Questa pagina è stata tradotta dall'API Cloud Translation.

Analizza i criteri IAM

Questa pagina mostra come utilizzare Policy Analyzer per scoprire quali entità (utenti, account di servizio, gruppi e domini), hanno quale accesso dell'accesso a specifiche risorse Google Cloud.

Gli esempi in questa pagina mostrano come eseguire una query di Analisi dei criteri e immediatamente i risultati. Se vuoi esportare i risultati per ulteriori analisi, puoi utilizzare AnalyzeIamPolicyLongrunning per scrivere i risultati delle query in BigQuery o Cloud Storage.

Prima di iniziare

Enable the Cloud Asset API.
Enable the API

Devi abilitare l'API nel progetto o nell'organizzazione che utilizzerai per inviare la query. Non deve essere la stessa risorsa per cui hai definito l'ambito della query.
(Facoltativo) Scopri come funziona l'Analizzatore criteri.
(Facoltativo) Se vuoi eseguire più di 20 query di analisi dei criteri per organizzazione al giorno, assicurati di avere un'attivazione a livello di organizzazione del livello Premium di Security Command Center. Per ulteriori informazioni, consulta la sezione Fatturazione domande.

Ruoli e autorizzazioni richiesti

Per analizzare i criteri di autorizzazione sono necessari i seguenti ruoli e autorizzazioni.

Ruoli IAM obbligatori

Per ottenere le autorizzazioni necessarie per analizzare un criterio di autorizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM per il progetto, la cartella o l'organizzazione per cui vuoi eseguire la query:

Cloud Asset Viewer (roles/cloudasset.viewer)
Per analizzare i criteri con ruoli IAM personalizzati: Visualizzatore ruoli (roles/iam.roleViewer)
Per utilizzare Google Cloud CLI per analizzare i criteri: Consumatore di utilizzo del servizio (roles/serviceusage.serviceUsageConsumer)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti le autorizzazioni necessarie per analizzare un criterio di autorizzazione. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per analizzare un criterio di autorizzazione, sono necessarie le seguenti autorizzazioni:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
Per analizzare i criteri con i ruoli IAM personalizzati: iam.roles.get
Per utilizzare Google Cloud CLI per analizzare i criteri: serviceusage.services.use

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Autorizzazioni Google Workspace richieste

Se vuoi espandere i gruppi nei risultati della query per vedere se un'entità dispone di determinati ruoli o autorizzazioni in seguito alla sua appartenenza a un Gruppo Google Workspace, devi disporre dell'autorizzazione Google Workspace groups.read. Questa autorizzazione è contenuta nel ruolo Amministratore Lettore gruppi e in altre ruoli importanti come Amministratore di Gruppi o Super amministratore. Per scoprire come concedi questi ruoli. Consulta Assegnare ruoli di amministratore specifici.

Determina quali entità possono accedere a una risorsa

Puoi usare Policy Analyzer per verificare quali entità hanno determinati ruoli autorizzazioni per una risorsa specifica nel progetto, nella cartella o nell'organizzazione. A informazioni, crea una query che includa la risorsa che vuoi analizzare l'accesso e uno o più ruoli o autorizzazioni da verificare.

Console

Nella console Google Cloud, vai alla pagina Analizzatore criteri.

