Peran dan izin

Cloud Asset Inventory menggunakan Identity and Access Management (IAM) untuk kontrol akses. Setiap metode Cloud Asset Inventory API mengharuskan pemanggil memiliki izin yang diperlukan.

Peran

Untuk mendapatkan izin yang Anda perlukan untuk menggunakan metadata aset, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan metadata aset. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan metadata aset:

  • Untuk melihat metadata aset:
    • cloudasset.assets.*
    • recommender.cloudAssetInsights.get
    • recommender.cloudAssetInsights.list
    • serviceusage.services.use
  • Untuk melihat metadata aset dan menggunakan feed:
    • cloudasset.*
    • recommender.cloudAssetInsights.*
    • serviceusage.services.use

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Izin

Tabel berikut berisi daftar izin yang harus dimiliki pemanggil untuk memanggil setiap metode API di Cloud Asset Inventory, atau untuk melakukan tugas menggunakan alat Google Cloud yang menggunakan Cloud Asset Inventory seperti konsol Google Cloud atau gcloud CLI.

Peran Cloud Asset Viewer (roles/cloudasset.viewer) dan Cloud Asset Owner (roles/cloudasset.owner) mencakup banyak izin ini. Jika pemanggil telah diberi salah satu peran ini dan peran Konsumen Penggunaan Layanan (roles/serviceusage.serviceUsageConsumer), mereka mungkin sudah memiliki izin yang diperlukan untuk menggunakan Cloud Asset Inventory.

RPC

Metode Izin yang diperlukan
Semua API
Semua panggilan Inventaris Aset Cloud

Semua panggilan Inventaris Aset Cloud memerlukan izin serviceusage.services.use.

API Analisis

AnalyzeIamPolicy

AnalyzeIamPolicyLongRunning

BatchGetEffectiveIamPolicies

Semua izin berikut:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

AnalyzeMove

cloudasset.assets.analyzeMove

AnalyzeOrgPolicies

AnalyzeOrgPolicyGovernedContainers

Semua izin berikut:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

AnalyzeOrgPolicyGovernedAssets

Semua izin berikut:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory API

BatchGetAssetsHistory

ExportAssets

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportAccessPolicy

    Saat menggunakan jenis konten ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Saat menggunakan jenis konten IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Saat menggunakan jenis konten ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Saat menggunakan jenis konten OS_INVENTORY.

  • cloudasset.assets.exportResource

    Saat menggunakan jenis konten RELATIONSHIP atau RESOURCE.

Saat mengekspor metadata jenis konten yang tidak ditentukan atau RESOURCE, Anda dapat menggunakan izin untuk setiap jenis resource, bukan memberikan izin cloudasset.assets.exportResource ke akun.

ListAssets

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource untuk jenis konten RELATIONSHIP dan RESOURCE.

QueryAssets

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource untuk jenis konten RELATIONSHIP dan RESOURCE.
Feed API

CreateFeed

cloudasset.feeds.create

Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

DeleteFeed

cloudasset.feeds.delete

GetFeed

cloudasset.feeds.get

ListFeed

cloudasset.feeds.list

UpdateFeed

cloudasset.feeds.update

Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API Penelusuran

SearchAllIamPolicies

cloudasset.assets.searchAllIamPolicies

SearchAllResources

cloudasset.assets.searchAllResources

Anda juga memerlukan cloudasset.assets.searchEnrichmentResourceOwners jika menelusuri pengayaan pemilik resource.

REST

Metode Izin yang diperlukan
Semua API
Semua panggilan Inventaris Aset Cloud

Semua panggilan Inventaris Aset Cloud memerlukan izin serviceusage.services.use.

API Analisis

analyzeIamPolicy

analyzeIamPolicyLongRunning

effectiveIamPolicies.batchGet

Semua izin berikut:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

analyzeMove

cloudasset.assets.analyzeMove

analyzeOrgPolicies

analyzeOrgPolicyGovernedContainers

Semua izin berikut:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyzeOrgPolicyGovernedAssets

Semua izin berikut:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory API

batchGetAssetsHistory

exportAssets

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportAccessPolicy

    Saat menggunakan jenis konten ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Saat menggunakan jenis konten IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Saat menggunakan jenis konten ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Saat menggunakan jenis konten OS_INVENTORY.

  • cloudasset.assets.exportResource

    Saat menggunakan jenis konten RELATIONSHIP atau RESOURCE.

Saat mengekspor metadata jenis konten yang tidak ditentukan atau RESOURCE, Anda dapat menggunakan izin untuk setiap jenis resource, bukan memberikan izin cloudasset.assets.exportResource ke akun.

assets.list

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource untuk jenis konten RELATIONSHIP dan RESOURCE.

queryAssets

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource untuk jenis konten RELATIONSHIP dan RESOURCE.
Feed API

feeds.create

cloudasset.feeds.create

Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds.delete

cloudasset.feeds.delete

feeds.get

cloudasset.feeds.get

feeds.list

cloudasset.feeds.list

feeds.patch

cloudasset.feeds.update

Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API Penelusuran

searchAllIamPolicies

cloudasset.assets.searchAllIamPolicies

searchAllResources

cloudasset.assets.searchAllResources

Anda juga memerlukan cloudasset.assets.searchEnrichmentResourceOwners jika menelusuri pengayaan pemilik resource.

gcloud

Pernyataan posisi Izin yang diperlukan
Semua API
Semua panggilan Inventaris Aset Cloud

Semua panggilan Inventaris Aset Cloud memerlukan izin serviceusage.services.use.

