Questa pagina mostra come utilizzare Policy Analyzer per scoprire quali entità (utenti, account di servizio, gruppi e domini), hanno quale accesso dell'accesso a specifiche risorse Google Cloud.
Gli esempi in questa pagina mostrano come eseguire una query di Analisi dei criteri e
immediatamente i risultati. Se vuoi esportare i risultati per ulteriori
l'analisi, puoi utilizzare
AnalyzeIamPolicyLongrunning
per scrivere
i risultati della query a BigQuery o
Cloud Storage.
Prima di iniziare
Attiva Cloud Asset API.
Devi abilitare l'API nel progetto o nell'organizzazione che utilizzerai per inviare query. Non deve essere la stessa risorsa a cui indirizzi la query.
(Facoltativo) Scopri come funziona Policy Analyzer.
(Facoltativo) Se vuoi eseguire più di 20 query di analisi dei criteri per organizzazione al giorno, accertati di avere attivato l'abbonamento premium a livello di organizzazione livello di Security Command Center. Per ulteriori informazioni, consulta la sezione Fatturazione domande.
Ruoli e autorizzazioni richiesti
Per analizzare i criteri di autorizzazione sono necessari i ruoli e le autorizzazioni seguenti.
Ruoli IAM richiesti
Per ottenere le autorizzazioni necessarie per analizzare un criterio di autorizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto, nella cartella o nell'organizzazione di cui l'ambito la query per:
-
Cloud Asset Viewer (
roles/cloudasset.viewer
) -
Per analizzare i criteri con i ruoli IAM personalizzati:
Visualizzatore ruoli (
roles/iam.roleViewer
) -
Per utilizzare Google Cloud CLI per analizzare i criteri:
Consumer Service Usage (
roles/serviceusage.serviceUsageConsumer
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti le autorizzazioni necessarie per analizzare un criterio di autorizzazione. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per analizzare un criterio di autorizzazione, sono necessarie le seguenti autorizzazioni:
-
cloudasset.assets.analyzeIamPolicy
-
cloudasset.assets.searchAllResources
-
cloudasset.assets.searchAllIamPolicies
-
Per analizzare i criteri con i ruoli IAM personalizzati:
iam.roles.get
-
Per utilizzare Google Cloud CLI per analizzare i criteri:
serviceusage.services.use
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati e altri ruoli predefiniti.
Autorizzazioni Google Workspace richieste
Se vuoi espandere i gruppi nei risultati della query per vedere se un'entità
dispone di determinati ruoli o autorizzazioni in seguito alla sua appartenenza a un
Gruppo Google Workspace, devi disporre dell'autorizzazione Google Workspace groups.read
.
Questa autorizzazione è contenuta nel ruolo Amministratore Lettore gruppi e in altre
ruoli importanti come Amministratore di Gruppi o Super amministratore. Per scoprire come
concedi questi ruoli. Consulta Assegnare ruoli di amministratore specifici.
Determina quali entità possono accedere a una risorsa
Puoi usare Policy Analyzer per verificare quali entità hanno determinati ruoli autorizzazioni per una risorsa specifica nel progetto, nella cartella o nell'organizzazione. A informazioni, crea una query che includa la risorsa che vuoi analizzare l'accesso e uno o più ruoli o autorizzazioni da verificare.
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
Nella sezione Analizza criteri, individua il riquadro con l'etichetta Query personalizzata. e fai clic su Crea query personalizzata nel riquadro.
Nel campo Seleziona ambito della query, seleziona il progetto, la cartella organizzazione a cui vuoi limitare l'ambito della query. Analizzatore criteri analizzare l'accesso per il progetto, la cartella o l'organizzazione, nonché e risorse all'interno del progetto, della cartella o dell'organizzazione.
Scegli la risorsa da controllare e il ruolo o l'autorizzazione da controllare:
- Nel campo Parametro 1, seleziona Risorsa dal menu a discesa o dal menu Fogli Google.