Vai alla pagina Analizzatore criteri
Nella sezione Analisi delle norme, individua il riquadro Query personalizzata e fai clic su Crea query personalizzata in quel riquadro.
Nel campo Seleziona l'ambito della query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi applicare l'ambito della query. Analizzatore criteri analizzare l'accesso per il progetto, la cartella o l'organizzazione, nonché e risorse all'interno del progetto, della cartella o dell'organizzazione.
Scegli la risorsa da controllare e il ruolo o l'autorizzazione da controllare:
1. Nel campo Parametro 1, seleziona Risorsa dal menu a discesa.
2. Nel campo Risorsa, inserisci il nome completo della risorsa. per cui vuoi analizzare l'accesso. Se non conosci il nome completo della risorsa, inizia a digitare il nome visualizzato della risorsa, quindi selezionala dall'elenco delle risorse fornite.
3. Fai clic su Aggiungi selettore.
4. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona la il ruolo o l'autorizzazione che vuoi controllare.
6. (Facoltativo) Per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere i selettori Ruolo e Autorizzazione finché non sono elencati tutti i ruoli e le autorizzazioni che vuoi verificare.
(Facoltativo) Fai clic su Continua, quindi seleziona eventuali opzioni avanzate. che vuoi abilitare per questa query.
Nel riquadro Query personalizzata, fai clic su Analisi > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con i ruoli o le autorizzazioni specificati risorsa.

Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo il giorno un minuto, la console Google Cloud interrompe la query e mostra tutti i risultati disponibili. Se la query non è stata completata entro questo periodo di tempo, la console Google Cloud mostra un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta i risultati in BigQuery.

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici come 123456789012.
FULL_RESOURCE_NAME: Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco dei formati dei nomi delle risorse completi, consulta Formato del nome della risorsa.
PERMISSIONS: A un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se elenchi più autorizzazioni, lo strumento di analisi delle norme ne verificherà la presenza.

Esegui la gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: Se questo comando usa ' per citare i contenuti, sostituisci queste virgolette singole con virgolette doppie. Se le citazioni sono nidificate, utilizza \" per l'interpretazione letterale tra virgolette.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Riceverai una risposta YAML con i risultati dell'analisi. Ogni risultato dell'analisi elenca un insieme gli accessi, le identità e le risorse pertinenti alla query, seguiti dal dell'associazione del ruolo IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è CONDITIONAL.

Gli account che dispongono di una delle autorizzazioni specificate per la risorsa specificata sono elencati nei campi identities della risposta. L'esempio seguente mostra un singolo risultato dell'analisi con il campo identities evidenziato.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se la richiesta scade prima del termine della query, viene visualizzato un errore DEADLINE_EXCEEDED. Per ottenere più risultati per queste query, scrivi i risultati in BigQuery o Cloud Storage utilizzando la versione di analyze-iam-policy a tempo prolungato. Per istruzioni, vedi Scrivi l'analisi dei criteri in BigQuery o Scrivi l'analisi dei criteri in Cloud Storage.

REST

Per determinare quali entità hanno determinate autorizzazioni su una risorsa, utilizza il metodo analyzeIamPolicy dell'API Cloud Asset Inventory.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
FULL_RESOURCE_NAME: Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco dei formati dei nomi delle risorse completi, consulta Formato del nome della risorsa.
PERMISSION_1, PERMISSION_2… PERMISSION_N: le autorizzazioni che vuoi verificare, ad esempio compute.instances.get. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON della richiesta:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri la pagina di riferimento del metodo. Sul lato destro della pagina si apre il riquadro Esplora API. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila tutti gli altri campi obbligatori e fai clic su Esegui.

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive un'associazione di ruolo IAM pertinente, quindi elenca la risorsa, gli accessi e le entità in quella associazione. Se l'associazione del ruolo è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato viene indicato come CONDITIONAL.

Le entità con una qualsiasi delle autorizzazioni specificate per la risorsa specificata sono elencate in i campi identities della risposta. L'esempio seguente mostra un singolo risultato dell'analisi con il campo identities evidenziato.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se la richiesta scade prima del termine della query, viene visualizzato un errore DEADLINE_EXCEEDED. Per ottenere più risultati per queste query, scrivi i risultati in BigQuery o Cloud Storage utilizzando la versione di analyzeIamPolicy a tempo prolungato. Per istruzioni, consulta Scrivere l'analisi dei criteri in BigQuery o Scrivere l'analisi dei criteri in Cloud Storage.

