Diese Seite wurde von der Cloud Translation API übersetzt.

Rollen und Berechtigungen

Cloud Asset Inventory verwendet für die Zugriffssteuerung Identity and Access Management (IAM). Zum Aufrufen der Methoden in der Cloud Asset Inventory API werden die erforderlichen Berechtigungen benötigt.

Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Arbeit mit Asset-Metadaten benötigen:

So rufen Sie Asset-Metadaten auf:
- Cloud-Asset-Betrachter (roles/cloudasset.viewer)
- Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)
So rufen Sie Asset-Metadaten auf und arbeiten mit Feeds:
- Cloud-Asset-Inhaber (roles/cloudasset.owner)
- Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Arbeiten mit Asset-Metadaten erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um mit Asset-Metadaten zu arbeiten:

So rufen Sie Asset-Metadaten auf:
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
So rufen Sie Asset-Metadaten auf und arbeiten mit Feeds:
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die erforderlich sind, um die einzelnen API-Methoden in Cloud Asset Inventory aufzurufen oder um Aufgaben mit Google Cloud -Tools auszuführen, die Cloud Asset Inventory verwenden, z. B. die Google Cloud -Konsole oder die gcloud CLI.

Die Rollen „Cloud-Asset-Betrachter“ (roles/cloudasset.viewer) und „Cloud-Asset-Inhaber“ (roles/cloudasset.owner) umfassen viele dieser Berechtigungen. Wenn dem Aufrufer eine dieser Rollen und die Rolle „Nutzer der Dienstnutzung“ (roles/serviceusage.serviceUsageConsumer) gewährt wurde, hat er möglicherweise bereits die erforderlichen Berechtigungen für die Verwendung von Cloud Asset Inventory.

RPC

Methode	Erforderliche Berechtigungen
Alle APIs
Alle Cloud Asset Inventory-Aufrufe	Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung `serviceusage.services.use` erforderlich.
Analyse-APIs
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory APIs
`BatchGetAssetsHistory` `ExportAssets`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.exportAccessPolicy` Wenn der Inhaltstyp `ACCESS_POLICY` verwendet wird. `cloudasset.assets.exportIamPolicy` Wenn der Inhaltstyp `IAM_POLICY` verwendet wird. `cloudasset.assets.exportOrgPolicy` Wenn der Inhaltstyp `ORG_POLICY` verwendet wird. `cloudasset.assets.exportOSInventories` Wenn der Inhaltstyp `OS_INVENTORY` verwendet wird. `cloudasset.assets.exportResource` Wenn Sie die Inhaltstypen `RELATIONSHIP` oder `RESOURCE` verwenden. Wenn Sie Metadaten eines nicht angegebenen oder `RESOURCE`-Inhaltstyps exportieren, können Sie anstelle der Berechtigung `cloudasset.assets.exportResource` für ein Konto Berechtigungen für jeden Ressourcentyp verwenden.
`ListAssets`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` für die Inhaltstypen `RELATIONSHIP` und `RESOURCE`.
`QueryAssets`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` sowohl für die Inhaltstypen `RELATIONSHIP` als auch `RESOURCE`.
Feed-APIs
`CreateFeed`	`cloudasset.feeds.create` Je nach Inhaltstyp benötigen Sie außerdem eine der folgenden Berechtigungen: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` Je nach Inhaltstyp benötigen Sie außerdem eine der folgenden Berechtigungen: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
Search APIs
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` Sie benötigen außerdem `cloudasset.assets.searchEnrichmentResourceOwners`, wenn Sie nach einer Ressourceneigentümer-Enrichment suchen.