- Nel campo Risorsa, inserisci il nome completo della risorsa. per cui vuoi analizzare l'accesso. Se non conosci l'intera risorsa inizia a digitare il nome visualizzato della risorsa, quindi seleziona risorsa dall'elenco di risorse fornite.
- Fai clic su Aggiungi selettore.
- Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
- Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona la il ruolo o l'autorizzazione che vuoi controllare.
- (Facoltativo) Per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere Selettori del ruolo e dell'autorizzazione fino a visualizzare tutti i ruoli e le autorizzazioni che vuoi controllare.
(Facoltativo) Fai clic su Continua, quindi seleziona eventuali opzioni avanzate. che vuoi abilitare per questa query.
Nel riquadro Query personalizzata, fai clic su Analizza > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con i ruoli o le autorizzazioni specificati risorsa.
Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo il giorno un minuto, la console Google Cloud interrompe la query e visualizza tutti i risultati disponibili. Se non è stata completata nel periodo di tempo indicato, nella console Google Cloud viene visualizzato un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta a BigQuery.
gcloud
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreproject
,folder
oorganization
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.FULL_RESOURCE_NAME
: Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco completo dei nomi delle risorse, consulta Nome risorsa standard.PERMISSIONS
: A un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempiocompute.instances.get,compute.instances.start
. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.
Esegui la gcloud asset analyze-iam-policy :
Linux, macOS o Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --full-resource-name=FULL_RESOURCE_NAME \ --permissions='PERMISSIONS'
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --full-resource-name=FULL_RESOURCE_NAME ` --permissions='PERMISSIONS'
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --full-resource-name=FULL_RESOURCE_NAME ^ --permissions='PERMISSIONS'
Ricevi una risposta YAML con i risultati dell'analisi. Ogni risultato dell'analisi elenca un insieme
gli accessi, le identità e le risorse pertinenti alla query, seguiti dal
dell'associazione del ruolo IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi
include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione,
il risultato è CONDITIONAL
.
Le entità con una qualsiasi delle autorizzazioni specificate per la risorsa specificata sono elencate in
i campi identities
della risposta. L'esempio seguente mostra una singola analisi
risultato con il campo identities
evidenziato.
... --- ACLs: - accesses: - permission: compute.instances.get - permission: compute.instances.start identities: - name: user:my-user@example.com resources: - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project policy: attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project binding: members: - user: my-user@example.com role: roles/compute.admin --- ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyze-iam-policy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
REST
Per determinare quali entità dispongono di determinate autorizzazioni in un
utilizza l'API Cloud Asset Inventory,
analyzeIamPolicy
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.FULL_RESOURCE_NAME
: Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco completo dei nomi delle risorse, consulta Nome risorsa standard.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: le autorizzazioni che che vuoi controllare, ad esempiocompute.instances.get
. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.
Metodo HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON della richiesta:
{ "analysisQuery": { "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive
Associazione del ruolo IAM, quindi elenca la risorsa, gli accessi e le entità in
l'associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato
della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è elencato come
CONDITIONAL
.
Le entità con una qualsiasi delle autorizzazioni specificate per la risorsa specificata sono elencate in
i campi identities
della risposta. L'esempio seguente mostra una singola analisi
risultato con il campo identities
evidenziato.
... { "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project", "iamBinding": { "role": "roles/compute.admin", "members": [ "user:my-user@example.com" ] }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" } ], "accesses": [ { "permission": "compute.instances.get" }, { "permission": "compute.instances.start" } ] } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyzeIamPolicy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
Determina quali entità hanno determinati ruoli o autorizzazioni
Puoi usare Policy Analyzer per verificare quali entità hanno ruoli specifici su qualsiasi risorsa Google Cloud nella tua organizzazione. Per ottenere questo informazioni, crea una query che includa uno o più ruoli o autorizzazioni per verifica, ma non specifica alcuna risorsa.
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
Nella sezione Analizza criteri, individua il riquadro con l'etichetta Query personalizzata. e fai clic su Crea query personalizzata nel riquadro.