Determina quali entità hanno determinati ruoli o autorizzazioni

Puoi utilizzare Policy Analyzer per controllare quali entità hanno ruoli o autorizzazioni specifici su qualsiasi risorsa Google Cloud della tua organizzazione. Per ottenere questo informazioni, crea una query che includa uno o più ruoli o autorizzazioni per verifica, ma non specifica alcuna risorsa.

Console

Nella console Google Cloud, vai alla pagina Analizzatore di criteri.

Vai alla pagina Analizzatore criteri
Nella sezione Analisi delle norme, individua il riquadro Query personalizzata e fai clic su Crea query personalizzata in quel riquadro.
Nel campo Seleziona ambito della query, seleziona il progetto, la cartella organizzazione a cui vuoi limitare l'ambito della query. Analizzatore criteri analizzare l'accesso per il progetto, la cartella o l'organizzazione, nonché e risorse all'interno del progetto, della cartella o dell'organizzazione.
Nel campo Parametro 1, seleziona Ruolo o Autorizzazione.
Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona il ruolo o l'autorizzazione che vuoi controllare.
(Facoltativo) Per verificare la presenza di ulteriori ruoli e autorizzazioni, segui questi passaggi:
1. Fai clic su Aggiungi selettore.
2. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
3. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona la il ruolo o l'autorizzazione che vuoi controllare.
4. Continua ad aggiungere selettori del Ruolo e dell'Autorizzazione finché non avrai tutti i ruoli. e le autorizzazioni che vuoi controllare.
(Facoltativo) Fai clic su Continua, poi seleziona le opzioni avanzate che vuoi attivare per questa query.
Nel riquadro Query personalizzata, fai clic su Analizza > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con i ruoli o le autorizzazioni specificati in qualsiasi ambito risorsa.

Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo il giorno un minuto, la console Google Cloud interrompe la query e mostra tutti i risultati disponibili. Se non è stata completata nel periodo di tempo indicato, nella console Google Cloud viene visualizzato un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta a BigQuery.

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
ROLES: un elenco separato da virgole dei ruoli da verificare, ad esempio roles/compute.admin,roles/compute.imageUser. Se elenchi più ruoli, lo strumento di analisi dei criteri ne cercherà uno qualsiasi tra quelli elencati.
PERMISSIONS: A un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se elenchi più autorizzazioni, lo strumento di analisi delle norme ne verificherà la presenza.

Esegui la gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Le entità che dispongono di uno dei ruoli o delle autorizzazioni specificati sono elencate nei campi identities della risposta. L'esempio seguente mostra una singola analisi risultato con il campo identities evidenziato.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se la richiesta scade prima del termine della query, viene visualizzato un errore DEADLINE_EXCEEDED. Per ottenere più risultati per queste query, scrivi i risultati in BigQuery o Cloud Storage utilizzando la versione di analyze-iam-policy a tempo prolungato. Per istruzioni, consulta Scrivere l'analisi dei criteri in BigQuery o Scrivere l'analisi dei criteri in Cloud Storage.

REST

Per determinare quali entità dispongono di determinati ruoli o autorizzazioni, utilizza il metodo analyzeIamPolicy dell'API Cloud Asset Inventory.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici come 123456789012.
ROLE_1, ROLE_2… ROLE_N: i ruoli che vuoi verificare, ad esempio roles/compute.admin. Se elenchi più ruoli, lo strumento di analisi delle norme ne cercherà uno qualsiasi.
PERMISSION_1, PERMISSION_2... PERMISSION_N: le autorizzazioni che che vuoi controllare, ad esempio compute.instances.get. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON della richiesta:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri pagina di riferimento del metodo. Sul lato destro della pagina si apre il riquadro Explorer API. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila gli altri campi obbligatori e fai clic su Esegui.

