Halaman ini menjelaskan opsi kontrol akses yang tersedia bagi Anda untuk Cloud Asset API.
Ringkasan
Inventaris Aset Cloud menggunakan Identity and Access Management (IAM) untuk kontrol akses.
Di Cloud Asset API, kontrol akses dapat dikonfigurasi pada tingkat project atau tingkat organisasi. Misalnya, Anda dapat memberikan akses ke semua resource Inventaris Aset Cloud dalam sebuah project kepada grup developer.
Untuk mengetahui deskripsi mendetail tentang IAM dan fitur-fiturnya, lihat dokumentasi IAM. Secara khusus, lihat bagian Mengelola akses ke project, folder, dan organisasi.
Izin dan peran
Setiap metode Cloud Asset Inventory API mengharuskan pemanggil memiliki izin yang diperlukan. Bagian ini merangkum peran dan izin Cloud Asset API yang didukung IAM.
Izin yang diperlukan
Tabel berikut mencantumkan izin yang harus dimiliki pemanggil untuk memanggil setiap metode API di Cloud Asset API atau untuk melakukan tugas menggunakan alat Google Cloud yang menggunakan API tersebut, seperti Google Cloud Console atau Google Cloud CLI.
| Izin | Metode API |
|---|---|
cloudasset.assets.searchAllResources |
*.searchAllResources |
cloudasset.assets.searchAllIamPolicies |
*.searchAllIamPolicies |
cloudasset.assets.analyzeIamPolicy,cloudasset.assets.searchAllResources, dancloudasset.assets.searchAllIamPolicies |
*.analyzeIamPolicy |
*.analyzeIamPolicyLongrunning |
|
*.batchGetEffectiveIamPolicies |
|
cloudasset.assets.analyzeOrgPolicy dancloudasset.assets.searchAllResources |
*.analyzeOrgPolicies |
*.analyzeOrgPolicyGovernedContainers |
|
cloudasset.assets.analyzeOrgPolicy,cloudasset.assets.searchAllResources, dancloudasset.assets.searchAllIamPolicies |
*.analyzeOrgPolicyGovernedAssets |
cloudasset.feeds.get |
*.getFeed |
cloudasset.feeds.list |
*.listFeeds |
cloudasset.feeds.delete |
*.deleteFeed |
cloudasset.feeds.create,cloudasset.assets.exportResource, ataucloudasset.assets.exportIamPolicyberdasarkan content_type
|
*.createFeed |
cloudasset.feeds.update,cloudasset.assets.exportResource, ataucloudasset.assets.exportIamPolicyberdasarkan content_type
|
*.updateFeed |
cloudasset.assets.exportResource,cloudasset.assets.exportIamPolicy,cloudasset.assets.exportOrgPolicy, cloudasset.assets.exportOSInventories ataucloudasset.assets.exportAccessPolicyberdasarkan content_type
|
*.batchGetAssetsHistory |
*.exportAssets |
|
*.operations.get |
|
cloudasset.assets.listResource,cloudasset.assets.listIamPolicy,cloudasset.assets.listOrgPolicy, cloudasset.assets.listAccessPolicy ataucloudasset.assets.listOSInventoriesberdasarkan content_type
|
*.listAssets |
cloudasset.assets.analyzeMove |
*.analyzeMove |
cloudasset.savedqueries.create |
*.createSavedQuery |
cloudasset.savedqueries.get |
*.getSavedQuery |
cloudasset.savedqueries.list |
*.listSavedQueries |
cloudasset.savedqueries.update |
*.updateSavedQuery |
cloudasset.savedqueries.delete |
*.deleteSavedQuery |
Perlu diperhatikan bahwa saat menggunakan *.exportAssets API untuk mengekspor metadata resource
jenis aset yang ditentukan dengan RESOURCE atau jenis konten yang tidak ditentukan, jika
pemanggil belum diberi izin cloudasset.assets.exportResource,
persyaratan alternatifnya adalah pemanggil memiliki
izin per jenis resource
yang sesuai untuk setiap jenis aset yang ditentukan dalam permintaan.
Peran
Inventaris Aset Cloud memiliki dua peran IAM:
Pemilik Aset Cloud (
roles/cloudasset.owner), yang memberikan akses penuh ke metadata aset cloud. Class ini memberikan semua izincloudasset.*dan izinrecommender.cloudAssetInsights.*.Cloud Asset Viewer (
roles/cloudasset.viewer), yang memberikan akses hanya baca ke metadata aset cloud. Ini memberikan semuacloudasset.assets.*(tidak memberikan izincloudasset.feeds.*dancloudasset.savedqueries.*),recommender.cloudAssetInsights.getdanrecommender.cloudAssetInsights.listizin.
Pilih peran yang sesuai dan berisi izin yang diperlukan untuk kebutuhan Anda. Secara umum, hanya peran Cloud Asset Owner yang memberikan semua izin yang diperlukan untuk memanggil Cloud Asset API dan memungkinkan penggunaan sepenuhnya semua metode.
Peran dasar mencakup izin berikut:
Peran pemilik (
roles/owner) memberikan semua izincloudasset.*.Peran editor (
roles/editor) memberikan izincloudasset.assets.search*dancloudasset.assets.analyzeIamPolicy.Peran pelihat (
roles/viewer) memberikan izincloudasset.assets.search*dancloudasset.assets.analyzeIamPolicy.
Sebaiknya berikan salah satu peran Cloud Asset, bukan peran dasar, karena peran dasar berisi banyak izin untuk layanan Google Cloud lainnya dan dapat menyebabkan pemberian cakupan akses yang lebih besar dari yang dimaksudkan.
Anda dapat memberikan peran kepada pengguna di tingkat organisasi, folder, atau project. Lihat Mengelola akses ke project, folder, dan organisasi untuk informasi selengkapnya.
Kontrol Layanan VPC
Kontrol Layanan VPC dapat digunakan dengan Inventaris Aset Cloud untuk memberikan keamanan tambahan pada aset Anda. Untuk mempelajari lebih lanjut Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC.
Untuk mempelajari batasan dalam penggunaan Inventaris Aset Cloud dengan Kontrol Layanan VPC, lihat produk dan batasan yang didukung.