此页面由 Cloud Translation API 翻译。

排查 IAM 权限问题

Policy Troubleshooter 可帮助您了解主账号是否可以访问资源。给定主账号、资源和权限 Policy Troubleshooter 会检查允许政策、拒绝政策以及影响主账号访问权限的主账号访问边界 (PAB) 政策。然后，它会告知您，根据这些政策，主账号能否使用指定的权限访问资源。它还列出了并说明它们对主账号的访问权限有何影响。

您可以使用 Google Cloud 控制台、Google Cloud CLI 或 REST API。基础版使用 Google Cloud 控制台查询查询，速度通常最快。对于更复杂的请考虑使用 gcloud CLI 或 REST API。

准备工作

Enable the Policy Troubleshooter API.
Enable the API

所需权限

如要全面排查主账号的访问权限问题，您需要拥有以下权限。

用于排查个别主账号访问问题的权限

Policy Troubleshooter 根据您有权查看的允许政策、拒绝政策、主账号访问边界政策和角色来分析主账号对资源的访问权限。如果您无权查看政策，或者如果您无权查看自定义角色，那么您可能无法判断主账号是否具有访问权限。

用于排查允许和拒绝政策问题的权限

要对允许和拒绝政策进行问题排查，您需要拥有包含您要进行问题排查的资源的组织。这些权限可让您查看控制对集群的访问权限的允许和拒绝政策，资源。

如需获取排查主账号访问权限问题所需的权限，请让管理员授予您针对包含您要排查访问权限问题的资源的组织，使用以下 IAM 角色：

安全审核者 (roles/iam.securityReviewer)
排查拒绝政策问题：拒绝审核者 (roles/iam.denyReviewer)
使用 Google Cloud CLI 进行问题排查： Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

如果您无权查看某项资源的允许和拒绝政策，这些允许和拒绝政策的访问结果为 Unknown。

提供排查 Principal Access Boundary Policy 问题的权限

如需排查 Principal Access Boundary Policy 问题，您需要对主账号集包含相应主账号的组织拥有相应权限。您识别此组织的方式取决于主账号类型：

Google 账号和 Google 群组：包含主账号的 Google Workspace 网域
联合身份（员工身份池或工作负载中的身份）身份池）：包含的身份池的组织包含主账号
服务账号：所属的项目所在的组织，服务账号已创建

借助这些权限，您可以查看主账号访问边界政策，这些政策用于控制可以访问的所有资源

如需获取排查主账号访问权限问题所需的权限，请让管理员授予您相应组织的以下 IAM 角色：

Principal Access Boundary Policy Viewer (roles/iam.principalAccessBoundaryViewer)
对绑定到项目、文件夹或组织的主账号集的 Principal Access Boundary Policy 进行问题排查： Organization Administrator (roles/resourcemanager.organizationAdmin)
对绑定到 Google Workspace 网域的 Principal Access Boundary Policy 进行问题排查： IAM Workforce Pool Admin (roles/iam.workforcePoolAdmin)
对绑定到员工身份池的 Principal Access Boundary Policy 进行问题排查： Workspace Pool IAM 管理员 (roles/iam.workspacePoolAdmin)
对绑定到工作负载身份池的 Principal Access Boundary Policy 进行问题排查： IAM Workload Identity Pool Admin (roles/iam.workloadIdentityPoolAdmin)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

如果您无权查看应用的 Principal Access Boundary Policy 主账号访问边界政策的访问结果为 Unknown。

排查群组成员访问权限问题的权限

如果您的允许和拒绝政策包含群组，则您需要安装 Google Workspace Admin API 权限 groups.read（用于排查单个群组的访问权限问题）成员。超级用户和群组管理员会自动拥有此权限。接收者向不是超级用户或群组管理员的用户授予此权限，创建自定义 Google Workspace 管理员角色，其中包含 groups.read 权限（位于 Admin API 权限下），并将其授予用户。

如果您没有这些权限，则包含群组或网域的访问结果为 Unknown，除非角色绑定或拒绝规则也会明确包含主账号。

用于排查网域成员访问问题的权限

如果您的允许和拒绝政策包含 Google Workspace 账号或 Cloud Identity 网域，您必须是网域管理员，才能排查个别网域成员的访问权限问题。

如果您没有这些权限，则包含群组或网域的访问结果为 Unknown，除非角色绑定或拒绝规则也会明确包含主账号。

排查权限问题

如需排查访问权限问题，您需要以下信息：

主账号：要检查的电子邮件地址。电子邮件地址必须引用用户或服务账号。其他类型的主账号，包括群组网域、员工身份和工作负载身份不受支持。
资源：资源的完整名称。例如，如需检查项目 my-project，请输入 //cloudresourcemanager.googleapis.com/projects/my-project。对于其他类型的资源，请参阅完整资源名称示例。
权限：要检查的权限。如果您使用 Google Cloud 控制台，它会在您输入时显示建议列表。

