Richtlinienanalyse in BigQuery schreiben

1. Rufen Sie in der Google Cloud Console die Seite „Policy Analyzer“ auf.

   Policy Analyzer aufrufen

2. Suchen Sie im Bereich Richtlinien analysieren die Abfragevorlage, die Sie verwenden möchten, Klicken Sie dann auf Abfrage erstellen. Wenn Sie eine benutzerdefinierte Abfrage erstellen möchten, klicken Sie auf Benutzerdefinierte Abfrage erstellen

3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

4. Achten Sie darauf, dass Ihre Abfrageparameter festgelegt sind:

   • Wenn Sie eine Abfragevorlage verwenden, prüfen Sie die vorab ausgefüllten Abfrageparameter.
   • Wenn Sie eine benutzerdefinierte Abfrage erstellen, legen Sie die Ressourcen, Hauptkonten, Rollen und Berechtigungen, die Sie abfragen möchten.

   Weitere Informationen zu den Arten von Abfragen, die Sie erstellen können, finden Sie unter IAM-Richtlinien analysieren.

5. In dem Bereich mit dem Namen der Abfrage Klicken Sie auf Analysieren > Nur Ergebnis exportieren. Der Bereich Exportergebnisse wird geöffnet.

6. Geben Sie im Abschnitt Exportziel festlegen die folgenden Informationen ein:

   • Projekt: Das Projekt, in dem sich Ihr BigQuery-Dataset befindet. befindet.
   • Dataset: Das BigQuery-Dataset, in das Sie Ergebnisse exportieren möchten.
   • Tabelle: Das Präfix der BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden. Wenn keine Tabelle mit dem angegebenen Präfix vorhanden ist, wird in BigQuery eine neue Tabelle erstellt.

7. Klicken Sie auf Weiter.

8. Optional: Wählen Sie im Bereich Weitere Einstellungen konfigurieren das gewünschte die gewünschten Optionen:

   • Partitionierung: Gibt an, ob die Tabelle partitioniert werden soll. Weitere Informationen über siehe Einführung in partitionierte Tabellen Tabellen.
   • Schreibeinstellung: Gibt die Aktion an, die eintritt, wenn das Ziel Tabelle oder Partition ist bereits vorhanden. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten an die Tabelle oder der neuesten Partition.

9. Klicken Sie auf Exportieren.

Policy Analyzer führt Ihre Abfrage aus und exportiert die Ergebnisse in den die angegebene Tabelle enthält.

gcloud

Mit der Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und Ergebnisse am angegebenen BigQuery-Ziel abrufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Ressourcentyp, auf den die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die mit dieser Ressource und ihren untergeordneten Elementen verknüpft sind. Wert verwenden project, folder oder organization.
• RESOURCE_ID: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, auf das bzw. die Sie die Suche beschränken möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• PRINCIPAL: das Hauptkonto, dessen die Sie analysieren möchten, in der Form PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.
• PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, nach denen Sie suchen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen angeben, wird im Policy Analyzer nach jeder der aufgeführten Berechtigungen gesucht.
• DATASET: Das BigQuery-Dataset in der Form projects/PROJECT_ID/datasets/DATASET_ID, wobei PROJECT_ID die alphanumerische ID Ihres Google Cloud-Projekts und DATASET_ID die ID Ihres Datasets ist.
• TABLE_PREFIX: Das Präfix des BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden. Wenn eine Tabelle mit dem angegebenes Präfix nicht vorhanden ist, erstellt BigQuery eine neue Tabelle.
• PARTITION_KEY: Optional. Partitionierungsschlüssel für Nach BigQuery partitionierte Tabelle. Policy Analyzer unterstützt nur REQUEST_TIME-Partitionsschlüssel.
• WRITE_DISPOSITION: Optional. Gibt die Aktion an, die ausgeführt wird, wenn die Zieltabelle oder -partition bereits vorhanden ist. Eine Liste der möglichen Werte finden Sie unter writeDisposition. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten standardmäßig an der Tabelle oder der letzten Partition.

