Se usó la API de Cloud Translation para traducir esta página.

Analiza las políticas de IAM

En esta página, se muestra cómo usar el Analizador de políticas para descubrir qué principales (usuarios, cuentas de servicio, grupos y dominios), ¿a qué tipo de acceso? recursos de Google Cloud.

Los ejemplos de esta página muestran cómo ejecutar una consulta de análisis de políticas y ver los resultados de inmediato. Si quieres exportar los resultados de más de análisis de datos, puedes usar AnalyzeIamPolicyLongrunning para escribir resultados de consultas a BigQuery Cloud Storage.

Antes de comenzar

Habilita Cloud Asset API.
Habilita la API

Debes habilitar la API en el proyecto o la organización que usarás para enviar la para cada búsqueda. No tiene que ser el mismo recurso al que defines tu consulta.
Opcional: Comprende cómo funciona el Analizador de políticas.
Opcional: Si quieres ejecutar más de 20 consultas de análisis de políticas por organización por día, asegúrese de tener una activación a nivel de la organización de la suscripción nivel de Security Command Center. Para obtener más información, consulta Facturación preguntas.

Funciones y permisos requeridos

Se requieren los siguientes roles y permisos para analizar las políticas de permisos.

Roles de IAM obligatorios

A fin de obtener los permisos que necesitas para analizar una política de permisos, solicita a tu administrador que te otorgue el los siguientes roles de IAM en el proyecto, la carpeta o la organización que permitirás tu consulta a:

Visualizador de recursos de Cloud (roles/cloudasset.viewer)
Para analizar políticas con funciones de IAM personalizadas, haz lo siguiente: Visualizador de roles (roles/iam.roleViewer)
Si quieres usar Google Cloud CLI para analizar políticas, sigue estos pasos: Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

Estos roles predefinidos contienen los permisos necesarios para analizar una política de permiso. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para analizar una política de permiso:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
Para analizar políticas con roles de IAM personalizados, sigue estos pasos: iam.roles.get
Si quieres usar Google Cloud CLI para analizar políticas, sigue estos pasos: serviceusage.services.use

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos

Permisos necesarios de Google Workspace

Si quieres expandir grupos en los resultados de la consulta para ver si una principal Tiene ciertos roles o permisos como resultado de su membresía en una grupo de Google Workspace, necesitas el permiso groups.read de Google Workspace. Este permiso está incluido en el rol Administrador de lectores de grupos y en otras poderosos, como los de Administrador de grupos o Administrador avanzado. Para aprender a hacer lo siguiente: Si otorgas estos roles, consulta Asigna roles de administrador específicos.

Determina qué principales pueden acceder a un recurso

Puedes usar el Analizador de políticas para verificar qué principales tienen ciertas funciones o permisos en un recurso específico de tu proyecto, organización o carpeta. Para obtener esta información, crea una consulta que incluya el recurso cuyo acceso deseas analizar y una o más funciones o permisos que desees comprobar.

Console

En la consola de Google Cloud, ve a la página Analizador de políticas.

Ir a la página de Analizador de políticas
En la sección Analizar políticas, busca el panel etiquetado Consulta personalizada. Luego, haz clic en Crear consulta personalizada (Create custom query) en ese panel.
En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.
Elige el recurso que deseas verificar y la función o el permiso que deseas verificar:
1. En el campo Parámetro 1, selecciona Recurso en el menú desplegable.
2. En el campo Recurso, ingresa el nombre completo del recurso del que deseas analizar el acceso. Si no conoces el nombre completo del recurso, comienza a escribir su nombre visible y, luego, selecciónalo en la lista de recursos proporcionados.
3. Haz clic en Agregar selector.
4. En el campo Parámetro 2, selecciona Función o Permiso.
5. En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
6. Opcional: Para comprobar las funciones y los permisos adicionales, continúa agregando selectores de Función y Permiso hasta que aparezcan todas las funciones y los permisos que deseas verificar.
Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas. que quieres habilitar para esta consulta.
En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página del informe muestra los parámetros de consulta que ingresaste y una tabla de resultados de todas las principales con los roles o permisos especificados en la cuenta recurso.

Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después del un minuto, la consola de Google Cloud detendrá la consulta y mostrará todos los resultados disponibles. Si el botón no haya finalizado en ese tiempo, la consola de Google Cloud mostrará un banner que indica que resultados están incompletos. Para obtener más resultados de estas consultas, exportarás el los resultados a BigQuery.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
FULL_RESOURCE_NAME: El nombre completo del recurso para el que quieres analizar el acceso. Para obtener una lista completa de nombre de recurso, consulta Nombre de recurso .
PERMISSIONS: A una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.

Ejecuta el gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: Si este comando usa ' para entrecomillar contenido, reemplaza estas comillas simples por comillas dobles. Si las comillas están anidadas, usa \" para escapar las comillas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Recibirás una respuesta YAML con los resultados del análisis. Cada resultado del análisis enumera un conjunto de identidades y recursos relevantes para tu consulta, seguidos del la vinculación de roles de IAM relacionada. Si la vinculación de roles es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se pudo evaluar la condición, el resultado es CONDITIONAL.

Las principales que tienen cualquiera de los permisos especificados en el recurso especificado se enumeran en los campos identities de la respuesta. En el siguiente ejemplo, se muestra un único análisis resultado con el campo identities destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Si se agota el tiempo de espera de la solicitud antes de que finalice la consulta, obtendrás un mensaje DEADLINE_EXCEEDED error. Para obtener más resultados de estas consultas, escribe los resultados a BigQuery o Cloud Storage con la versión de larga duración de analyze-iam-policy. Para obtener instrucciones, consulta Escribir el análisis de políticas en BigQuery o Escribir el análisis de políticas en Cloud Storage

REST

Para determinar qué principales tienen determinados permisos en un usa las APIs de Cloud Asset Inventory analyzeIamPolicy .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
FULL_RESOURCE_NAME: El nombre completo del recurso para el que quieres analizar el acceso. Para obtener una lista completa de nombre de recurso, consulta Nombre de recurso .
PERMISSION_1, PERMISSION_2... PERMISSION_N: Son los permisos que que deseas verificar, por ejemplo, compute.instances.get. Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Copia el cuerpo de la solicitud y abre la página de referencia del método. El panel del Explorador de API se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Pega el cuerpo de la solicitud en esta herramienta, completa cualquier otro campo obligatorio y haz clic en Ejecutar.

Recibes una respuesta JSON con los resultados del análisis. Cada resultado del análisis describe un de rol de IAM, luego enumera el recurso, los accesos y las principales esa vinculación. Si la vinculación de roles es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se puede evaluar la condición, el resultado aparece como CONDITIONAL.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si se agota el tiempo de espera de la solicitud antes de que finalice la consulta, obtendrás un mensaje DEADLINE_EXCEEDED error. Para obtener más resultados de estas consultas, escribe los resultados a BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribir el análisis de políticas en BigQuery o Escribir el análisis de políticas en Cloud Storage

Determina qué principales tienen determinados roles o permisos

Puedes usar el Analizador de políticas para verificar qué principales tienen funciones o permisos específicos en cualquier recurso de Google Cloud de tu organización. Para obtener esta información, crea una consulta que incluya una o más funciones o permisos que se deben verificar, pero que no especifique un recurso.

Console

En la consola de Google Cloud, ve a la página Analizador de políticas.

Ir a la página de Analizador de políticas
En la sección Analizar políticas, busca el panel etiquetado Consulta personalizada. Luego, haz clic en Crear consulta personalizada (Create custom query) en ese panel.
En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.
En el campo Parámetro 1, selecciona Función o Permiso.
En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
Opcional: Para verificar las funciones y los permisos adicionales, haz lo siguiente:
1. Haz clic en Agregar selector.
2. En el campo Parámetro 2, selecciona Función o Permiso.
3. En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
4. Sigue agregando selectores de Función y Permiso hasta que se muestren todas las funciones y los permisos que deseas verificar.
Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas. que quieres habilitar para esta consulta.
En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página del informe muestra los parámetros de consulta que ingresaste y una tabla de resultados de todas las principales con los roles o permisos especificados en cualquier alcance dentro del alcance recurso.

Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después del un minuto, la consola de Google Cloud detendrá la consulta y mostrará todos los resultados disponibles. Si el botón no haya finalizado en ese tiempo, la consola de Google Cloud mostrará un banner que indica que resultados están incompletos. Para obtener más resultados de estas consultas, exportarás el los resultados a BigQuery.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
ROLES: Una lista separada por comas de los roles que quieres verificar, por ejemplo, roles/compute.admin,roles/compute.imageUser Si enumeras varios roles, El analizador verificará cualquiera de los roles enumerados.
PERMISSIONS: A una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.

Ejecuta el gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: Si este comando usa ' para entrecomillar contenido, reemplaza estas comillas simples por comillas dobles. Si las comillas están anidadas, usa \" para escapar las comillas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Las principales que tengan cualquiera de los roles o permisos especificados se enumeran en la identities en la respuesta. En el siguiente ejemplo, se muestra un único análisis resultado con el campo identities destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar qué principales tienen determinados roles o permisos, usa las APIs de Cloud Asset Inventory analyzeIamPolicy .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
ROLE_1, ROLE_2... ROLE_N: Los roles que que deseas verificar, por ejemplo, roles/compute.admin. Si incluyes varias de políticas, el Analizador de políticas verificará cualquiera de los roles enumerados.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Son los permisos que que deseas verificar, por ejemplo, compute.instances.get. Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si se agota el tiempo de espera de la solicitud antes de que finalice la consulta, obtendrás un mensaje DEADLINE_EXCEEDED error. Para obtener más resultados de estas consultas, escribe los resultados a BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribir el análisis de políticas en BigQuery o Escribir el análisis de políticas en Cloud Storage

Determina qué acceso tiene una principal a un recurso

Puedes usar el Analizador de políticas para verificar qué funciones o permisos tiene una principal en un recurso en tu organización. Para obtener esta información, crea una consulta que incluya la principal cuyo acceso deseas analizar y el recurso para el que deseas analizar el acceso.

Console

En la consola de Google Cloud, ve a la página Analizador de políticas.

Ir a la página de Analizador de políticas
En la sección Analizar políticas, busca el panel etiquetado Consulta personalizada. Luego, haz clic en Crear consulta personalizada (Create custom query) en ese panel.
En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.
Elige el recurso y la principal que deseas verificar:
1. En el campo Parámetro 1, selecciona Recurso en el menú desplegable.
2. En el campo Recurso, ingresa el nombre completo del recurso del que deseas analizar el acceso. Si no conoces el nombre completo del recurso, comienza a escribir su nombre visible y, luego, selecciónalo en la lista de recursos proporcionados.
3. Haz clic en Agregar selector.
4. En el campo Parámetro 2, selecciona Principal en el menú desplegable.
5. En el campo Principal, comienza a escribir el nombre de un usuario, una cuenta de servicio o un grupo. Luego, en la lista de principales que se proporciona, selecciona el usuario, la cuenta de servicio o el grupo cuyo acceso deseas analizar.
Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas. que quieres habilitar para esta consulta.
En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página del informe muestra los parámetros de consulta que ingresaste y una tabla de resultados de todos los roles que tiene la principal especificada en el recurso especificado.

Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después del un minuto, la consola de Google Cloud detendrá la consulta y mostrará todos los resultados disponibles. Si el botón no haya finalizado en ese tiempo, la consola de Google Cloud mostrará un banner que indica que resultados están incompletos. Para obtener más resultados de estas consultas, exportarás el los resultados a BigQuery.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
FULL_RESOURCE_NAME: El nombre completo del recurso para el que quieres analizar el acceso. Para obtener una lista completa de nombre de recurso, consulta Nombre de recurso .
PRINCIPAL: La principal de datos que quieres analizar, de la forma PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principales, consulta Identificadores principales.

Ejecuta el gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

Los roles que tiene la principal en el recurso especificado se enumeran en el accesses en la respuesta. En el siguiente ejemplo, se muestra un único análisis resultado con el campo accesses destacado.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

REST

Para determinar qué acceso tiene una principal a un recurso, usa las APIs de Cloud Asset Inventory analyzeIamPolicy .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
FULL_RESOURCE_NAME: El nombre completo del recurso para el que quieres analizar el acceso. Para obtener una lista completa de nombre de recurso, consulta Nombre de recurso .
PRINCIPAL: La principal de datos que quieres analizar, de la forma PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principales, consulta Identificadores principales.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si se agota el tiempo de espera de la solicitud antes de que finalice la consulta, obtendrás un mensaje DEADLINE_EXCEEDED error. Para obtener más resultados de estas consultas, escribe los resultados a BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribir el análisis de políticas en BigQuery o Escribir el análisis de políticas en Cloud Storage

Determinar a qué recursos puede acceder una principal

Puedes usar el Analizador de políticas para verificar qué recursos de la organización tiene funciones o permisos una principal. Para obtener esta información, crea una consulta que incluya la principal cuyo acceso deseas analizar y uno o más permisos o funciones que desees comprobar.