要对某个权限进行问题排查，该权限必须适用于资源。换言之，以某种方式访问资源的权限。如果此权限不是那么请求将失败。例如，如果您尝试对 compute.instances.get 权限进行问题排查， Google Kubernetes Engine 集群，那么请求会失败， “compute.instance.get”权限无法用于访问 Google Kubernetes Engine 集群。

如需查看完整的权限列表，请参阅权限参考。

控制台

如要排查访问权限问题，请执行以下操作：

在 Google Cloud 控制台中，前往 Policy Troubleshooter 页面。

转到政策问题排查工具
输入您要检查其访问权限的主账号的电子邮件地址。
输入要检查的资源的完整资源名称。

如果您不知道完整的资源名称，请执行以下操作之一：
- 如果您要排查项目、文件夹或组织的访问权限问题，请开始输入内容以查看自动补全选项。
- 如果您要排查其他资源类型的访问权限问题，请点击浏览以打开资源搜索对话框，然后搜索相应资源：
  1. 在选择范围框中，选择项目、文件夹或组织内进行搜索。
  2. 在 Resource type 框中，选择要添加的资源类型您搜索的内容。
  3. 在搜索资源框中，输入资源名称的一部分。
  4. 在结果部分，选择您要查看的资源。
  5. 点击选择以选择资源并关闭对话框。
输入要检查的权限。

如果您不知道完整权限名称，请开始输入以查看自动补全功能选项。
可选：要检查多项资源和权限，请选择添加其他权限对，并重复上一步骤。
点击检查访问权限。

gcloud

如需了解主账号拥有或没有 IAM 权限的原因，请使用 gcloud beta policy-troubleshoot iam 命令。

在使用下面的命令数据之前，请先进行以下替换：

VERSION：可选。要使用的命令的版本。排查问题访问权限，而不指定版本。排查访问权限问题根据允许、拒绝和主账号访问边界政策，请使用版本 beta。
EMAIL：您要排查其权限问题的主账号的电子邮件地址。
RESOURCE：向其授予权限的资源。
PERMISSION：您要排查其问题的权限。

执行 gcloud beta policy-troubleshoot iam 命令：

Linux、macOS 或 Cloud Shell

gcloud VERSION policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION

Windows (PowerShell)

gcloud VERSION policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION

Windows (cmd.exe)