API Analisis

analyze-iam-policy

analyze-iam-policy-longrunning

get-effective-iam-policy

Semua izin berikut:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

analyze-move

cloudasset.assets.analyzeMove

analyze-org-policies

analyze-org-policy-governed-containers

Semua izin berikut:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyze-org-policy-governed-assets

Semua izin berikut:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory API

get-history

export

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportAccessPolicy

    Saat menggunakan jenis konten ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Saat menggunakan jenis konten IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Saat menggunakan jenis konten ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Saat menggunakan jenis konten OS_INVENTORY.

  • cloudasset.assets.exportResource

    Saat menggunakan jenis konten RELATIONSHIP atau RESOURCE.

Saat mengekspor metadata jenis konten yang tidak ditentukan atau RESOURCE, Anda dapat menggunakan izin untuk setiap jenis resource, bukan memberikan izin cloudasset.assets.exportResource ke akun.

list

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource untuk jenis konten RELATIONSHIP dan RESOURCE.

query

Salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource untuk jenis konten RELATIONSHIP dan RESOURCE.
Feed API

feeds create

cloudasset.feeds.create

Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds delete

cloudasset.feeds.delete

feeds describe

cloudasset.feeds.get

feeds list

cloudasset.feeds.list

feeds update

cloudasset.feeds.update

Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API Penelusuran

search-all-iam-policies

cloudasset.assets.searchAllIamPolicies

search-all-resources

cloudasset.assets.searchAllResources

Anda juga memerlukan cloudasset.assets.searchEnrichmentResourceOwners jika menelusuri pengayaan pemilik resource.

Izin ekspor untuk setiap jenis resource

Memberikan izin cloudasset.assets.exportResource kepada pengguna memungkinkan mereka mengekspor semua jenis resource. Untuk membatasi jenis resource yang dapat diekspor pengguna, Anda dapat memberikan izin untuk setiap jenis resource.

Misalnya, memberikan cloudasset.assets.exportComputeDisks kepada pengguna berarti mereka tidak dapat mengekspor apa pun kecuali jenis resource compute.googleapis.com/Disk.

Izin ekspor resource hanya berlaku untuk RESOURCE dan jenis konten yang tidak ditentukan.

