Cloud Asset Inventory menggunakan Identity and Access Management (IAM) untuk kontrol akses. Setiap metode API Inventaris Aset Cloud mengharuskan pemanggil untuk memiliki izin akses.
Peran
Untuk mendapatkan izin yang diperlukan untuk bekerja dengan metadata aset, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project:
-
Untuk melihat metadata aset:
Cloud Asset Viewer (
roles/cloudasset.viewer
) -
Untuk melihat metadata aset dan menggunakan feed:
Cloud Asset Owner (
roles/cloudasset.owner
)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk menggunakan metadata aset. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan metadata aset:
-
Untuk melihat metadata aset:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
-
Untuk melihat metadata aset dan menggunakan feed:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Izin
Tabel berikut berisi daftar izin yang harus dimiliki pemanggil untuk memanggil setiap metode API di Cloud Asset Inventory, atau untuk melakukan tugas menggunakan alat Google Cloud yang menggunakan Cloud Asset Inventory seperti konsol Google Cloud atau gcloud CLI.
Cloud Asset Viewer (roles/cloudasset.viewer
) dan Pemilik Aset Cloud
(roles/cloudasset.owner
) peran mencakup banyak dari peran berikut
— jika pemanggil telah diberi salah satu peran ini, mereka mungkin
sudah memiliki izin yang diperlukan untuk menggunakan Inventaris Aset Cloud.
RPC
Metode | Izin yang diperlukan |
---|---|
API Analisis | |
|
Semua izin berikut:
|
|
cloudasset. |
|
Semua izin berikut:
|
|
Semua izin berikut:
|
Inventory API | |
|
Salah satu izin berikut, bergantung pada jenis konten:
Saat mengekspor metadata jenis konten yang tidak ditentukan atau |
|
Salah satu izin berikut, bergantung pada jenis konten:
|
|
Salah satu izin berikut, bergantung pada jenis konten:
|
API Feed | |
|
Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:
|
API Penelusuran | |
|
cloudasset. |
|
Anda juga memerlukan
|
REST
Metode | Izin yang diperlukan |
---|---|
API Analisis | |
|
Semua izin berikut:
|
|
cloudasset. |
|
Semua izin berikut:
|
|
Semua izin berikut:
|
Inventory API | |
|
Salah satu izin berikut, bergantung pada jenis konten:
Saat mengekspor metadata jenis konten |
|
Salah satu izin berikut, bergantung pada jenis konten:
|
|
Salah satu izin berikut, bergantung pada jenis konten:
|
API Feed | |
|
Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:
|
API Penelusuran | |
|
cloudasset. |
|
Anda juga memerlukan
|
gcloud
Pernyataan posisi | Izin yang diperlukan |
---|---|
API Analisis | |
|
Semua izin berikut:
|
|
cloudasset. |
|
Semua izin berikut:
|
|
Semua izin berikut:
|
API Inventaris | |
|
Salah satu izin berikut, bergantung pada jenis konten:
Saat mengekspor metadata jenis konten |
|
Salah satu izin berikut, bergantung pada jenis konten:
|
|
Salah satu izin berikut, bergantung pada jenis konten:
|
Feed API | |
|
Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
Anda juga memerlukan salah satu izin berikut, bergantung pada jenis konten:
|
API Penelusuran | |
|
cloudasset. |
|
Anda juga memerlukan
|
Izin ekspor untuk setiap jenis resource
Memberikan izin cloudasset.assets.exportResource
kepada pengguna memungkinkan mereka
mengekspor semua jenis resource. Untuk membatasi jenis resource yang dapat diekspor pengguna,
Anda dapat memberikan izin untuk setiap jenis resource.
Misalnya, memberi pengguna cloudasset.assets.exportComputeDisks
berarti dia
tidak dapat mengekspor apa pun kecuali
jenis resource compute.googleapis.com/Disk
.
Izin ekspor resource hanya berlaku untuk RESOURCE
dan
jenis konten yang tidak ditentukan.