gcloud VERSION policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION

您应该会收到类似如下所示的响应：

响应

{
  "accessTuple": {
    "conditionContext": {
      "destination": {},
      "effectiveTags": [
        {
          "namespacedTagKey": "project-1/tag-key-1",
          "namespacedTagValue": "project-1/tag-key-1/tag-value-1",
          "tagKey": "tagKeys/123456789012",
          "tagKeyParentName": "projects/123456789012",
          "tagValue": "tagValues/123456789012"
        },
      ],
      "request": {},
      "resource": {}
    },
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/project-1",
    "permission": "bigtable.instances.create",
    "permissionFqdn": "bigtable.googleapis.com/instances.create",
    "principal": "[email protected]"
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "condition": {
              "expression": "resource.type == \"cloudresourcemanager.googleapis.com/Project\"",
              "title": "Resource-based condition"
            },
            "conditionExplanation": {
              "evaluationStates": [
                {
                  "end": 62,
                  "value": false
                }
              ],
              "value": false
            },
            "memberships": {
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/bigquery.admin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "condition": {
              "expression": "resource.matchTag(\"project-1/tag-key-1\", \"tag-value-1\")",
              "title": "Tag-based condition"
            },
            "conditionExplanation": {
              "evaluationStates": [
                {
                  "end": 73,
                  "value": true
                }
              ],
              "value": true
            },
            "memberships": {
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/bigquery.admin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/compute.admin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              },
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/iam.serviceAccountTokenCreator",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              },
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              },
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/resourcemanager.projectIamAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/resourcemanager.tagViewer",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/project-1",
        "policy": {
          "bindings": [
            {
              "condition": {
                "expression": "resource.type == \"cloudresourcemanager.googleapis.com/Project\"",
                "title": "Resource-based condition"
              },
              "members": [
                "serviceAccount:[email protected]"
              ],
              "role": "roles/bigquery.admin"
            },
            {
              "condition": {
                "expression": "resource.matchTag(\"project-1/tag-key-1\", \"tag-value-1\")",
                "title": "Tag-based condition"
              },
              "members": [
                "serviceAccount:[email protected]"
              ],
              "role": "roles/bigquery.admin"
            },
            {
              "members": [
                "user:[email protected]"
              ],
              "role": "roles/compute.admin"
            },
            {
              "members": [
                "user:[email protected]",
                "user:[email protected]"
              ],
              "role": "roles/iam.serviceAccountTokenCreator"
            },
            {
              "members": [
                "user:[email protected]",
                "user:[email protected]"
              ],
              "role": "roles/owner"
            },
            {
              "members": [
                "serviceAccount:[email protected]",
                "serviceAccount:[email protected]"
              ],
              "role": "roles/resourcemanager.projectIamAdmin"
            },
            {
              "members": [
                "serviceAccount:[email protected]"
              ],
              "role": "roles/resourcemanager.tagViewer"
            }
          ],
          "etag": "BwYY6ttEMEY=",
          "version": 3
        },
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      },
    ],
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
            "policy": {
              "createTime": "2024-04-09T23:28:24.103203Z",
              "displayName": "Troubleshooter v3 prober non-tag deny policy",
              "etag": "MTgyMzk3MDY4OTY4MDE0ODg4OTY=",
              "kind": "DenyPolicy",
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F546942305807/denypolicies/deny-policy-1",
              "rules": [
                {
                  "denyRule": {
                    "deniedPermissions": [
                      "bigquery.googleapis.com/datasets.create"
                    ],
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]"
                    ]
                  }
                }
              ],
              "uid": "fab63b4d-ecfb-5f06-8a6d-602bf1be5062",
              "updateTime": "2024-05-20T23:29:38.428095Z"
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "ruleExplanations": [
              {
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_HIGH"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_HIGH"
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "bigquery.googleapis.com/datasets.create": {
                    "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_HIGH"
                  }
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]": {
                    "membership": "MEMBERSHIP_NOT_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_HIGH"
                  }
                },
                "denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ]
          },
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "permissionDeniable": true,
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "overallAccessState": "CANNOT_ACCESS",
  "pabPolicyExplanation": {
    "explainedBindingsAndPolicies": [
      {
        "bindingAndPolicyAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
        "explainedPolicy": {
          "explainedRules": [
            {
              "combinedResourceInclusionState": "RESOURCE_INCLUSION_STATE_NOT_INCLUDED",
              "effect": "ALLOW",
              "explainedResources": [
                {
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL",
                  "resource": "//cloudresourcemanager.googleapis.com/projects/project-2",
                  "resourceInclusionState": "RESOURCE_INCLUSION_STATE_NOT_INCLUDED"
                }
              ],
              "relevance": "HEURISTIC_RELEVANCE_NORMAL",
              "ruleAccessState": "PAB_ACCESS_STATE_NOT_ALLOWED"
            }
          ],
          "policy": {
            "createTime": "2024-04-09T17:40:51.627668Z",
            "details": {
              "enforcementVersion": "1",
              "rules": [
                {
                  "effect": "ALLOW",
                  "resources": [
                    "//cloudresourcemanager.googleapis.com/projects/project-2"
                  ]
                }
              ]
            },
            "displayName": "Troubleshooter v3 PAB Policy",
            "etag": "m64s4IgR80eDJDywuVA2DA==",
            "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
            "uid": "puid_11875429267422576641",
            "updateTime": "2024-04-09T17:40:51.627668Z"
          },
          "policyAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
          "policyVersion": {
            "enforcementState": "PAB_POLICY_ENFORCEMENT_STATE_NOT_ENFORCED",
            "version": 1
          },
          "relevance": "HEURISTIC_RELEVANCE_NORMAL"
        },
        "explainedPolicyBinding": {
          "conditionExplanation": {
            "evaluationStates": [
              {
                "end": 53,
                "value": true
              },
              {
                "end": 153,
                "start": 58,
                "value": false
              },
              {
                "end": 248,
                "start": 157,
                "value": false
              }
            ],
            "value": false
          },
          "policyBinding": {
            "condition": {
              "expression": "principal.type == 'iam.googleapis.com/ServiceAccount' && (principal.subject=='[email protected]' || principal.subject=='[email protected]')"
            },
            "createTime": "2024-04-09T17:51:13.504418Z",
            "displayName": "PAB Policy Binding on project-1 project",
            "etag": "W/\"hz9IKzHsIqvopqDRcVYDxQ==\"",
            "name": "projects/123456789012/locations/global/policyBindings/example-policy-binding",
            "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
            "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
            "policyUid": "puid_11875429267422576641",
            "target": {
              "principalSet": "//cloudresourcemanager.googleapis.com/projects/project-1"
            },
            "uid": "buid_1012746966204940289", 
            "updateTime": "2024-05-09T23:08:56.846355Z"
          },
          "policyBindingState": "POLICY_BINDING_STATE_NOT_ENFORCED",
          "relevance": "HEURISTIC_RELEVANCE_NORMAL"
        },
        "relevance": "HEURISTIC_RELEVANCE_NORMAL"
      }
    ],
    "principalAccessBoundaryAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  }
}

REST

如需了解主账号拥有或没有 IAM 权限的原因，请使用 Policy Troubleshooter API 的 iam.troubleshoot 方法。

在使用任何请求数据之前，请先进行以下替换：

VERSION：要为此请求使用的 API 版本。排查问题仅基于允许和拒绝政策的访问权限，请使用 v3。排查基于访问权限的问题对于允许、拒绝和主账号访问边界政策，请使用 v3beta。
EMAIL：您要排查其权限问题的主账号的电子邮件地址。
RESOURCE：向其授予权限的资源。
PERMISSION：您要排查其问题的权限。
PROJECT_ID：您要用于发出请求的项目的 ID。项目 ID 是字母数字字符串，例如 my-project。