REST

Methode	Erforderliche Berechtigungen
Alle APIs
Alle Cloud Asset Inventory-Aufrufe	Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung `serviceusage.services.use` erforderlich.
Analyse-APIs
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory APIs
`batchGetAssetsHistory` `exportAssets`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.exportAccessPolicy` Wenn der Inhaltstyp `ACCESS_POLICY` verwendet wird. `cloudasset.assets.exportIamPolicy` Wenn der Inhaltstyp `IAM_POLICY` verwendet wird. `cloudasset.assets.exportOrgPolicy` Wenn der Inhaltstyp `ORG_POLICY` verwendet wird. `cloudasset.assets.exportOSInventories` Wenn der Inhaltstyp `OS_INVENTORY` verwendet wird. `cloudasset.assets.exportResource` Wenn Sie die Inhaltstypen `RELATIONSHIP` oder `RESOURCE` verwenden. Wenn Sie Metadaten eines nicht angegebenen oder `RESOURCE`-Inhaltstyps exportieren, können Sie anstelle der Berechtigung `cloudasset.assets.exportResource` für ein Konto Berechtigungen für jeden Ressourcentyp verwenden.
`assets.list`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` für die Inhaltstypen `RELATIONSHIP` und `RESOURCE`.
`queryAssets`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` sowohl für die Inhaltstypen `RELATIONSHIP` als auch `RESOURCE`.
Feed-APIs
`feeds.create`	`cloudasset.feeds.create` Je nach Inhaltstyp benötigen Sie außerdem eine der folgenden Berechtigungen: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` Je nach Inhaltstyp benötigen Sie außerdem eine der folgenden Berechtigungen: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
Search APIs
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` Sie benötigen außerdem `cloudasset.assets.searchEnrichmentResourceOwners`, wenn Sie nach einer Ressourceneigentümer-Enrichment suchen.

gcloud

Positionierungsstatement	Erforderliche Berechtigungen
Alle APIs
Alle Cloud Asset Inventory-Aufrufe	Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung `serviceusage.services.use` erforderlich.
Analyse-APIs
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Alle der folgenden Berechtigungen: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
Inventory APIs
`get-history` `export`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.exportAccessPolicy` Wenn der Inhaltstyp `ACCESS_POLICY` verwendet wird. `cloudasset.assets.exportIamPolicy` Wenn der Inhaltstyp `IAM_POLICY` verwendet wird. `cloudasset.assets.exportOrgPolicy` Wenn der Inhaltstyp `ORG_POLICY` verwendet wird. `cloudasset.assets.exportOSInventories` Wenn der Inhaltstyp `OS_INVENTORY` verwendet wird. `cloudasset.assets.exportResource` Wenn Sie die Inhaltstypen `RELATIONSHIP` oder `RESOURCE` verwenden. Wenn Sie Metadaten eines nicht angegebenen oder `RESOURCE`-Inhaltstyps exportieren, können Sie anstelle der Berechtigung `cloudasset.assets.exportResource` für ein Konto Berechtigungen für jeden Ressourcentyp verwenden.
`list`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` für die Inhaltstypen `RELATIONSHIP` und `RESOURCE`.
`query`	Je nach Inhaltstyp eine der folgenden Berechtigungen: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` sowohl für die Inhaltstypen `RELATIONSHIP` als auch `RESOURCE`.
Feed-APIs
`feeds create`	`cloudasset.feeds.create` Je nach Inhaltstyp benötigen Sie außerdem eine der folgenden Berechtigungen: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` Je nach Inhaltstyp benötigen Sie außerdem eine der folgenden Berechtigungen: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
Search APIs
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` Sie benötigen außerdem `cloudasset.assets.searchEnrichmentResourceOwners`, wenn Sie nach einer Ressourceneigentümer-Enrichment suchen.

Exportberechtigungen für jeden Ressourcentyp

Wenn Sie einem Nutzer die Berechtigung cloudasset.assets.exportResource gewähren, kann er alle Ressourcentypen exportieren. Wenn Sie einschränken möchten, welche Ressourcentypen ein Nutzer exportieren kann, können Sie stattdessen Berechtigungen für jeden Ressourcentyp gewähren.

Wenn Sie einem Nutzer beispielsweise cloudasset.assets.exportComputeDisks gewähren, kann er nur den Ressourcentyp compute.googleapis.com/Disk exportieren.

Berechtigungen für den Ressourcenexport gelten nur für RESOURCE und nicht angegebene Inhaltstypen.

