Halaman ini diterjemahkan oleh Cloud Translation API.

Peran dan izin

Cloud Asset Inventory menggunakan Identity and Access Management (IAM) untuk kontrol akses. Setiap metode Cloud Asset Inventory API mengharuskan pemanggil memiliki izin yang diperlukan.

Peran

Untuk mendapatkan izin yang Anda perlukan untuk menggunakan metadata aset, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project:

Untuk melihat metadata aset:
- Cloud Asset Viewer (roles/cloudasset.viewer)
- Pelanggan Service Usage (roles/serviceusage.serviceUsageConsumer)
Untuk melihat metadata aset dan menggunakan feed:
- Pemilik Aset Cloud (roles/cloudasset.owner)
- Pelanggan Service Usage (roles/serviceusage.serviceUsageConsumer)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan metadata aset. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan metadata aset:

Untuk melihat metadata aset:
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
Untuk melihat metadata aset dan menggunakan feed:
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Izin

Tabel berikut berisi daftar izin yang harus dimiliki pemanggil untuk memanggil setiap metode API di Cloud Asset Inventory, atau untuk melakukan tugas menggunakan alat Google Cloud yang menggunakan Cloud Asset Inventory seperti konsol Google Cloud atau gcloud CLI.

Peran Cloud Asset Viewer (roles/cloudasset.viewer) dan Cloud Asset Owner (roles/cloudasset.owner) mencakup banyak izin ini. Jika pemanggil telah diberi salah satu peran ini dan peran Konsumen Penggunaan Layanan (roles/serviceusage.serviceUsageConsumer), mereka mungkin sudah memiliki izin yang diperlukan untuk menggunakan Cloud Asset Inventory.

RPC

Metode	Izin yang diperlukan
Semua API
Semua panggilan Inventaris Aset Cloud	Semua panggilan Inventaris Aset Cloud memerlukan izin `serviceusage.services.use`.
API Analisis
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Semua izin berikut: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory API
`BatchGetAssetsHistory` `ExportAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportAccessPolicy` Saat menggunakan jenis konten `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Saat menggunakan jenis konten `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Saat menggunakan jenis konten `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Saat menggunakan jenis konten `OS_INVENTORY`. `cloudasset.assets.exportResource` Saat menggunakan jenis konten `RELATIONSHIP` atau `RESOURCE`. Saat mengekspor metadata jenis konten yang tidak ditentukan atau `RESOURCE`, Anda dapat menggunakan izin untuk setiap jenis resource, bukan memberikan izin `cloudasset.assets.exportResource` ke akun.
`ListAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
`QueryAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
Feed API
`CreateFeed`	`cloudasset.feeds.create` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Penelusuran
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` Anda juga memerlukan `cloudasset.assets.searchEnrichmentResourceOwners` jika menelusuri pengayaan pemilik resource.

REST

Metode	Izin yang diperlukan
Semua API
Semua panggilan Inventaris Aset Cloud	Semua panggilan Inventaris Aset Cloud memerlukan izin `serviceusage.services.use`.
API Analisis
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Semua izin berikut: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory API
`batchGetAssetsHistory` `exportAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportAccessPolicy` Saat menggunakan jenis konten `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Saat menggunakan jenis konten `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Saat menggunakan jenis konten `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Saat menggunakan jenis konten `OS_INVENTORY`. `cloudasset.assets.exportResource` Saat menggunakan jenis konten `RELATIONSHIP` atau `RESOURCE`. Saat mengekspor metadata jenis konten yang tidak ditentukan atau `RESOURCE`, Anda dapat menggunakan izin untuk setiap jenis resource, bukan memberikan izin `cloudasset.assets.exportResource` ke akun.
`assets.list`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
`queryAssets`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
Feed API
`feeds.create`	`cloudasset.feeds.create` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Penelusuran
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` Anda juga memerlukan `cloudasset.assets.searchEnrichmentResourceOwners` jika menelusuri pengayaan pemilik resource.

gcloud

Pernyataan posisi	Izin yang diperlukan
Semua API
Semua panggilan Inventaris Aset Cloud	Semua panggilan Inventaris Aset Cloud memerlukan izin `serviceusage.services.use`.
API Analisis
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Semua izin berikut: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Semua izin berikut: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory API
`get-history` `export`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportAccessPolicy` Saat menggunakan jenis konten `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Saat menggunakan jenis konten `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Saat menggunakan jenis konten `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Saat menggunakan jenis konten `OS_INVENTORY`. `cloudasset.assets.exportResource` Saat menggunakan jenis konten `RELATIONSHIP` atau `RESOURCE`. Saat mengekspor metadata jenis konten yang tidak ditentukan atau `RESOURCE`, Anda dapat menggunakan izin untuk setiap jenis resource, bukan memberikan izin `cloudasset.assets.exportResource` ke akun.
`list`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
`query`	Salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` untuk jenis konten `RELATIONSHIP` dan `RESOURCE`.
Feed API
`feeds create`	`cloudasset.feeds.create` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Penelusuran
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` Anda juga memerlukan `cloudasset.assets.searchEnrichmentResourceOwners` jika menelusuri pengayaan pemilik resource.

