Questa pagina è stata tradotta dall'API Cloud Translation.

Ruoli e autorizzazioni

Cloud Asset Inventory utilizza Identity and Access Management (IAM) per il controllo degli accessi. Ogni metodo dell'API Cloud Asset Inventory prevede che chi effettua la chiamata debba disporre delle autorizzazioni necessarie.

Ruoli

Per ottenere le autorizzazioni necessarie per lavorare con i metadati delle risorse, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione, nella cartella o nel progetto:

Per visualizzare i metadati della risorsa:
- Cloud Asset Viewer (roles/cloudasset.viewer)
- Consumatore di utilizzo del servizio (roles/serviceusage.serviceUsageConsumer)
Per visualizzare i metadati delle risorse e utilizzare i feed:
- Proprietario della risorsa cloud (roles/cloudasset.owner)
- Consumatore di utilizzo del servizio (roles/serviceusage.serviceUsageConsumer)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per lavorare con i metadati delle risorse. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per lavorare con i metadati delle risorse sono necessarie le seguenti autorizzazioni:

Per visualizzare i metadati della risorsa:
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
Per visualizzare i metadati delle risorse e utilizzare i feed:
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Autorizzazioni

La tabella seguente elenca le autorizzazioni che l'utente che chiama deve disporre per chiamare ogni metodo dell'API in Cloud Asset Inventory o per eseguire attività utilizzando gli strumenti Google Cloud che utilizzano Cloud Asset Inventory, come la console Google Cloud o lgcloud CLI.

I ruoli Visualizzatore di asset cloud (roles/cloudasset.viewer) e Proprietario asset cloud (roles/cloudasset.owner) includono molte di queste autorizzazioni. Se all'utente che ha effettuato l'accesso è stato concesso uno di questi ruoli e il ruolo Consumer servizi (roles/serviceusage.serviceUsageConsumer), potrebbe già disporre delle autorizzazioni necessarie per utilizzare l'Cloud Asset Inventory.

RPC

Metodo	Autorizzazioni obbligatorie
Tutte le API
Tutte le chiamate di Cloud Asset Inventory	Tutte le chiamate a Cloud Asset Inventory richiedono l'autorizzazione `serviceusage.services.use`.
API di analisi
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
API di inventario
`BatchGetAssetsHistory` `ExportAssets`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportAccessPolicy` Quando utilizzi il tipo di contenuti `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Quando utilizzi il tipo di contenuti `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Quando utilizzi il tipo di contenuti `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Quando utilizzi il tipo di contenuti `OS_INVENTORY`. `cloudasset.assets.exportResource` Quando utilizzi i tipi di contenuti `RELATIONSHIP` o `RESOURCE`. Quando esporti i metadati di un tipo di contenuto non specificato o `RESOURCE`, anziché concedere l'autorizzazione `cloudasset.assets.exportResource` a un account, puoi utilizzare le autorizzazioni per ogni tipo di risorsa.
`ListAssets`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` per i tipi di contenuti `RELATIONSHIP` e `RESOURCE`.
`QueryAssets`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` sia per i tipi di contenuti `RELATIONSHIP` sia per quelli `RESOURCE`.
API di feed
`CreateFeed`	`cloudasset.feeds.create` Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API di ricerca
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` Inoltre, hai bisogno di `cloudasset.assets.searchEnrichmentResourceOwners` se stai cercando l'arricchimento del proprietario della risorsa.