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive Associazione del ruolo IAM, quindi elenca la risorsa, gli accessi e le entità in l'associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato viene indicato come CONDITIONAL.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se la richiesta scade prima del termine della query, ricevi DEADLINE_EXCEEDED errore. Per ottenere più risultati per queste query, scrivi i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione di analyzeIamPolicy. Per istruzioni, vedi Scrivi l'analisi dei criteri in BigQuery o Scrivi l'analisi dei criteri in Cloud Storage.

Determinare l'accesso di un'entità a una risorsa

Puoi utilizzare lo strumento di analisi dei criteri per controllare i ruoli o le autorizzazioni di un principale su una risorsa della tua organizzazione. Per ottenere queste informazioni, crea una query che include l'entità di cui vuoi analizzare l'accesso e la risorsa per cui vuoi analizzare l'accesso.

Console

Nella console Google Cloud, vai alla pagina Analizzatore criteri.

Vai alla pagina Analizzatore criteri
Nella sezione Analizza criteri, individua il riquadro con l'etichetta Query personalizzata. e fai clic su Crea query personalizzata nel riquadro.
Nel campo Seleziona l'ambito della query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi applicare l'ambito della query. Analizzatore criteri analizzerà l'accesso per il progetto, la cartella o l'organizzazione, nonché per le risorse al loro interno.
Scegli la risorsa e il principale da controllare:
1. Nel campo Parametro 1, seleziona Risorsa dal menu a discesa o dal menu Fogli Google.
2. Nel campo Risorsa, inserisci il nome completo della risorsa. per cui vuoi analizzare l'accesso. Se non conosci il nome completo della risorsa, inizia a digitare il nome visualizzato della risorsa, quindi selezionala dall'elenco delle risorse fornite.
3. Fai clic su Aggiungi selettore.
4. Nel campo Parametro 2, seleziona Entità dal menu a discesa o dal menu Fogli Google.
5. Nel campo Entità, inizia a digitare il nome di un utente, di un servizio un account o un gruppo di dispositivi. Quindi, seleziona l'utente, l'account di servizio o il gruppo di cui vuoi analizzare l'accesso dall'elenco delle entità fornito.
(Facoltativo) Fai clic su Continua, poi seleziona le opzioni avanzate che vuoi attivare per questa query.
Nel riquadro Query personalizzata, fai clic su Analisi > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutti i ruoli di cui dispone l'entità specificata per la risorsa specificata.

Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo un minuto, la console Google Cloud interrompe la query e mostra tutti i risultati disponibili. Se non è stata completata nel periodo di tempo indicato, nella console Google Cloud viene visualizzato un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta i risultati in BigQuery.

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici come 123456789012.
FULL_RESOURCE_NAME: Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco completo dei nomi delle risorse, consulta Nome risorsa standard.
PRINCIPAL: il principale di cui vuoi analizzare l'accesso, nel formatoPRINCIPAL_TYPE:ID, ad esempiouser:my-user@example.com. Per un elenco completo dei tipi di principali, consulta Identificatori principali.

Esegui il comando gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

Riceverai una risposta YAML con i risultati dell'analisi. Ogni risultato dell'analisi elenca un insieme di accessi, identità e risorse pertinenti alla tua query, seguito dall'associazione del ruolo IAM correlato. Se l'associazione del ruolo è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è CONDITIONAL.

I ruoli dell'entità nella risorsa specificata sono elencati nei campi accesses della risposta. L'esempio seguente mostra una singola analisi risultato con il campo accesses evidenziato.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

Se la richiesta scade prima del termine della query, viene visualizzato un errore DEADLINE_EXCEEDED. Per ottenere più risultati per queste query, scrivi i risultati in BigQuery o Cloud Storage utilizzando la versione di analyze-iam-policy a tempo prolungato. Per istruzioni, consulta Scrivere l'analisi dei criteri in BigQuery o Scrivere l'analisi dei criteri in Cloud Storage.

