Esta página foi traduzida pela API Cloud Translation.

Analise as políticas de permissão

Esta página mostra como usar o Analisador de políticas para políticas de autorização para saber que responsáveis (utilizadores, contas de serviço, grupos e domínios) têm que acesso a que Google Cloud recursos.

Os exemplos nesta página mostram como executar uma consulta de análise de políticas e ver imediatamente os resultados. Se quiser exportar os resultados para análise adicional, pode usar AnalyzeIamPolicyLongrunning para escrever resultados da consulta no BigQuery ou no Cloud Storage.

Antes de começar

Enable the Cloud Asset API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

Tem de ativar a API no projeto que vai usar para enviar a consulta. Não tem de ser o mesmo recurso ao qual restringe a sua consulta.
Opcional: compreenda como funciona o analisador de políticas.
Opcional: se quiser executar mais de 20 consultas de análise de políticas por organização por dia, certifique-se de que tem uma ativação ao nível da organização do nível Premium ou Enterprise do Security Command Center. Para mais informações, consulte as Perguntas sobre faturação.

Funções e autorizações necessárias

As seguintes funções e autorizações são necessárias para analisar as políticas de permissão.

Funções de IAM necessárias

Para obter as autorizações de que precisa para analisar uma política de autorização, peça ao seu administrador que lhe conceda as seguintes funções de IAM no projeto, na pasta ou na organização ao qual vai restringir a sua consulta:

Cloud Asset Viewer (roles/cloudasset.viewer)
Para analisar políticas com funções de IAM personalizadas: Visualizador de funções (roles/iam.roleViewer)
Para usar a CLI do Google Cloud para analisar políticas: Consumidor de utilização de serviços (roles/serviceusage.serviceUsageConsumer)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para analisar uma política de permissão. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para analisar uma política de permissão:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
Para analisar políticas com funções de IAM personalizadas: iam.roles.get
Para usar a CLI do Google Cloud para analisar políticas: serviceusage.services.use

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Autorizações do Google Workspace necessárias

Se quiser expandir grupos nos resultados da consulta para ver se um principal tem determinadas funções ou autorizações como resultado da respetiva associação a um grupo do Google Workspace, precisa da autorização do Google Workspace groups.read. Esta autorização está contida na função de administrador leitor dos grupos e em funções mais poderosas, como as funções de administrador dos grupos ou superadministrador. Para saber como conceder estas funções, consulte o artigo Atribua funções de administrador específicas.

Determine que responsáveis podem aceder a um recurso

Pode usar o Analisador de políticas para verificar que responsáveis têm determinadas funções ou autorizações num recurso específico no seu projeto, pasta ou organização. Para obter estas informações, crie uma consulta que inclua o recurso para o qual quer analisar o acesso e uma ou mais funções ou autorizações a verificar.

Consola

Na Google Cloud consola, aceda à página Analisador de políticas.

Aceda à página do Analisador de políticas
Na secção Analisar políticas, encontre o painel com a etiqueta Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar âmbito da consulta, selecione o projeto, a pasta ou a organização ao qual quer restringir a consulta. O Policy Analyzer analisa o acesso para esse projeto, pasta ou organização, bem como todos os recursos nesse projeto, pasta ou organização.
Escolha o recurso a verificar e a função ou a autorização a verificar:
1. No campo Parâmetro 1, selecione Recurso no menu pendente.
2. No campo Recurso, introduza o nome completo do recurso para o qual quer analisar o acesso. Se não souber o nome completo do recurso, comece a escrever o nome a apresentar do recurso e, em seguida, selecione o recurso na lista de recursos fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Função ou Autorização.
5. No campo Selecionar uma função ou Selecionar uma autorização, selecione a função ou a autorização que quer verificar.
6. Opcional: para verificar funções e autorizações adicionais, continue a adicionar seletores de Função e Autorização até que todas as funções e autorizações que quer verificar sejam apresentadas.
Opcional: clique em Continuar e, de seguida, selecione as opções avançadas que quer ativar para esta consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta que introduziu e uma tabela de resultados de todos os principais com as funções ou as autorizações especificadas no recurso especificado.

