location=global ^ --format=FORMAT
回應會包含指定主體存取邊界政策的政策繫結。
{
"policyBindings": [
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding 1",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_9904260005517852673",
"updateTime": "2024-05-06T18:08:24.729843Z"
},
{
"createTime": "2024-05-07T07:05:06.203861Z",
"displayName": "Example binding 2",
"etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
},
"uid": "buid_4331055466646863873",
"updateTime": "2024-05-07T07:05:06.203861Z"
}
]
}
REST
principalAccessBoundaryPolicies.searchPolicyBindings
方法會列出指定主體存取邊界政策的所有政策繫結。
使用任何要求資料之前,請先修改下列項目的值:
ORG_ID:擁有主體存取權界線政策的機構 ID。機構 ID 為數字,例如123456789012。-
PAB_POLICY_ID:您要列出政策繫結的主體存取邊界政策 ID,例如example-policy。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/organizations/ORG_ID/locations/global/principalAccessBoundaryPolicies/PAB_POLICY_ID:searchPolicyBindings
請展開以下其中一個選項,以傳送要求:
回應會包含指定主體存取邊界政策的政策繫結。
{
"policyBindings": [
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
"uid": "buid_9904260005517852673",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding 1",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyUid": "puid_9519202237377675265",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:08:24.729843Z"
},
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
"uid": "buid_4331055466646863873",
"etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
"displayName": "Example binding 2",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/projects/example-project"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyUid": "puid_9519202237377675265",
"createTime": "2024-05-07T07:05:06.203861Z",
"updateTime": "2024-05-07T07:05:06.203861Z"
}
]
}
列出主體組合的政策繫結
如要查看包含特定主體組合的所有政策繫結,請搜尋該主體組合的繫結。
這些繫結包含繫結至主體組合的主體存取邊界政策 ID。如要查看這些政策的詳細資料,請使用政策 ID 取得主體存取邊界政策。
您可以使用 gcloud CLI 或 IAM REST API,查看主體集的所有政策繫結。
gcloud
gcloud iam policy-bindings search-target-policy-bindings
指令會取得繫結至主體組合的所有主體存取邊界政策。
使用下列任何指令資料之前,請先替換以下項目:
-
RESOURCE_TYPE:目標主體集所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project、folder或organization值資源類型取決於您要列出政策繫結的主體組合類型。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:目標主體集所屬專案、資料夾或機構的 ID。專案 ID 為英數字元字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。-
PRINCIPAL_SET:您要查看主體存取邊界政策繫結的主體集。如需有效主體類型清單,請參閱「支援的主體集」。 FORMAT:回應格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings search-target-policy-bindings \ --RESOURCE_TYPE=RESOURCE_ID \ --target=PRINCPAL_SET \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings search-target-policy-bindings ` --RESOURCE_TYPE=RESOURCE_ID ` --target=PRINCPAL_SET ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings search-target-policy-bindings ^ --RESOURCE_TYPE=RESOURCE_ID ^ --target=PRINCPAL_SET ^ --format=FORMAT
回應會包含繫結至目標主體組合的所有政策繫結。
{
"policyBindings": [
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding 1",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_9904260005517852673",
"updateTime": "2024-05-06T18:11:16.798841Z"
},
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding 2",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_10358560617928851457",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_4331055466646863873",
"updateTime": "2024-05-06T18:11:16.798841Z"
}
]
}
REST
SearchTargetPolicyBindings.search
方法會取得繫結至主體組合的所有主體存取邊界政策。
使用任何要求資料之前,請先修改下列項目的值:
-
RESOURCE_TYPE:目標主體集所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects、folders或organizations值資源類型取決於您要列出政策繫結的主體組合類型。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:目標主體集所屬專案、資料夾或機構的 ID。專案 ID 為英數字元字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。-
PRINCIPAL_SET:您要查看主體存取邊界政策繫結的主體集。如需有效主體類型清單,請參閱「支援的主體集」。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings:searchTargetPolicyBindings?target=PRINCPAL_SET
請展開以下其中一個選項,以傳送要求:
回應會包含繫結至目標主體組合的所有政策繫結。
{
"policyBindings": [
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding1",
"uid": "buid_9904260005517852673",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding 1",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy1",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:11:16.798841Z",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265"
},
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding2",
"uid": "buid_4331055466646863873",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding 2",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy2",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:11:16.798841Z",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_10358560617928851457"