Nel campo Seleziona ambito della query, seleziona il progetto, la cartella organizzazione a cui vuoi limitare l'ambito della query. Analizzatore criteri analizzare l'accesso per il progetto, la cartella o l'organizzazione, nonché e risorse all'interno del progetto, della cartella o dell'organizzazione.
Nel campo Parametro 1, seleziona Ruolo o Autorizzazione.
Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona il ruolo o l'autorizzazione che vuoi controllare.
(Facoltativo) Per verificare la presenza di ulteriori ruoli e autorizzazioni, segui questi passaggi:
- Fai clic su Aggiungi selettore.
- Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
- Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona la il ruolo o l'autorizzazione che vuoi controllare.
- Continua ad aggiungere selettori del Ruolo e dell'Autorizzazione finché non avrai tutti i ruoli. e le autorizzazioni che vuoi controllare.
(Facoltativo) Fai clic su Continua, quindi seleziona eventuali opzioni avanzate. che vuoi abilitare per questa query.
Nel riquadro Query personalizzata, fai clic su Analizza > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con i ruoli o le autorizzazioni specificati in qualsiasi ambito risorsa.
Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo il giorno un minuto, la console Google Cloud interrompe la query e visualizza tutti i risultati disponibili. Se non è stata completata nel periodo di tempo indicato, nella console Google Cloud viene visualizzato un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta a BigQuery.
gcloud
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreproject
,folder
oorganization
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.ROLES
: un elenco separato da virgole dei ruoli che vuoi controllare, ad esempioroles/compute.admin,roles/compute.imageUser
. Se elenchi più ruoli, Policy Controller Lo strumento di analisi verificherà la presenza di tutti i ruoli elencati.PERMISSIONS
: A un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempiocompute.instances.get,compute.instances.start
. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.
Esegui la gcloud asset analyze-iam-policy :
Linux, macOS o Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --roles='ROLES' \ --permissions='PERMISSIONS'
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --roles='ROLES' ` --permissions='PERMISSIONS'
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --roles='ROLES' ^ --permissions='PERMISSIONS'
Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive
Associazione del ruolo IAM, quindi elenca la risorsa, gli accessi e le entità in
l'associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato
della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è elencato come
CONDITIONAL
.
Le entità con uno qualsiasi dei ruoli o delle autorizzazioni specificati sono elencate nel
identities
campi nella risposta. L'esempio seguente mostra una singola analisi
risultato con il campo identities
evidenziato.
... --- ACLs: - accesses: - permission: compute.instances.get - permission: compute.instances.start - role: roles/compute.admin identities: - name: user:my-user@example.com resources: - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project policy: attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project binding: members: - user: my-user@example.com role: roles/compute.admin --- ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyze-iam-policy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
REST
Per determinare quali entità dispongono di determinati ruoli o autorizzazioni, utilizza lo strumento
analyzeIamPolicy
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.ROLE_1
,ROLE_2
...ROLE_N
: i ruoli che vuoi controllare, ad esempioroles/compute.admin
. Se elenchi più , Policy Analyzer verificherà la presenza di uno dei ruoli elencati.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: le autorizzazioni che che vuoi controllare, ad esempiocompute.instances.get
. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.
Metodo HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON della richiesta:
{ "analysisQuery": { "accessSelector": { "roles": [ "ROLE_1", "ROLE_2", "ROLE_N" ], "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive
Associazione del ruolo IAM, quindi elenca la risorsa, gli accessi e le entità in
l'associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato
della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è elencato come
CONDITIONAL
.
Le entità con uno qualsiasi dei ruoli o delle autorizzazioni specificati sono elencate nel
identities
campi nella risposta. L'esempio seguente mostra una singola analisi
risultato con il campo identities
evidenziato.
... { "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project", "iamBinding": { "role": "roles/compute.admin", "members": [ "user:my-user@example.com" ] }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" } ], "accesses": [ { "permission": "compute.instances.get" }, { "role": "roles/compute.admin" } ] } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyzeIamPolicy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
Determina il livello di accesso di un'entità a una risorsa
Puoi usare Policy Analyzer per verificare quali ruoli o autorizzazioni per un'entità di una risorsa nella tua organizzazione. Per ottenere queste informazioni, crea una query che include l'entità di cui vuoi analizzare l'accesso e la risorsa per cui vuoi analizzare l'accesso.
