Écrire l'analyse des stratégies dans BigQuery

1. Dans la console Google Cloud, accédez à la page Policy Analyzer.

   Accéder à Policy Analyzer

2. Dans la section Analyser les règles, recherchez le modèle de requête que vous souhaitez utiliser. puis cliquez sur Créer une requête. Pour créer une requête personnalisée, cliquez sur Créer une requête personnalisée

3. Dans le champ Sélectionner le champ d'application de la requête, sélectionnez le projet, le dossier ou l'organisation auquel vous souhaitez appliquer la requête. Policy  Analyzer analyse l'accès pour ce projet, ce dossier ou cette organisation, ainsi que toutes les ressources de ce projet, ce dossier ou cette organisation.

4. Assurez-vous que vos paramètres de requête sont définis:

   • Si vous utilisez un modèle de requête, vérifiez les paramètres de requête préremplis.
   • Si vous créez une requête personnalisée, définissez les ressources, les comptes principaux, les rôles et les autorisations à interroger.

   Pour en savoir plus sur les types de requêtes que vous pouvez créer, consultez Analyser les stratégies IAM

5. Dans le volet étiqueté avec le nom de la requête, cliquez sur Analyser > Exporter les résultats uniquement. L'outil Exportation résultats s'ouvre.

6. Dans la section Définir la destination de l'exportation, saisissez les informations suivantes:

   • Projet: projet contenant votre ensemble de données BigQuery localisés.
   • Ensemble de données: ensemble de données BigQuery que vous souhaitez exporter les résultats.
   • Table: préfixe des tables BigQuery sur lesquelles les résultats de l'analyse sont générés est écrit. Si aucune table n'existe avec le préfixe spécifié, BigQuery crée une table.

7. Cliquez sur Continuer.

8. Facultatif: Dans la section Configurer des paramètres supplémentaires, sélectionnez le les options souhaitées:

   • Partitionnement: indique si la table doit être partitionnée. Pour en savoir plus sur tables partitionnées, consultez Présentation de données.
   • Write preference (Préférence d'écriture) : spécifie l'action qui se produit si la destination table ou partition existe déjà. Par défaut, si la table ou la partition existe déjà, BigQuery ajoute les données à la table la dernière partition.

9. Cliquez sur Exporter.

Policy Analyzer exécute votre requête et exporte les résultats vers table spécifiée.

gcloud

La méthode AnalyzeIamPolicyLongrunning vous permet d'émettre une requête d'analyse et d'obtenir des résultats dans les Destination BigQuery.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE: type de la ressource à laquelle vous souhaitez limiter votre recherche. Stratégies d'autorisation IAM uniquement associés à cette ressource et à ses descendants sont analysés. Utiliser la valeur project, folder ou organization.
• RESOURCE_ID: ID du Projet, dossier ou organisation Google Cloud auxquels vous souhaitez limiter votre recherche. Uniquement Les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
• PRINCIPAL: compte principal dont l'accès à analyser, sous la forme PRINCIPAL_TYPE:ID, par exemple user:my-user@example.com Pour obtenir la liste complète des types de comptes principaux, consultez Identifiants principaux.
• PERMISSIONS: A séparées par une virgule des autorisations à vérifier, par exemple compute.instances.get,compute.instances.start Si vous indiquez plusieurs autorisations, Policy Analyzer recherche toutes les autorisations listées.
• DATASET: ensemble de données BigQuery au format projects/PROJECT_ID/datasets/DATASET_ID, où PROJECT_ID est l'ID alphanumérique de votre projet Google Cloud. DATASET_ID est l'ID de votre ensemble de données.
• TABLE_PREFIX: préfixe du Tables BigQuery dans lesquelles les résultats d'analyse seront écrits. Si un tableau avec le n'existe pas, BigQuery crée une table.
• PARTITION_KEY : facultatif. La clé de partitionnement pour les tables partitionnées BigQuery. Policy Analyzer n'est compatible qu'avec les clés de partitionnement REQUEST_TIME.
• WRITE_DISPOSITION : facultatif. Spécifie l'action qui se produit si la table ou la partition de destination existe déjà. Pour obtenir une liste des , consultez writeDisposition. Par défaut, si la table ou la partition existe déjà, BigQuery ajoute les données à la table ou la dernière partition.

