Richtlinienanalyse in BigQuery schreiben

1. Rufen Sie in der Google Cloud Console die Seite „Policy Analyzer“ auf.

   Zu Policy Analyzer

2. Suchen Sie im Abschnitt Richtlinien analysieren die Abfragevorlage, die Sie verwenden möchten, und klicken Sie dann auf Abfrage erstellen. Wenn Sie eine benutzerdefinierte Abfrage erstellen möchten, klicken Sie auf Benutzerdefinierte Abfrage erstellen.

3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

4. Legen Sie die Abfrageparameter fest:

   • Wenn Sie eine Abfragevorlage verwenden, prüfen Sie die vorausgefüllten Abfrageparameter.
   • Wenn Sie eine benutzerdefinierte Abfrage erstellen, legen Sie die Ressourcen, Hauptkonten, Rollen und Berechtigungen fest, die Sie abfragen möchten.

   Weitere Informationen zu den Abfragetypen, die Sie erstellen können, finden Sie unter IAM-Richtlinien analysieren.

5. Klicken Sie im Bereich mit dem Namen der Abfrage auf Analysieren > Nur vollständiges Ergebnis exportieren. Der Bereich Vollständige Ergebnisse exportieren wird geöffnet.

6. Geben Sie im Abschnitt Exportziel festlegen die folgenden Informationen ein:

   • Projekt: Das Projekt, in dem sich Ihr BigQuery-Dataset befindet.
   • Dataset: Das BigQuery-Dataset, in das Sie Ergebnisse exportieren möchten.
   • Tabelle: Das Präfix der BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden sollen. Wenn keine Tabelle mit dem angegebenen Präfix vorhanden ist, erstellt BigQuery eine neue Tabelle.

7. Klicken Sie auf Weiter.

8. Optional: Wählen Sie im Abschnitt Weitere Einstellungen konfigurieren die gewünschten Optionen aus:

   • Partitionierung: Gibt an, ob die Tabelle partitioniert wird. Weitere Informationen zu partitionierten Tabellen finden Sie unter Einführung in partitionierte Tabellen.
   • Schreibeinstellung: Gibt die Aktion an, die ausgeführt wird, wenn die Zieltabelle oder -partition bereits vorhanden ist. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten standardmäßig an die Tabelle oder die neueste Partition an.

9. Klicken Sie auf Exportieren.

Policy Analyzer führt die Abfrage aus und exportiert die vollständigen Ergebnisse in die angegebene Tabelle.

gcloud

Mit der Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und im angegebenen BigQuery-Ziel Ergebnisse abrufen.

Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

• RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die mit dieser Ressource und ihren Nachfolger verknüpft sind. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die bzw. die die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die mit dieser Ressource und ihren Nachfolger verknüpft sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkontenkennungen.
• PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach einer der aufgeführten Berechtigungen.
• DATASET: Das BigQuery-Dataset im Format projects/PROJECT_ID/datasets/DATASET_ID, wobei PROJECT_ID die alphanumerische ID Ihres Google Cloud-Projekts und DATASET_ID die ID Ihres Datasets ist.
• TABLE_PREFIX: Das Präfix der BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden sollen. Wenn keine Tabelle mit dem angegebenen Präfix vorhanden ist, erstellt BigQuery eine neue Tabelle.
• PARTITION_KEY: Optional. Der Partitionsschlüssel für eine in BigQuery partitionierte Tabelle. Policy Analyzer unterstützt nur REQUEST_TIME-Partitionsschlüssel.
• WRITE_DISPOSITION: Optional. Gibt die Aktion an, die ausgeführt wird, wenn die Zieltabelle oder -partition bereits vorhanden ist. Eine Liste der möglichen Werte finden Sie unter writeDisposition. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten standardmäßig an die Tabelle oder die neueste Partition an.

