Zugriffssteuerung

Auf dieser Seite werden die Möglichkeiten der Zugriffssteuerung in der Cloud Asset API beschrieben.

Übersicht

Cloud Asset Inventory verwendet für die Zugriffssteuerung Identity and Access Management (IAM).

In der Cloud Asset API kann die Zugriffssteuerung auf Projektebene oder Organisationsebene konfiguriert werden. Sie können beispielsweise einer Gruppe von Entwicklern Zugriff auf alle Cloud Asset Inventory-Ressourcen in einem Projekt erteilen.

Eine ausführliche Beschreibung von IAM und den zugehörigen Features finden Sie im IAM-Entwicklerhandbuch. Besonders im Abschnitt IAM-Richtlinien verwalten finden Sie relevante Informationen.

Zum Aufrufen der Methoden in der Cloud Asset Inventory API werden die erforderlichen Berechtigungen benötigt. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

Berechtigungen und Rollen

In diesem Abschnitt erhalten Sie eine Übersicht über die von IAM unterstützten Cloud Asset API-Berechtigungen und -Rollen.

Erforderliche Berechtigung

In der folgenden Tabelle sind die erforderlichen Berechtigungen aufgeführt, um die einzelnen Methoden in der Cloud Asset API aufzurufen, oder um Aufgaben mit Google Cloud-Tools wie der Google Cloud Console oder Cloud SDK auszuführen.

Permission API-Methoden
cloudasset.assets.searchAllResources *.searchAllResources
cloudasset.assets.searchAllIamPolicies *.searchAllIamPolicies
cloudasset.assets.analyzeIamPolicy
*.analyzeIamPolicy
*.analyzeIamPolicyLongrunning
cloudasset.feeds.get *.getFeed
cloudasset.feeds.list *.listFeeds
cloudasset.feeds.delete *.deleteFeed
cloudasset.feeds.create,
cloudasset.assets.exportResource oder
cloudasset.assets.exportIamPolicy
basierend auf dem content_type
*.createFeed
cloudasset.feeds.update,
cloudasset.assets.exportResource oder
cloudasset.assets.exportIamPolicy
basierend auf dem content_type
*.updateFeed
cloudasset.assets.exportResource,
cloudasset.assets.exportIamPolicy,
cloudasset.assets.exportOrgPolicy,
cloudasset.assets.exportOSInventories oder
cloudasset.assets.exportAccessPolicy
anhand des content_type
*.batchGetAssetsHistory
*.exportAssets
*.operations.get
cloudasset.assets.analyzeMove *.analyzeMove

Wenn Sie die *.exportAssets API zum Exportieren von Ressourcenmetadaten bestimmter Asset-Typen mit RESOURCE oder einem nicht angegebenen Inhaltstyp verwenden und dem Aufrufer nicht die Berechtigung cloudasset.assets.exportResource gewährt wurde, gilt als alternative Anforderung, dass der Aufrufer die entsprechenden Berechtigungen pro Ressourcentyp für jeden in der Anfrage angegebenen Asset-Typ hat.

Rollen

Cloud Asset Inventory hat zwei IAM-Rollen:

  • Cloud-Asset-Inhaber (roles/cloudasset.owner), die vollen Zugriff auf Cloud-Asset-Metadaten gewährt. Er gewährt alle Berechtigungen vom Typ cloudasset.* und recommender.cloudAssetInsights.*.
  • Cloud-Asset-Betrachter (roles/cloudasset.viewer), die Lesezugriff auf Cloud-Asset-Metadaten gewährt. Sie gewährt alle cloudasset.assets.*-Berechtigungen (nicht die Berechtigungen vom Typ cloudasset.feeds.*, recommender.cloudAssetInsights.get und recommender.cloudAssetInsights.list).

Wählen Sie die Rolle aus, die die erforderlichen Berechtigungen enthält. Grundsätzlich gewährt nur die Rolle „Cloud-Asset-Inhaber“ alle erforderlichen Berechtigungen zum Aufrufen der Cloud Asset API und ermöglicht die vollständige Nutzung aller Methoden.

Einfache Rollen beinhalten die folgenden Berechtigungen:

  • Rolle "Inhaber" (roles/owner) gewährt alle cloudasset.*-Berechtigungen.
  • Rolle "Bearbeiter" (roles/editor) gewährt cloudasset.assets.search*- und cloudasset.assets.analyzeIamPolicy-Berechtigungen.
  • Die Rolle "Betrachter" (roles/viewer) gewährt cloudasset.assets.search*- und cloudasset.assets.analyzeIamPolicy-Berechtigungen.

Wir empfehlen, eine der Cloud-Asset-Rollen anstelle einer einfachen Rolle zuzuweisen, da einfache Rollen viele Berechtigungen für andere Google Cloud-Dienste enthalten und dazu führen können, dass ein größerer Zugriffsbereich gewährt wird als beabsichtigt.

Zugriff verwalten

Sie können Nutzern auf Organisations-, Ordner- oder Projektebene Rollen zuweisen. Weitere Informationen hierzu finden Sie unter Zugriff für Projektmitglieder zuweisen, ändern und widerrufen.

VPC Service Controls

VPC Service Controls kann mit Cloud Asset Inventory verwendet werden, um die Sicherheit Ihrer Assets zu erhöhen. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.

Welche Einschränkungen sich bei Verwendung von Cloud Asset Inventory mit VPC Service Controls ergeben, erfahren Sie unter Unterstützte Produkte und Einschränkungen.