Questa pagina è stata tradotta dall'API Cloud Translation.

Scrivi l'analisi dei criteri in Cloud Storage

Questa pagina spiega come analizzare i criteri di Identity and Access Management (IAM) in modo asincrono e scrivere i risultati in Cloud Storage. La funzionalità è per lo più equivalente a analizzare i criteri IAM, tranne il risultato dell'analisi viene scritto Bucket Cloud Storage.

Prima di iniziare

Attiva Cloud Asset API.

Abilita l'API

Devi abilitare l'API nel progetto o nell'organizzazione che utilizzerai per inviare query. Non deve essere la stessa risorsa a cui indirizzi la query.

Ruoli e autorizzazioni richiesti

Per eseguire un'analisi ed un'esportazione dei criteri sono necessari i ruoli e le autorizzazioni seguenti i risultati in Cloud Storage.

Ruoli IAM richiesti

Per ottenere le autorizzazioni necessarie per analizzare un criterio ed esportare i risultati in BigQuery chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto, nella cartella o nell'organizzazione di cui l'ambito la query per:

Cloud Asset Viewer (roles/cloudasset.viewer)
Creatore oggetti Storage (roles/storage.objectCreator)
Per analizzare i criteri con i ruoli IAM personalizzati: Visualizzatore ruoli (roles/iam.roleViewer)
Per utilizzare Google Cloud CLI per analizzare i criteri: Consumer Service Usage (roles/serviceusage.serviceUsageConsumer)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti le autorizzazioni necessarie per analizzare un criterio ed esportare i risultati in in BigQuery. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per analizzare un criterio ed esportare i risultati in, sono necessarie le seguenti autorizzazioni BigQuery:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
storage.objects.create
Per analizzare i criteri con i ruoli IAM personalizzati: iam.roles.get
Per utilizzare Google Cloud CLI per analizzare i criteri: serviceusage.services.use

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Autorizzazioni Google Workspace richieste

Se vuoi vedere se a un'entità vengono assegnati determinati ruoli o autorizzazioni della sua iscrizione a un gruppo di Google Workspace, devi disporre del groups.read Autorizzazione di Google Workspace. Questa autorizzazione è contenuta nel lettore di gruppi Amministratore dei gruppi e in ruoli più potenti come Amministratore gruppi o Super amministratore ruoli. Per saperne di più, consulta Assegnare ruoli di amministratore specifici. informazioni.

Analizza i criteri ed esporta i risultati

La AnalyzeIamPolicyLongrunning consente di inviare una richiesta di analisi e ottenere risultati Bucket Cloud Storage.

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
PRINCIPAL: l'entità la cui che vuoi analizzare, sotto forma PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori entità.
PERMISSIONS: A un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.
STORAGE_OBJECT_URI: la risorsa unica dell'oggetto Cloud Storage in cui vuoi esportare i risultati dell'analisi, nel modulo gs://BUCKET_NAME/OBJECT_NAME, ad esempio gs://my-bucket/analysis.json.

Esegui la gcloud asset analyze-iam-policy-longrunning :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (PowerShell)

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (cmd.exe)

Nota: Se questo comando usa ' per citare i contenuti, sostituisci queste virgolette singole con virgolette doppie. Se le citazioni sono nidificate, utilizza \" per l'interpretazione letterale tra virgolette.

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --gcs-output-path=STORAGE_OBJECT_URI

Dovresti ricevere una risposta simile alla seguente:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

per analizzare un criterio di autorizzazione IAM ed esportare i risultati in Cloud Storage, utilizza la classe analyzeIamPolicyLongrunning .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco dei formati dei nomi di risorsa completi, consulta Formato del nome della risorsa:
PRINCIPAL: facoltativo. L'entità di cui vuoi analizzare l'accesso, sotto forma PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori entità.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facoltativo. La autorizzazioni che vuoi controllare, ad esempio compute.instances.get. Se elencare più autorizzazioni, Policy Analyzer controllerà se sono presenti autorizzazioni elencate.
STORAGE_OBJECT_URI: la risorsa unica dell'oggetto Cloud Storage in cui vuoi esportare i risultati dell'analisi, nel modulo gs://BUCKET_NAME/OBJECT_NAME, ad esempio gs://my-bucket/analysis.json.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

Corpo JSON della richiesta:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "outputConfig": {
      "gcsDestination": {
        "uri": "STORAGE_OBJECT_URI"
      }
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri pagina di riferimento del metodo. Sul lato destro della pagina si apre il riquadro Explorer API. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila tutti gli altri campi obbligatori e fai clic su Esegui.

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

Visualizza i risultati dell'analisi dei criteri IAM

Per visualizzare i risultati dell'analisi dei criteri IAM:

Nella console Google Cloud, vai alla pagina Bucket.

Vai a Bucket
Apri il nuovo file in cui hai scritto l'analisi.

Nei risultati sono elencate le tuple di {identity, role(s)/permission(s), resource} insieme ai criteri IAM che le generano.