Layanan | Jenis resource | Izin ekspor resource |
---|---|---|
App Engine | appengine.googleapis.com/Application |
cloudasset.assets.exportAppengineApplications |
appengine.googleapis.com/Service |
cloudasset.assets.exportAppengineServices |
|
appengine.googleapis.com/Version |
cloudasset.assets.exportAppengineVersions |
|
BigQuery | bigquery.googleapis.com/Dataset |
cloudasset.assets.exportBigqueryDatasets |
bigquery.googleapis.com/Table |
cloudasset.assets.exportBigqueryTables |
|
Bigtable | bigtableadmin.googleapis.com/Cluster |
cloudasset.assets.exportBigtableCluster |
bigtableadmin.googleapis.com/Instance |
cloudasset.assets.exportBigtableInstance |
|
bigtableadmin.googleapis.com/Table |
cloudasset.assets.exportBigtableTable |
|
Penagihan Cloud | cloudbilling.googleapis.com/BillingAccount |
cloudasset.assets.exportCloudbillingBillingAccounts |
Cloud DNS | dns.googleapis.com/ManagedZone |
cloudasset.assets.exportDnsManagedZones |
dns.googleapis.com/Policy |
cloudasset.assets.exportDnsPolicies |
|
Cloud Key Management Service | cloudkms.googleapis.com/CryptoKey |
cloudasset.assets.exportCloudkmsCryptoKeys |
cloudkms.googleapis.com/CryptoKeyVersion |
cloudasset.assets.exportCloudkmsCryptoKeyVersions |
|
cloudkms.googleapis.com/ImportJob |
cloudasset.assets.exportCloudkmsImportJobs |
|
cloudkms.googleapis.com/KeyRing |
cloudasset.assets.exportCloudkmsKeyRings |
|
Konfigurasi Cloud OS | osconfig.googleapis.com/PatchDeployment |
cloudasset.assets.exportPatchDeployments |
Spanner | spanner.googleapis.com/Backup |
cloudasset.assets.exportSpannerBackups |
spanner.googleapis.com/Database |
cloudasset.assets.exportSpannerDatabases |
|
spanner.googleapis.com/Instance |
cloudasset.assets.exportSpannerInstances |
|
Cloud SQL | sqladmin.googleapis.com/Instance |
cloudasset.assets.exportSqladminInstances |
Cloud Storage | storage.googleapis.com/Bucket |
cloudasset.assets.exportStorageBuckets |
Compute Engine | compute.googleapis.com/Address |
cloudasset.assets.exportComputeAddress |
compute.googleapis.com/Autoscaler |
cloudasset.assets.exportComputeAutoscalers |
|
compute.googleapis.com/BackendBucket |
cloudasset.assets.exportComputeBackendBuckets |
|
compute.googleapis.com/BackendService |
cloudasset.assets.exportComputeBackendServices |
|
compute.googleapis.com/Disk |
cloudasset.assets.exportComputeDisks |
|
compute.googleapis.com/Firewall |
cloudasset.assets.exportComputeFirewalls |
|
compute.googleapis.com/ForwardingRule |
cloudasset.assets.exportComputeForwardingRules |
|
compute.googleapis.com/GlobalAddress |
cloudasset.assets.exportComputeGlobalAddress |
|
compute.googleapis.com/HealthCheck |
cloudasset.assets.exportComputeHealthChecks |
|
compute.googleapis.com/HttpHealthCheck |
cloudasset.assets.exportComputeHttpHealthChecks |
|
compute.googleapis.com/HttpsHealthCheck |
cloudasset.assets.exportComputeHttpsHealthChecks |
|
compute.googleapis.com/Image |
cloudasset.assets.exportComputeImages |
|
compute.googleapis.com/Instance |
cloudasset.assets.exportComputeInstances |
|
compute.googleapis.com/InstanceGroup |
cloudasset.assets.exportComputeInstanceGroups |
|
compute.googleapis.com/InstanceGroupManager |
cloudasset.assets.exportComputeInstanceGroupManagers |
|
compute.googleapis.com/InstanceTemplate |
cloudasset.assets.exportComputeInstanceTemplates |
|
compute.googleapis.com/Interconnect |
cloudasset.assets.exportComputeInterconnect |
|
compute.googleapis.com/InterconnectAttachment |