As consultas de análise de políticas na Google Cloud consola são executadas durante um máximo de um minuto. Após 1 minuto, a consola Google Cloud para a consulta e apresenta todos os resultados disponíveis. Se a consulta não terminar nesse período, a consola apresenta uma faixa a indicar que os resultados estão incompletos. Google Cloud Para obter mais resultados para estas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: O nome completo do recurso para o qual quer analisar o acesso. Para ver uma lista dos formatos de nomes de recursos completos, consulte o formato de nome de recurso.
PERMISSIONS: uma lista separada por vírgulas das autorizações que quer verificar. Por exemplo, compute.instances.get,compute.instances.start. Se indicar várias autorizações, o Analisador de políticas verifica se existe alguma das autorizações indicadas.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: se este comando usar ' para citar conteúdo, substitua estas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar às aspas interiores.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Recebe uma resposta YAML com os resultados da análise. Cada resultado da análise apresenta um conjunto de acessos, identidades e recursos relevantes para a sua consulta, seguido da associação de funções do IAM relacionada. Se a associação de funções for condicional, o resultado da análise também inclui o resultado da avaliação da condição. Se não for possível avaliar a condição, o resultado é CONDITIONAL.

Os responsáveis que têm alguma das autorizações especificadas no recurso especificado são apresentados nos campos identities na resposta. O exemplo seguinte mostra um único resultado da análise com o campo identities realçado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se o pedido expirar antes de a consulta terminar, recebe um erro DEADLINE_EXCEEDED. Para obter mais resultados para estas consultas, escreva os resultados no BigQuery ou no Cloud Storage através da versão de execução prolongada de analyze-iam-policy. Para ver instruções, consulte os artigos Escreva a análise de políticas no BigQuery ou Escreva a análise de políticas no Cloud Storage.

REST

Para determinar que principais têm determinadas autorizações num recurso, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: O nome completo do recurso para o qual quer analisar o acesso. Para ver uma lista dos formatos de nomes de recursos completos, consulte o formato de nome de recurso.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as autorizações que quer verificar, por exemplo, compute.instances.get. Se indicar várias autorizações, o Analisador de políticas verifica se existe alguma das autorizações indicadas.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON do pedido:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Copie o corpo do pedido e abra a página de referência do método. O painel APIs Explorer é aberto no lado direito da página. Pode interagir com esta ferramenta para enviar pedidos. Cole o corpo do pedido nesta ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

Recebe uma resposta JSON com os resultados da análise. Cada resultado da análise descreve uma associação de funções de IAM relevante e, em seguida, apresenta o recurso, os acessos e os responsáveis nessa associação. Se a associação de funções for condicional, o resultado da análise também inclui o resultado da avaliação da condição. Se não for possível avaliar a condição, o resultado é apresentado como CONDITIONAL.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se o pedido expirar antes de a consulta terminar, recebe um erro DEADLINE_EXCEEDED. Para obter mais resultados para estas consultas, escreva os resultados no BigQuery ou no Cloud Storage através da versão de execução prolongada de analyzeIamPolicy. Para ver instruções, consulte os artigos Escreva a análise de políticas no BigQuery ou Escreva a análise de políticas no Cloud Storage.

Determinar que responsáveis têm determinadas funções ou autorizações

Pode usar o Analisador de políticas para verificar que principais têm funções ou autorizações específicas em qualquer recurso na sua organização. Google Cloud Para obter estas informações, crie uma consulta que inclua uma ou mais funções ou autorizações a verificar, mas que não especifique um recurso.

Consola

Na Google Cloud consola, aceda à página Analisador de políticas.