REST

Per determinare l'accesso di un'entità a una risorsa, utilizza lo strumento analyzeIamPolicy .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
FULL_RESOURCE_NAME: Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco completo dei nomi delle risorse, consulta Nome risorsa standard.
PRINCIPAL: il principale di cui vuoi analizzare l'accesso, nel formatoPRINCIPAL_TYPE:ID, ad esempiouser:my-user@example.com. Per un elenco completo dei tipi di principali, consulta Identificatori principali.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON della richiesta:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorer API (browser)

Riceverai una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive Associazione del ruolo IAM, quindi elenca la risorsa, gli accessi e le entità in l'associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato viene indicato come CONDITIONAL.

I ruoli dell'entità nella risorsa specificata sono elencati nella sezione accesses campi nella risposta. L'esempio seguente mostra una singola analisi risultato con il campo accesses evidenziato.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Determinare le risorse a cui può accedere un'entità

Puoi usare Policy Analyzer per verificare quali risorse all'interno dell'organizzazione per cui un'entità dispone di determinati ruoli o autorizzazioni. Per ottenere queste informazioni, crea una query che includa l'entità di cui vuoi analizzare l'accesso e una o più autorizzazioni o ruoli da verificare.

Console

Nella console Google Cloud, vai alla pagina Analizzatore criteri.

Vai alla pagina dell'Analizzatore criteri
Nella sezione Analisi delle norme, individua il riquadro Query personalizzata e fai clic su Crea query personalizzata in quel riquadro.
Nel campo Seleziona ambito della query, seleziona il progetto, la cartella organizzazione a cui vuoi limitare l'ambito della query. Analizzatore criteri analizzerà l'accesso per il progetto, la cartella o l'organizzazione, nonché per le risorse al loro interno.
Scegli l'entità da controllare e il ruolo o l'autorizzazione da verificare:
1. Nel campo Parametro 1, seleziona Entità dal menu a discesa o dal menu Fogli Google.
2. Nel campo Entità, inizia a digitare il nome di un utente, di un servizio un account o un gruppo di dispositivi. Quindi seleziona l'utente, l'account di servizio o il gruppo che vuoi analizzare dall'elenco di entità fornito.
3. Fai clic su Aggiungi selettore.
4. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona il ruolo o l'autorizzazione che vuoi verificare.
6. (Facoltativo) Per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere Selettori del ruolo e dell'autorizzazione fino a visualizzare tutti i ruoli e le autorizzazioni che vuoi controllare sono elencati.
(Facoltativo) Fai clic su Continua, quindi seleziona eventuali opzioni avanzate. che vuoi abilitare per questa query.
Nel riquadro Query personalizzata, fai clic su Analisi > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le risorse per le quali l'entità specificata ha i ruoli specificati o autorizzazioni.

Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo un minuto, la console Google Cloud interrompe la query e mostra tutti i risultati disponibili. Se non è stata completata nel periodo di tempo indicato, nella console Google Cloud viene visualizzato un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta a BigQuery.

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
PRINCIPAL: il principale di cui vuoi analizzare l'accesso, nel formatoPRINCIPAL_TYPE:ID, ad esempiouser:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori entità.
PERMISSIONS: A un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se elenchi più autorizzazioni, lo strumento di analisi delle norme ne verificherà la presenza.

Esegui la gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: se questo comando utilizza ' per inserire i contenuti tra virgolette, sostituisci queste virgolette singole con virgolette doppie. Se le citazioni sono nidificate, utilizza \" per l'interpretazione letterale tra virgolette.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Ricevi una risposta YAML con i risultati dell'analisi. Ogni risultato dell'analisi elenca un insieme di accessi, identità e risorse pertinenti alla tua query, seguito dall'associazione del ruolo IAM correlato. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è CONDITIONAL.