REST

Metodo	Autorizzazioni obbligatorie
Tutte le API
Tutte le chiamate di Cloud Asset Inventory	Tutte le chiamate a Cloud Asset Inventory richiedono l'autorizzazione `serviceusage.services.use`.
API di analisi
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
API di inventario
`batchGetAssetsHistory` `exportAssets`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportAccessPolicy` Quando utilizzi il tipo di contenuti `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Quando utilizzi il tipo di contenuti `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Quando utilizzi il tipo di contenuti `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Quando utilizzi il tipo di contenuti `OS_INVENTORY`. `cloudasset.assets.exportResource` Quando utilizzi i tipi di contenuti `RELATIONSHIP` o `RESOURCE`. Quando esporti i metadati di un tipo di contenuto non specificato o `RESOURCE`, anziché concedere l'autorizzazione `cloudasset.assets.exportResource` a un account, puoi utilizzare le autorizzazioni per ogni tipo di risorsa.
`assets.list`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` per i tipi di contenuti `RELATIONSHIP` e `RESOURCE`.
`queryAssets`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` sia per i tipi di contenuti `RELATIONSHIP` sia per quelli `RESOURCE`.
API di feed
`feeds.create`	`cloudasset.feeds.create` Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API di ricerca
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` Inoltre, hai bisogno di `cloudasset.assets.searchEnrichmentResourceOwners` se stai cercando l'arricchimento del proprietario della risorsa.

gcloud

Dichiarazione di posizionamento	Autorizzazioni obbligatorie
Tutte le API
Tutte le chiamate di Cloud Asset Inventory	Tutte le chiamate a Cloud Asset Inventory richiedono l'autorizzazione `serviceusage.services.use`.
API di analisi
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Tutte le seguenti autorizzazioni: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
API di inventario
`get-history` `export`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportAccessPolicy` Quando utilizzi il tipo di contenuti `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Quando utilizzi il tipo di contenuti `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Quando utilizzi il tipo di contenuti `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Quando utilizzi il tipo di contenuti `OS_INVENTORY`. `cloudasset.assets.exportResource` Quando utilizzi i tipi di contenuti `RELATIONSHIP` o `RESOURCE`. Quando esporti i metadati di un tipo di contenuto non specificato o `RESOURCE`, anziché concedere l'autorizzazione `cloudasset.assets.exportResource` a un account, puoi utilizzare le autorizzazioni per ogni tipo di risorsa.
`list`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` per i tipi di contenuti `RELATIONSHIP` e `RESOURCE`.
`query`	Una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` sia per i tipi di contenuti `RELATIONSHIP` sia per quelli `RESOURCE`.
API di feed
`feeds create`	`cloudasset.feeds.create` Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` Devi anche disporre di una delle seguenti autorizzazioni, a seconda del tipo di contenuti: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API di ricerca
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` Inoltre, hai bisogno di `cloudasset.assets.searchEnrichmentResourceOwners` se stai cercando l'arricchimento del proprietario della risorsa.

Autorizzazioni di esportazione per ogni tipo di risorsa

La concessione dell'autorizzazione cloudasset.assets.exportResource a un utente consente di esportare tutti i tipi di risorse. Per limitare i tipi di risorse che un utente può esportare, puoi concedere le autorizzazioni per ogni tipo di risorsa.

Ad esempio, se concedi a un utente il ruolo cloudasset.assets.exportComputeDisks, questo non potrà esportare nulla, tranne il tipo di risorsa compute.googleapis.com/Disk.

Le autorizzazioni di esportazione delle risorse si applicano solo ai RESOURCE e ai tipi di contenuti non specificati.