}
]
}
列出專案、資料夾或機構的政策繫結
如要查看特定專案、資料夾或機構的所有子項政策繫結,請列出該專案、資料夾或機構的政策繫結。
政策繫結的父項資源取決於政策繫結中設定的主體。詳情請參閱「支援的主體類型」。
您可以使用 gcloud CLI 或 IAM REST API,查看專案、資料夾或機構的所有政策繫結。
gcloud
gcloud iam policy-bindings list
指令會列出特定資源的所有子項政策繫結。
使用下列任何指令資料之前,請先替換以下項目:
-
RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project、folder或organization值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。FORMAT:回應格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ` --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings list --RESOURCE_TYPE=RESOURCE_ID ^ --location=global ^ --format=FORMAT
回應會包含指令中資源的子項政策繫結。
{
"policyBindings": [
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding 1",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_9904260005517852673",
"updateTime": "2024-05-06T18:08:24.729843Z"
},
{
"createTime": "2024-05-07T07:05:06.203861Z",
"displayName": "Example binding 2",
"etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_1566408245394800641",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_4331055466646863873",
"updateTime": "2024-05-07T07:05:06.203861Z"
}
]
}
REST
policyBindings.list
方法會列出特定資源的所有子項政策繫結。
使用任何要求資料之前,請先修改下列項目的值:
-
RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects、folders或organizations值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings
請展開以下其中一個選項,以傳送要求:
回覆包含要求中資源的子項政策繫結。
{
"policyBindings": [
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding-1",
"uid": "buid_9904260005517852673",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding 1",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-1",
"policyUid": "puid_9519202237377675265",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:08:24.729843Z"
},
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding-2",
"uid": "buid_4331055466646863873",
"etag": "W/\"cRMdDXbT82aLuZlvoL9Gqg==\"",
"displayName": "Example binding 2",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy-2",
"policyUid": "puid_1566408245394800641",
"createTime": "2024-05-07T07:05:06.203861Z",
"updateTime": "2024-05-07T07:05:06.203861Z"
}
]
}
取得主體存取邊界政策的政策繫結
如要查看單一政策繫結的詳細資料,請使用政策繫結的 ID 取得政策繫結。
您可以使用 gcloud CLI 或 IAM REST API 取得政策繫結。
gcloud
gcloud iam policy-bindings describe
指令會取得政策繫結。
使用下列任何指令資料之前,請先替換以下項目:
-
BINDING_ID:您要取得的政策繫結 ID,例如example-binding。 -
RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用project、folder或organization值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。FORMAT:回應格式。使用json或yaml。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud iam policy-bindings describe BINDING_ID \ --RESOURCE_TYPE=RESOURCE_ID --location=global \ --format=FORMAT
Windows (PowerShell)
gcloud iam policy-bindings describe BINDING_ID ` --RESOURCE_TYPE=RESOURCE_ID --location=global ` --format=FORMAT
Windows (cmd.exe)
gcloud iam policy-bindings describe BINDING_ID ^ --RESOURCE_TYPE=RESOURCE_ID --location=global ^ --format=FORMAT
回覆會包含政策繫結。
{
"createTime": "2024-05-06T18:08:24.729843Z",
"displayName": "Example binding",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"name": "organizations/123456789012/locations/global/policyBindings/example-binding",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_9519202237377675265",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"uid": "buid_9904260005517852673",
"updateTime": "2024-05-06T18:08:24.729843Z"
}
REST
policyBindings.get
方法會取得政策繫結。
使用任何要求資料之前,請先修改下列項目的值:
-
RESOURCE_TYPE:政策繫結所屬的 Resource Manager 資源類型 (專案、資料夾或機構)。使用projects、folders或organizations值資源類型取決於政策繫結中設定的主體。如要瞭解應使用哪種資源類型,請參閱「支援的主體類型」。
RESOURCE_ID:政策繫結所屬專案、資料夾或機構的 ID。專案 ID 為英數字串,例如my-project。資料夾和機構 ID 為數字,例如123456789012。-
BINDING_ID:您要取得的政策繫結 ID,例如example-binding。
HTTP 方法和網址:
GET https://iam.googleapis.com/v3/RESOURCE_TYPE/RESOURCE_ID/locations/global/policyBindings/BINDING_ID
請展開以下其中一個選項,以傳送要求:
回覆會包含政策繫結。
{
"name": "organizations/123456789012/locations/global/policyBindings/example-binding",
"uid": "buid_9904260005517852673",
"etag": "W/\"xkdnPfTxoxyVqOwhQSJbMg==\"",
"displayName": "Example binding",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/organizations/123456789012"
},
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyUid": "puid_9519202237377675265",
"createTime": "2024-05-06T18:08:24.729843Z",
"updateTime": "2024-05-06T18:08:24.729843Z"
}