HTTP 方法和网址：

POST https://policytroubleshooter.googleapis.com/VERSION/iam:troubleshoot

请求 JSON 正文：

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION"
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://policytroubleshooter.googleapis.com/VERSION/iam:troubleshoot"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://policytroubleshooter.googleapis.com/VERSION/iam:troubleshoot" | Select-Object -Expand Content

APIs Explorer（浏览器）

复制请求正文并打开方法参考页面。APIs Explorer 面板会在页面右侧打开。您可以与此工具进行交互以发送请求。将请求正文粘贴到此工具中，填写任何其他必填字段，然后点击执行。

您应该收到类似以下内容的 JSON 响应：

响应

{
  "overallAccessState": "CANNOT_ACCESS",
  "accessTuple": {
    "principal": "[email protected]",
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/project-1",
    "permission": "bigtable.instances.create",
    "permissionFqdn": "bigtable.googleapis.com/instances.create",
    "conditionContext": {
      "effectiveTags": [
        {
          "tagValue": "tagValues/123456789012",
          "namespacedTagValue": "project-1/example-tag-key/example-tag-value",
          "tagKey": "tagKeys/123456789012",
          "namespacedTagKey": "project-1/example-tag-key",
          "tagKeyParentName": "projects/546942305807"
        },
      ]
    }
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/project-1",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/bigquery.admin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "condition": {
              "expression": "resource.type == \"cloudresourcemanager.googleapis.com/Project\"",
              "title": "Resource-based condition"
            },
            "conditionExplanation": {
              "value": null
            }
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/bigquery.admin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "condition": {
              "expression": "resource.matchTag(\"project-1/example-tag-key\", \"example-tag-value\")",
              "title": "Tag-based condition"
            },
            "conditionExplanation": {
              "value": true,
              "evaluationStates": [
                {
                  "end": 73,
                  "value": true
                }
              ]
            }
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/compute.admin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/iam.serviceAccountTokenCreator",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              },
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              },
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/resourcemanager.projectIamAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              },
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/resourcemanager.tagViewer",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "serviceAccount:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              },
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH",
        "policy": {
          "version": 3,
          "etag": "BwYY6ttEMEY=",
          "bindings": [
            {
              "role": "roles/bigquery.admin",
              "members": [
                "serviceAccount:[email protected]"
              ],
              "condition": {
                "expression": "resource.type == \"cloudresourcemanager.googleapis.com/Project\"",
                "title": "Resource-based condition"
              }
            },
            {
              "role": "roles/bigquery.admin",
              "members": [
                "serviceAccount:[email protected]"
              ],
              "condition": {
                "expression": "resource.matchTag(\"project-1/example-tag-key\", \"example-tag-value\")",
                "title": "Tag-based condition"
              }
            },
            {
              "role": "roles/compute.admin",
              "members": [
                "user:[email protected]"
              ]
            },
            {
              "role": "roles/iam.serviceAccountTokenCreator",
              "members": [
                "user:[email protected]",
                "user:[email protected]"
              ]
            },
            {
              "role": "roles/owner",
              "members": [
                "user:[email protected]",
                "user:[email protected]"
              ]
            },
            {
              "role": "roles/resourcemanager.projectIamAdmin",
              "members": [
                "serviceAccount:[email protected]",
                "serviceAccount:[email protected]"
              ]
            },
            {
              "role": "roles/resourcemanager.tagViewer",
              "members": [
                "serviceAccount:[email protected]"
              ]
            }
          ]
        }
      },
    ],
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/546942305807",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
            "policy": {
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F546942305807/denypolicies/ts-v3-non-tag-deny-policy",
              "uid": "fab63b4d-ecfb-5f06-8a6d-602bf1be5062",
              "kind": "DenyPolicy",
              "displayName": "Troubleshooter v3 prober non-tag deny policy",
              "etag": "MTgyMzk3MDY4OTY4MDE0ODg4OTY=",
              "createTime": "2024-04-09T23:28:24.103203Z",
              "updateTime": "2024-05-20T23:29:38.428095Z",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]"
                    ],
                    "deniedPermissions": [
                      "bigquery.googleapis.com/datasets.create"
                    ]
                  }
                }
              ]
            },
            "ruleExplanations": [
              {
                "denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_HIGH"
                },
                "deniedPermissions": {
                  "bigquery.googleapis.com/datasets.create": {
                    "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_HIGH"
                  }
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_HIGH"
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]": {
                    "membership": "MEMBERSHIP_NOT_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_HIGH"
                  }
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ],
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          },
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL",
    "permissionDeniable": true
  },
  "pabPolicyExplanation": {
    "principalAccessBoundaryAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
    "explainedBindingsAndPolicies": [
      {
        "bindingAndPolicyAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
        "explainedPolicyBinding": {
          "policyBindingState": "POLICY_BINDING_STATE_NOT_ENFORCED",
          "policyBinding": {
            "name": "projects/546942305807/locations/global/policyBindings/example-policy-binding",
            "uid": "buid_1012746966204940289", 
            "etag": "W/\"hz9IKzHsIqvopqDRcVYDxQ==\"",
            "displayName": "PAB Policy Binding on project-1 project",
            "target": {
              "principalSet": "//cloudresourcemanager.googleapis.com/projects/project-1"
            },
            "policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
            "condition": {
              "expression": "principal.type == 'iam.googleapis.com/ServiceAccount' && (principal.subject=='[email protected]' || principal.subject=='[email protected]')"
            },
            "createTime": "2024-04-09T17:51:13.504418Z",
            "updateTime": "2024-05-09T23:08:56.846355Z",
            "policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
            "policyUid": "puid_11875429267422576641"
          },
          "conditionExplanation": {
            "value": false,
            "evaluationStates": [
              {
                "end": 53,
                "value": true
              },
              {
                "start": 58,
                "end": 153,
                "value": false
              },
              {
                "start": 157,
                "end": 248,
                "value": false
              }
            ]
          },
          "relevance": "HEURISTIC_RELEVANCE_NORMAL"
        },
        "explainedPolicy": {
          "policyAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
          "policy": {
            "name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
            "uid": "puid_11875429267422576641",
            "etag": "m64s4IgR80eDJDywuVA2DA==",
            "displayName": "Troubleshooter v3 PAB Policy",
            "createTime": "2024-04-09T17:40:51.627668Z",
            "updateTime": "2024-04-09T17:40:51.627668Z",
            "details": {
              "rules": [
                {
                  "resources": [
                    "//cloudresourcemanager.googleapis.com/projects/project-2"
                  ],
                  "effect": "ALLOW"
                }
              ],
              "enforcementVersion": "1"
            }
          },
          "policyVersion": {
            "version": 1,
            "enforcementState": "PAB_POLICY_ENFORCEMENT_STATE_NOT_ENFORCED"
          },
          "explainedRules": [
            {
              "ruleAccessState": "PAB_ACCESS_STATE_NOT_ALLOWED",
              "effect": "ALLOW",
              "combinedResourceInclusionState": "RESOURCE_INCLUSION_STATE_NOT_INCLUDED",
              "explainedResources": [
                {
                  "resourceInclusionState": "RESOURCE_INCLUSION_STATE_NOT_INCLUDED",
                  "resource": "//cloudresourcemanager.googleapis.com/projects/project-2",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                }
              ],
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            }
          ],
          "relevance": "HEURISTIC_RELEVANCE_NORMAL"
        },
        "relevance": "HEURISTIC_RELEVANCE_NORMAL"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  }
}