Le risorse su cui l'entità specificata dispone di una delle autorizzazioni specificate sono elencate nei campi resources della risposta. L'esempio seguente mostra un singolo risultato dell'analisi con il campo resources evidenziato.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Per determinare le risorse a cui può accedere un'entità, utilizza il metodo analyzeIamPolicy dell'API Cloud Asset Inventory.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Solo I criteri di autorizzazione IAM collegati a questa risorsa e ai relativi discendenti verranno analizzati. Progetto Gli ID sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici come 123456789012.
PRINCIPAL: l'entità la cui che vuoi analizzare, sotto forma PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di principali, consulta Identificatori principali.
PERMISSION_1, PERMISSION_2… PERMISSION_N: le autorizzazioni che vuoi verificare, ad esempio compute.instances.get. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON della richiesta:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri pagina di riferimento del metodo. Sul lato destro della pagina si apre il riquadro Explorer API. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila tutti gli altri campi obbligatori e fai clic su Esegui.

Le risorse per le quali l'entità specificata dispone di una qualsiasi delle autorizzazioni specificate sono elencate in i campi resources della risposta. L'esempio seguente mostra una singola analisi risultato con il campo resources evidenziato.

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se la richiesta scade prima del termine della query, viene visualizzato un errore DEADLINE_EXCEEDED. Per ottenere più risultati per queste query, scrivi i risultati in BigQuery o Cloud Storage utilizzando la versione a lunga esecuzione di analyzeIamPolicy. Per istruzioni, consulta Scrivere l'analisi dei criteri in BigQuery o Scrivere l'analisi dei criteri in Cloud Storage.

Stabilisci l'accesso a un orario specifico

Se il contesto è sufficiente, Policy Analyzer può analizzare IAM associazioni di ruoli condizionali, che concedono l'accesso solo in momenti specifici volte. Queste condizioni sono chiamate condizioni di data/ora. Affinché Policy Analyzer analizzi con precisione le associazioni di ruoli con condizioni di data/ora, devi definire l'ora di accesso nella richiesta.

Policy Analyzer può anche analizzare le risorse senza ulteriori input utente. Per Per ulteriori informazioni su come funziona Policy Analyzer con le condizioni, consulta Accesso condizionale.

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
PERMISSIONS: Facoltativa. Un elenco separato da virgole delle autorizzazioni che vuoi verificare, ad esempio compute.instances.get,compute.instances.start. Se elenchi più autorizzazioni, lo strumento di analisi delle norme ne verificherà la presenza.
FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco dei formati dei nomi di risorsa completi, consulta Formato del nome della risorsa:
PERMISSIONS: facoltativo. Un elenco separato da virgole delle autorizzazioni che vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se elenchi più autorizzazioni, Policy Analyzer controllerà le autorizzazioni elencate.
ACCESS_TIME: l'ora che vuoi controllare. L'ora deve essere futura. Utilizza un timestamp in Formato RFC 3339: per ad esempio 2099-02-01T00:00:00Z.

Esegui la gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Se includi la data di accesso nella richiesta, Policy Analyzer può valutare data e ora le condizioni di traffico. Se la condizione restituisce false, il ruolo non è incluso nella risposta. Se la condizione è vera, il risultato della valutazione della condizione è indicato come TRUE.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se la richiesta scade prima del termine della query, ricevi DEADLINE_EXCEEDED errore. Per ottenere più risultati per queste query, scrivi i risultati in BigQuery o Cloud Storage utilizzando la versione di analyze-iam-policy a tempo prolungato. Per istruzioni, consulta Scrivere l'analisi dei criteri in BigQuery o Scrivere l'analisi dei criteri in Cloud Storage.

REST

Per determinare quali entità avranno determinate autorizzazioni su una risorsa in in un determinato momento, utilizza il comando analyzeIamPolicy .