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
Nella sezione Analizza criteri, individua il riquadro con l'etichetta Query personalizzata. e fai clic su Crea query personalizzata nel riquadro.
Nel campo Seleziona ambito della query, seleziona il progetto, la cartella organizzazione a cui vuoi limitare l'ambito della query. Analizzatore criteri analizzare l'accesso per il progetto, la cartella o l'organizzazione, nonché e risorse all'interno del progetto, della cartella o dell'organizzazione.
Scegli la risorsa e l'entità da controllare:
- Nel campo Parametro 1, seleziona Risorsa dal menu a discesa o dal menu Fogli Google.
- Nel campo Risorsa, inserisci il nome completo della risorsa. per cui vuoi analizzare l'accesso. Se non conosci l'intera risorsa inizia a digitare il nome visualizzato della risorsa, quindi seleziona risorsa dall'elenco di risorse fornite.
- Fai clic su Aggiungi selettore.
- Nel campo Parametro 2, seleziona Entità dal menu a discesa o dal menu Fogli Google.
- Nel campo Entità, inizia a digitare il nome di un utente, di un servizio un account o un gruppo di dispositivi. Quindi seleziona l'utente, l'account di servizio o il gruppo che vuoi analizzare dall'elenco di entità fornito.
(Facoltativo) Fai clic su Continua, quindi seleziona eventuali opzioni avanzate. che vuoi abilitare per questa query.
Nel riquadro Query personalizzata, fai clic su Analizza > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutti i ruoli di cui l'entità specificata dispone per la risorsa specificata.
Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo il giorno un minuto, la console Google Cloud interrompe la query e visualizza tutti i risultati disponibili. Se non è stata completata nel periodo di tempo indicato, nella console Google Cloud viene visualizzato un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta a BigQuery.
gcloud
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreproject
,folder
oorganization
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.FULL_RESOURCE_NAME
: Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco completo dei nomi delle risorse, consulta Nome risorsa standard.PRINCIPAL
: l'entità la cui che vuoi analizzare, sotto formaPRINCIPAL_TYPE:ID
, ad esempiouser:my-user@example.com
. Per un elenco completo dei tipi di entità, consulta Identificatori entità.
Esegui la gcloud asset analyze-iam-policy :
Linux, macOS o Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --full-resource-name=FULL_RESOURCE_NAME \ --identity=PRINCIPAL
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --full-resource-name=FULL_RESOURCE_NAME ` --identity=PRINCIPAL
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --full-resource-name=FULL_RESOURCE_NAME ^ --identity=PRINCIPAL
Ricevi una risposta YAML con i risultati dell'analisi. Ogni risultato dell'analisi elenca un insieme
gli accessi, le identità e le risorse pertinenti alla query, seguiti dal
dell'associazione del ruolo IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi
include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione,
il risultato è CONDITIONAL
.
I ruoli dell'entità nella risorsa specificata sono elencati nella sezione accesses
campi nella risposta. L'esempio seguente mostra una singola analisi
risultato con il campo accesses
evidenziato.
... --- ACLs: - accesses: - roles/iam.serviceAccountUser identities: - name: user:my-user@example.com resources: - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project policy: attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project binding: members: - user: my-user@example.com role: roles/iam.serviceAccountUser --- ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyze-iam-policy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
REST
Per determinare l'accesso di un'entità a una risorsa, utilizza lo strumento
analyzeIamPolicy
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.FULL_RESOURCE_NAME
: Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco completo dei nomi delle risorse, consulta Nome risorsa standard.PRINCIPAL
: l'entità la cui che vuoi analizzare, sotto formaPRINCIPAL_TYPE:ID
, ad esempiouser:my-user@example.com
. Per un elenco completo dei tipi di entità, consulta Identificatori entità.
