Halaman ini diterjemahkan oleh Cloud Translation API.

Peran dan izin

Cloud Asset Inventory menggunakan Identity and Access Management (IAM) untuk kontrol akses. Setiap metode API Inventaris Aset Cloud mengharuskan pemanggil untuk memiliki izin akses.

Peran

Untuk mendapatkan izin yang diperlukan untuk bekerja dengan metadata aset, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project:

Untuk melihat metadata aset: Cloud Asset Viewer (roles/cloudasset.viewer)
Untuk melihat metadata aset dan menggunakan feed: Cloud Asset Owner (roles/cloudasset.owner)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan metadata aset. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan metadata aset:

Untuk melihat metadata aset:
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
Untuk melihat metadata aset dan menggunakan feed:
- cloudasset.*
- recommender.cloudAssetInsights.*

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Izin

Tabel berikut berisi daftar izin yang harus dimiliki pemanggil untuk memanggil setiap metode API di Cloud Asset Inventory, atau untuk melakukan tugas menggunakan alat Google Cloud yang menggunakan Cloud Asset Inventory seperti konsol Google Cloud atau gcloud CLI.

Cloud Asset Viewer (roles/cloudasset.viewer) dan Pemilik Aset Cloud (roles/cloudasset.owner) peran mencakup banyak dari peran berikut — jika pemanggil telah diberi salah satu peran ini, mereka mungkin sudah memiliki izin yang diperlukan untuk menggunakan Inventaris Aset Cloud.

RPC

Metode	Izin yang diperlukan
API Analisis
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Semua izin berikut: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory API
`BatchGetAssetsHistory` `ExportAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportAccessPolicy` Saat menggunakan jenis konten `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Saat menggunakan jenis konten `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Saat menggunakan jenis konten `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Saat menggunakan jenis konten `OS_INVENTORY`. `cloudasset.assets.exportResource` Saat menggunakan jenis konten `RELATIONSHIP` atau `RESOURCE`. Saat mengekspor metadata jenis konten yang tidak ditentukan atau `RESOURCE`, Anda dapat menggunakan izin untuk setiap jenis resource, bukan memberikan izin `cloudasset.assets.exportResource` ke akun.
`ListAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
`QueryAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
API Feed
`CreateFeed`	`cloudasset.feeds.create` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Penelusuran
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` Anda juga memerlukan `cloudasset.assets.searchEnrichmentResourceOwners` jika mencari pengayaan pemilik resource.

REST

Metode	Izin yang diperlukan
API Analisis
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Semua izin berikut: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory API
`batchGetAssetsHistory` `exportAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportAccessPolicy` Saat menggunakan jenis konten `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Saat menggunakan jenis konten `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Saat menggunakan jenis konten `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Saat menggunakan jenis konten `OS_INVENTORY`. `cloudasset.assets.exportResource` Saat menggunakan jenis konten `RELATIONSHIP` atau `RESOURCE`. Saat mengekspor metadata jenis konten `RESOURCE` atau yang tidak ditentukan, untuk memberikan `cloudasset.assets.exportResource` izin akses ke sebuah akun, Anda dapat menggunakan izin untuk setiap jenis resource.
`assets.list`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` untuk Jenis konten `RELATIONSHIP` dan `RESOURCE`.
`queryAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` untuk kedua Jenis konten `RELATIONSHIP` dan `RESOURCE`.
API Feed
`feeds.create`	`cloudasset.feeds.create` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Penelusuran
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` Anda juga memerlukan `cloudasset.assets.searchEnrichmentResourceOwners` jika mencari pengayaan pemilik resource.

gcloud

Pernyataan posisi	Izin yang diperlukan
API Analisis
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Semua izin berikut: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
API Inventaris
`get-history` `export`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportAccessPolicy` Saat menggunakan jenis konten `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Saat menggunakan jenis konten `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Saat menggunakan jenis konten `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Saat menggunakan jenis konten `OS_INVENTORY`. `cloudasset.assets.exportResource` Saat menggunakan jenis konten `RELATIONSHIP` atau `RESOURCE`. Saat mengekspor metadata jenis konten `RESOURCE` atau yang tidak ditentukan, untuk memberikan `cloudasset.assets.exportResource` izin akses ke sebuah akun, Anda dapat menggunakan izin untuk setiap jenis resource.
`list`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
`query`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
Feed API
`feeds create`	`cloudasset.feeds.create` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Penelusuran
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` Anda juga memerlukan `cloudasset.assets.searchEnrichmentResourceOwners` jika mencari pengayaan pemilik resource.

