Auf dieser Seite werden die Zugriffssteuerungsoptionen beschrieben, die Ihnen für die Cloud Asset API zur Verfügung stehen.
Überblick
Cloud Asset Inventory verwendet für die Zugriffssteuerung die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM).
In der Cloud Asset API kann die Zugriffssteuerung auf Projektebene oder Organisationsebene konfiguriert werden. Beispielsweise können Sie einer Gruppe von Entwicklern Zugriff auf alle Cloud Asset Inventory-Ressourcen in einem Projekt gewähren.
Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation. Interessant ist insbesondere der Abschnitt Zugriff auf Projekte, Ordner und Organisationen verwalten.
Berechtigungen und Rollen
Zum Aufrufen der Methoden in der Cloud Asset Inventory API werden die erforderlichen Berechtigungen benötigt. In diesem Abschnitt werden die von IAM unterstützten Cloud Asset API-Berechtigungen und -Rollen zusammengefasst.
Erforderliche Berechtigungen
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Aufrufen der einzelnen API-Methoden in der Cloud Asset API oder zum Ausführen von Aufgaben mit Google Cloud-Tools benötigt werden, die die API verwenden, z. B. die Google Cloud Console oder die Google Cloud CLI.
| Berechtigung | API-Methoden |
|---|---|
cloudasset.assets.searchAllResources |
*.searchAllResources |
cloudasset.assets.searchAllIamPolicies |
*.searchAllIamPolicies |
cloudasset.assets.analyzeIamPolicy,cloudasset.assets.searchAllResources undcloudasset.assets.searchAllIamPolicies |
*.analyzeIamPolicy |
*.analyzeIamPolicyLongrunning |
|
*.batchGetEffectiveIamPolicies |
|
cloudasset.assets.analyzeOrgPolicy undcloudasset.assets.searchAllResources |
*.analyzeOrgPolicies |
*.analyzeOrgPolicyGovernedContainers |
|
cloudasset.assets.analyzeOrgPolicy,cloudasset.assets.searchAllResources undcloudasset.assets.searchAllIamPolicies |
*.analyzeOrgPolicyGovernedAssets |
cloudasset.feeds.get |
*.getFeed |
cloudasset.feeds.list |
*.listFeeds |
cloudasset.feeds.delete |
*.deleteFeed |
cloudasset.feeds.create,cloudasset.assets.exportResource odercloudasset.assets.exportIamPolicybasierend auf content_type
|
*.createFeed |
cloudasset.feeds.update,cloudasset.assets.exportResource odercloudasset.assets.exportIamPolicybasierend auf content_type
|
*.updateFeed |
cloudasset.assets.exportResource,cloudasset.assets.exportIamPolicy,cloudasset.assets.exportOrgPolicy, cloudasset.assets.exportOSInventories odercloudasset.assets.exportAccessPolicybasierend auf content_type
|
*.batchGetAssetsHistory |
*.exportAssets |
|
*.operations.get |
|
cloudasset.assets.listResource,cloudasset.assets.listIamPolicy,cloudasset.assets.listOrgPolicy, cloudasset.assets.listAccessPolicy odercloudasset.assets.listOSInventoriesbasierend auf content_type
|
*.listAssets |
cloudasset.assets.analyzeMove |
*.analyzeMove |
cloudasset.savedqueries.create |
*.createSavedQuery |
cloudasset.savedqueries.get |
*.getSavedQuery |
cloudasset.savedqueries.list |
*.listSavedQueries |
cloudasset.savedqueries.update |
*.updateSavedQuery |
cloudasset.savedqueries.delete |
*.deleteSavedQuery |
Wenn Sie die *.exportAssets API zum Exportieren von Ressourcenmetadaten bestimmter Asset-Typen mit RESOURCE oder einem nicht angegebenen Inhaltstyp verwenden und dem Aufrufer nicht die Berechtigung cloudasset.assets.exportResource gewährt wurde, gilt als alternative Anforderung, dass der Aufrufer die entsprechenden Berechtigungen pro Ressourcentyp für jeden in der Anfrage angegebenen Asset-Typ hat.
Rollen
Cloud Asset Inventory hat zwei IAM-Rollen:
Cloud-Asset-Inhaber (
roles/cloudasset.owner), die vollen Zugriff auf Cloud-Asset-Metadaten gewährt. Sie gewährt alle Berechtigungen vom Typcloudasset.*undrecommender.cloudAssetInsights.*.Cloud-Asset-Betrachter (
roles/cloudasset.viewer), die Lesezugriff auf Cloud-Asset-Metadaten gewährt. Sie gewährt alle Berechtigungen vom Typcloudasset.assets.*(nicht die Berechtigungencloudasset.feeds.*undcloudasset.savedqueries.*),recommender.cloudAssetInsights.getundrecommender.cloudAssetInsights.list.
Wählen Sie die Rolle aus, die die erforderlichen Berechtigungen enthält. Grundsätzlich gewährt nur die Rolle „Cloud-Asset-Inhaber“ alle erforderlichen Berechtigungen zum Aufrufen der Cloud Asset API und ermöglicht die vollständige Nutzung aller Methoden.
Einfache Rollen beinhalten die folgenden Berechtigungen:
Rolle "Inhaber" (
roles/owner) gewährt allecloudasset.*-Berechtigungen.Rolle "Bearbeiter" (
roles/editor) gewährtcloudasset.assets.search*- undcloudasset.assets.analyzeIamPolicy-Berechtigungen.Die Rolle "Betrachter" (
roles/viewer) gewährtcloudasset.assets.search*- undcloudasset.assets.analyzeIamPolicy-Berechtigungen.
Wir empfehlen, eine der Cloud-Asset-Rollen anstelle einer einfachen Rolle zuzuweisen, da einfache Rollen viele Berechtigungen für andere Google Cloud-Dienste enthalten und dazu führen können, dass ein größerer Zugriffsbereich als vorgesehen gewährt wird.
Sie können Nutzern auf Organisations-, Ordner- oder Projektebene Rollen zuweisen. Weitere Informationen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
VPC Service Controls
VPC Service Controls kann mit Cloud Asset Inventory verwendet werden, um die Sicherheit Ihrer Assets zu erhöhen. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.
Informationen zu den Einschränkungen bei der Verwendung von Cloud Asset Inventory mit VPC Service Controls finden Sie unter Unterstützte Produkte und Einschränkungen.