Esta página foi traduzida pela API Cloud Translation.

Analisar políticas de permissão

Nesta página, mostramos como usar a Análise de políticas para permitir que as políticas descubram quais principais (usuários, contas de serviço, grupos e domínios) têm acesso a quais recursos do Google Cloud.

Os exemplos desta página mostram como executar uma consulta de análise de políticas e acessar os resultados imediatamente. Se você quiser exportar os resultados para uma análise mais detalhada, use AnalyzeIamPolicyLongrunning para gravar os resultados da consulta no BigQuery ou no Cloud Storage.

Antes de começar

Enable the Cloud Asset API.
Enable the API

Ative a API no projeto ou na organização que você vai usar para enviar a consulta. Ele não precisa ser o mesmo recurso para o qual você define o escopo da consulta.
Opcional: entenda como o Analisador de políticas funciona.
Opcional: se você quiser executar mais de 20 consultas de análise de políticas por organização por dia, faça uma ativação do nível premium do Security Command Center na organização. Para mais informações, consulte Perguntas sobre o faturamento.

Papéis e permissões necessárias

Os papéis e as permissões a seguir são necessários para analisar as políticas de permissão.

Papéis do IAM obrigatórios

Para receber as permissões necessárias para analisar uma política de permissão, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto, na pasta ou na organização em que você vai aplicar a consulta:

Leitor de recursos do Cloud (roles/cloudasset.viewer)
Para analisar políticas com papéis personalizados do IAM: Leitor de papéis (roles/iam.roleViewer)
Para usar a Google Cloud CLI para analisar políticas: Consumidor de uso de serviço (roles/serviceusage.serviceUsageConsumer)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para analisar uma política de permissão. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para analisar uma política de permissão:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
Para analisar políticas com funções personalizadas do IAM: iam.roles.get
Para usar a Google Cloud CLI para analisar políticas: serviceusage.services.use

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Permissões necessárias do Google Workspace

Se você quiser expandir grupos nos resultados da consulta para saber se um principal tem determinadas funções ou permissões devido à associação a um grupo do Google Workspace, você precisa da permissão groups.read do Google Workspace. Essa permissão está contida no papel de administrador do leitor de grupos e em papéis mais avançados, como o administrador de grupos ou o superadministrador. Para saber como conceder esses papéis, consulte Atribuir funções administrativas específicas.

Determinar quais principais podem acessar um recurso

Use a Análise de políticas para verificar quais principais têm determinados papéis ou permissões em um recurso específico no projeto, na pasta ou na organização. Para conseguir essas informações, crie uma consulta que inclua o recurso em que você quer analisar o acesso e um ou mais papéis ou permissões para verificar.

Console

No console do Google Cloud, acesse a página Policy Analyzer.

Acessar a página "Policy Analyzer"
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o recurso e o papel ou a permissão a serem verificados:
1. No campo Parâmetro 1, selecione Recurso no menu suspenso.
2. No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Papel ou Permissão.
5. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
6. Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os principais com as permissões e os papéis especificados no recurso especificado.

As consultas de análise de políticas no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console do Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para receber mais resultados para essas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome de recurso.
PERMISSIONS: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Observação:se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Você recebe uma resposta YAML com os resultados da análise. Cada resultado de análise lista um conjunto de acessos, identidades e recursos relevantes para a consulta, seguidos pela vinculação de papel do IAM relacionada. Se a vinculação de função for condicional, o resultado da análise também incluirá o resultado da avaliação da condição. Se a condição não puder ser avaliada, o resultado será CONDITIONAL.

Os principais que têm qualquer uma das permissões especificadas no recurso especificado são listados nos campos identities na resposta. O exemplo a seguir mostra um único resultado de análise com o campo identities destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se o tempo limite da solicitação expirar antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para receber mais resultados dessas consultas, grave os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração de analyze-iam-policy. Para ver instruções, consulte Gravar a análise de políticas no BigQuery ou Gravar a análise de políticas no Cloud Storage.