Metodo HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON della richiesta:
{ "analysisQuery": { "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" } } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive
Associazione del ruolo IAM, quindi elenca la risorsa, gli accessi e le entità in
l'associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato
della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è elencato come
CONDITIONAL
.
I ruoli dell'entità nella risorsa specificata sono elencati nella sezione accesses
campi nella risposta. L'esempio seguente mostra una singola analisi
risultato con il campo accesses
evidenziato.
... { "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project", "iamBinding": { "role": "roles/iam.serviceAccountUser", "members": [ "user:my-user@example.com" ] }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" } ], "accesses": [ { "roles": "iam.serviceAccountUser" } ] } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyzeIamPolicy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
Determina a quali risorse può accedere un'entità
Puoi usare Policy Analyzer per verificare quali risorse all'interno dell'organizzazione per cui un'entità dispone di determinati ruoli o autorizzazioni. Per ottenere questo informazioni, crea una query che includa l'entità di cui vuoi accedere e una o più autorizzazioni o ruoli che vuoi controllare.
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
Nella sezione Analizza criteri, individua il riquadro con l'etichetta Query personalizzata. e fai clic su Crea query personalizzata nel riquadro.
Nel campo Seleziona ambito della query, seleziona il progetto, la cartella organizzazione a cui vuoi limitare l'ambito della query. Analizzatore criteri analizzare l'accesso per il progetto, la cartella o l'organizzazione, nonché e risorse all'interno del progetto, della cartella o dell'organizzazione.
Scegli l'entità da verificare e il ruolo o l'autorizzazione da verificare:
- Nel campo Parametro 1, seleziona Entità dal menu a discesa o dal menu Fogli Google.
- Nel campo Entità, inizia a digitare il nome di un utente, di un servizio un account o un gruppo di dispositivi. Quindi seleziona l'utente, l'account di servizio o il gruppo che vuoi analizzare dall'elenco di entità fornito.
- Fai clic su Aggiungi selettore.
- Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
- Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona la il ruolo o l'autorizzazione che vuoi controllare.
- (Facoltativo) Per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere Selettori del ruolo e dell'autorizzazione fino a visualizzare tutti i ruoli e le autorizzazioni che vuoi controllare sono elencati.
(Facoltativo) Fai clic su Continua, quindi seleziona eventuali opzioni avanzate. che vuoi abilitare per questa query.
Nel riquadro Query personalizzata, fai clic su Analizza > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le risorse per le quali l'entità specificata ha i ruoli specificati o autorizzazioni.
Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo il giorno un minuto, la console Google Cloud interrompe la query e visualizza tutti i risultati disponibili. Se non è stata completata nel periodo di tempo indicato, nella console Google Cloud viene visualizzato un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta a BigQuery.
gcloud
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreproject
,folder
oorganization
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.PRINCIPAL
: l'entità la cui che vuoi analizzare, sotto formaPRINCIPAL_TYPE:ID
, ad esempiouser:my-user@example.com
. Per un elenco completo dei tipi di entità, consulta Identificatori entità.PERMISSIONS
: A un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempiocompute.instances.get,compute.instances.start
. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.
Esegui la gcloud asset analyze-iam-policy :
Linux, macOS o Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --identity=PRINCIPAL \ --permissions='PERMISSIONS'
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --identity=PRINCIPAL ` --permissions='PERMISSIONS'
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --identity=PRINCIPAL ^ --permissions='PERMISSIONS'
Ricevi una risposta YAML con i risultati dell'analisi. Ogni risultato dell'analisi elenca un insieme
gli accessi, le identità e le risorse pertinenti alla query, seguiti dal
dell'associazione del ruolo IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi
include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione,
il risultato è CONDITIONAL
.
Le risorse per le quali l'entità specificata dispone di una qualsiasi delle autorizzazioni specificate sono elencate in
i campi resources
della risposta. L'esempio seguente mostra una singola analisi
risultato con il campo resources
evidenziato.