Führen Sie den Befehl gcloud asset analysis-iam-policy-longrunning aus:

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --bigquery-dataset=DATASET \
    --bigquery-table-prefix=TABLE_PREFIX \
    --bigquery-partition-key=PARTITION_KEY \
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --bigquery-dataset=DATASET `
    --bigquery-table-prefix=TABLE_PREFIX `
    --bigquery-partition-key=PARTITION_KEY `
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --bigquery-dataset=DATASET ^
    --bigquery-table-prefix=TABLE_PREFIX ^
    --bigquery-partition-key=PARTITION_KEY ^
    --bigquery-write-disposition=WRITE_DISPOSITION

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Mit der Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und im angegebenen BigQuery-Ziel Ergebnisse abrufen.

Mit der Methode analyzeIamPolicyLongrunning der Cloud Asset Inventory API können Sie eine IAM-Zulassungsrichtlinie analysieren und die Ergebnisse nach BigQuery exportieren.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

• RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die mit dieser Ressource und ihren Nachfolger verknüpft sind. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die bzw. die die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die mit dieser Ressource und ihren Nachfolger verknüpft sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Formate von Ressourcennamen finden Sie unter Format von Ressourcennamen.
• PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkontenkennungen.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach einer der aufgeführten Berechtigungen.
• DATASET: Das BigQuery-Dataset im Format projects/PROJECT_ID/datasets/DATASET_ID, wobei PROJECT_ID die alphanumerische ID Ihres Google Cloud-Projekts und DATASET_ID die ID Ihres Datasets ist.
• TABLE_PREFIX: Das Präfix der BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden sollen. Wenn keine Tabelle mit dem angegebenen Präfix vorhanden ist, erstellt BigQuery eine neue Tabelle.
• PARTITION_KEY: Optional. Der Partitionsschlüssel für eine in BigQuery partitionierte Tabelle. Policy Analyzer unterstützt nur REQUEST_TIME-Partitionsschlüssel.
• WRITE_DISPOSITION: Optional. Gibt die Aktion an, die ausgeführt wird, wenn die Zieltabelle oder -partition bereits vorhanden ist. Eine Liste der möglichen Werte finden Sie unter writeDisposition. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten standardmäßig an die Tabelle oder die neueste Partition an.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

JSON-Text der Anfrage:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  },
  "outputConfig": {
    "bigqueryDestination": {
      "dataset": "DATASET",
      "tablePrefix": "TABLE_PREFIX",
      "partitionKey": "PARTITION_KEY",
      "writeDisposition": "WRITE_DISPOSITION"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

   BigQuery aufrufen

2. Um die Tabellen und Ansichten im Dataset anzuzeigen, öffnen Sie den Navigationsbereich. Wählen Sie im Bereich Explorer Ihr Projekt zum Maximieren aus und wählen Sie dann ein Dataset aus.

3. Wählen Sie in der Liste die Tabellen mit Ihrem Präfix aus. Die Tabelle mit dem Suffix analysis enthält die Abfrage und Metadaten (z. B. Vorgangsname, Anfragezeit und nicht kritische Fehler). Die Tabelle mit dem Suffix analysis_result ist das Ergebnis, das Tupel von {identity, role(s)/permission(s), resource} zusammen mit IAM-Richtlinien auflistet, die diese Tupel generieren.

4. Einen Beispieldatensatz finden Sie auf dem Tab Vorschau.

API

Rufen Sie tabledata.list auf, um die Daten in Ihrer Tabelle zu durchsuchen. Geben Sie im Parameter tableId den Namen Ihrer Tabelle an.

Sie können die folgenden optionalen Parameter konfigurieren, um die Ausgabe zu steuern.

• maxResults ist die maximale Anzahl von zurückzugebenden Ergebnissen.
• selectedFields ist eine durch Kommas getrennte Liste von Spalten, die zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Spalten zurückgegeben.
• startIndex ist der nullbasierte Index der Startzeile, die gelesen werden soll.

Die Werte werden zusammengefasst in einem JSON-Objekt zurückgegeben. Dieses Objekt muss dann wie in der Referenzdokumentation zu tabledata.list beschrieben geparst werden.