了解问题排查工具结果

控制台

结果页面包含以下信息：

评估详情
政策详情，其中包含以下内容：

评估详情

评估详情部分包含您要排查问题的访问权限的摘要，包括指定的主账号、资源和权限。如果排查多个资源权限对问题时，可以使用 访问评估列表可在两者之间切换。

政策详情

政策详情部分详细说明了相关允许、拒绝和主账号访问边界政策会影响主账号的访问权限。

相关 Principal Access Boundary Policy 包括所有 Principal Access Boundary Policy 绑定的到包含主账号的主账号集。

gcloud

响应包含四个主要部分：请求、允许政策评估的结果、拒绝政策评估和整体访问状态。

accessTuple：请求中的访问元组的说明，包括您提供的任何条件上下文。此部分还包含下面总结了用来管理 API 的代码应用于该资源

allowPolicyExplanation：相关允许政策是否向主账号授予相应权限的摘要，后跟允许政策及其角色绑定的列表。

对于每个允许政策，响应会列出该政策中的所有角色绑定并根据以下条件进行评估：
- 角色绑定是否包含相应权限。
- 角色绑定是否包含主账号。
- 是否满足角色绑定中的条件（如果有）。
然后，响应会输出允许政策的完整 JSON 文本。

denyPolicyExplanation：相关拒绝状态的摘要政策拒绝主账号授予权限，然后是资源列表以及拒绝政策对于每项资源，响应会列出所有拒绝政策附加到资源。

对于每个拒绝政策，响应将输出政策的元数据，并列出政策中的拒绝规则，然后根据以下规则评估每条规则：条件：
- 拒绝规则是否包含权限。
- 相应权限是否在拒绝规则中列为例外情况。
- 拒绝规则是否包含主账号。
- 主账号是否在拒绝规则中列为例外情况。
- 是否满足拒绝规则中的条件（如果有）。

overallAccessState：主账号是否能够使用授予访问指定资源的指定权限允许政策、拒绝政策和 Principal Access Boundary Policy。
相关 Principal Access Boundary Policy 包括所有 Principal Access Boundary Policy 绑定的到包含主账号的主账号集。

相关的允许和拒绝政策包括：
- 资源的允许政策
- 资源的拒绝政策（如果有）
- 资源的父级项目、文件夹和资源的允许政策组织（如果有）
- 资源的父级项目、文件夹和组织的拒绝政策。如果有
由于政策继承，父级项目、文件夹和组织的允许和拒绝政策具有相关性。将允许或拒绝政策附加到项目、文件夹或组织后，该政策也适用于该项目、文件夹或组织。