Aceda à página do Analisador de políticas
Na secção Analisar políticas, encontre o painel com a etiqueta Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar âmbito da consulta, selecione o projeto, a pasta ou a organização ao qual quer restringir a consulta. O Policy Analyzer analisa o acesso para esse projeto, pasta ou organização, bem como todos os recursos nesse projeto, pasta ou organização.
No campo Parâmetro 1, selecione Função ou Autorização.
No campo Selecionar uma função ou Selecionar uma autorização, selecione a função ou a autorização que quer verificar.
Opcional: para verificar funções e autorizações adicionais, faça o seguinte:
1. Clique em Adicionar seletor.
2. No campo Parâmetro 2, selecione Função ou Autorização.
3. No campo Selecionar uma função ou Selecionar uma autorização, selecione a função ou a autorização que quer verificar.
4. Continue a adicionar seletores de Função e Autorização até estarem listadas todas as funções e autorizações que quer verificar.
Opcional: clique em Continuar e, de seguida, selecione as opções avançadas que quer ativar para esta consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta que introduziu e uma tabela de resultados de todos os responsáveis com as funções ou as autorizações especificadas em qualquer recurso no âmbito.

As consultas de análise de políticas na Google Cloud consola são executadas durante um máximo de um minuto. Após 1 minuto, a consola Google Cloud para a consulta e apresenta todos os resultados disponíveis. Se a consulta não terminar nesse período, a consola apresenta uma faixa a indicar que os resultados estão incompletos. Google Cloud Para obter mais resultados para estas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ROLES: uma lista separada por vírgulas das funções que quer verificar, por exemplo, roles/compute.admin,roles/compute.imageUser. Se listar várias funções, o Policy Analyzer verifica se alguma das funções listadas está presente.
PERMISSIONS: uma lista separada por vírgulas das autorizações que quer verificar. Por exemplo, compute.instances.get,compute.instances.start. Se indicar várias autorizações, o Analisador de políticas verifica se existe alguma das autorizações indicadas.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: se este comando usar ' para citar conteúdo, substitua estas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar às aspas interiores.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Os principais que têm qualquer uma das funções ou autorizações especificadas são apresentados nos campos identities na resposta. O exemplo seguinte mostra um único resultado da análise com o campo identities realçado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar que principais têm determinadas funções ou autorizações, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ROLE_1, ROLE_2… ROLE_N: as funções que quer verificar. Por exemplo, roles/compute.admin. Se indicar várias funções, o Analisador de políticas verifica se existe alguma das funções indicadas.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as autorizações que quer verificar, por exemplo, compute.instances.get. Se indicar várias autorizações, o Analisador de políticas verifica se existe alguma das autorizações indicadas.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON do pedido:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se o pedido expirar antes de a consulta terminar, recebe um erro DEADLINE_EXCEEDED. Para obter mais resultados para estas consultas, escreva os resultados no BigQuery ou no Cloud Storage através da versão de execução prolongada de analyzeIamPolicy. Para ver instruções, consulte os artigos Escreva a análise de políticas no BigQuery ou Escreva a análise de políticas no Cloud Storage.

Determine o acesso que um principal tem a um recurso

Pode usar o Analisador de políticas para verificar que funções ou autorizações um principal tem num recurso na sua organização. Para obter estas informações, crie uma consulta que inclua o principal cujo acesso quer analisar e o recurso para o qual quer analisar o acesso.

Consola

Na Google Cloud consola, aceda à página Analisador de políticas.