Exécutez la gcloud asset analyze-iam-policy-longrunning :

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --bigquery-dataset=DATASET \
    --bigquery-table-prefix=TABLE_PREFIX \
    --bigquery-partition-key=PARTITION_KEY \
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --bigquery-dataset=DATASET `
    --bigquery-table-prefix=TABLE_PREFIX `
    --bigquery-partition-key=PARTITION_KEY `
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --bigquery-dataset=DATASET ^
    --bigquery-table-prefix=TABLE_PREFIX ^
    --bigquery-partition-key=PARTITION_KEY ^
    --bigquery-write-disposition=WRITE_DISPOSITION

Vous devriez obtenir un résultat semblable à celui-ci :

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

La méthode AnalyzeIamPolicyLongrunning vous permet d'émettre une requête d'analyse et d'obtenir des résultats dans les Destination BigQuery.

Pour analyser une stratégie d'autorisation IAM et exporter les résultats vers utilisez l'API Cloud Asset Inventory analyzeIamPolicyLongrunning .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

• RESOURCE_TYPE: type de la ressource à laquelle vous souhaitez limiter votre recherche. Stratégies d'autorisation IAM uniquement associés à cette ressource et à ses descendants sont analysés. Utiliser la valeur projects, folders ou organizations.
• RESOURCE_ID: ID du Projet, dossier ou organisation Google Cloud auxquels vous souhaitez limiter votre recherche. Uniquement Les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
• FULL_RESOURCE_NAME : facultatif. Le nom complet de la ressource pour lesquels vous souhaitez analyser l'accès. Pour obtenir la liste des formats de nom de ressource complet, consultez Format du nom de ressource.
• PRINCIPAL : facultatif. Le compte principal dont vous souhaitez analyser l'accès, au format PRINCIPAL_TYPE:ID, par exemple user:my-user@example.com Pour obtenir la liste complète des types de comptes principaux, consultez Identifiants principaux.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: facultatif. La les autorisations que vous souhaitez vérifier, par exemple compute.instances.get. Si vous plusieurs autorisations, Policy Analyzer recherche celles listées.
• DATASET: ensemble de données BigQuery au format projects/PROJECT_ID/datasets/DATASET_ID, où PROJECT_ID est l'ID alphanumérique de votre projet Google Cloud. DATASET_ID est l'ID de votre ensemble de données.
• TABLE_PREFIX: préfixe du Tables BigQuery dans lesquelles les résultats d'analyse seront écrits. Si un tableau avec le n'existe pas, BigQuery crée une table.
• PARTITION_KEY : facultatif. La clé de partitionnement pour les tables partitionnées BigQuery. Policy Analyzer n'est compatible qu'avec les clés de partitionnement REQUEST_TIME.
• WRITE_DISPOSITION : facultatif. Spécifie l'action qui se produit si la table ou la partition de destination existe déjà. Pour obtenir une liste des , consultez writeDisposition. Par défaut, si la table ou la partition existe déjà, BigQuery ajoute les données à la table ou la dernière partition.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

Corps JSON de la requête :

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  },
  "outputConfig": {
    "bigqueryDestination": {
      "dataset": "DATASET",
      "tablePrefix": "TABLE_PREFIX",
      "partitionKey": "PARTITION_KEY",
      "writeDisposition": "WRITE_DISPOSITION"
    }
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

1. Dans la console Google Cloud, accédez à la page BigQuery.

   Accéder à BigQuery

2. Pour afficher les tables et les vues de l'ensemble de données, ouvrez le panneau de navigation. Dans la section Explorateur, sélectionnez votre projet pour le développer, puis sélectionnez un jeu de données.

3. Dans la liste, sélectionnez les tables avec votre préfixe. Le tableau avec un Le suffixe analysis contient la requête et les métadonnées (par exemple, l'opération le nom, l'heure de la demande et les erreurs non critiques). Le tableau avec Le suffixe analysis_result correspond aux tuples de liste de résultats de {identity, role(s)/permission(s), resource} avec stratégies IAM qui génèrent ces tuples.

4. Pour afficher un exemple d'ensemble de données, sélectionnez l'onglet Aperçu.

API

Pour parcourir les données d'une table, appelez tabledata.list. Dans le paramètre tableId, spécifiez le nom de la table.

Vous pouvez configurer les paramètres facultatifs suivants pour contrôler la sortie.

• maxResults est le nombre maximal de résultats à renvoyer.
• selectedFields est une liste de colonnes à renvoyer, séparées par une virgule. Si ce paramètre n'est pas spécifié, toutes les colonnes sont renvoyées.
• startIndex est l'index basé sur zéro de la première ligne à lire.

Les valeurs renvoyées sont encapsulées dans un objet JSON que vous devez analyser, comme décrit dans la documentation de référence de tabledata.list.