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo della risorsa a cui vuoi limitare la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti verranno analizzati. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud a cui vuoi limitare la ricerca. Verranno analizzati solo i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Progetto Gli ID sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facoltativo. La autorizzazioni che vuoi controllare, ad esempio compute.instances.get. Se elencare più autorizzazioni, Policy Analyzer controllerà se sono presenti autorizzazioni elencate.
FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa per la quale vuoi analizzare l'accesso. Per un elenco dei formati dei nomi di risorsa completi, consulta Formato del nome della risorsa:
PERMISSION_1, PERMISSION_2… PERMISSION_N: facoltativo. Le autorizzazioni che vuoi verificare, ad esempio compute.instances.get. Se elencare più autorizzazioni, Policy Analyzer controllerà se sono presenti autorizzazioni elencate.
ACCESS_TIME: l'ora che vuoi controllare. L'ora deve essere futura. Utilizza un timestamp nel formato RFC 3339, ad esempio 2099-02-01T00:00:00Z.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON della richiesta:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorer API (browser)

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato dell'analisi descrive un'associazione di ruolo IAM pertinente, quindi elenca la risorsa, gli accessi e le entità in quella associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se non è stato possibile valutare la condizione, il risultato è elencato come CONDITIONAL.

Quando includi l'ora di accesso nella richiesta, Policy Analyzer può valutare le condizioni di data/ora. Se la condizione restituisce false, il ruolo non è incluso nella risposta. Se la condizione restituisce true, il valore di valutazione della condizione nella risposta dell'analisi è TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Abilita opzioni

Per ricevere risultati di query più dettagliati, puoi attivare le seguenti opzioni.

Console

Opzione	Descrizione
Elenco delle risorse contenute in quelle che soddisfano i criteri della query	Se attivi questa opzione, i risultati della query elencano fino a 1000 risorse discendenti pertinenti per eventuali risorse principali (progetti, cartelle e organizzazioni) nei risultati della query.
Elenca singoli utenti all'interno dei gruppi	Se attivi questa opzione, tutti i gruppi nei risultati della query vengono espansi in singoli membri. Se disponi di autorizzazioni sufficienti per i gruppi, vengono espansi anche i gruppi nidificati. Questa espansione è limitata a 1000 membri per gruppo. Questa opzione è disponibile solo se non specifichi un principale nella query.
Elenca autorizzazioni all'interno dei ruoli	Se abiliti questa opzione, nei risultati della query verranno elencate tutte le autorizzazioni all'interno di ogni oltre al ruolo stesso. Questa opzione è disponibile solo se non specifichi alcuna autorizzazione o ruoli nella tua query.

Opzione

Descrizione

Elenco delle risorse contenute in quelle che soddisfano i criteri della query

Se attivi questa opzione, i risultati della query elencano fino a 1000 risorse discendenti pertinenti per eventuali risorse principali (progetti, cartelle e organizzazioni) nei risultati della query.

Elenca singoli utenti all'interno dei gruppi

Se attivi questa opzione, tutti i gruppi nei risultati della query vengono espansi in singoli membri. Se disponi di autorizzazioni sufficienti per i gruppi, vengono espansi anche i gruppi nidificati. Questa espansione è limitata a 1000 membri per gruppo.

Questa opzione è disponibile solo se non specifichi un principale nella query.

Elenca autorizzazioni all'interno dei ruoli

Se abiliti questa opzione, nei risultati della query verranno elencate tutte le autorizzazioni all'interno di ogni oltre al ruolo stesso.

Questa opzione è disponibile solo se non specifichi alcuna autorizzazione o ruoli nella tua query.

gcloud

In questa sezione vengono descritti i flag comuni che puoi aggiungere quando utilizzi il comando con gcloud CLI per analizzare i criteri di autorizzazione. Per un elenco completo delle opzioni, vedi Flag facoltativi.