Layanan Jenis resource Izin ekspor resource
App Engine appengine.googleapis.com/Application cloudasset.assets.exportAppengineApplications
appengine.googleapis.com/Service cloudasset.assets.exportAppengineServices
appengine.googleapis.com/Version cloudasset.assets.exportAppengineVersions
BigQuery bigquery.googleapis.com/Dataset cloudasset.assets.exportBigqueryDatasets
bigquery.googleapis.com/Table cloudasset.assets.exportBigqueryTables
Bigtable bigtableadmin.googleapis.com/Cluster cloudasset.assets.exportBigtableCluster
bigtableadmin.googleapis.com/Instance cloudasset.assets.exportBigtableInstance
bigtableadmin.googleapis.com/Table cloudasset.assets.exportBigtableTable
Penagihan Cloud cloudbilling.googleapis.com/BillingAccount cloudasset.assets.exportCloudbillingBillingAccounts
Cloud DNS dns.googleapis.com/ManagedZone cloudasset.assets.exportDnsManagedZones
dns.googleapis.com/Policy cloudasset.assets.exportDnsPolicies
Cloud Key Management Service cloudkms.googleapis.com/CryptoKey cloudasset.assets.exportCloudkmsCryptoKeys
cloudkms.googleapis.com/CryptoKeyVersion cloudasset.assets.exportCloudkmsCryptoKeyVersions
cloudkms.googleapis.com/ImportJob cloudasset.assets.exportCloudkmsImportJobs
cloudkms.googleapis.com/KeyRing cloudasset.assets.exportCloudkmsKeyRings
Cloud OS Config osconfig.googleapis.com/PatchDeployment cloudasset.assets.exportPatchDeployments
Spanner spanner.googleapis.com/Backup cloudasset.assets.exportSpannerBackups
spanner.googleapis.com/Database cloudasset.assets.exportSpannerDatabases
spanner.googleapis.com/Instance cloudasset.assets.exportSpannerInstances
Cloud SQL sqladmin.googleapis.com/Instance cloudasset.assets.exportSqladminInstances
Cloud Storage storage.googleapis.com/Bucket cloudasset.assets.exportStorageBuckets
Compute Engine compute.googleapis.com/Address cloudasset.assets.exportComputeAddress
compute.googleapis.com/Autoscaler cloudasset.assets.exportComputeAutoscalers
compute.googleapis.com/BackendBucket cloudasset.assets.exportComputeBackendBuckets
compute.googleapis.com/BackendService cloudasset.assets.exportComputeBackendServices
compute.googleapis.com/Disk cloudasset.assets.exportComputeDisks
compute.googleapis.com/Firewall cloudasset.assets.exportComputeFirewalls
compute.googleapis.com/ForwardingRule cloudasset.assets.exportComputeForwardingRules
compute.googleapis.com/GlobalAddress cloudasset.assets.exportComputeGlobalAddress
compute.googleapis.com/HealthCheck cloudasset.assets.exportComputeHealthChecks
compute.googleapis.com/HttpHealthCheck cloudasset.assets.exportComputeHttpHealthChecks
compute.googleapis.com/HttpsHealthCheck cloudasset.assets.exportComputeHttpsHealthChecks
compute.googleapis.com/Image cloudasset.assets.exportComputeImages
compute.googleapis.com/Instance cloudasset.assets.exportComputeInstances
compute.googleapis.com/InstanceGroup cloudasset.assets.exportComputeInstanceGroups
compute.googleapis.com/InstanceGroupManager cloudasset.assets.exportComputeInstanceGroupManagers
compute.googleapis.com/InstanceTemplate cloudasset.assets.exportComputeInstanceTemplates
compute.googleapis.com/Interconnect cloudasset.assets.exportComputeInterconnect
compute.googleapis.com/InterconnectAttachment cloudasset.assets.exportComputeInterconnectAttachment
compute.googleapis.com/License cloudasset.assets.exportComputeLicenses
compute.googleapis.com/Network cloudasset.assets.exportComputeNetworks
compute.googleapis.com/Project cloudasset.assets.exportComputeProjects
compute.googleapis.com/RegionDisk cloudasset.assets.exportComputeRegionDisk
compute.googleapis.com/Route cloudasset.assets.exportComputeRoutes
compute.googleapis.com/Router cloudasset.assets.exportComputeRouters
compute.googleapis.com/Snapshot cloudasset.assets.exportComputeSnapshots
compute.googleapis.com/SslCertificate cloudasset.assets.exportComputeSslCertificates
compute.googleapis.com/Subnetwork cloudasset.assets.exportComputeSubnetworks
compute.googleapis.com/TargetHttpProxy cloudasset.assets.exportComputeTargetHttpProxies
compute.googleapis.com/TargetHttpsProxy cloudasset.assets.exportComputeTargetHttpsProxies
compute.googleapis.com/TargetInstance cloudasset.assets.exportComputeTargetInstances
compute.googleapis.com/TargetPool cloudasset.assets.exportComputeTargetPools
compute.googleapis.com/TargetTcpProxy cloudasset.assets.exportComputeTargetTcpProxies
compute.googleapis.com/TargetSslProxy cloudasset.assets.exportComputeTargetSslProxies
compute.googleapis.com/TargetVpnGateway cloudasset.assets.exportComputeTargetVpnGateways
compute.googleapis.com/UrlMap cloudasset.assets.exportComputeUrlMaps
compute.googleapis.com/VpnTunnel cloudasset.assets.exportComputeVpnTunnels
Dataproc dataproc.googleapis.com/Cluster cloudasset.assets.exportDataprocClusters
dataproc.googleapis.com/Job cloudasset.assets.exportDataprocJobs
Google Kubernetes Engine container.googleapis.com/Cluster cloudasset.assets.exportContainerClusters
container.googleapis.com/NodePool cloudasset.assets.exportContainerNodepool
k8s.io/Namespace cloudasset.assets.exportContainerNamespace
k8s.io/Node cloudasset.assets.exportContainerNode
k8s.io/Pod cloudasset.assets.exportContainerPod
rbac.authorization.k8s.io/ClusterRole cloudasset.assets.exportContainerClusterrole
rbac.authorization.k8s.io/ClusterRoleBinding cloudasset.assets.exportContainerClusterrolebinding
rbac.authorization.k8s.io/Role cloudasset.assets.exportContainerRole
rbac.authorization.k8s.io/RoleBinding cloudasset.assets.exportContainerRolebinding
IAM iam.googleapis.com/Role cloudasset.assets.exportIamRoles
iam.googleapis.com/ServiceAccount cloudasset.assets.exportIamServiceAccounts
Pub/Sub pubsub.googleapis.com/Subscription cloudasset.assets.exportPubsubSubscriptions
pubsub.googleapis.com/Topic cloudasset.assets.exportPubsubTopics
Resource Manager cloudresourcemanager.googleapis.com/Folder cloudasset.assets.exportCloudresourcemanagerFolders
cloudresourcemanager.googleapis.com/Organization cloudasset.assets.exportCloudresourcemanagerOrganizations
cloudresourcemanager.googleapis.com/Project cloudasset.assets.exportCloudresourcemanagerProjects

Kontrol Layanan VPC

Kontrol Layanan VPC dapat digunakan dengan Cloud Asset Inventory untuk memberikan keamanan tambahan bagi aset Anda. Untuk mempelajari Kontrol Layanan VPC lebih lanjut, lihat Ringkasan Kontrol Layanan VPC.

Untuk mempelajari batasan dalam menggunakan Inventaris Aset Cloud dengan Kontrol Layanan VPC, lihat produk dan batasan yang didukung.