Aceda à página do Analisador de políticas
Na secção Analisar políticas, encontre o painel com a etiqueta Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar âmbito da consulta, selecione o projeto, a pasta ou a organização ao qual quer restringir a consulta. O Policy Analyzer analisa o acesso para esse projeto, pasta ou organização, bem como todos os recursos nesse projeto, pasta ou organização.
Escolha o recurso e o principal a verificar:
1. No campo Parâmetro 1, selecione Recurso no menu pendente.
2. No campo Recurso, introduza o nome completo do recurso para o qual quer analisar o acesso. Se não souber o nome completo do recurso, comece a escrever o nome a apresentar do recurso e, em seguida, selecione o recurso na lista de recursos fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Principal no menu pendente.
5. No campo Principal, comece a escrever o nome de um utilizador, uma conta de serviço ou um grupo. Em seguida, selecione o utilizador, a conta de serviço ou o grupo cujo acesso quer analisar na lista de responsáveis fornecida.
Opcional: clique em Continuar e, de seguida, selecione as opções avançadas que quer ativar para esta consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta que introduziu e uma tabela de resultados de todas as funções que o principal especificado tem no recurso especificado.

As consultas de análise de políticas na Google Cloud consola são executadas durante um máximo de um minuto. Após 1 minuto, a consola Google Cloud para a consulta e apresenta todos os resultados disponíveis. Se a consulta não terminar nesse período, a consola apresenta uma faixa a indicar que os resultados estão incompletos. Google Cloud Para obter mais resultados para estas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: O nome completo do recurso para o qual quer analisar o acesso. Para ver uma lista dos formatos de nomes de recursos completos, consulte o formato de nome de recurso.
PRINCIPAL: o principal cujo acesso quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para ver uma lista completa dos tipos principais, consulte o artigo Identificadores principais.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

As funções que o principal tem no recurso especificado são apresentadas nos campos accesses na resposta. O exemplo seguinte mostra um único resultado da análise com o campo accesses realçado.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

REST

Para determinar o acesso que um principal tem a um recurso, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: O nome completo do recurso para o qual quer analisar o acesso. Para ver uma lista dos formatos de nomes de recursos completos, consulte o formato de nome de recurso.
PRINCIPAL: o principal cujo acesso quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para ver uma lista completa dos tipos principais, consulte o artigo Identificadores principais.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON do pedido:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se o pedido expirar antes de a consulta terminar, recebe um erro DEADLINE_EXCEEDED. Para obter mais resultados para estas consultas, escreva os resultados no BigQuery ou no Cloud Storage através da versão de execução prolongada de analyzeIamPolicy. Para ver instruções, consulte os artigos Escreva a análise de políticas no BigQuery ou Escreva a análise de políticas no Cloud Storage.

Determine a que recursos um principal pode aceder

Pode usar o Analisador de políticas para verificar em que recursos da sua organização um principal tem determinadas funções ou autorizações. Para obter estas informações, crie uma consulta que inclua o principal cujo acesso quer analisar e uma ou mais autorizações ou funções que quer verificar.

Consola

Na Google Cloud consola, aceda à página Analisador de políticas.

Aceda à página do Analisador de políticas
Na secção Analisar políticas, encontre o painel com a etiqueta Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar âmbito da consulta, selecione o projeto, a pasta ou a organização ao qual quer restringir a consulta. O Policy Analyzer analisa o acesso para esse projeto, pasta ou organização, bem como todos os recursos nesse projeto, pasta ou organização.
Escolha o principal a verificar e a função ou a autorização a verificar:
1. No campo Parâmetro 1, selecione Principal no menu pendente.
2. No campo Principal, comece a escrever o nome de um utilizador, uma conta de serviço ou um grupo. Em seguida, selecione o utilizador, a conta de serviço ou o grupo cujo acesso quer analisar na lista de responsáveis fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Função ou Autorização.
5. No campo Selecionar uma função ou Selecionar uma autorização, selecione a função ou a autorização que quer verificar.
6. Opcional: para verificar funções e autorizações adicionais, continue a adicionar seletores de Função e Autorização até que todas as funções e autorizações que quer verificar sejam apresentadas.
Opcional: clique em Continuar e, de seguida, selecione as opções avançadas que quer ativar para esta consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta que introduziu e uma tabela de resultados de todos os recursos nos quais o principal especificado tem as funções ou as autorizações especificadas.