Servizio	Tipo di risorsa	Autorizzazione di esportazione delle risorse
App Engine	`appengine.googleapis.com/Application`	`cloudasset.assets.exportAppengineApplications`
	`appengine.googleapis.com/Service`	`cloudasset.assets.exportAppengineServices`
	`appengine.googleapis.com/Version`	`cloudasset.assets.exportAppengineVersions`
BigQuery	`bigquery.googleapis.com/Dataset`	`cloudasset.assets.exportBigqueryDatasets`
BigQuery	`bigquery.googleapis.com/Table`	`cloudasset.assets.exportBigqueryTables`
Bigtable	`bigtableadmin.googleapis.com/Cluster`	`cloudasset.assets.exportBigtableCluster`
	`bigtableadmin.googleapis.com/Instance`	`cloudasset.assets.exportBigtableInstance`
	`bigtableadmin.googleapis.com/Table`	`cloudasset.assets.exportBigtableTable`
Cloud Billing	`cloudbilling.googleapis.com/BillingAccount`	`cloudasset.assets.exportCloudbillingBillingAccounts`
Cloud DNS	`dns.googleapis.com/ManagedZone`	`cloudasset.assets.exportDnsManagedZones`
Cloud DNS	`dns.googleapis.com/Policy`	`cloudasset.assets.exportDnsPolicies`
Cloud Key Management Service	`cloudkms.googleapis.com/CryptoKey`	`cloudasset.assets.exportCloudkmsCryptoKeys`
	`cloudkms.googleapis.com/CryptoKeyVersion`	`cloudasset.assets.exportCloudkmsCryptoKeyVersions`
	`cloudkms.googleapis.com/ImportJob`	`cloudasset.assets.exportCloudkmsImportJobs`
	`cloudkms.googleapis.com/KeyRing`	`cloudasset.assets.exportCloudkmsKeyRings`
Cloud OS Config	`osconfig.googleapis.com/PatchDeployment`	`cloudasset.assets.exportPatchDeployments`
Spanner	`spanner.googleapis.com/Backup`	`cloudasset.assets.exportSpannerBackups`
	`spanner.googleapis.com/Database`	`cloudasset.assets.exportSpannerDatabases`
	`spanner.googleapis.com/Instance`	`cloudasset.assets.exportSpannerInstances`
Cloud SQL	`sqladmin.googleapis.com/Instance`	`cloudasset.assets.exportSqladminInstances`
Cloud Storage	`storage.googleapis.com/Bucket`	`cloudasset.assets.exportStorageBuckets`
Compute Engine	`compute.googleapis.com/Address`	`cloudasset.assets.exportComputeAddress`
	`compute.googleapis.com/Autoscaler`	`cloudasset.assets.exportComputeAutoscalers`
	`compute.googleapis.com/BackendBucket`	`cloudasset.assets.exportComputeBackendBuckets`
	`compute.googleapis.com/BackendService`	`cloudasset.assets.exportComputeBackendServices`
	`compute.googleapis.com/Disk`	`cloudasset.assets.exportComputeDisks`
	`compute.googleapis.com/Firewall`	`cloudasset.assets.exportComputeFirewalls`
	`compute.googleapis.com/ForwardingRule`	`cloudasset.assets.exportComputeForwardingRules`
	`compute.googleapis.com/GlobalAddress`	`cloudasset.assets.exportComputeGlobalAddress`
	`compute.googleapis.com/HealthCheck`	`cloudasset.assets.exportComputeHealthChecks`
	`compute.googleapis.com/HttpHealthCheck`	`cloudasset.assets.exportComputeHttpHealthChecks`
	`compute.googleapis.com/HttpsHealthCheck`	`cloudasset.assets.exportComputeHttpsHealthChecks`
	`compute.googleapis.com/Image`	`cloudasset.assets.exportComputeImages`
	`compute.googleapis.com/Instance`	`cloudasset.assets.exportComputeInstances`
	`compute.googleapis.com/InstanceGroup`	`cloudasset.assets.exportComputeInstanceGroups`
	`compute.googleapis.com/InstanceGroupManager`	`cloudasset.assets.exportComputeInstanceGroupManagers`
	`compute.googleapis.com/InstanceTemplate`	`cloudasset.assets.exportComputeInstanceTemplates`
	`compute.googleapis.com/Interconnect`	`cloudasset.assets.exportComputeInterconnect`
	`compute.googleapis.com/InterconnectAttachment`	`cloudasset.assets.exportComputeInterconnectAttachment`