Console

En la consola de Google Cloud, ve a la página Analizador de políticas.

Ir a la página de Analizador de políticas
En la sección Analizar políticas, busca el panel etiquetado Consulta personalizada. Luego, haz clic en Crear consulta personalizada (Create custom query) en ese panel.
En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.
Elige la principal que deseas verificar y la función o el permiso que deseas comprobar:
1. En el campo Parámetro 1, selecciona Principal en el menú desplegable.
2. En el campo Principal, comienza a escribir el nombre de un usuario, una cuenta de servicio o un grupo. Luego, en la lista de principales que se proporciona, selecciona el usuario, la cuenta de servicio o el grupo cuyo acceso deseas analizar.
3. Haz clic en Agregar selector.
4. En el campo Parámetro 2, selecciona Función o Permiso.
5. En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
6. Opcional: Para comprobar las funciones y los permisos adicionales, continúa agregando selectores de Función y Permiso hasta que aparezcan todas las funciones y los permisos que deseas verificar.
Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas. que quieres habilitar para esta consulta.
En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página del informe muestra los parámetros de consulta que ingresaste y una tabla de resultados de todos los recursos en los que la principal especificada tiene los roles especificados o permisos.

Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después del un minuto, la consola de Google Cloud detendrá la consulta y mostrará todos los resultados disponibles. Si el botón no haya finalizado en ese tiempo, la consola de Google Cloud mostrará un banner que indica que resultados están incompletos. Para obtener más resultados de estas consultas, exportarás el los resultados a BigQuery.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
PRINCIPAL: La principal de datos que quieres analizar, de la forma PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principales, consulta Identificadores principales.
PERMISSIONS: A una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.

Ejecuta el gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: Si este comando usa ' para entrecomillar contenido, reemplaza estas comillas simples por comillas dobles. Si las comillas están anidadas, usa \" para escapar las comillas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Se enumeran los recursos en los que la principal especificada tiene cualquiera de los permisos especificados en los campos resources de la respuesta. En el siguiente ejemplo, se muestra un único análisis resultado con el campo resources destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar a qué recursos puede acceder una principal, usa las APIs de Cloud Asset Inventory analyzeIamPolicy .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
PRINCIPAL: La principal de datos que quieres analizar, de la forma PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principales, consulta Identificadores principales.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Son los permisos que que deseas verificar, por ejemplo, compute.instances.get. Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si se agota el tiempo de espera de la solicitud antes de que finalice la consulta, obtendrás un mensaje DEADLINE_EXCEEDED error. Para obtener más resultados de estas consultas, escribe los resultados a BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribir el análisis de políticas en BigQuery o Escribir el análisis de políticas en Cloud Storage

Determina el acceso en un momento específico

Si se proporciona contexto suficiente, el Analizador de políticas puede analizar IAM vinculaciones de roles condicionales que solo otorgan acceso a veces. Estas condiciones se denominan condiciones de fecha y hora. Para que el Analizador de políticas analice de forma precisa las vinculaciones de roles con fecha y hora debes definir el tiempo de acceso en la solicitud.

El Analizador de políticas también puede analizar recursos condiciones sin entradas adicionales del usuario. Para para obtener más información sobre cómo funciona el Analizador de políticas con las condiciones, consulta Acceso condicional.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
PERMISSIONS: Opcional. Una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start. Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.
FULL_RESOURCE_NAME: Opcional El nombre completo del recurso que en las que quieres analizar el acceso. Para obtener una lista de los formatos de nombre de recurso completos, consulta Formato de nombre de recurso.
PERMISSIONS: Opcional. Una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start. Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.
ACCESS_TIME: La hora que deseas para comprobarlo. Esta hora debe ser posterior a la actual. Usa una marca de tiempo en formato RFC 3339, para ejemplo, 2099-02-01T00:00:00Z.