Izin ekspor untuk setiap jenis resource

Memberikan izin cloudasset.assets.exportResource kepada pengguna memungkinkan mereka mengekspor semua jenis resource. Untuk membatasi jenis resource yang dapat diekspor pengguna, Anda dapat memberikan izin untuk setiap jenis resource.

Misalnya, memberikan cloudasset.assets.exportComputeDisks kepada pengguna berarti mereka tidak dapat mengekspor apa pun kecuali jenis resource compute.googleapis.com/Disk.

Izin ekspor resource hanya berlaku untuk RESOURCE dan jenis konten yang tidak ditentukan.

Layanan	Jenis resource	Izin ekspor resource
App Engine	`appengine.googleapis.com/Application`	`cloudasset.assets.exportAppengineApplications`
	`appengine.googleapis.com/Service`	`cloudasset.assets.exportAppengineServices`
	`appengine.googleapis.com/Version`	`cloudasset.assets.exportAppengineVersions`
BigQuery	`bigquery.googleapis.com/Dataset`	`cloudasset.assets.exportBigqueryDatasets`
BigQuery	`bigquery.googleapis.com/Table`	`cloudasset.assets.exportBigqueryTables`
Bigtable	`bigtableadmin.googleapis.com/Cluster`	`cloudasset.assets.exportBigtableCluster`
	`bigtableadmin.googleapis.com/Instance`	`cloudasset.assets.exportBigtableInstance`
	`bigtableadmin.googleapis.com/Table`	`cloudasset.assets.exportBigtableTable`
Penagihan Cloud	`cloudbilling.googleapis.com/BillingAccount`	`cloudasset.assets.exportCloudbillingBillingAccounts`
Cloud DNS	`dns.googleapis.com/ManagedZone`	`cloudasset.assets.exportDnsManagedZones`
Cloud DNS	`dns.googleapis.com/Policy`	`cloudasset.assets.exportDnsPolicies`
Cloud Key Management Service	`cloudkms.googleapis.com/CryptoKey`	`cloudasset.assets.exportCloudkmsCryptoKeys`
	`cloudkms.googleapis.com/CryptoKeyVersion`	`cloudasset.assets.exportCloudkmsCryptoKeyVersions`
	`cloudkms.googleapis.com/ImportJob`	`cloudasset.assets.exportCloudkmsImportJobs`
	`cloudkms.googleapis.com/KeyRing`	`cloudasset.assets.exportCloudkmsKeyRings`
Cloud OS Config	`osconfig.googleapis.com/PatchDeployment`	`cloudasset.assets.exportPatchDeployments`
Spanner	`spanner.googleapis.com/Backup`	`cloudasset.assets.exportSpannerBackups`
	`spanner.googleapis.com/Database`	`cloudasset.assets.exportSpannerDatabases`
	`spanner.googleapis.com/Instance`	`cloudasset.assets.exportSpannerInstances`
Cloud SQL	`sqladmin.googleapis.com/Instance`	`cloudasset.assets.exportSqladminInstances`
Cloud Storage	`storage.googleapis.com/Bucket`	`cloudasset.assets.exportStorageBuckets`
Compute Engine	`compute.googleapis.com/Address`	`cloudasset.assets.exportComputeAddress`
	`compute.googleapis.com/Autoscaler`	`cloudasset.assets.exportComputeAutoscalers`
	`compute.googleapis.com/BackendBucket`	`cloudasset.assets.exportComputeBackendBuckets`
	`compute.googleapis.com/BackendService`	`cloudasset.assets.exportComputeBackendServices`
	`compute.googleapis.com/Disk`	`cloudasset.assets.exportComputeDisks`
	`compute.googleapis.com/Firewall`	`cloudasset.assets.exportComputeFirewalls`
	`compute.googleapis.com/ForwardingRule`	`cloudasset.assets.exportComputeForwardingRules`
	`compute.googleapis.com/GlobalAddress`	`cloudasset.assets.exportComputeGlobalAddress`
	`compute.googleapis.com/HealthCheck`	`cloudasset.assets.exportComputeHealthChecks`
	`compute.googleapis.com/HttpHealthCheck`	`cloudasset.assets.exportComputeHttpHealthChecks`
	`compute.googleapis.com/HttpsHealthCheck`	`cloudasset.assets.exportComputeHttpsHealthChecks`
	`compute.googleapis.com/Image`	`cloudasset.assets.exportComputeImages`
	`compute.googleapis.com/Instance`	`cloudasset.assets.exportComputeInstances`
	`compute.googleapis.com/InstanceGroup`	`cloudasset.assets.exportComputeInstanceGroups`
	`compute.googleapis.com/InstanceGroupManager`	`cloudasset.assets.exportComputeInstanceGroupManagers`
