Scrivi l'analisi dei criteri in BigQuery

1. Nella console Google Cloud, vai alla pagina Analizzatore criteri.

   Vai all'Analizzatore criteri

2. Nella sezione Analizza criteri, individua il modello di query che desideri utilizzare e fai clic su Crea query. Se vuoi creare una query personalizzata, fai clic su Crea query personalizzata.

3. Nel campo Seleziona ambito query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi limitare la query. L'Analizzatore criteri analizzerà l'accesso per il progetto, la cartella o l'organizzazione, nonché tutte le risorse all'interno del progetto, della cartella o dell'organizzazione.

4. Assicurati che i parametri di ricerca siano impostati:

   • Se utilizzi un modello di query, conferma i parametri di ricerca precompilati.
   • Se stai creando una query personalizzata, imposta le risorse, le entità, i ruoli e le autorizzazioni per i quali vuoi eseguire la query.

   Per ulteriori informazioni sui tipi di query che puoi creare, consulta Analizzare i criteri IAM.

5. Nel riquadro denominato con il nome della query, fai clic su Analizza > Esporta solo risultato completo. Viene visualizzato il riquadro Esporta i risultati completi.

6. Nella sezione Imposta destinazione di esportazione, inserisci le seguenti informazioni:

   • Progetto: il progetto in cui si trova il set di dati BigQuery.
   • Set di dati: il set di dati BigQuery in cui vuoi esportare i risultati.
   • Tabella: il prefisso delle tabelle BigQuery in cui verranno scritti i risultati dell'analisi. Se non esiste una tabella con il prefisso specificato, BigQuery crea una nuova tabella.

7. Fai clic su Continua.

8. (Facoltativo) Nella sezione Configura impostazioni aggiuntive, seleziona le opzioni che preferisci:

   • Partizionamento: indica se eseguire il partizionamento della tabella. Per scoprire di più sulle tabelle partizionate, consulta Introduzione alle tabelle partizionate.
   • Write preferred (Preferenza di scrittura): specifica l'azione che si verifica se la tabella o la partizione di destinazione esiste già. Per impostazione predefinita, se la tabella o la partizione esiste già, BigQuery aggiunge i dati alla tabella o all'ultima partizione.

9. Fai clic su Esporta.

Analizzatore criteri esegue la query ed esporta i risultati completi nella tabella specificata.

gcloud

Il metodo AnalyzeIamPolicyLongrunning ti consente di inviare una richiesta di analisi e ottenere risultati nella destinazione BigQuery specificata.

Prima di utilizzare uno qualsiasi dei dati del comando riportati di seguito, apporta le seguenti sostituzioni:

• RESOURCE_TYPE: il tipo di risorsa a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai relativi discendenti. Utilizza il valore project, folder o organization.
• RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud a cui vuoi restringere l'ambito della ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai relativi discendenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
• PRINCIPAL: l'entità di cui vuoi analizzare l'accesso, nel formato PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori principali.
• PERMISSIONS: un elenco separato da virgole delle autorizzazioni che vuoi verificare, ad esempio compute.instances.get,compute.instances.start. Se elenchi più autorizzazioni, Analizzatore criteri controllerà una qualsiasi delle autorizzazioni elencate.
• DATASET: il set di dati BigQuery nel formato projects/PROJECT_ID/datasets/DATASET_ID, dove PROJECT_ID è l'ID alfanumerico del progetto Google Cloud e DATASET_ID è l'ID del set di dati.
• TABLE_PREFIX: il prefisso delle tabelle BigQuery in cui verranno scritti i risultati dell'analisi. Se non esiste una tabella con il prefisso specificato, BigQuery crea una nuova tabella.
• PARTITION_KEY: facoltativo. La chiave di partizione per la tabella partizionata BigQuery. Analizzatore criteri supporta solo REQUEST_TIME chiavi di partizione.
• WRITE_DISPOSITION: facoltativo. Specifica l'azione che si verifica se la tabella o la partizione di destinazione esiste già. Per un elenco dei possibili valori, consulta writeDisposition. Per impostazione predefinita, se la tabella o la partizione esiste già, BigQuery aggiunge i dati alla tabella o all'ultima partizione.