例如，如果组织的拒绝政策规定主账号无法使用特定权限，则主账号无法对组织中的任何资源使用该权限。即使文件夹和文件夹该组织中的项目拥有更宽松的拒绝政策，或者用于授予主账号权限的政策。

同样，如果项目的允许政策为主账号提供了特定的则主账号对但前提是他们没有被拒绝该权限。

为了让用户能够使用相应的资源访问权限政策类型必须允许访问。如需了解详情，请参阅政策评估。

pabPolicyExplanation：摘要，说明相关主账号访问边界政策是否允许主账号访问资源，后跟相关主账号访问边界政策绑定和主账号访问边界政策。

Principal Access Boundary Policy：可以允许访问，但不允许访问；或不会强制执行。在以下情况下，系统不会强制执行主账号访问边界政策：
- IAM 不会在主账号访问边界政策的强制执行版本中强制执行指定的权限。因此， Principal Access Boundary Policy 无法阻止访问权限。
- 因为条件在政策绑定中 Principal Access Boundary Policy 或绑定不适用于主账号。
- Principal Access Boundary Policy 没有任何规则。
如果未强制执行主账号访问边界政策，则该政策无法影响主账号能否访问资源。

该响应还列出了包含主账号的所有政策绑定，以及每项政策中的 Principal Access Boundary Policy 的详细信息绑定：
- 对于每个 Principal Access Boundary Policy 绑定，响应会输出系统会对主账号强制执行政策绑定，然后输出政策绑定如果绑定中设置的主账号包含所查询的主账号，并且政策绑定中的条件针对所查询的主账号的评估结果为 true，则系统会强制执行政策绑定。如果未强制执行政策绑定，则此政策不会影响主账号可以访问该资源
- 对于每项 Principal Access Boundary Policy，响应都会输出以下内容：
  - 政策是允许访问、不允许访问还是不允许访问强制执行。
  - 政策的强制执行版本。此版本号决定了 IAM 是否会针对所查询的权限强制执行此主账号访问权限边界政策。如果权限，那么此政策就不能影响该主账号可以访问该资源。
  - Principal Access Boundary Policy 中的规则，以及每条规则允许访问。对于每条规则，响应都会指明规则中会包含所查询的资源
    
    如果满足以下任一条件，规则中就会包含资源：
    - 资源已列在规则中。仅 Resource Manager 资源（项目、文件夹和组织）可以直接 Principal Access Boundary Policy 列表。
    - 规则中列出了资源的某个祖先（即资源层次结构中位于资源上方的项目、文件夹或组织）。

响应中的许多对象也具有 relevance 字段。此字段指示该对象对整体访问状态的影响程度。 relevance 字段可以具有以下值：

HEURISTIC_RELEVANCE_HIGH：表示相应对象对结果有很大影响。换言之，移除该对象可能会改变整体访问状态例如，向主账号授予指定的权限将具有此相关性值。
HEURISTIC_RELEVANCE_NORMAL：表示对象的影响有限。换言之，移除对象不太可能整体访问状态例如，不包含或主账号将具有此相关性值。

REST

响应包含四个主要部分：整体访问状态、请求中的访问元组的说明、允许政策评估结果和拒绝政策评估结果。

overallAccessState：主账号是否能够使用授予访问指定资源的指定权限允许政策、拒绝政策和 Principal Access Boundary Policy。
相关的 Principal Access Boundary Policy 包括绑定到包含相应主账号的主账号集的所有 Principal Access Boundary Policy。

相关的允许和拒绝政策包括：
- 资源的允许政策
- 资源的拒绝政策（如果有）
- 资源的父级项目、文件夹和资源的允许政策组织（如果有）
- 资源的父级项目、文件夹和组织的拒绝政策。如果有
父级项目、文件夹和组织的允许和拒绝政策具有相关性因为政策继承。将允许或拒绝政策附加到项目、文件夹或组织后，该政策也适用于该项目、文件夹或组织。

例如，如果组织的拒绝政策规定主账号无法使用特定权限，则主账号无法对组织中的任何资源使用该权限。即使文件夹和文件夹该组织中的项目拥有更宽松的拒绝政策，或者用于授予主账号权限的政策。

同样，如果项目的允许政策为主账号提供了特定的则主账号对但前提是他们没有被拒绝该权限。

为了让用户能够使用相应的资源访问权限政策类型必须允许访问。如需了解详情，请参阅政策评估。

accessTuple：请求中访问元组的说明。包括您提供的任何条件上下文。此部分还包含下面总结了用来管理 API 的代码应用于该资源

allowPolicyExplanation：相关允许政策是否向主账号授予相应权限的摘要，后跟允许政策及其角色绑定的列表。

对于每个允许政策，响应会列出该政策中的所有角色绑定并根据以下条件进行评估：
- 角色绑定是否包含相应权限。
- 角色绑定是否包含主账号。
- 是否满足角色绑定中的条件（如果有）。
然后，响应会输出允许政策的完整 JSON 文本。

denyPolicyExplanation：相关拒绝状态的摘要政策拒绝主账号授予权限，然后是资源列表以及拒绝政策对于每项资源，响应会列出所有拒绝政策附加到资源。

对于每个拒绝政策，响应将输出政策的元数据，并列出政策中的拒绝规则，然后根据以下规则评估每条规则：条件：
- 拒绝规则是否包含权限。
- 相应权限是否在拒绝规则中列为例外情况。
- 拒绝规则是否包含主账号。
- 主账号是否在拒绝规则中列为例外情况。
- 是否满足拒绝规则中的条件（如果有）。

pabPolicyExplanation：对相关主题 Principal Access Boundary Policy 允许主账号访问接下来是相关的 Principal Access Boundary Policy 绑定，以及 Principal Access Boundary Policy。

