Auf dieser Seite wird erläutert, wie Sie Richtlinien für die Identitäts- und Zugriffsverwaltung asynchron analysieren und die Ergebnisse in Cloud Storage schreiben. Die Funktion entspricht weitgehend der Analyse von IAM-Richtlinien, mit dem Unterschied, dass das Analyseergebnis in einen Cloud Storage-Bucket geschrieben wird.
Hinweis
Sie müssen die Cloud Translation API für Ihr Projekt aktivieren.
Wenn Sie die API zum Ausführen dieser Abfragen verwenden, müssen Sie Ihre Umgebung und
gcurl
einrichten.Führen Sie die folgenden Schritte aus, um einen
gcurl
-Alias einzurichten.Führen Sie in einer Compute Engine-Instanz den folgenden Befehl aus.
alias gcurl='curl -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json" -X POST'
Führen Sie den folgenden Befehl aus, wenn Sie sich nicht in einer Compute Engine-Instanz befinden.
alias gcurl='curl -H "$(oauth2l header --json CREDENTIALS cloud-platform)" \ -H "Content-Type: application/json" -X POST'
Dabei ist CREDENTIALS der Pfad Ihrer Anmeldedatendatei, z. B.
~/credentials.json
.
AnalyzeIamPolicyLongrunning
wird angerufen...
Mit der Methode AnalyzeIamPolicyLongrunning
können Sie eine Analyseanfrage senden und Ergebnisse im angegebenen Cloud Storage-Bucket abrufen.
gcloud
Mit dem gcloud-Befehl asset analyze-iam-policy-longrunning
können Sie AnalyzeIamPolicyLongrunning
für Ihr API-Projekt aufrufen. Sie benötigen die Cloud SDK-Version 314.0.0 oder höher.
Sie können Ihre Version mit dem Befehl gcloud version
prüfen.
gcloud asset analyze-iam-policy-longrunning \ --organization="ORG_ID" \ --full-resource-name="FULL_RESOURCE_NAME" \ --permissions="COMMA_SEPARATED_PERMISSIONS" \ --gcs-output-path="GCS_OUTPUT_PATH"
So schreiben Sie beispielsweise Analyseergebnisse zu den Berechtigungen compute.instances.get
und compute.instances.start
für die Compute Engine-Instanz ipa-gce-instance-2
unter der Organisation 123456789 in den Cloud Storage-Bucket gcs-bucket-01
. mit einem Dateinamen wie analysis.json
:
gcloud asset analyze-iam-policy-longrunning --organization="123456789" \ --full-resource-name="//compute.googleapis.com/projects/project1/zones/us-central1-a/instances/ipa-gce-instance-2" \ --permissions="compute.instances.get,compute.instances.start" \ --gcs-output-path="gs://gcs-bucket-01/analysis.json"
Weitere Informationen mit help:
gcloud asset analyze-iam-policy-longrunning --help
REST
IAM-Richtlinien analysieren und Ergebnisse mit dem Alias gcurl
schreiben
gcurl -d "$JSON_REQUEST" \ "https://cloudasset.googleapis.com/v1/organizations/${YOUR_ORG_ID}:analyzeIamPolicyLongrunning"
Wobei:
YOUR_ORG_ID ist die Organisations-ID, z. B.:
123456789
JSON_REQUEST ist die Analyseanfrage im JSON-Format. Beispielsweise können Sie analysieren, wer die Berechtigungen
compute.instances.get
undcompute.instances.start
für die Compute Engine-Instanzipa-gce-instance-2
unter der Organisation 123456789 für den Cloud Storage-Bucketgcs-bucket-01
mit einem Dateinamen wieanalysis.json
hat:JSON_REQUEST='{ "analysisQuery":{ "scope":"organization/123456789", "resourceSelector":{ "fullResourceName":"//compute.googleapis.com/projects/project1/zones/us-central1-a/instances/ipa-gce-instance-2" }, "accessSelector":{ "permissions":[ "compute.instances.get", "compute.instances.start" ] } }, "outputConfig":{ "gcsDestination":{ "uri":"gs://gcs-bucket-01/analysis.json" } } }'
IAM-Richtlinienanalyseergebnisse aufrufen
So rufen Sie die Analyse der IAM-Richtlinien auf:
Rufen Sie die Seite "Cloud Storage-Browser" auf.
Seite „Cloud Storage-Browser“ öffnenÖffnen Sie die neue Datei, in die Sie die Analyse exportiert haben.
In den Ergebnissen werden Tupel von {identity, role(s)/permission(s), resource}
zusammen mit IAM-Richtlinien aufgelistet, die diese Tupel generieren.
Abfrage erstellen
Weitere Anwendungsfälle und Optionen für Abfragen finden Sie unter Abfrage von IAM-Richtlinien analysieren.