Richtlinienanalyse in Cloud Storage schreiben

Auf dieser Seite wird erläutert, wie Sie Richtlinien für die Identitäts- und Zugriffsverwaltung asynchron analysieren und die Ergebnisse in Cloud Storage schreiben. Die Funktion entspricht weitgehend der Analyse von IAM-Richtlinien, mit dem Unterschied, dass das Analyseergebnis in einen Cloud Storage-Bucket geschrieben wird.

Hinweis

  • Sie müssen die Cloud Translation API für Ihr Projekt aktivieren.

  • Wenn Sie die API zum Ausführen dieser Abfragen verwenden, müssen Sie Ihre Umgebung und gcurl einrichten.

    1. Richten Sie die Umgebung ein.

    2. Führen Sie die folgenden Schritte aus, um einen gcurl-Alias einzurichten.

      Führen Sie in einer Compute Engine-Instanz den folgenden Befehl aus.

      alias gcurl='curl -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" -X POST'

      Führen Sie den folgenden Befehl aus, wenn Sie sich nicht in einer Compute Engine-Instanz befinden.

      alias gcurl='curl -H "$(oauth2l header --json CREDENTIALS cloud-platform)" \
-H "Content-Type: application/json" -X POST'

      Dabei ist CREDENTIALS der Pfad Ihrer Anmeldedatendatei, z. B. ~/credentials.json.

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um eine Richtlinienanalyse auszuführen und die Analyseergebnisse in den angegebenen Cloud Storage-Bucket zu schreiben:

  • Berechtigungen zum Ausführen einer Richtlinienanalyse

  • Berechtigungen zum Schreiben in einen Cloud Storage-Bucket:

    • storage.objects.create

    Diese Berechtigung ist in den folgenden vordefinierten Rollen enthalten:

    • Storage-Objekt-Ersteller (roles/storage.objectCreator)
    • Autor alter Storage-Buckets (roles/storage.legacyBucketWriter)
    • Inhaber alter Storage-Buckets (roles/storage.legacyBucketOwner)

    Weitere Informationen finden Sie unter IAM-Rollen für Cloud Storage.

AnalyzeIamPolicyLongrunning wird angerufen...

Mit der Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und Ergebnisse im angegebenen Cloud Storage-Bucket abrufen.

gcloud

Mit dem gcloud-Befehl asset analyze-iam-policy-longrunning können Sie AnalyzeIamPolicyLongrunning für Ihr API-Projekt aufrufen. Sie benötigen die Cloud SDK-Version 314.0.0 oder höher. Sie können Ihre Version mit dem Befehl gcloud version prüfen.

gcloud asset analyze-iam-policy-longrunning \
    --organization="ORG_ID" \
    --full-resource-name="FULL_RESOURCE_NAME" \
    --permissions="COMMA_SEPARATED_PERMISSIONS" \
    --gcs-output-path="GCS_OUTPUT_PATH"

So schreiben Sie beispielsweise Analyseergebnisse zu den Berechtigungen compute.instances.get und compute.instances.start für die Compute Engine-Instanz ipa-gce-instance-2 unter der Organisation 123456789 in den Cloud Storage-Bucket gcs-bucket-01. mit einem Dateinamen wie analysis.json:

gcloud asset analyze-iam-policy-longrunning --organization="123456789" \
    --full-resource-name="//compute.googleapis.com/projects/project1/zones/us-central1-a/instances/ipa-gce-instance-2" \
    --permissions="compute.instances.get,compute.instances.start" \
    --gcs-output-path="gs://gcs-bucket-01/analysis.json"

Weitere Informationen mit help:

gcloud asset analyze-iam-policy-longrunning --help

REST

IAM-Richtlinien analysieren und Ergebnisse mit dem Alias gcurl schreiben

gcurl -d "$JSON_REQUEST" \
"https://cloudasset.googleapis.com/v1/organizations/${YOUR_ORG_ID}:analyzeIamPolicyLongrunning"

Wobei:

  • YOUR_ORG_ID ist die Organisations-ID, z. B.: 123456789

  • JSON_REQUEST ist die Analyseanfrage im JSON-Format. Beispielsweise können Sie analysieren, wer die Berechtigungen compute.instances.get und compute.instances.start für die Compute Engine-Instanz ipa-gce-instance-2 unter der Organisation 123456789 für den Cloud Storage-Bucket gcs-bucket-01 mit einem Dateinamen wie analysis.json hat:

    JSON_REQUEST='{
  "analysisQuery":{
    "scope":"organization/123456789",
    "resourceSelector":{
       "fullResourceName":"//compute.googleapis.com/projects/project1/zones/us-central1-a/instances/ipa-gce-instance-2"
    },
    "accessSelector":{
       "permissions":[
          "compute.instances.get",
          "compute.instances.start"
       ]
    }
  },
  "outputConfig":{
    "gcsDestination":{
       "uri":"gs://gcs-bucket-01/analysis.json"
    }
  }
}'

IAM-Richtlinienanalyseergebnisse aufrufen

So rufen Sie die Analyse der IAM-Richtlinien auf:

  1. Rufen Sie die Seite "Cloud Storage-Browser" auf.
    Seite „Cloud Storage-Browser“ öffnen

  2. Öffnen Sie die neue Datei, in die Sie die Analyse exportiert haben.

In den Ergebnissen werden Tupel von {identity, role(s)/permission(s), resource} zusammen mit IAM-Richtlinien aufgelistet, die diese Tupel generieren.

Abfrage erstellen

Weitere Anwendungsfälle und Optionen für Abfragen finden Sie unter Abfrage von IAM-Richtlinien analysieren.