Izin ekspor untuk setiap jenis resource

Memberikan izin cloudasset.assets.exportResource kepada pengguna memungkinkan mereka mengekspor semua jenis resource. Untuk membatasi jenis resource yang dapat diekspor pengguna, Anda dapat memberikan izin untuk setiap jenis resource.

Misalnya, memberi pengguna cloudasset.assets.exportComputeDisks berarti dia tidak dapat mengekspor apa pun kecuali jenis resource compute.googleapis.com/Disk.

Izin ekspor resource hanya berlaku untuk RESOURCE dan jenis konten yang tidak ditentukan.

Layanan	Jenis resource	Izin ekspor resource
App Engine	`appengine.googleapis.com/Application`	`cloudasset.assets.exportAppengineApplications`
	`appengine.googleapis.com/Service`	`cloudasset.assets.exportAppengineServices`
	`appengine.googleapis.com/Version`	`cloudasset.assets.exportAppengineVersions`
BigQuery	`bigquery.googleapis.com/Dataset`	`cloudasset.assets.exportBigqueryDatasets`
BigQuery	`bigquery.googleapis.com/Table`	`cloudasset.assets.exportBigqueryTables`
Bigtable	`bigtableadmin.googleapis.com/Cluster`	`cloudasset.assets.exportBigtableCluster`
	`bigtableadmin.googleapis.com/Instance`	`cloudasset.assets.exportBigtableInstance`
	`bigtableadmin.googleapis.com/Table`	`cloudasset.assets.exportBigtableTable`
Penagihan Cloud	`cloudbilling.googleapis.com/BillingAccount`	`cloudasset.assets.exportCloudbillingBillingAccounts`
Cloud DNS	`dns.googleapis.com/ManagedZone`	`cloudasset.assets.exportDnsManagedZones`
Cloud DNS	`dns.googleapis.com/Policy`	`cloudasset.assets.exportDnsPolicies`
Cloud Key Management Service	`cloudkms.googleapis.com/CryptoKey`	`cloudasset.assets.exportCloudkmsCryptoKeys`
	`cloudkms.googleapis.com/CryptoKeyVersion`	`cloudasset.assets.exportCloudkmsCryptoKeyVersions`
	`cloudkms.googleapis.com/ImportJob`	`cloudasset.assets.exportCloudkmsImportJobs`
	`cloudkms.googleapis.com/KeyRing`	`cloudasset.assets.exportCloudkmsKeyRings`
Konfigurasi Cloud OS	`osconfig.googleapis.com/PatchDeployment`	`cloudasset.assets.exportPatchDeployments`
Spanner	`spanner.googleapis.com/Backup`	`cloudasset.assets.exportSpannerBackups`
	`spanner.googleapis.com/Database`	`cloudasset.assets.exportSpannerDatabases`
	`spanner.googleapis.com/Instance`	`cloudasset.assets.exportSpannerInstances`
Cloud SQL	`sqladmin.googleapis.com/Instance`	`cloudasset.assets.exportSqladminInstances`
Cloud Storage	`storage.googleapis.com/Bucket`	`cloudasset.assets.exportStorageBuckets`
Compute Engine	`compute.googleapis.com/Address`	`cloudasset.assets.exportComputeAddress`
	`compute.googleapis.com/Autoscaler`	`cloudasset.assets.exportComputeAutoscalers`
	`compute.googleapis.com/BackendBucket`	`cloudasset.assets.exportComputeBackendBuckets`
	`compute.googleapis.com/BackendService`	`cloudasset.assets.exportComputeBackendServices`
	`compute.googleapis.com/Disk`	`cloudasset.assets.exportComputeDisks`
	`compute.googleapis.com/Firewall`	`cloudasset.assets.exportComputeFirewalls`
	`compute.googleapis.com/ForwardingRule`	`cloudasset.assets.exportComputeForwardingRules`
	`compute.googleapis.com/GlobalAddress`	`cloudasset.assets.exportComputeGlobalAddress`
	`compute.googleapis.com/HealthCheck`	`cloudasset.assets.exportComputeHealthChecks`
	`compute.googleapis.com/HttpHealthCheck`	`cloudasset.assets.exportComputeHttpHealthChecks`
	`compute.googleapis.com/HttpsHealthCheck`	`cloudasset.assets.exportComputeHttpsHealthChecks`
	`compute.googleapis.com/Image`	`cloudasset.assets.exportComputeImages`
	`compute.googleapis.com/Instance`	`cloudasset.assets.exportComputeInstances`
	`compute.googleapis.com/InstanceGroup`	`cloudasset.assets.exportComputeInstanceGroups`
	`compute.googleapis.com/InstanceGroupManager`	`cloudasset.assets.exportComputeInstanceGroupManagers`
