Auf dieser Seite wird erläutert, wie Sie Richtlinien für die Identitäts- und Zugriffsverwaltung asynchron analysieren und die Ergebnisse in Cloud Storage schreiben. Die Funktion entspricht weitgehend der Analyse von IAM-Richtlinien, mit dem Unterschied, dass das Analyseergebnis in einen Cloud Storage-Bucket geschrieben wird.
Hinweis
Sie müssen die Cloud Translation API für Ihr Projekt aktivieren.
Wenn Sie die API zum Ausführen dieser Abfragen verwenden, müssen Sie Ihre Umgebung und
gcurleinrichten.Führen Sie die folgenden Schritte aus, um einen
gcurl-Alias einzurichten.Führen Sie in einer Compute Engine-Instanz den folgenden Befehl aus.
alias gcurl='curl -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json" -X POST'
Führen Sie den folgenden Befehl aus, wenn Sie sich nicht in einer Compute Engine-Instanz befinden.
alias gcurl='curl -H "$(oauth2l header --json CREDENTIALS cloud-platform)" \ -H "Content-Type: application/json" -X POST'
Dabei ist CREDENTIALS der Pfad Ihrer Anmeldedatendatei, z. B.
~/credentials.json.
AnalyzeIamPolicyLongrunning wird angerufen...
Mit der Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und Ergebnisse im angegebenen Cloud Storage-Bucket abrufen.
gcloud
Mit dem gcloud-Befehl asset analyze-iam-policy-longrunning können Sie AnalyzeIamPolicyLongrunning für Ihr API-Projekt aufrufen. Sie benötigen die Cloud SDK-Version 314.0.0 oder höher.
Sie können Ihre Version mit dem Befehl gcloud version prüfen.
gcloud asset analyze-iam-policy-longrunning \
--organization="ORG_ID" \
--full-resource-name="FULL_RESOURCE_NAME" \
--permissions="COMMA_SEPARATED_PERMISSIONS" \
--gcs-output-path="GCS_OUTPUT_PATH"
So schreiben Sie beispielsweise Analyseergebnisse zu den Berechtigungen compute.instances.get und compute.instances.start für die Compute Engine-Instanz ipa-gce-instance-2 unter der Organisation 123456789 in den Cloud Storage-Bucket gcs-bucket-01. mit einem Dateinamen wie analysis.json:
gcloud asset analyze-iam-policy-longrunning --organization="123456789" \
--full-resource-name="//compute.googleapis.com/projects/project1/zones/us-central1-a/instances/ipa-gce-instance-2" \
--permissions="compute.instances.get,compute.instances.start" \
--gcs-output-path="gs://gcs-bucket-01/analysis.json"
Weitere Informationen mit help:
gcloud asset analyze-iam-policy-longrunning --help
REST
IAM-Richtlinien analysieren und Ergebnisse mit dem Alias gcurl schreiben
gcurl -d "$JSON_REQUEST" \
"https://cloudasset.googleapis.com/v1/organizations/${YOUR_ORG_ID}:analyzeIamPolicyLongrunning"
Wobei:
YOUR_ORG_ID ist die Organisations-ID, z. B.:
123456789JSON_REQUEST ist die Analyseanfrage im JSON-Format. Beispielsweise können Sie analysieren, wer die Berechtigungen
compute.instances.getundcompute.instances.startfür die Compute Engine-Instanzipa-gce-instance-2unter der Organisation 123456789 für den Cloud Storage-Bucketgcs-bucket-01mit einem Dateinamen wieanalysis.jsonhat:JSON_REQUEST='{ "analysisQuery":{ "scope":"organization/123456789", "resourceSelector":{ "fullResourceName":"//compute.googleapis.com/projects/project1/zones/us-central1-a/instances/ipa-gce-instance-2" }, "accessSelector":{ "permissions":[ "compute.instances.get", "compute.instances.start" ] } }, "outputConfig":{ "gcsDestination":{ "uri":"gs://gcs-bucket-01/analysis.json" } } }'
IAM-Richtlinienanalyseergebnisse aufrufen
So rufen Sie die Analyse der IAM-Richtlinien auf:
Rufen Sie die Seite "Cloud Storage-Browser" auf.
Seite „Cloud Storage-Browser“ öffnenÖffnen Sie die neue Datei, in die Sie die Analyse exportiert haben.
In den Ergebnissen werden Tupel von {identity, role(s)/permission(s), resource} zusammen mit IAM-Richtlinien aufgelistet, die diese Tupel generieren.
Abfrage erstellen
Weitere Anwendungsfälle und Optionen für Abfragen finden Sie unter Abfrage von IAM-Richtlinien analysieren.