	`compute.googleapis.com/License`	`cloudasset.assets.exportComputeLicenses`
	`compute.googleapis.com/Network`	`cloudasset.assets.exportComputeNetworks`
	`compute.googleapis.com/Project`	`cloudasset.assets.exportComputeProjects`
	`compute.googleapis.com/RegionDisk`	`cloudasset.assets.exportComputeRegionDisk`
	`compute.googleapis.com/Route`	`cloudasset.assets.exportComputeRoutes`
	`compute.googleapis.com/Router`	`cloudasset.assets.exportComputeRouters`
	`compute.googleapis.com/Snapshot`	`cloudasset.assets.exportComputeSnapshots`
	`compute.googleapis.com/SslCertificate`	`cloudasset.assets.exportComputeSslCertificates`
	`compute.googleapis.com/Subnetwork`	`cloudasset.assets.exportComputeSubnetworks`
	`compute.googleapis.com/TargetHttpProxy`	`cloudasset.assets.exportComputeTargetHttpProxies`
	`compute.googleapis.com/TargetHttpsProxy`	`cloudasset.assets.exportComputeTargetHttpsProxies`
	`compute.googleapis.com/TargetInstance`	`cloudasset.assets.exportComputeTargetInstances`
	`compute.googleapis.com/TargetPool`	`cloudasset.assets.exportComputeTargetPools`
	`compute.googleapis.com/TargetTcpProxy`	`cloudasset.assets.exportComputeTargetTcpProxies`
	`compute.googleapis.com/TargetSslProxy`	`cloudasset.assets.exportComputeTargetSslProxies`
	`compute.googleapis.com/TargetVpnGateway`	`cloudasset.assets.exportComputeTargetVpnGateways`
	`compute.googleapis.com/UrlMap`	`cloudasset.assets.exportComputeUrlMaps`
	`compute.googleapis.com/VpnTunnel`	`cloudasset.assets.exportComputeVpnTunnels`
Dataproc	`dataproc.googleapis.com/Cluster`	`cloudasset.assets.exportDataprocClusters`
Dataproc	`dataproc.googleapis.com/Job`	`cloudasset.assets.exportDataprocJobs`
Google Kubernetes Engine	`container.googleapis.com/Cluster`	`cloudasset.assets.exportContainerClusters`
	`container.googleapis.com/NodePool`	`cloudasset.assets.exportContainerNodepool`
	`k8s.io/Namespace`	`cloudasset.assets.exportContainerNamespace`
	`k8s.io/Node`	`cloudasset.assets.exportContainerNode`
	`k8s.io/Pod`	`cloudasset.assets.exportContainerPod`
	`rbac.authorization.k8s.io/ClusterRole`	`cloudasset.assets.exportContainerClusterrole`
	`rbac.authorization.k8s.io/ClusterRoleBinding`	`cloudasset.assets.exportContainerClusterrolebinding`
	`rbac.authorization.k8s.io/Role`	`cloudasset.assets.exportContainerRole`
	`rbac.authorization.k8s.io/RoleBinding`	`cloudasset.assets.exportContainerRolebinding`
IAM	`iam.googleapis.com/Role`	`cloudasset.assets.exportIamRoles`
IAM	`iam.googleapis.com/ServiceAccount`	`cloudasset.assets.exportIamServiceAccounts`
Pub/Sub	`pubsub.googleapis.com/Subscription`	`cloudasset.assets.exportPubsubSubscriptions`
Pub/Sub	`pubsub.googleapis.com/Topic`	`cloudasset.assets.exportPubsubTopics`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder`	`cloudasset.assets.exportCloudresourcemanagerFolders`
	`cloudresourcemanager.googleapis.com/Organization`	`cloudasset.assets.exportCloudresourcemanagerOrganizations`
	`cloudresourcemanager.googleapis.com/Project`	`cloudasset.assets.exportCloudresourcemanagerProjects`

Controlli di servizio VPC

I Controlli di servizio VPC possono essere utilizzati con Cloud Asset Inventory per fornire una maggiore sicurezza per le risorse. Per scoprire di più sui Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.

Per informazioni sulle limitazioni relative all'utilizzo di Cloud Asset Inventory con i Controlli di servizio VPC, consulta Prodotti supportati e limitazioni.