Principal Access Boundary Policy：可以允许访问，但不允许访问；或不会强制执行。不会强制执行 Principal Access Boundary Policy，以下情况：
- IAM 不会在 Principal Access Boundary Policy 的强制执行 version。因此， Principal Access Boundary Policy 无法阻止访问权限。
- 因为条件在政策绑定中 Principal Access Boundary Policy 或绑定不适用于主账号。
- Principal Access Boundary Policy 没有任何规则。
如果未强制执行主账号访问边界政策，则该政策无法影响主账号能否访问资源。

该响应还列出了包含主账号的所有政策绑定，以及每项政策中的 Principal Access Boundary Policy 的详细信息绑定：
- 对于每个 Principal Access Boundary Policy 绑定，响应会输出系统会对主账号强制执行政策绑定，然后输出政策绑定如果绑定中设置的主账号包含所查询的主账号，并且政策绑定中的条件针对所查询的主账号的评估结果为 true，则系统会强制执行政策绑定。如果未强制执行政策绑定，则此政策不会影响主账号可以访问该资源
- 对于每项 Principal Access Boundary Policy，响应都会输出以下内容：
  - 政策是允许访问、不允许访问还是不允许访问强制执行。
  - 政策的强制执行版本。此版本号决定了 IAM 是否会针对所查询的权限强制执行此主账号访问权限边界政策。如果权限，那么此政策就不能影响该主账号可以访问该资源。
  - Principal Access Boundary Policy 中的规则，以及每条规则允许访问。对于每条规则，响应都会指明规则中会包含所查询的资源
    
    如果满足以下任一条件，规则中就会包含资源：
    - 相应资源列在规则中。仅 Resource Manager 资源（项目、文件夹和组织）可以直接 Principal Access Boundary Policy 列表。
    - 资源的某个祖先（即项目、文件夹或位于资源上方，）列于规则中。

响应中的许多对象也具有 relevance 字段。此字段指示该对象对整体访问状态的影响程度。 relevance 字段可以具有以下值：

HEURISTIC_RELEVANCE_HIGH：表示相应对象对结果有很大影响。换言之，移除该对象可能会改变整体访问状态例如，向主账号授予指定的权限将具有此相关性值。
HEURISTIC_RELEVANCE_NORMAL：表示对象的影响有限。换言之，移除对象不太可能整体访问状态例如，不包含或主账号将具有此相关性值。

排查条件角色绑定问题

Policy Troubleshooter 可自动对条件式问题排查进行排查基于标记的角色绑定和拒绝规则。它还根据条件自动排查主账号访问边界政策绑定问题基于主账号。

排查其他类型的条件角色绑定的问题，或有条件的拒绝规则，Policy Troubleshooter 需要额外的请求的背景信息。例如，根据以下条件对条件进行问题排查：日期/时间属性，Policy Troubleshooter 需要请求。

在 gcloud CLI 和 REST API 中，您需要提供这些额外的上下文信息，。

在 Google Cloud 控制台中，您可以通过以下方法提供这些额外的上下文：直接在管理员活动审核日志中排查问题或数据访问审核日志。每个审核日志条目都对应向或者 Google Cloud 对您的。当您通过审核日志进行问题排查时， Policy Troubleshooter 会自动获取更多信息例如请求日期和时间 Policy Troubleshooter，用于分析条件角色绑定和拒绝规则

控制台

如需排查条件角色绑定问题和拒绝规则问题，请执行以下操作：

在 Google Cloud 控制台中，转到日志浏览器页面。

转到日志浏览器
如果页面标题为旧式日志查看器，请点击升级下拉列表，然后选择升级新的日志浏览器。
如需仅查看管理员活动和数据访问审核日志，请在查询构建器中输入以下查询，然后点击运行查询：
```
logName=("RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity" OR "RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Fdata_access")
```
替换以下值：
- RESOURCE_TYPE：要为其列出审核日志的资源类型。请使用 projects、folders 或 organizations。
- RESOURCE_ID：您的资源的 ID。
找到对应于您要排查问题的请求的审核日志条目。如需了解如何使用日志浏览器查找特定日志条目，请参阅使用日志浏览器。

注意：在某些情况下，单个请求可能会生成多个日志条目。仔细查看这些条目以确定需要排查问题的条目。
在日志条目的摘要列中，点击 IAM，然后点击排查访问权限问题。

Policy Troubleshooter 会使用日志条目中的信息来排查访问权限问题，然后向您显示相关结果。额外背景信息列在评估详情中的条件上下文下。如需查看情境详情，请点击查看条件情境。如需详细了解政策问题排查工具结果页面，请参阅本页面上的了解问题排查工具结果。