Ejecuta el gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

Nota: Si este comando usa ' para entrecomillar contenido, reemplaza estas comillas simples por comillas dobles. Si las comillas están anidadas, usa \" para escapar las comillas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Cuando incluyes la hora de acceso en la solicitud, el Analizador de políticas puede evaluar la fecha y la hora conditions. Si la condición se evalúa como falsa, ese rol no se incluye en la respuesta. Si el botón condición se evalúa como verdadera, el resultado de la evaluación de la condición se enumera como TRUE.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar qué principales tendrán ciertos permisos sobre un recurso en una hora específica, usa las APIs de Cloud Asset Inventory analyzeIamPolicy .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Opcional. El permisos que deseas verificar, por ejemplo, compute.instances.get. Si mostrar varios permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.
FULL_RESOURCE_NAME: Opcional El nombre completo del recurso que en las que quieres analizar el acceso. Para obtener una lista de los formatos de nombre de recurso completos, consulta Formato de nombre de recurso.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Opcional. El permisos que deseas verificar, por ejemplo, compute.instances.get. Si mostrar varios permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.
ACCESS_TIME: La hora que deseas para comprobarlo. Esta hora debe ser posterior a la actual. Usa una marca de tiempo en formato RFC 3339, para ejemplo, 2099-02-01T00:00:00Z.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Cuando incluyes la hora de acceso en la solicitud, el Analizador de políticas puede evaluar la fecha y la hora conditions. Si la condición se evalúa como falsa, ese rol no se incluye en la respuesta. Si el botón condición se evalúa como verdadera, el valor de la evaluación de la condición en la respuesta del análisis es TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si se agota el tiempo de espera de la solicitud antes de que finalice la consulta, obtendrás un mensaje DEADLINE_EXCEEDED error. Para obtener más resultados de estas consultas, escribe los resultados a BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribir el análisis de políticas en BigQuery o Escribir el análisis de políticas en Cloud Storage

Habilitar opciones

Puedes habilitar las siguientes opciones para recibir resultados de consulta más detallados.

Console

Opción	Descripción
Enumerar los recursos dentro de los recursos que coinciden con tu consulta	Si habilitas esta opción, los resultados de la consulta incluirán hasta 1.000 descendientes relevantes recursos para cualquier recurso superior (proyectos, carpetas y organizaciones) en los resultados de la consulta.
Permite enumerar los usuarios individuales dentro de los grupos	Si habilitas esta opción, los grupos que aparezcan en los resultados de la consulta se expanden a miembros individuales. Si tienes suficientes permisos de grupo, los grupos anidados expandirse también. Esta expansión tiene un límite 1,000 miembros por grupo. Esta opción solo está disponible si no especificas una principal en tu para cada búsqueda.
Permite enumerar los permisos dentro de las funciones	Si habilitas esta opción, los resultados de la consulta enumeran todos los permisos dentro de cada además del rol en sí. Esta opción solo está disponible si no especificas ningún permiso o roles en tu consulta.

Opción

Descripción

Enumerar los recursos dentro de los recursos que coinciden con tu consulta

Si habilitas esta opción, los resultados de la consulta incluirán hasta 1.000 descendientes relevantes recursos para cualquier recurso superior (proyectos, carpetas y organizaciones) en los resultados de la consulta.

Permite enumerar los usuarios individuales dentro de los grupos

Si habilitas esta opción, los grupos que aparezcan en los resultados de la consulta se expanden a miembros individuales. Si tienes suficientes permisos de grupo, los grupos anidados expandirse también. Esta expansión tiene un límite 1,000 miembros por grupo.

Esta opción solo está disponible si no especificas una principal en tu para cada búsqueda.

Permite enumerar los permisos dentro de las funciones

Si habilitas esta opción, los resultados de la consulta enumeran todos los permisos dentro de cada además del rol en sí.

Esta opción solo está disponible si no especificas ningún permiso o roles en tu consulta.

gcloud

En esta sección, se describen varias marcas comunes que puedes agregar cuando usas el gcloud CLI para analizar las políticas de permisos. Para ver una lista completa de las opciones, consulta Marcas opcionales.