Esegui il comando gcloud asset analyze-iam-policy-longrunning:

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --bigquery-dataset=DATASET \
    --bigquery-table-prefix=TABLE_PREFIX \
    --bigquery-partition-key=PARTITION_KEY \
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --bigquery-dataset=DATASET `
    --bigquery-table-prefix=TABLE_PREFIX `
    --bigquery-partition-key=PARTITION_KEY `
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --bigquery-dataset=DATASET ^
    --bigquery-table-prefix=TABLE_PREFIX ^
    --bigquery-partition-key=PARTITION_KEY ^
    --bigquery-write-disposition=WRITE_DISPOSITION

Dovresti ricevere una risposta simile alla seguente:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Il metodo AnalyzeIamPolicyLongrunning ti consente di inviare una richiesta di analisi e ottenere risultati nella destinazione BigQuery specificata.

Per analizzare un criterio di autorizzazione IAM ed esportare i risultati in BigQuery, utilizza il metodo analyzeIamPolicyLongrunning dell'API Cloud Asset Inventory.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

• RESOURCE_TYPE: il tipo di risorsa a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai relativi discendenti. Utilizza il valore projects, folders o organizations.
• RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud a cui vuoi restringere l'ambito della ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai relativi discendenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
• FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa di cui vuoi analizzare l'accesso. Per un elenco dei formati completi dei nomi delle risorse, vedi Formato del nome delle risorse.
• PRINCIPAL: facoltativo. L'entità di cui vuoi analizzare l'accesso, nel formato PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori principali.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: facoltativo. Le autorizzazioni che vuoi verificare, ad esempio compute.instances.get. Se elenchi più autorizzazioni, Analizzatore criteri controllerà una qualsiasi delle autorizzazioni elencate.
• DATASET: il set di dati BigQuery nel formato projects/PROJECT_ID/datasets/DATASET_ID, dove PROJECT_ID è l'ID alfanumerico del progetto Google Cloud e DATASET_ID è l'ID del set di dati.
• TABLE_PREFIX: il prefisso delle tabelle BigQuery in cui verranno scritti i risultati dell'analisi. Se non esiste una tabella con il prefisso specificato, BigQuery crea una nuova tabella.
• PARTITION_KEY: facoltativo. La chiave di partizione per la tabella partizionata BigQuery. Analizzatore criteri supporta solo REQUEST_TIME chiavi di partizione.
• WRITE_DISPOSITION: facoltativo. Specifica l'azione che si verifica se la tabella o la partizione di destinazione esiste già. Per un elenco dei possibili valori, consulta writeDisposition. Per impostazione predefinita, se la tabella o la partizione esiste già, BigQuery aggiunge i dati alla tabella o all'ultima partizione.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

Corpo JSON richiesta:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  },
  "outputConfig": {
    "bigqueryDestination": {
      "dataset": "DATASET",
      "tablePrefix": "TABLE_PREFIX",
      "partitionKey": "PARTITION_KEY",
      "writeDisposition": "WRITE_DISPOSITION"
    }
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

1. Nella console Google Cloud, vai alla pagina BigQuery.

   Vai a BigQuery

2. Per visualizzare le tabelle e le visualizzazioni nel set di dati, apri il pannello di navigazione. Nella sezione Explorer, seleziona il progetto per espanderlo, quindi seleziona un set di dati.

3. Seleziona dall'elenco le tabelle con il tuo prefisso. La tabella con un suffisso analysis contiene la query e i metadati (ad esempio nome dell'operazione, ora della richiesta ed errori non critici). La tabella con il suffisso analysis_result è il risultato che elenca le tuple di {identity, role(s)/permission(s), resource} insieme ai criteri IAM che generano queste tuple.

4. Per visualizzare un set di dati di esempio, seleziona la scheda Anteprima.

API

Per sfogliare i dati della tabella, chiama tabledata.list. Nel parametro tableId, specifica il nome della tabella.

Puoi configurare i seguenti parametri facoltativi per controllare l'output.

• maxResults è il numero massimo di risultati da restituire.
• selectedFields è un elenco separato da virgole di colonne da restituire. Se non specificate, vengono restituite tutte le colonne.
• startIndex è l'indice in base zero della riga iniziale da leggere.

I valori vengono restituiti aggregati in un oggetto JSON che devi analizzare, come descritto nella documentazione di riferimento di tabledata.list.