... --- ACLs: - accesses: - permission: compute.instances.get - permission: compute.instances.start identities: - name: user:my-user@example.com resources: - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image policy: attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image binding: members: - user: my-user@example.com role: roles/compute.admin --- ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyze-iam-policy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
REST
Per determinare a quali risorse può accedere un'entità, utilizza lo strumento
analyzeIamPolicy
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.PRINCIPAL
: l'entità la cui che vuoi analizzare, sotto formaPRINCIPAL_TYPE:ID
, ad esempiouser:my-user@example.com
. Per un elenco completo dei tipi di entità, consulta Identificatori entità.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: le autorizzazioni che che vuoi controllare, ad esempiocompute.instances.get
. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.
Metodo HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON della richiesta:
{ "analysisQuery": { "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive
Associazione del ruolo IAM, quindi elenca la risorsa, gli accessi e le entità in
l'associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato
della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è elencato come
CONDITIONAL
.
Le risorse per le quali l'entità specificata dispone di una qualsiasi delle autorizzazioni specificate sono elencate in
i campi resources
della risposta. L'esempio seguente mostra una singola analisi
risultato con il campo resources
evidenziato.
... { "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image", "iamBinding": { "role": "roles/compute.admin", "members": [ "user:my-user@example.com" ] }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image" } ], "accesses": [ { "permission": "compute.instances.get" }, { "permission": "compute.instances.start" } ] } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyzeIamPolicy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
Stabilisci l'accesso a un orario specifico
Se viene fornito contesto sufficiente, Policy Analyzer può analizzare IAM associazioni di ruoli condizionali, che concedono l'accesso solo in momenti specifici volte. Queste condizioni sono chiamate condizioni di data/ora. Per consentire ad Analizzatore criteri di analizzare con precisione le associazioni di ruoli con data e ora , devi definire il tempo di accesso nella richiesta.
Policy Analyzer può anche analizzare le risorse senza ulteriori input utente. Per Per ulteriori informazioni su come funziona Policy Analyzer con le condizioni, consulta Accesso condizionale.
gcloud
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreproject
,folder
oorganization
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.PERMISSIONS
: Facoltativa. Un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempiocompute.instances.get,compute.instances.start
. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.-
FULL_RESOURCE_NAME
: facoltativo. Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco dei formati dei nomi di risorsa completi, consulta Formato del nome della risorsa: PERMISSIONS
: Facoltativa. Un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempiocompute.instances.get,compute.instances.start
. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.ACCESS_TIME
: l'orario desiderato per controllare. L'ora deve essere nel futuro. Utilizza un timestamp in Formato RFC 3339: per ad esempio2099-02-01T00:00:00Z
.
Esegui la gcloud asset analyze-iam-policy :
Linux, macOS o Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --identity=PRINCIPAL \ --full-resource-name=FULL_RESOURCE_NAME \ --permissions='PERMISSIONS' \ --access-time=ACCESS_TIME
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --identity=PRINCIPAL ` --full-resource-name=FULL_RESOURCE_NAME ` --permissions='PERMISSIONS' ` --access-time=ACCESS_TIME
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --identity=PRINCIPAL ^ --full-resource-name=FULL_RESOURCE_NAME ^ --permissions='PERMISSIONS' ^ --access-time=ACCESS_TIME
Ricevi una risposta YAML con i risultati dell'analisi. Ogni risultato dell'analisi elenca un insieme
gli accessi, le identità e le risorse pertinenti alla query, seguiti dal
dell'associazione del ruolo IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi
include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione,
il risultato è CONDITIONAL
.
Se includi la data di accesso nella richiesta, Policy Analyzer può valutare data e ora
conditions. Se la condizione è false, quel ruolo non è incluso nella risposta. Se
La condizione è true, il risultato della valutazione della condizione è elencato
TRUE
.