cloudasset.assets.exportComputeInterconnectAttachment |
|
compute.googleapis.com/License |
cloudasset.assets.exportComputeLicenses |
|
compute.googleapis.com/Network |
cloudasset.assets.exportComputeNetworks |
|
compute.googleapis.com/Project |
cloudasset.assets.exportComputeProjects |
|
compute.googleapis.com/RegionDisk |
cloudasset.assets.exportComputeRegionDisk |
|
compute.googleapis.com/Route |
cloudasset.assets.exportComputeRoutes |
|
compute.googleapis.com/Router |
cloudasset.assets.exportComputeRouters |
|
compute.googleapis.com/Snapshot |
cloudasset.assets.exportComputeSnapshots |
|
compute.googleapis.com/SslCertificate |
cloudasset.assets.exportComputeSslCertificates |
|
compute.googleapis.com/Subnetwork |
cloudasset.assets.exportComputeSubnetworks |
|
compute.googleapis.com/TargetHttpProxy |
cloudasset.assets.exportComputeTargetHttpProxies |
|
compute.googleapis.com/TargetHttpsProxy |
cloudasset.assets.exportComputeTargetHttpsProxies |
|
compute.googleapis.com/TargetInstance |
cloudasset.assets.exportComputeTargetInstances |
|
compute.googleapis.com/TargetPool |
cloudasset.assets.exportComputeTargetPools |
|
compute.googleapis.com/TargetTcpProxy |
cloudasset.assets.exportComputeTargetTcpProxies |
|
compute.googleapis.com/TargetSslProxy |
cloudasset.assets.exportComputeTargetSslProxies |
|
compute.googleapis.com/TargetVpnGateway |
cloudasset.assets.exportComputeTargetVpnGateways |
|
compute.googleapis.com/UrlMap |
cloudasset.assets.exportComputeUrlMaps |
|
compute.googleapis.com/VpnTunnel |
cloudasset.assets.exportComputeVpnTunnels |
|
Dataproc | dataproc.googleapis.com/Cluster |
cloudasset.assets.exportDataprocClusters |
dataproc.googleapis.com/Job |
cloudasset.assets.exportDataprocJobs |
|
Google Kubernetes Engine | container.googleapis.com/Cluster |
cloudasset.assets.exportContainerClusters |
container.googleapis.com/NodePool |
cloudasset.assets.exportContainerNodepool |
|
k8s.io/Namespace |
cloudasset.assets.exportContainerNamespace |
|
k8s.io/Node |
cloudasset.assets.exportContainerNode |
|
k8s.io/Pod |
cloudasset.assets.exportContainerPod |
|
rbac.authorization.k8s.io/ClusterRole |
cloudasset.assets.exportContainerClusterrole |
|
rbac.authorization.k8s.io/ClusterRoleBinding |
cloudasset.assets.exportContainerClusterrolebinding |
|
rbac.authorization.k8s.io/Role |
cloudasset.assets.exportContainerRole |
|
rbac.authorization.k8s.io/RoleBinding |
cloudasset.assets.exportContainerRolebinding |
|
IAM | iam.googleapis.com/Role |
cloudasset.assets.exportIamRoles |
iam.googleapis.com/ServiceAccount |
cloudasset.assets.exportIamServiceAccounts |
|
Pub/Sub | pubsub.googleapis.com/Subscription |
cloudasset.assets.exportPubsubSubscriptions |
pubsub.googleapis.com/Topic |
cloudasset.assets.exportPubsubTopics |
|
Resource Manager | cloudresourcemanager.googleapis.com/Folder |
cloudasset.assets.exportCloudresourcemanagerFolders |
cloudresourcemanager.googleapis.com/Organization |
cloudasset.assets.exportCloudresourcemanagerOrganizations |
|
cloudresourcemanager.googleapis.com/Project |
cloudasset.assets.exportCloudresourcemanagerProjects |
Kontrol Layanan VPC
Kontrol Layanan VPC dapat digunakan dengan Inventaris Aset Cloud untuk menyediakan keamanan tambahan untuk aset Anda. Untuk mempelajari Kontrol Layanan VPC lebih lanjut, lihat Ringkasan Kontrol Layanan VPC.
Untuk mempelajari batasan dalam menggunakan Inventaris Aset Cloud dengan Kontrol Layanan VPC, lihat produk dan batasan yang didukung.