Dienst	Ressourcentyp	Berechtigung zum Exportieren von Ressourcen
App Engine	`appengine.googleapis.com/Application`	`cloudasset.assets.exportAppengineApplications`
	`appengine.googleapis.com/Service`	`cloudasset.assets.exportAppengineServices`
	`appengine.googleapis.com/Version`	`cloudasset.assets.exportAppengineVersions`
BigQuery	`bigquery.googleapis.com/Dataset`	`cloudasset.assets.exportBigqueryDatasets`
BigQuery	`bigquery.googleapis.com/Table`	`cloudasset.assets.exportBigqueryTables`
Bigtable	`bigtableadmin.googleapis.com/Cluster`	`cloudasset.assets.exportBigtableCluster`
	`bigtableadmin.googleapis.com/Instance`	`cloudasset.assets.exportBigtableInstance`
	`bigtableadmin.googleapis.com/Table`	`cloudasset.assets.exportBigtableTable`
Cloud Billing	`cloudbilling.googleapis.com/BillingAccount`	`cloudasset.assets.exportCloudbillingBillingAccounts`
Cloud DNS	`dns.googleapis.com/ManagedZone`	`cloudasset.assets.exportDnsManagedZones`
Cloud DNS	`dns.googleapis.com/Policy`	`cloudasset.assets.exportDnsPolicies`
Cloud Key Management Service	`cloudkms.googleapis.com/CryptoKey`	`cloudasset.assets.exportCloudkmsCryptoKeys`
	`cloudkms.googleapis.com/CryptoKeyVersion`	`cloudasset.assets.exportCloudkmsCryptoKeyVersions`
	`cloudkms.googleapis.com/ImportJob`	`cloudasset.assets.exportCloudkmsImportJobs`
	`cloudkms.googleapis.com/KeyRing`	`cloudasset.assets.exportCloudkmsKeyRings`
Cloud OS Config	`osconfig.googleapis.com/PatchDeployment`	`cloudasset.assets.exportPatchDeployments`
Spanner	`spanner.googleapis.com/Backup`	`cloudasset.assets.exportSpannerBackups`
	`spanner.googleapis.com/Database`	`cloudasset.assets.exportSpannerDatabases`
	`spanner.googleapis.com/Instance`	`cloudasset.assets.exportSpannerInstances`
Cloud SQL	`sqladmin.googleapis.com/Instance`	`cloudasset.assets.exportSqladminInstances`
Cloud Storage	`storage.googleapis.com/Bucket`	`cloudasset.assets.exportStorageBuckets`
Compute Engine	`compute.googleapis.com/Address`	`cloudasset.assets.exportComputeAddress`
	`compute.googleapis.com/Autoscaler`	`cloudasset.assets.exportComputeAutoscalers`
	`compute.googleapis.com/BackendBucket`	`cloudasset.assets.exportComputeBackendBuckets`
	`compute.googleapis.com/BackendService`	`cloudasset.assets.exportComputeBackendServices`
	`compute.googleapis.com/Disk`	`cloudasset.assets.exportComputeDisks`
	`compute.googleapis.com/Firewall`	`cloudasset.assets.exportComputeFirewalls`
	`compute.googleapis.com/ForwardingRule`	`cloudasset.assets.exportComputeForwardingRules`
	`compute.googleapis.com/GlobalAddress`	`cloudasset.assets.exportComputeGlobalAddress`
	`compute.googleapis.com/HealthCheck`	`cloudasset.assets.exportComputeHealthChecks`
	`compute.googleapis.com/HttpHealthCheck`	`cloudasset.assets.exportComputeHttpHealthChecks`
	`compute.googleapis.com/HttpsHealthCheck`	`cloudasset.assets.exportComputeHttpsHealthChecks`
	`compute.googleapis.com/Image`	`cloudasset.assets.exportComputeImages`
	`compute.googleapis.com/Instance`	`cloudasset.assets.exportComputeInstances`
	`compute.googleapis.com/InstanceGroup`	`cloudasset.assets.exportComputeInstanceGroups`
	`compute.googleapis.com/InstanceGroupManager`	`cloudasset.assets.exportComputeInstanceGroupManagers`
	`compute.googleapis.com/InstanceTemplate`	`cloudasset.assets.exportComputeInstanceTemplates`
	`compute.googleapis.com/Interconnect`	`cloudasset.assets.exportComputeInterconnect`
	`compute.googleapis.com/InterconnectAttachment`	`cloudasset.assets.exportComputeInterconnectAttachment`