... --- ACLs: - accesses: - permission: compute.instances.get - permission: compute.instances.start conditionEvaluationValue: 'TRUE' identities: - name: user:my-user@example.com resources: - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project policy: attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project binding: condition: expression: request.time.getHours("America/Los_Angeles") >= 5 title: No access before 5am PST members: - user: my-user@example.com role: roles/compute.admin --- ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyze-iam-policy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
REST
Per determinare quali entità avranno determinate autorizzazioni su una risorsa in
in un determinato momento, utilizza il comando
analyzeIamPolicy
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempiomy-project
. Gli ID cartella e organizzazione sono numerici, come123456789012
.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: facoltativo. La autorizzazioni che vuoi controllare, ad esempiocompute.instances.get
. Se elencare più autorizzazioni, Policy Analyzer controllerà se sono presenti autorizzazioni elencate.-
FULL_RESOURCE_NAME
: facoltativo. Il nome completo della risorsa che per cui vuoi analizzare l'accesso. Per un elenco dei formati dei nomi di risorsa completi, consulta Formato del nome della risorsa: PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: facoltativo. La autorizzazioni che vuoi controllare, ad esempiocompute.instances.get
. Se elencare più autorizzazioni, Policy Analyzer controllerà se sono presenti autorizzazioni elencate.ACCESS_TIME
: l'orario desiderato per controllare. L'ora deve essere nel futuro. Utilizza un timestamp in Formato RFC 3339: per ad esempio2099-02-01T00:00:00Z
.
Metodo HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON della richiesta:
{ "analysisQuery": { "identitySelector": { "identity": "PRINCIPAL" }, "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] }, "conditionContext": { "accessTime": "ACCESS_TIME" } } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive
Associazione del ruolo IAM, quindi elenca la risorsa, gli accessi e le entità in
l'associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato
della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è elencato come
CONDITIONAL
.
Se includi la data di accesso nella richiesta, Policy Analyzer può valutare data e ora
conditions. Se la condizione è false, quel ruolo non è incluso nella risposta. Se
la condizione restituisce true, il valore di valutazione della condizione nella risposta dell'analisi è
TRUE
.
... { "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project", "iamBinding": { "role": "roles/compute.admin", "members": [ "user:my-user@example.com" ], "condition": { "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5", "title": "No access before 5am PST" } }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" } ], "accesses": [ { "permission": "compute.instances.get" }, { "permission": "compute.instances.start" } ], "conditionEvaluation": { "evaluationValue": "TRUE" } } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se la richiesta scade prima del termine della query, ricevi
DEADLINE_EXCEEDED
errore. Per ottenere più risultati per queste query, scrivi
i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione
di analyzeIamPolicy
. Per istruzioni, vedi
Scrivi l'analisi dei criteri in
BigQuery o
Scrivi l'analisi dei criteri in
Cloud Storage.
Abilita opzioni
Per ricevere risultati di query più dettagliati, puoi attivare le seguenti opzioni.
Console
Opzione | Descrizione |
---|---|
Elenco delle risorse contenute in quelle che soddisfano i criteri della query | Se abiliti questa opzione, i risultati della query verranno visualizzati 1000 discendenti pertinenti risorse di tutte le risorse padre (progetti, cartelle organizzazioni) nei risultati della query. |
Elenca singoli utenti all'interno dei gruppi |
Se abiliti questa opzione, tutti i gruppi nei risultati della query vengono espansi singoli membri. Se disponi di autorizzazioni sufficienti per i gruppi, i gruppi nidificati essere ampliato. Questa espansione è limitata a 1000 membri per gruppo. Questa opzione è disponibile solo se non specifichi un'entità nel query. |
Elenca autorizzazioni all'interno dei ruoli |
Se abiliti questa opzione, nei risultati della query verranno elencate tutte le autorizzazioni all'interno di ogni oltre al ruolo stesso. Questa opzione è disponibile solo se non specifichi alcuna autorizzazione o ruoli nella query. |
gcloud
In questa sezione vengono descritti diversi flag comuni che puoi aggiungere quando utilizzi il comando con gcloud CLI per analizzare i criteri di autorizzazione. Per un elenco completo delle opzioni, vedi Flag facoltativi.