注意：其他上下文不包含群组成员资格状态。时间对群组成员资格进行问题排查, Policy Troubleshooter 在排查问题时始终使用群组成员资格状态。
可选：对涉及条件角色的其他请求进行问题排查绑定和拒绝规则，返回到“日志浏览器”页面，然后重复执行先前的步骤。

gcloud

如需排查条件角色绑定问题和拒绝规则，请使用 gcloud policy-troubleshoot iam 命令。

在使用下面的命令数据之前，请先进行以下替换：

EMAIL：其主账号的电子邮件地址您需要进行问题排查的权限。
RESOURCE：权限所针对的资源权限。
PERMISSION：您要进行问题排查。
DESTINATION_IP：可选。请求目标 IP 检查条件角色绑定时使用的地址。例如，198.1.1.1。
DESTINATION_PORT：可选。请求目标位置检查条件角色绑定时使用的端口。例如“8080”。
REQUEST_TIME：可选。要使用的请求时间戳。在 RFC 中使用时间戳 3339 格式，例如 2099-02-01T00:00:00Z。
RESOURCE_NAME：可选。指定资源名称在检查条件角色绑定时使用。有关已接受资源的列表请参阅资源名称格式格式。
RESOURCE_SERVICE：可选。资源服务值。如需查看已接受的请参阅资源服务值。
RESOURCE_TYPE：可选。如需查看已接受的资源类型请参阅资源类型值。

执行 gcloud policy-troubleshoot iam 命令：

Linux、macOS 或 Cloud Shell

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION --destination-ip=DESTINATION_IP \
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME \
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE \
    --resource-type=RESOURCE_TYPE

Windows (PowerShell)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION --destination-ip=DESTINATION_IP `
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME `
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE `
    --resource-type=RESOURCE_TYPE

Windows (cmd.exe)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION --destination-ip=DESTINATION_IP ^
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME ^
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE ^
    --resource-type=RESOURCE_TYPE

响应包含主账号访问权限的说明。对于包含条件的每项角色绑定和拒绝规则，响应中都会包含一个 conditionExplanation 字段，用于说明条件的计算结果是 true 还是 false，具体取决于您提供的条件上下文。

例如，以下是对角色绑定的评估，条件是指定资源类型和资源服务：

响应

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "evaluationStates": [{
      "end": 51,
      "start": 1,
      "value": true
    }, {
      "end": 99,
      "start": 55,
      "value": true
    }],
    "value": true,
  },
  "memberships": {
    "user:[email protected]": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
}
...

REST

如需排查条件角色绑定问题和拒绝规则，请使用 Policy Troubleshooter API iam.troubleshoot 方法。

在使用任何请求数据之前，请先进行以下替换：

EMAIL：其主账号的电子邮件地址您需要进行问题排查的权限。
RESOURCE：权限所针对的资源权限。
PERMISSION：您要进行问题排查。
DESTINATION_IP：可选。请求目标 IP 检查条件角色绑定时使用的地址。例如，198.1.1.1。
DESTINATION_PORT：可选。请求目标位置检查条件角色绑定时使用的端口。例如“8080”。
REQUEST_TIME：可选。要使用的请求时间戳。在 RFC 中使用时间戳 3339 格式，例如 2099-02-01T00:00:00Z。
RESOURCE_NAME：可选。指定资源名称在检查条件角色绑定时使用。有关已接受资源的列表请参阅资源名称格式格式。
RESOURCE_SERVICE：可选。资源服务值。如需查看已接受的请参阅资源服务值。
RESOURCE_TYPE：可选。如需查看已接受的资源类型请参阅资源类型值。

HTTP 方法和网址：

POST https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot

请求 JSON 正文：

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION",
    "conditionContext": {
      "destination": {
        "ip": DESTINATION_IP,
        "port": DESTINATION_PORT
      },
      "request": {
        "receiveTime": REQUEST_TIME
      },
      "resource": {
        "name": RESOURCE_NAME,
        "service": RESOURCE_SERVICE,
        "type": RESOURCE_TYPE
      }
    }
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot" | Select-Object -Expand Content

APIs Explorer（浏览器）

响应包含主账号访问权限的说明。对于每个角色绑定和拒绝规则，响应会包含 conditionExplanation 字段，用于描述条件求值为 true 或 false，具体取决于您提供的条件上下文。

例如，以下是对角色绑定的评估，条件是指定资源类型和资源服务：

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "memberships": {
    "user:[email protected]": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "value": true,
    "evaluationStates": [{
      "start": 1,
      "end": 51,
      "value": true
    }, {
      "start": 55,
      "end": 99,
      "value": true
    }]
  }
}
...

后续步骤

使用权限参考文档或预定义角色参考文档确定向缺少权限的用户授予哪个角色。
了解其他 Policy Intelligence 工具，以帮助您了解和管理政策，以主动改进您的安全配置。