	`compute.googleapis.com/InstanceTemplate`	`cloudasset.assets.exportComputeInstanceTemplates`
	`compute.googleapis.com/Interconnect`	`cloudasset.assets.exportComputeInterconnect`
	`compute.googleapis.com/InterconnectAttachment`	`cloudasset.assets.exportComputeInterconnectAttachment`
	`compute.googleapis.com/License`	`cloudasset.assets.exportComputeLicenses`
	`compute.googleapis.com/Network`	`cloudasset.assets.exportComputeNetworks`
	`compute.googleapis.com/Project`	`cloudasset.assets.exportComputeProjects`
	`compute.googleapis.com/RegionDisk`	`cloudasset.assets.exportComputeRegionDisk`
	`compute.googleapis.com/Route`	`cloudasset.assets.exportComputeRoutes`
	`compute.googleapis.com/Router`	`cloudasset.assets.exportComputeRouters`
	`compute.googleapis.com/Snapshot`	`cloudasset.assets.exportComputeSnapshots`
	`compute.googleapis.com/SslCertificate`	`cloudasset.assets.exportComputeSslCertificates`
	`compute.googleapis.com/Subnetwork`	`cloudasset.assets.exportComputeSubnetworks`
	`compute.googleapis.com/TargetHttpProxy`	`cloudasset.assets.exportComputeTargetHttpProxies`
	`compute.googleapis.com/TargetHttpsProxy`	`cloudasset.assets.exportComputeTargetHttpsProxies`
	`compute.googleapis.com/TargetInstance`	`cloudasset.assets.exportComputeTargetInstances`
	`compute.googleapis.com/TargetPool`	`cloudasset.assets.exportComputeTargetPools`
	`compute.googleapis.com/TargetTcpProxy`	`cloudasset.assets.exportComputeTargetTcpProxies`
	`compute.googleapis.com/TargetSslProxy`	`cloudasset.assets.exportComputeTargetSslProxies`
	`compute.googleapis.com/TargetVpnGateway`	`cloudasset.assets.exportComputeTargetVpnGateways`
	`compute.googleapis.com/UrlMap`	`cloudasset.assets.exportComputeUrlMaps`
	`compute.googleapis.com/VpnTunnel`	`cloudasset.assets.exportComputeVpnTunnels`
Dataproc	`dataproc.googleapis.com/Cluster`	`cloudasset.assets.exportDataprocClusters`
Dataproc	`dataproc.googleapis.com/Job`	`cloudasset.assets.exportDataprocJobs`
Google Kubernetes Engine	`container.googleapis.com/Cluster`	`cloudasset.assets.exportContainerClusters`
	`container.googleapis.com/NodePool`	`cloudasset.assets.exportContainerNodepool`
	`k8s.io/Namespace`	`cloudasset.assets.exportContainerNamespace`
	`k8s.io/Node`	`cloudasset.assets.exportContainerNode`
	`k8s.io/Pod`	`cloudasset.assets.exportContainerPod`
	`rbac.authorization.k8s.io/ClusterRole`	`cloudasset.assets.exportContainerClusterrole`
	`rbac.authorization.k8s.io/ClusterRoleBinding`	`cloudasset.assets.exportContainerClusterrolebinding`
	`rbac.authorization.k8s.io/Role`	`cloudasset.assets.exportContainerRole`
	`rbac.authorization.k8s.io/RoleBinding`	`cloudasset.assets.exportContainerRolebinding`
IAM	`iam.googleapis.com/Role`	`cloudasset.assets.exportIamRoles`
IAM	`iam.googleapis.com/ServiceAccount`	`cloudasset.assets.exportIamServiceAccounts`
Pub/Sub	`pubsub.googleapis.com/Subscription`	`cloudasset.assets.exportPubsubSubscriptions`
Pub/Sub	`pubsub.googleapis.com/Topic`	`cloudasset.assets.exportPubsubTopics`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder`	`cloudasset.assets.exportCloudresourcemanagerFolders`
	`cloudresourcemanager.googleapis.com/Organization`	`cloudasset.assets.exportCloudresourcemanagerOrganizations`
	`cloudresourcemanager.googleapis.com/Project`	`cloudasset.assets.exportCloudresourcemanagerProjects`

Kontrol Layanan VPC

Kontrol Layanan VPC dapat digunakan dengan Inventaris Aset Cloud untuk menyediakan keamanan tambahan untuk aset Anda. Untuk mempelajari Kontrol Layanan VPC lebih lanjut, lihat Ringkasan Kontrol Layanan VPC.

Untuk mempelajari batasan dalam menggunakan Inventaris Aset Cloud dengan Kontrol Layanan VPC, lihat produk dan batasan yang didukung.