Führen Sie den Befehl gcloud asset analyze-iam-policy-longrunning aus:

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --bigquery-dataset=DATASET \
    --bigquery-table-prefix=TABLE_PREFIX \
    --bigquery-partition-key=PARTITION_KEY \
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --bigquery-dataset=DATASET `
    --bigquery-table-prefix=TABLE_PREFIX `
    --bigquery-partition-key=PARTITION_KEY `
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --bigquery-dataset=DATASET ^
    --bigquery-table-prefix=TABLE_PREFIX ^
    --bigquery-partition-key=PARTITION_KEY ^
    --bigquery-write-disposition=WRITE_DISPOSITION

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Mit der Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und Ergebnisse am angegebenen BigQuery-Ziel abrufen.

Analysieren Sie eine IAM-Zulassungsrichtlinie und exportieren Sie die Ergebnisse nach BigQuery, verwenden Sie die analyzeIamPolicyLongrunning .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie die Suche beschränken möchten. Nur IAM-Zulassungsrichtlinien die an diese Ressource und ihre Nachfolger angehängt sind, analysiert werden. Wert verwenden projects, folders oder organizations.
• RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, auf die die Suche beschränkt werden soll. Nur An diese Ressource und ihre Nachfolger gebundene IAM-Zulassungsrichtlinien werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste aller Formate für Ressourcennamen finden Sie unter Format des Ressourcennamens:
• PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach allen aufgeführten Berechtigungen.
• DATASET: Das BigQuery-Dataset in der Form projects/PROJECT_ID/datasets/DATASET_ID, wobei PROJECT_ID die alphanumerische ID Ihres Google Cloud-Projekts und DATASET_ID die ID Ihres Datasets ist.
• TABLE_PREFIX: Das Präfix des BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden. Wenn eine Tabelle mit dem angegebenes Präfix nicht vorhanden ist, erstellt BigQuery eine neue Tabelle.
• PARTITION_KEY: Optional. Der Partitionsschlüssel für partitionierte BigQuery-Tabellen. Policy Analyzer unterstützt nur REQUEST_TIME-Partitionsschlüssel.
• WRITE_DISPOSITION: Optional. Angaben Die Aktion, die auftritt, wenn die Zieltabelle oder -partition bereits vorhanden ist. Eine Liste der möglichen Werte finden Sie unter writeDisposition. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten standardmäßig an der Tabelle oder der letzten Partition.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

JSON-Text anfordern:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  },
  "outputConfig": {
    "bigqueryDestination": {
      "dataset": "DATASET",
      "tablePrefix": "TABLE_PREFIX",
      "partitionKey": "PARTITION_KEY",
      "writeDisposition": "WRITE_DISPOSITION"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

   Zu BigQuery

2. Um die Tabellen und Ansichten im Dataset anzuzeigen, öffnen Sie den Navigationsbereich. Wählen Sie im Bereich Explorer Ihr Projekt aus, um es zu maximieren, und wählen Sie dann ein Dataset aus.

3. Wählen Sie in der Liste die Tabellen mit Ihrem Präfix aus. Die Tabelle mit dem Suffix analysis enthält die Abfrage und die Metadaten (z. B. Name des Vorgangs, Zeitpunkt der Anfrage und nicht kritische Fehler). Die Tabelle mit Das Suffix analysis_result ist die Ergebnisauflistung der Tupel von {identity, role(s)/permission(s), resource} zusammen mit IAM-Richtlinien, die diese Tupel generieren

4. Wählen Sie den Tab Vorschau aus, um einen Beispieldatensatz zu sehen.

API

Rufen Sie tabledata.list auf, um die Daten in Ihrer Tabelle zu durchsuchen. Geben Sie im Parameter tableId den Namen Ihrer Tabelle an.

Sie können die folgenden optionalen Parameter konfigurieren, um die Ausgabe zu steuern.

• maxResults ist die maximale Anzahl von zurückzugebenden Ergebnissen.
• selectedFields ist eine durch Kommas getrennte Liste von Spalten, die zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Spalten zurückgegeben.
• startIndex ist der nullbasierte Index der Startzeile, die gelesen werden soll.

Die Werte werden zusammengefasst in einem JSON-Objekt zurückgegeben. Dieses Objekt muss dann wie in der Referenzdokumentation zu tabledata.list beschrieben geparst werden.