REST

Para determinar quais participantes têm determinadas permissões em um recurso, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome de recurso.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

Copie o corpo da solicitação e abra a página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Cole o corpo da solicitação nessa ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

Você recebe uma resposta JSON com os resultados da análise. Cada resultado da análise descreve uma vinculação de papel do IAM relevante e lista o recurso, os acessos e os principais nessa vinculação. Se a vinculação de função for condicional, o resultado da análise também incluirá o resultado da avaliação da condição. Se a condição não puder ser avaliada, o resultado será listado como CONDITIONAL.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se o tempo limite da solicitação expirar antes do término da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para receber mais resultados dessas consultas, grave os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração de analyzeIamPolicy. Para ver instruções, consulte Gravar a análise de políticas no BigQuery ou Gravar a análise de políticas no Cloud Storage.

Determinar quais principais têm determinados papéis ou permissões

É possível usar a ferramenta Análise de políticas para verificar quais principais têm papéis ou permissões específicas em qualquer recurso do Google Cloud na organização. Para conseguir essas informações, crie uma consulta que inclua um ou mais papéis ou permissões a serem verificadas, mas não especifique um recurso.

Console

No console do Google Cloud, acesse a página Policy Analyzer.

Acessar a página "Policy Analyzer"
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
No campo Parâmetro 1, selecione Papel ou Permissão.
No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
Opcional: para verificar papéis e permissões adicionais, faça o seguinte:
1. Clique em Adicionar seletor.
2. No campo Parâmetro 2, selecione Papel ou Permissão.
3. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
4. Continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os principais com as permissões ou papéis especificados em qualquer recurso no escopo.

As consultas de análise de políticas no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console do Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para receber mais resultados dessas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
ROLES: uma lista separada por vírgulas dos papéis que você quer verificar, por exemplo, roles/compute.admin,roles/compute.imageUser. Se você listar várias funções, o Policy Analyzer vai verificar qualquer uma das funções listadas.
PERMISSIONS: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Observação:se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Os principais que têm qualquer uma das permissões ou papéis especificados são listados nos campos identities na resposta. O exemplo a seguir mostra um único resultado de análise com o campo identities destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se o tempo limite da solicitação expirar antes do término da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para receber mais resultados dessas consultas, grave os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração de analyze-iam-policy. Para ver instruções, consulte Gravar a análise de políticas no BigQuery ou Gravar a análise de políticas no Cloud Storage.

REST

Para determinar quais principais têm determinados papéis ou permissões, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
ROLE_1, ROLE_2... ROLE_N: os papéis que você quer verificar, por exemplo, roles/compute.admin. Se você listar vários papéis, a Análise de políticas vai verificar se algum deles está listado.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Determinar o acesso de um principal a um recurso

Use a Análise de políticas para verificar quais papéis ou permissões um principal tem em um recurso na sua organização. Para conseguir essas informações, crie uma consulta que inclua o principal em que você quer analisar o acesso e o recurso para o qual você quer verificar as permissões.

Console

No console do Google Cloud, acesse a página Policy Analyzer.

Acessar a página "Policy Analyzer"
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o recurso e o principal para verificar:
1. No campo Parâmetro 1, selecione Recurso no menu suspenso.
2. No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Principal no menu suspenso.
5. No campo Principal, comece a digitar o nome de um usuário, conta de serviço ou grupo. Em seguida, selecione o usuário, a conta de serviço ou o grupo com o acesso que você quer analisar na lista de principais fornecida.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os papéis que o principal especificado tem no recurso especificado.

As consultas de análise de políticas no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console do Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para receber mais resultados para essas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome de recurso.
PRINCIPAL: o principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para conferir uma lista completa dos tipos de principais, consulte Identificadores de principais.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

As funções que o diretor tem no recurso especificado são listadas nos campos accesses da resposta. O exemplo a seguir mostra um único resultado de análise com o campo accesses destacado.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

Se o tempo limite da solicitação expirar antes do término da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para receber mais resultados dessas consultas, grave os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração de analyze-iam-policy. Para ver instruções, consulte Gravar a análise de políticas no BigQuery ou Gravar a análise de políticas no Cloud Storage.