As consultas de análise de políticas na Google Cloud consola são executadas durante um máximo de um minuto. Após 1 minuto, a consola Google Cloud para a consulta e apresenta todos os resultados disponíveis. Se a consulta não terminar nesse período, a consola apresenta uma faixa a indicar que os resultados estão incompletos. Google Cloud Para obter mais resultados para estas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
PRINCIPAL: o principal cujo acesso quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para ver uma lista completa dos tipos principais, consulte o artigo Identificadores principais.
PERMISSIONS: uma lista separada por vírgulas das autorizações que quer verificar. Por exemplo, compute.instances.get,compute.instances.start. Se indicar várias autorizações, o Analisador de políticas verifica se existe alguma das autorizações indicadas.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: se este comando usar ' para citar conteúdo, substitua estas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar às aspas interiores.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Os recursos nos quais o principal especificado tem alguma das autorizações especificadas estão listados nos campos resources na resposta. O exemplo seguinte mostra um único resultado da análise com o campo resources realçado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar a que recursos um principal pode aceder, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
PRINCIPAL: o principal cujo acesso quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para ver uma lista completa dos tipos principais, consulte o artigo Identificadores principais.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as autorizações que quer verificar, por exemplo, compute.instances.get. Se indicar várias autorizações, o Analisador de políticas verifica se existe alguma das autorizações indicadas.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON do pedido:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se o pedido expirar antes de a consulta terminar, recebe um erro DEADLINE_EXCEEDED. Para obter mais resultados para estas consultas, escreva os resultados no BigQuery ou no Cloud Storage através da versão de execução prolongada de analyzeIamPolicy. Para ver instruções, consulte os artigos Escreva a análise de políticas no BigQuery ou Escreva a análise de políticas no Cloud Storage.

Determinar o acesso a uma hora específica

Se tiver contexto suficiente, o Analisador de políticas pode analisar associações de funções condicionais do IAM que só concedem acesso em horas específicas. Estas condições são denominadas condições de data/hora. Para que o Analisador de políticas analise com precisão as associações de funções com condições de data/hora, tem de definir a hora de acesso no pedido.

O Analisador de políticas também pode analisar condições de recursos sem introdução adicional por parte do utilizador. Para mais informações sobre como o Analisador de políticas funciona com condições, consulte o artigo Acesso condicional.

gcloud

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
PERMISSIONS: Opcional. Uma lista separada por vírgulas das autorizações que quer verificar. Por exemplo: compute.instances.get,compute.instances.start. Se indicar várias autorizações, o Analisador de políticas verifica se existe alguma das autorizações indicadas.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual quer analisar o acesso. Para ver uma lista de formatos de nomes de recursos completos, consulte o artigo Formato do nome do recurso.
PERMISSIONS: Opcional. Uma lista separada por vírgulas das autorizações que quer verificar. Por exemplo: compute.instances.get,compute.instances.start. Se indicar várias autorizações, o Analisador de políticas verifica se existe alguma das autorizações indicadas.
ACCESS_TIME: a hora que quer verificar. Esta hora tem de ser no futuro. Use uma indicação de tempo no formato RFC 3339, por exemplo, 2099-02-01T00:00:00Z.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