Flag	Descripción
`--analyze-service-account-impersonation`	Si se habilita esta opción, el Analizador de políticas ejecutará un análisis adicional para determinar quién puede suplantar a las cuentas de servicio tienen el acceso especificado a los recursos indicados. Analizador de políticas ejecuta una consulta por cada cuenta de servicio en los resultados de la consulta. Estos analizan quién tiene cualquiera de los siguientes permisos en el cuenta de servicio: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Esta es una operación muy costosa, ya que se ejecuta automáticamente muchas consultas. Te recomendamos enfáticamente que exportar a BigQuery o exportar a Cloud Storage con `analyze-iam-policy-longrunning` en lugar de usar `analyze-iam-policy`
`--expand-groups`	Si habilitas esta opción, los grupos que aparezcan en los resultados de la consulta se expanden a miembros individuales. Si tienes suficientes permisos de grupo, los grupos anidados expandirse también. Esta expansión tiene un límite 1,000 miembros por grupo. Esta opción solo es efectiva si no especificas una principal en tu para cada búsqueda.
`--expand-resources`	Si habilitas esta opción, los resultados de la consulta incluirán hasta 1.000 descendientes relevantes recursos para cualquier recurso superior (proyectos, carpetas y organizaciones) en los resultados de la consulta.
`--expand-roles`	Si habilitas esta opción, los resultados de la consulta enumeran todos los permisos dentro de cada además del rol en sí. Esta opción solo está disponible si no especificas ningún permiso o roles en tu consulta.
`--output-group-edges`	Si habilitas esta opción, los resultados de la consulta mostrarán la membresía correspondiente relaciones entre grupos.
`--output-resource-edges`	Si habilitas esta opción, los resultados de la consulta muestran el elemento superior/secundario correspondiente. relaciones entre los recursos.

REST

Para habilitar cualquiera de las opciones, primero agrega un campo options a tu análisis para cada búsqueda. Por ejemplo:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Reemplaza OPTIONS por las opciones que deseas. habilitar, en el formato "OPTION": true. La siguiente tabla describe las opciones disponibles:

Opción	Descripción
`analyzeServiceAccountImpersonation`	Si se habilita esta opción, el Analizador de políticas ejecutará un análisis adicional para determinar quién puede suplantar a las cuentas de servicio tienen el acceso especificado a los recursos indicados. Analizador de políticas ejecuta una consulta por cada cuenta de servicio en los resultados de la consulta. Estos analizan quién tiene cualquiera de los siguientes permisos en el cuenta de servicio: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Esta es una operación muy costosa, ya que se ejecuta automáticamente muchas consultas. Te recomendamos enfáticamente que exportar a BigQuery o exportar a Cloud Storage con `AnalyzeIamPolicyLongrunning` en lugar de usar `AnalyzeIamPolicy`
`expandGroups`	Si habilitas esta opción, los grupos que aparezcan en los resultados de la consulta se expanden a miembros individuales. Si tienes suficientes permisos de grupo, los grupos anidados expandirse también. Esta expansión tiene un límite 1,000 miembros por grupo. Esta opción solo es efectiva si no especificas una principal en tu para cada búsqueda.
`expandResources`	Si habilitas esta opción, los resultados de la consulta incluirán hasta 1.000 descendientes relevantes recursos para cualquier recurso superior (proyectos, carpetas y organizaciones) en los resultados de la consulta.
`expandRoles`	Si habilitas esta opción, los resultados de la consulta enumeran todos los permisos dentro de cada además del rol en sí. Esta opción solo está disponible si no especificas ningún permiso o roles en tu consulta.
`outputGroupEdges`	Si habilitas esta opción, los resultados de la consulta mostrarán la membresía correspondiente relaciones entre grupos.
`outputResourceEdges`	Si habilitas esta opción, los resultados de la consulta muestran el elemento superior/secundario correspondiente. relaciones entre los recursos.

¿Qué sigue?

Aprende a usar AnalyzeIamPolicyLongrunning para escribir a BigQuery o escribir en Cloud Storage
Vea cómo puede usar la API de REST para guardar el análisis de políticas del usuario.
Explora las herramientas de solución de problemas de acceso disponibles, que puedes usar para averiguar por qué un principal no tiene cierto tipo de el acceso a los datos.