REST

Para determinar o acesso de um principal a um recurso, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome de recurso.
PRINCIPAL: o principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para conferir uma lista completa dos tipos de principais, consulte Identificadores de principais.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

As funções que o diretor tem no recurso especificado são listadas nos campos accesses da resposta. O exemplo a seguir mostra um único resultado de análise com o campo accesses destacado.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Determinar quais recursos um principal pode acessar

Use a Análise de políticas para verificar em quais recursos da organização um principal tem determinados papéis ou permissões. Para conseguir essas informações, crie uma consulta que inclua o principal com o acesso você quer analisar e um ou mais papéis ou permissões para verificar.

Console

No console do Google Cloud, acesse a página Policy Analyzer.

Acessar a página "Policy Analyzer"
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o principal a ser verificado e o papel ou a permissão a ser verificada:
1. No campo Parâmetro 1, selecione Principal no menu suspenso.
2. No campo Principal, comece a digitar o nome de um usuário, conta de serviço ou grupo. Em seguida, selecione o usuário, a conta de serviço ou o grupo com o acesso que você quer analisar na lista de principais fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Papel ou Permissão.
5. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
6. Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os recursos em que o principal especificado tem os papéis ou as permissões especificados.

As consultas de análise de políticas no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console do Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para receber mais resultados para essas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
PRINCIPAL: o principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para conferir uma lista completa dos tipos de principais, consulte Identificadores de principais.
PERMISSIONS: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Observação:se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Os recursos em que o principal especificado tem qualquer uma das permissões especificadas são listados nos campos resources na resposta. O exemplo a seguir mostra um único resultado de análise com o campo resources destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se o tempo limite da solicitação expirar antes do término da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para receber mais resultados dessas consultas, grave os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração de analyze-iam-policy. Para ver instruções, consulte Gravar a análise de políticas no BigQuery ou Gravar a análise de políticas no Cloud Storage.

REST

Para determinar quais recursos um principal pode acessar, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
PRINCIPAL: o principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para conferir uma lista completa dos tipos de principais, consulte Identificadores de principais.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Determinar o acesso em um horário específico

Se houver contexto suficiente, a Análise de políticas poderá analisar as vinculações de papéis condicionais do IAM que concedem acesso apenas em momentos específicos. Essas condições são chamadas de condições de data/hora. Para que a Análise de políticas analise com precisão as vinculações de função com condições de data/hora, é necessário definir o tempo de acesso na solicitação.

A Análise de políticas também pode analisar as condições de recursos sem nenhuma outra entrada do usuário. Para mais informações sobre como a Análise de políticas funciona com condições, consulte Acesso condicional.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
PERMISSIONS: Opcional. Uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome de recurso.
PERMISSIONS: Opcional. Uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
ACCESS_TIME: o horário que você quer verificar. O horário precisa estar no futuro. Use um carimbo de data/hora no formato RFC 3339, por exemplo, 2099-02-01T00:00:00Z.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

Observação:se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Quando você inclui o tempo de acesso na solicitação, a Análise de políticas pode avaliar as condições de data/hora. Se a condição for avaliada como falsa, esse papel não será incluído na resposta. Se a condição for avaliada como verdadeira, o resultado da avaliação da condição será listado como TRUE.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se o tempo limite da solicitação expirar antes do término da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para receber mais resultados dessas consultas, grave os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração de analyze-iam-policy. Para ver instruções, consulte Gravar a análise de políticas no BigQuery ou Gravar a análise de políticas no Cloud Storage.

REST

Para determinar quais membros terão determinadas permissões em um recurso em um momento específico, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome de recurso.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
ACCESS_TIME: o horário que você quer verificar. O horário precisa estar no futuro. Use um carimbo de data/hora no formato RFC 3339, por exemplo, 2099-02-01T00:00:00Z.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

Quando você inclui o tempo de acesso na solicitação, a Análise de políticas pode avaliar as condições de data/hora. Se a condição for avaliada como falsa, esse papel não será incluído na resposta. Se a condição for avaliada como verdadeira, o valor de avaliação da condição na resposta da análise será TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Ativar opções

É possível ativar as opções a seguir para receber resultados de consulta mais detalhados.

Console

Opção	Descrição
Listar recursos nos recursos que correspondem à consulta	Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos derivados relevantes para todos os recursos pai (projetos, pastas e organizações) nos resultados da consulta.
Listar usuários individuais nos grupos	Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos para membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só está disponível se você não especificar um principal na sua consulta.
Listar permissões nos papéis	Se você ativar essa opção, os resultados da consulta vão listar todas as permissões de cada função, além da própria função. Essa opção só está disponível se você não especificar nenhuma permissão ou função na consulta.