Bandiera | Descrizione |
---|---|
--analyze-service-account-impersonation |
Se questa opzione è abilitata, Policy Analyzer esegue ulteriori analisi per determinare chi può rappresentare gli account di servizio l'accesso specificato alle risorse specificate. Analizzatore criteri esegue una query per ogni account di servizio nei risultati della query. Questi automaticamente chi dispone delle seguenti autorizzazioni account di servizio:
Si tratta di un'operazione molto costosa, perché viene eseguita automaticamente
molte query. Ti consigliamo vivamente di
esportare
a BigQuery o
esportare
in Cloud Storage utilizzando
|
--expand-groups |
Se abiliti questa opzione, tutti i gruppi nei risultati della query vengono espansi singoli membri. Se disponi di autorizzazioni sufficienti per i gruppi, i gruppi nidificati essere ampliato. Questa espansione è limitata a 1000 membri per gruppo. Questa opzione è efficace solo se non specifichi un'entità nel query. |
--expand-resources |
Se abiliti questa opzione, i risultati della query verranno visualizzati 1000 discendenti pertinenti risorse di tutte le risorse padre (progetti, cartelle organizzazioni) nei risultati della query. |
--expand-roles |
Se abiliti questa opzione, nei risultati della query verranno elencate tutte le autorizzazioni all'interno di ogni oltre al ruolo stesso. Questa opzione è disponibile solo se non specifichi alcuna autorizzazione o ruoli nella query. |
--output-group-edges |
Se abiliti questa opzione, i risultati della query mostrano l'appartenenza pertinente relazioni tra gruppi. |
--output-resource-edges |
Se abiliti questa opzione, i risultati della query restituiranno l'elemento principale/secondario pertinente le relazioni tra le risorse. |
REST
Per attivare le opzioni, aggiungi prima un campo options
all'analisi
query. Ad esempio:
{ "analysisQuery": { "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "accessSelector": { "permissions": [ "iam.roles.get", "iam.roles.list" ] }, "options": { OPTIONS } } }
Sostituisci OPTIONS
con le opzioni che vuoi
attiva, nel formato "OPTION": true
. La tabella seguente
descrive le opzioni disponibili:
Opzione | Descrizione |
---|---|
analyzeServiceAccountImpersonation |
Se questa opzione è abilitata, Policy Analyzer esegue ulteriori analisi per determinare chi può rappresentare gli account di servizio l'accesso specificato alle risorse specificate. Analizzatore criteri esegue una query per ogni account di servizio nei risultati della query. Questi automaticamente chi dispone delle seguenti autorizzazioni account di servizio:
Si tratta di un'operazione molto costosa, perché viene eseguita automaticamente
molte query. Ti consigliamo vivamente di
esportare
a BigQuery o
esportare
in Cloud Storage utilizzando
|
expandGroups |
Se abiliti questa opzione, tutti i gruppi nei risultati della query vengono espansi singoli membri. Se disponi di autorizzazioni sufficienti per i gruppi, i gruppi nidificati essere ampliato. Questa espansione è limitata a 1000 membri per gruppo. Questa opzione è efficace solo se non specifichi un'entità nel query. |
expandResources |
Se abiliti questa opzione, i risultati della query verranno visualizzati 1000 discendenti pertinenti risorse di tutte le risorse padre (progetti, cartelle organizzazioni) nei risultati della query. |
expandRoles |
Se abiliti questa opzione, nei risultati della query verranno elencate tutte le autorizzazioni all'interno di ogni oltre al ruolo stesso. Questa opzione è disponibile solo se non specifichi alcuna autorizzazione o ruoli nella query. |
outputGroupEdges |
Se abiliti questa opzione, i risultati della query mostrano l'appartenenza pertinente relazioni tra gruppi. |
outputResourceEdges |
Se abiliti questa opzione, i risultati della query restituiranno l'elemento principale/secondario pertinente le relazioni tra le risorse. |
Passaggi successivi
- Scopri come utilizzare
AnalyzeIamPolicyLongrunning
per scrivere in BigQuery o scrivi Cloud Storage. - Scopri come puoi utilizzare l'API REST per salvare l'analisi dei criteri query.
- Esplora gli strumenti per la risoluzione dei problemi di accesso disponibili, che che puoi utilizzare per capire perché un'entità non ha un certo tipo access.