Nota: se este comando usar ' para citar conteúdo, substitua estas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar às aspas interiores.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Quando inclui a hora de acesso no pedido, o Analisador de políticas pode avaliar as condições de data/hora. Se a condição for avaliada como falsa, essa função não é incluída na resposta. Se a condição for avaliada como verdadeira, o resultado da avaliação da condição é apresentado como TRUE.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar que responsáveis vão ter determinadas autorizações num recurso num momento específico, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de autorização da IAM anexadas a este recurso e aos respetivos descendentes são analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa.Google Cloud Apenas as políticas de autorização do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As autorizações que quer verificar, por exemplo, compute.instances.get. Se listar várias autorizações, o Analisador de políticas verifica se alguma das autorizações indicadas está presente.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual quer analisar o acesso. Para ver uma lista de formatos de nomes de recursos completos, consulte o artigo Formato do nome do recurso.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As autorizações que quer verificar, por exemplo, compute.instances.get. Se listar várias autorizações, o Analisador de políticas verifica se alguma das autorizações indicadas está presente.
ACCESS_TIME: a hora que quer verificar. Esta hora tem de ser no futuro. Use uma indicação de tempo no formato RFC 3339, por exemplo, 2099-02-01T00:00:00Z.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON do pedido:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Quando inclui a hora de acesso no pedido, o Analisador de políticas pode avaliar as condições de data/hora. Se a condição for avaliada como falsa, essa função não é incluída na resposta. Se a condição for avaliada como verdadeira, o valor de avaliação da condição na resposta da análise é TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se o pedido expirar antes de a consulta terminar, recebe um erro DEADLINE_EXCEEDED. Para obter mais resultados para estas consultas, escreva os resultados no BigQuery ou no Cloud Storage através da versão de execução prolongada de analyzeIamPolicy. Para ver instruções, consulte os artigos Escreva a análise de políticas no BigQuery ou Escreva a análise de políticas no Cloud Storage.

Ativar opções

Pode ativar as seguintes opções para receber resultados de consultas mais detalhados.

Consola

Opção	Descrição
Listar recursos nos recursos que correspondem à sua consulta	Se ativar esta opção, a lista de resultados da consulta apresenta até 1000 recursos descendentes relevantes para quaisquer recursos principais (projetos, pastas e organizações) nos resultados da consulta.
Liste utilizadores individuais em grupos	Se ativar esta opção, todos os grupos nos resultados da consulta são expandidos em membros individuais. Se tiver autorizações de grupo suficientes, os grupos aninhados também são expandidos. Esta expansão está limitada a 1000 membros por grupo. Esta opção só está disponível se não especificar um principal na sua consulta.
Liste as autorizações nas funções	Se ativar esta opção, a consulta apresenta todas as autorizações em cada função, além da própria função. Esta opção só está disponível se não especificar autorizações nem funções na sua consulta.

Opção

Descrição

Listar recursos nos recursos que correspondem à sua consulta

Se ativar esta opção, a lista de resultados da consulta apresenta até 1000 recursos descendentes relevantes para quaisquer recursos principais (projetos, pastas e organizações) nos resultados da consulta.

Liste utilizadores individuais em grupos

Se ativar esta opção, todos os grupos nos resultados da consulta são expandidos em membros individuais. Se tiver autorizações de grupo suficientes, os grupos aninhados também são expandidos. Esta expansão está limitada a 1000 membros por grupo.

Esta opção só está disponível se não especificar um principal na sua consulta.

Liste as autorizações nas funções

Se ativar esta opção, a consulta apresenta todas as autorizações em cada função, além da própria função.

Esta opção só está disponível se não especificar autorizações nem funções na sua consulta.

gcloud

Esta secção descreve várias flags comuns que pode adicionar quando usa a CLI gcloud para analisar políticas de autorização. Para ver uma lista completa de opções, consulte a secção Flags opcionais.