Opção

Descrição

Listar recursos nos recursos que correspondem à consulta

Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos derivados relevantes para todos os recursos pai (projetos, pastas e organizações) nos resultados da consulta.

Listar usuários individuais nos grupos

Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos para membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo.

Essa opção só está disponível se você não especificar um principal na sua consulta.

Listar permissões nos papéis

Se você ativar essa opção, os resultados da consulta vão listar todas as permissões de cada função, além da própria função.

Essa opção só está disponível se você não especificar nenhuma permissão ou função na consulta.

gcloud

Esta seção descreve várias flags comuns que podem ser adicionadas ao usar a CLI gcloud para analisar políticas de permissão. Para uma lista completa de opções, consulte Sinalizações opcionais.

Sinalização	Descrição
`--analyze-service-account-impersonation`	Se essa opção estiver ativada, o Policy Analyzer vai executar outras consultas de análise para determinar quem pode personificar as contas de serviço que têm o acesso especificado aos recursos. O Policy Analyzer executa uma consulta para cada conta de serviço nos resultados da consulta. Essas consultas analisam quem tem qualquer uma das seguintes permissões na conta de serviço: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Essa é uma operação muito cara, porque executa automaticamente muitas consultas. Recomendamos que você exporte para o BigQuery ou exporte para o Cloud Storage usando `analyze-iam-policy-longrunning` em vez de `analyze-iam-policy`.
`--expand-groups`	Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos para membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só será eficaz se você não especificar um principal na consulta.
`--expand-resources`	Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos derivados relevantes para todos os recursos pai (projetos, pastas e organizações) nos resultados da consulta.
`--expand-roles`	Se você ativar essa opção, os resultados da consulta vão listar todas as permissões em cada função, além da própria função. Essa opção só está disponível se você não especificar nenhuma permissão ou função na consulta.
`--output-group-edges`	Se você ativar essa opção, os resultados da consulta vão mostrar as relações de associação relevantes entre grupos.
`--output-resource-edges`	Se você ativar essa opção, os resultados da consulta vão mostrar as relações pai/filho relevantes entre os recursos.

REST

Para ativar as opções, primeiro adicione um campo options à consulta de análise. Exemplo:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Substitua OPTIONS pelas opções que você quer ativar no formato "OPTION": true. A tabela a seguir descreve as opções disponíveis:

Opção	Descrição
`analyzeServiceAccountImpersonation`	Se essa opção estiver ativada, o Policy Analyzer vai executar outras consultas de análise para determinar quem pode personificar as contas de serviço que têm o acesso especificado aos recursos. O Policy Analyzer executa uma consulta para cada conta de serviço nos resultados da consulta. Essas consultas analisam quem tem qualquer uma das seguintes permissões na conta de serviço: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Essa é uma operação muito cara, porque executa automaticamente muitas consultas. Recomendamos que você exporte para o BigQuery ou exporte para o Cloud Storage usando `AnalyzeIamPolicyLongrunning` em vez de `AnalyzeIamPolicy`.
`expandGroups`	Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos para membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só será eficaz se você não especificar um principal na consulta.
`expandResources`	Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos derivados relevantes para todos os recursos pai (projetos, pastas e organizações) nos resultados da consulta.
`expandRoles`	Se você ativar essa opção, os resultados da consulta vão listar todas as permissões em cada função, além da própria função. Essa opção só está disponível se você não especificar nenhuma permissão ou função na consulta.
`outputGroupEdges`	Se você ativar essa opção, os resultados da consulta vão mostrar as relações de associação relevantes entre grupos.
`outputResourceEdges`	Se você ativar essa opção, os resultados da consulta vão mostrar as relações pai/filho relevantes entre os recursos.

A seguir

Saiba como usar AnalyzeIamPolicyLongrunning para gravar no BigQuery ou gravar no Cloud Storage.
Saiba como usar a API REST para salvar consultas de análise de políticas.
Conheça as ferramentas de solução de problemas de acesso disponíveis, que podem ser usadas para descobrir por que um principal não tem um determinado tipo de acesso.