Bandiera	Descrizione
`--analyze-service-account-impersonation`	Se questa opzione è attivata, l'Analizzatore criteri esegue query di analisi aggiuntive per determinare chi può rubare l'identità degli account di servizio che hanno l'accesso specificato alle risorse specificate. L'Analizzatore criteri esegue una query per ogni account di servizio nei risultati della query. Queste query analizzano chi dispone di una delle seguenti autorizzazioni per l'account di servizio: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Si tratta di un'operazione molto costosa, perché esegue automaticamente molte query. Ti consigliamo vivamente di esportare in BigQuery o di esportare in Cloud Storage utilizzando `analyze-iam-policy-longrunning` anziché `analyze-iam-policy`.
`--expand-groups`	Se abiliti questa opzione, tutti i gruppi nei risultati della query vengono espansi singoli membri. Se disponi di autorizzazioni sufficienti per i gruppi, i gruppi nidificati essere ampliato. Questa espansione ha un limite di 1000 membri per gruppo. Questa opzione è efficace solo se non specifichi un principale nella query.
`--expand-resources`	Se abiliti questa opzione, i risultati della query verranno visualizzati 1000 discendenti pertinenti risorse di tutte le risorse padre (progetti, cartelle organizzazioni) nei risultati della query.
`--expand-roles`	Se attivi questa opzione, i risultati della query elencano tutte le autorizzazioni all'interno di ciascun ruolo, oltre al ruolo stesso. Questa opzione è disponibile solo se non specifichi alcuna autorizzazione o ruoli nella tua query.
`--output-group-edges`	Se abiliti questa opzione, i risultati della query mostrano l'appartenenza pertinente relazioni tra gruppi.
`--output-resource-edges`	Se abiliti questa opzione, i risultati della query restituiranno l'elemento principale/secondario pertinente le relazioni tra le risorse.

REST

Per attivare le opzioni, aggiungi prima un campo options alla query di analisi. Ad esempio:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Sostituisci OPTIONS con le opzioni che vuoi attivare, nel formato "OPTION": true. La tabella seguente descrive le opzioni disponibili:

Opzione	Descrizione
`analyzeServiceAccountImpersonation`	Se questa opzione è attivata, l'Analizzatore criteri esegue query di analisi aggiuntive per determinare chi può rubare l'identità degli account di servizio che hanno l'accesso specificato alle risorse specificate. L'Analizzatore criteri esegue una query per ogni account di servizio nei risultati della query. Queste query analizzano chi dispone di una delle seguenti autorizzazioni per l'account di servizio: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Si tratta di un'operazione molto costosa, perché esegue automaticamente molte query. Ti consigliamo vivamente di esportare a BigQuery o esportare in Cloud Storage utilizzando `AnalyzeIamPolicyLongrunning` anziché utilizzare `AnalyzeIamPolicy`,
`expandGroups`	Se attivi questa opzione, tutti i gruppi nei risultati della query vengono espansi in singoli membri. Se disponi di autorizzazioni sufficienti per i gruppi, i gruppi nidificati essere ampliato. Questa espansione è limitata a 1000 membri per gruppo. Questa opzione è efficace solo se non specifichi un principale nella query.
`expandResources`	Se attivi questa opzione, i risultati della query elencano fino a 1000 risorse discendenti pertinenti per eventuali risorse principali (progetti, cartelle e organizzazioni) nei risultati della query.
`expandRoles`	Se abiliti questa opzione, nei risultati della query verranno elencate tutte le autorizzazioni all'interno di ogni oltre al ruolo stesso. Questa opzione è disponibile solo se non specifichi alcuna autorizzazione o ruoli nella tua query.
`outputGroupEdges`	Se abiliti questa opzione, i risultati della query mostrano l'appartenenza pertinente relazioni tra gruppi.
`outputResourceEdges`	Se attivi questa opzione, i risultati della query generano le relazioni principali/secondarie pertinenti tra le risorse.

Passaggi successivi

Scopri come utilizzare AnalyzeIamPolicyLongrunning per scrivere in BigQuery o scrivi Cloud Storage.
Scopri come puoi utilizzare l'API REST per salvare Policy Analysis query.
Esplora gli strumenti per la risoluzione dei problemi di accesso disponibili, che che puoi utilizzare per capire perché un'entità non ha un certo tipo l'accesso.