	`compute.googleapis.com/InstanceTemplate`	`cloudasset.assets.exportComputeInstanceTemplates`
	`compute.googleapis.com/Interconnect`	`cloudasset.assets.exportComputeInterconnect`
	`compute.googleapis.com/InterconnectAttachment`	`cloudasset.assets.exportComputeInterconnectAttachment`
	`compute.googleapis.com/License`	`cloudasset.assets.exportComputeLicenses`
	`compute.googleapis.com/Network`	`cloudasset.assets.exportComputeNetworks`
	`compute.googleapis.com/Project`	`cloudasset.assets.exportComputeProjects`
	`compute.googleapis.com/RegionDisk`	`cloudasset.assets.exportComputeRegionDisk`
	`compute.googleapis.com/Route`	`cloudasset.assets.exportComputeRoutes`
	`compute.googleapis.com/Router`	`cloudasset.assets.exportComputeRouters`
	`compute.googleapis.com/Snapshot`	`cloudasset.assets.exportComputeSnapshots`
	`compute.googleapis.com/SslCertificate`	`cloudasset.assets.exportComputeSslCertificates`
	`compute.googleapis.com/Subnetwork`	`cloudasset.assets.exportComputeSubnetworks`
	`compute.googleapis.com/TargetHttpProxy`	`cloudasset.assets.exportComputeTargetHttpProxies`
	`compute.googleapis.com/TargetHttpsProxy`	`cloudasset.assets.exportComputeTargetHttpsProxies`
	`compute.googleapis.com/TargetInstance`	`cloudasset.assets.exportComputeTargetInstances`
	`compute.googleapis.com/TargetPool`	`cloudasset.assets.exportComputeTargetPools`
	`compute.googleapis.com/TargetTcpProxy`	`cloudasset.assets.exportComputeTargetTcpProxies`
	`compute.googleapis.com/TargetSslProxy`	`cloudasset.assets.exportComputeTargetSslProxies`
	`compute.googleapis.com/TargetVpnGateway`	`cloudasset.assets.exportComputeTargetVpnGateways`
	`compute.googleapis.com/UrlMap`	`cloudasset.assets.exportComputeUrlMaps`
	`compute.googleapis.com/VpnTunnel`	`cloudasset.assets.exportComputeVpnTunnels`
Dataproc	`dataproc.googleapis.com/Cluster`	`cloudasset.assets.exportDataprocClusters`
Dataproc	`dataproc.googleapis.com/Job`	`cloudasset.assets.exportDataprocJobs`
Google Kubernetes Engine	`container.googleapis.com/Cluster`	`cloudasset.assets.exportContainerClusters`
	`container.googleapis.com/NodePool`	`cloudasset.assets.exportContainerNodepool`
	`k8s.io/Namespace`	`cloudasset.assets.exportContainerNamespace`
	`k8s.io/Node`	`cloudasset.assets.exportContainerNode`
	`k8s.io/Pod`	`cloudasset.assets.exportContainerPod`
	`rbac.authorization.k8s.io/ClusterRole`	`cloudasset.assets.exportContainerClusterrole`
	`rbac.authorization.k8s.io/ClusterRoleBinding`	`cloudasset.assets.exportContainerClusterrolebinding`
	`rbac.authorization.k8s.io/Role`	`cloudasset.assets.exportContainerRole`
	`rbac.authorization.k8s.io/RoleBinding`	`cloudasset.assets.exportContainerRolebinding`
IAM	`iam.googleapis.com/Role`	`cloudasset.assets.exportIamRoles`
IAM	`iam.googleapis.com/ServiceAccount`	`cloudasset.assets.exportIamServiceAccounts`
Pub/Sub	`pubsub.googleapis.com/Subscription`	`cloudasset.assets.exportPubsubSubscriptions`
Pub/Sub	`pubsub.googleapis.com/Topic`	`cloudasset.assets.exportPubsubTopics`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder`	`cloudasset.assets.exportCloudresourcemanagerFolders`
	`cloudresourcemanager.googleapis.com/Organization`	`cloudasset.assets.exportCloudresourcemanagerOrganizations`
	`cloudresourcemanager.googleapis.com/Project`	`cloudasset.assets.exportCloudresourcemanagerProjects`

Kontrol Layanan VPC

Kontrol Layanan VPC dapat digunakan dengan Cloud Asset Inventory untuk memberikan keamanan tambahan bagi aset Anda. Untuk mempelajari Kontrol Layanan VPC lebih lanjut, lihat Ringkasan Kontrol Layanan VPC.

Untuk mempelajari batasan dalam menggunakan Inventaris Aset Cloud dengan Kontrol Layanan VPC, lihat produk dan batasan yang didukung.