	`compute.googleapis.com/License`	`cloudasset.assets.exportComputeLicenses`
	`compute.googleapis.com/Network`	`cloudasset.assets.exportComputeNetworks`
	`compute.googleapis.com/Project`	`cloudasset.assets.exportComputeProjects`
	`compute.googleapis.com/RegionDisk`	`cloudasset.assets.exportComputeRegionDisk`
	`compute.googleapis.com/Route`	`cloudasset.assets.exportComputeRoutes`
	`compute.googleapis.com/Router`	`cloudasset.assets.exportComputeRouters`
	`compute.googleapis.com/Snapshot`	`cloudasset.assets.exportComputeSnapshots`
	`compute.googleapis.com/SslCertificate`	`cloudasset.assets.exportComputeSslCertificates`
	`compute.googleapis.com/Subnetwork`	`cloudasset.assets.exportComputeSubnetworks`
	`compute.googleapis.com/TargetHttpProxy`	`cloudasset.assets.exportComputeTargetHttpProxies`
	`compute.googleapis.com/TargetHttpsProxy`	`cloudasset.assets.exportComputeTargetHttpsProxies`
	`compute.googleapis.com/TargetInstance`	`cloudasset.assets.exportComputeTargetInstances`
	`compute.googleapis.com/TargetPool`	`cloudasset.assets.exportComputeTargetPools`
	`compute.googleapis.com/TargetTcpProxy`	`cloudasset.assets.exportComputeTargetTcpProxies`
	`compute.googleapis.com/TargetSslProxy`	`cloudasset.assets.exportComputeTargetSslProxies`
	`compute.googleapis.com/TargetVpnGateway`	`cloudasset.assets.exportComputeTargetVpnGateways`
	`compute.googleapis.com/UrlMap`	`cloudasset.assets.exportComputeUrlMaps`
	`compute.googleapis.com/VpnTunnel`	`cloudasset.assets.exportComputeVpnTunnels`
Dataproc	`dataproc.googleapis.com/Cluster`	`cloudasset.assets.exportDataprocClusters`
Dataproc	`dataproc.googleapis.com/Job`	`cloudasset.assets.exportDataprocJobs`
Google Kubernetes Engine	`container.googleapis.com/Cluster`	`cloudasset.assets.exportContainerClusters`
	`container.googleapis.com/NodePool`	`cloudasset.assets.exportContainerNodepool`
	`k8s.io/Namespace`	`cloudasset.assets.exportContainerNamespace`
	`k8s.io/Node`	`cloudasset.assets.exportContainerNode`
	`k8s.io/Pod`	`cloudasset.assets.exportContainerPod`
	`rbac.authorization.k8s.io/ClusterRole`	`cloudasset.assets.exportContainerClusterrole`
	`rbac.authorization.k8s.io/ClusterRoleBinding`	`cloudasset.assets.exportContainerClusterrolebinding`
	`rbac.authorization.k8s.io/Role`	`cloudasset.assets.exportContainerRole`
	`rbac.authorization.k8s.io/RoleBinding`	`cloudasset.assets.exportContainerRolebinding`
IAM	`iam.googleapis.com/Role`	`cloudasset.assets.exportIamRoles`
IAM	`iam.googleapis.com/ServiceAccount`	`cloudasset.assets.exportIamServiceAccounts`
Pub/Sub	`pubsub.googleapis.com/Subscription`	`cloudasset.assets.exportPubsubSubscriptions`
Pub/Sub	`pubsub.googleapis.com/Topic`	`cloudasset.assets.exportPubsubTopics`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder`	`cloudasset.assets.exportCloudresourcemanagerFolders`
	`cloudresourcemanager.googleapis.com/Organization`	`cloudasset.assets.exportCloudresourcemanagerOrganizations`
	`cloudresourcemanager.googleapis.com/Project`	`cloudasset.assets.exportCloudresourcemanagerProjects`

VPC Service Controls

VPC Service Controls kann mit Cloud Asset Inventory verwendet werden, um die Sicherheit Ihrer Assets zu erhöhen. Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.

Welche Einschränkungen sich bei Verwendung von Cloud Asset Inventory mit VPC Service Controls ergeben, erfahren Sie unter Unterstützte Produkte und Einschränkungen.