Bandeira	Descrição
`--analyze-service-account-impersonation`	Se esta opção estiver ativada, o Analisador de políticas executa consultas de análise adicionais para determinar quem pode roubar a identidade das contas de serviço que têm o acesso especificado aos recursos especificados. O analisador de políticas executa uma consulta para cada conta de serviço nos resultados da consulta. Estas consultas analisam quem tem alguma das seguintes autorizações na conta de serviço: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Esta é uma operação muito dispendiosa, porque executa automaticamente muitas consultas. Recomendamos vivamente que exporte para o BigQuery ou exporte para o Cloud Storage através de `analyze-iam-policy-longrunning` em vez de usar `analyze-iam-policy`.
`--expand-groups`	Se ativar esta opção, todos os grupos nos resultados da consulta são expandidos em membros individuais. Se tiver autorizações de grupo suficientes, os grupos aninhados também são expandidos. Esta expansão está limitada a 1000 membros por grupo. Esta opção só é eficaz se não especificar um principal na sua consulta.
`--expand-resources`	Se ativar esta opção, a lista de resultados da consulta apresenta até 1000 recursos descendentes relevantes para quaisquer recursos principais (projetos, pastas e organizações) nos resultados da consulta.
`--expand-roles`	Se ativar esta opção, a consulta apresenta todas as autorizações em cada função, além da própria função. Esta opção só está disponível se não especificar autorizações nem funções na sua consulta.
`--output-group-edges`	Se ativar esta opção, os resultados da consulta produzem as relações de associação relevantes entre grupos.
`--output-resource-edges`	Se ativar esta opção, os resultados da consulta geram as relações principal/secundário relevantes entre os recursos.

REST

Para ativar quaisquer opções, adicione primeiro um campo options à sua consulta de análise. Por exemplo:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Substitua OPTIONS pelas opções que quer ativar no formato "OPTION": true. A tabela seguinte descreve as opções disponíveis:

Opção	Descrição
`analyzeServiceAccountImpersonation`	Se esta opção estiver ativada, o Analisador de políticas executa consultas de análise adicionais para determinar quem pode roubar a identidade das contas de serviço que têm o acesso especificado aos recursos especificados. O analisador de políticas executa uma consulta para cada conta de serviço nos resultados da consulta. Estas consultas analisam quem tem alguma das seguintes autorizações na conta de serviço: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Esta é uma operação muito dispendiosa, porque executa automaticamente muitas consultas. Recomendamos vivamente que exporte para o BigQuery ou exporte para o Cloud Storage através de `AnalyzeIamPolicyLongrunning` em vez de usar `AnalyzeIamPolicy`.
`expandGroups`	Se ativar esta opção, todos os grupos nos resultados da consulta são expandidos em membros individuais. Se tiver autorizações de grupo suficientes, os grupos aninhados também são expandidos. Esta expansão está limitada a 1000 membros por grupo. Esta opção só é eficaz se não especificar um principal na sua consulta.
`expandResources`	Se ativar esta opção, a lista de resultados da consulta apresenta até 1000 recursos descendentes relevantes para quaisquer recursos principais (projetos, pastas e organizações) nos resultados da consulta.
`expandRoles`	Se ativar esta opção, a consulta apresenta todas as autorizações em cada função, além da própria função. Esta opção só está disponível se não especificar autorizações nem funções na sua consulta.
`outputGroupEdges`	Se ativar esta opção, os resultados da consulta produzem as relações de associação relevantes entre grupos.
`outputResourceEdges`	Se ativar esta opção, os resultados da consulta geram as relações principal/secundário relevantes entre os recursos.

O que se segue?

Saiba como usar o AnalyzeIamPolicyLongrunning para escrever no BigQuery ou escrever no Cloud Storage.
Veja como pode usar a API REST para guardar consultas de análise de políticas.
Explore as ferramentas de resolução de problemas de acesso disponíveis, que pode usar para descobrir por que motivo um principal não tem um determinado tipo de acesso.

Analise as políticas de permissão Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Funções e autorizações necessárias

Funções de IAM necessárias

Autorizações necessárias

Autorizações do Google Workspace necessárias

Determine que responsáveis podem aceder a um recurso

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Determinar que responsáveis têm determinadas funções ou autorizações

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Determine o acesso que um principal tem a um recurso

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Determine a que recursos um principal pode aceder

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Determinar o acesso a uma hora específica

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Ativar opções

Consola

gcloud

REST

O que se segue?

Analise as políticas de permissão