Questa pagina descrive le opzioni di controllo dell'accesso disponibili per l'API Cloud Asset.
Panoramica
Cloud Asset Inventory utilizza Identity and Access Management (IAM) per controllo dell'accesso.
Nell'API Cloud Asset, controllo dell'accesso può essere configurato a livello di progetto o di organizzazione. Ad esempio, puoi concedere l'accesso a tutte le risorse Cloud Asset Inventory in un progetto a un gruppo di sviluppatori.
Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM. In particolare, consulta la relativa sezione Gestire l'accesso a progetti, cartelle e organizzazioni.
Autorizzazioni e ruoli
Ogni metodo dell'API Cloud Asset Inventory richiede che il chiamante disponga delle autorizzazioni necessarie. Questa sezione riepiloga le autorizzazioni e i ruoli dell'API Cloud Asset supportati da IAM.
Autorizzazioni obbligatorie
La tabella seguente elenca le autorizzazioni di cui il chiamante deve disporre per chiamare ciascun metodo API nell'API Cloud Asset o per eseguire attività utilizzando gli strumenti di Google Cloud che utilizzano l'API, ad esempio la console Google Cloud o Google Cloud CLI.
Autorizzazione | Metodi dell'API |
---|---|
cloudasset.assets.searchAllResources |
*.searchAllResources |
cloudasset.assets.searchAllIamPolicies |
*.searchAllIamPolicies |
cloudasset.assets.analyzeIamPolicy ,cloudasset.assets.searchAllResources ecloudasset.assets.searchAllIamPolicies |
*.analyzeIamPolicy |
*.analyzeIamPolicyLongrunning |
|
*.batchGetEffectiveIamPolicies |
|
cloudasset.assets.analyzeOrgPolicy ecloudasset.assets.searchAllResources |
*.analyzeOrgPolicies |
*.analyzeOrgPolicyGovernedContainers |
|
cloudasset.assets.analyzeOrgPolicy ,cloudasset.assets.searchAllResources ecloudasset.assets.searchAllIamPolicies |
*.analyzeOrgPolicyGovernedAssets |
cloudasset.feeds.get |
*.getFeed |
cloudasset.feeds.list |
*.listFeeds |
cloudasset.feeds.delete |
*.deleteFeed |
cloudasset.feeds.create ,cloudasset.assets.exportResource ocloudasset.assets.exportIamPolicy in base a content_type
|
*.createFeed |
cloudasset.feeds.update ,cloudasset.assets.exportResource ocloudasset.assets.exportIamPolicy in base a content_type
|
*.updateFeed |
cloudasset.assets.exportResource ,cloudasset.assets.exportIamPolicy ,cloudasset.assets.exportOrgPolicy , cloudasset.assets.exportOSInventories ocloudasset.assets.exportAccessPolicy in base al content_type
|
*.batchGetAssetsHistory |
*.exportAssets |
|
*.operations.get |
|
cloudasset.assets.listResource ,cloudasset.assets.listIamPolicy ,cloudasset.assets.listOrgPolicy , cloudasset.assets.listAccessPolicy ocloudasset.assets.listOSInventories in base al content_type
|
*.listAssets |
cloudasset.assets.analyzeMove |
*.analyzeMove |
cloudasset.savedqueries.create |
*.createSavedQuery |
cloudasset.savedqueries.get |
*.getSavedQuery |
cloudasset.savedqueries.list |
*.listSavedQueries |
cloudasset.savedqueries.update |
*.updateSavedQuery |
cloudasset.savedqueries.delete |
*.deleteSavedQuery |
Tieni presente che quando utilizzi l'API *.exportAssets
per esportare i metadati delle risorse dei tipi di asset specificati con RESOURCE
o di un tipo di contenuto non specificato, se al chiamante non è stata concessa l'autorizzazione cloudasset.assets.exportResource
, un requisito alternativo è che il chiamante disponga delle autorizzazioni per tipo di risorsa appropriate per ogni tipo di risorsa specificato nella richiesta.
Ruoli
Cloud Asset Inventory ha due ruoli IAM:
Proprietario di asset cloud (
roles/cloudasset.owner
), che concede accesso completo ai metadati degli asset cloud. Concede tutte le autorizzazionicloudasset.*
erecommender.cloudAssetInsights.*
.Cloud Asset Viewer (
roles/cloudasset.viewer
), che concede accesso in sola lettura ai metadati degli asset cloud. Concede tutte le autorizzazionicloudasset.assets.*
(non concede le autorizzazionicloudasset.feeds.*
ecloudasset.savedqueries.*
),recommender.cloudAssetInsights.get
erecommender.cloudAssetInsights.list
.
Scegli il ruolo appropriato che contenga le autorizzazioni necessarie per le tue esigenze. In generale, solo il ruolo Proprietario Cloud Asset concede tutte le autorizzazioni richieste per chiamare l'API Cloud Asset e consente l'utilizzo completo di tutti i metodi.
I ruoli di base includono le seguenti autorizzazioni:
Il ruolo di proprietario (
roles/owner
) concede tutte le autorizzazionicloudasset.*
.Il ruolo Editor (
roles/editor
) concede le autorizzazionicloudasset.assets.search*
ecloudasset.assets.analyzeIamPolicy
.Il ruolo Visualizzatore (
roles/viewer
) concede le autorizzazionicloudasset.assets.search*
ecloudasset.assets.analyzeIamPolicy
.
Ti consigliamo di concedere uno dei ruoli Cloud Asset anziché un ruolo di base, perché i ruoli di base contengono molte autorizzazioni per altri servizi Google Cloud e potrebbero comportare la concessione di un ambito di accesso più ampio del previsto.
Puoi concedere ruoli agli utenti a livello di organizzazione, cartella o progetto. Per ulteriori informazioni, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Controlli di servizio VPC
I Controlli di servizio VPC possono essere utilizzati con Cloud Asset Inventory per fornire maggiore sicurezza ai tuoi asset. Per scoprire di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.
Per ulteriori informazioni sulle limitazioni relative all'utilizzo di Cloud Asset Inventory con Controlli di servizio VPC, consulta i prodotti supportati e le limitazioni.