Gerenciar consultas salvas

Nesta página, mostramos como criar, gerenciar e executar consultas salvas da ferramenta Análise de políticas políticas. É possível criar até 200 consultas salvas em um recurso. Esse limite não inclui as consultas salvas dos filhos. Por exemplo, se você tiver 10 projetos em uma organização, cada projeto poderá ter até 200 consultas salvas, e a organização poderá ter até 200 consultas salvas.

Antes de começar

Ative a Cloud Asset API.
Ative a API

Funções exigidas

Para receber as permissões necessárias para criar e gerenciar consultas salvas, peça ao administrador que conceda a você o papel do IAM Proprietário de recursos do Cloud (roles/cloudasset.owner) no projeto, na pasta ou na organização em que a consulta será salva. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém as permissões necessárias para criar e gerenciar consultas salvas. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para criar e gerenciar consultas salvas:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Talvez você também consiga receber essas permissões com papéis personalizados ou outros papéis predefinidos.

Criar uma consulta salva

gcloud

Para criar uma consulta salva da ferramenta Análise de políticas políticas em um projeto, pasta ou organização pai, use o comando gcloud asset saved-queries create.

Antes de usar os dados do comando abaixo, faça estas substituições:

SCOPE_RESOURCE_TYPE_PLURAL: o tipo de recurso para o qual você quer definir o escopo da pesquisa, no plural. Somente as políticas de permissão do IAM anexadas a este recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e aos descendentes serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nomes de recursos completos, consulte Formato do nome do recurso.
PRINCIPAL: opcional. A principal com o acesso que você quer analisar, no formato PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com. Para ver uma lista completa dos tipos de principais, consulte Identificadores principais.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, a ferramenta Análise de políticas políticas vai verificar qualquer uma delas.
QUERY_ID: o ID a ser usado para a consulta salva. Ele precisa ser exclusivo no recurso pai especificado (projeto, pasta ou organização). O ID da consulta pode conter letras, números e hifens.
RESOURCE_TYPE: o tipo de recurso para o qual você quer salvar uma consulta. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que você quer salvar uma consulta. Eles podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.
LABEL_KEY e LABEL_VALUE: opcional. Uma lista separada por vírgulas de pares de chave-valor para anexar à consulta, que pode ser usada em operações de pesquisa e lista. É possível incluir até 10 rótulos para cada consulta salva.
DESCRIPTION: opcional. String que descreve a consulta.

Salve o conteúdo a seguir em um arquivo chamado request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

A resposta contém a consulta salva. Por exemplo, ele pode ter esta aparência:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Para criar uma consulta salva da ferramenta Análise de políticas políticas em um projeto, pasta ou organização pai, use o método savedQueries.create da API Cloud Asset Inventory.

Antes de usar os dados da solicitação, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso para o qual você quer salvar uma consulta. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que você quer salvar uma consulta. Eles podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.
QUERY_ID: o ID a ser usado para a consulta salva. Ele precisa ser exclusivo no recurso pai especificado (projeto, pasta ou organização). O ID da consulta pode conter letras, números e hifens.
SCOPE_RESOURCE_TYPE: o tipo de recurso para o qual você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e aos descendentes serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nomes de recursos completos, consulte Formato do nome do recurso.
PRINCIPAL: opcional. A principal com o acesso que você quer analisar, no formato PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com. Para ver uma lista completa dos tipos de principais, consulte Identificadores principais.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, a ferramenta Análise de políticas políticas vai verificar qualquer uma delas.
LABEL_KEY e LABEL_VALUE: opcional. Um par de chave-valor para anexar à consulta, que pode ser usado em operações de pesquisa e lista. É possível incluir até 10 rótulos para cada consulta salva.
DESCRIPTION: opcional. String que descreve a consulta.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Corpo JSON da solicitação:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navegador)

Copie o corpo da solicitação e abra a página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Cole o corpo da solicitação nessa ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

A resposta contém a consulta salva. Por exemplo, ele pode ter esta aparência:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Executar uma consulta salva

gcloud

Para executar uma consulta de análise salva, use o comando gcloud asset analyze-iam-policy.

Antes de usar os dados do comando abaixo, faça estas substituições:

SCOPE_RESOURCE_TYPE: o tipo de recurso para o qual você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e aos descendentes serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
RESOURCE_TYPE_PLURAL: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificá-lo. Use o número dele.
QUERY_ID: o ID da consulta salva que você quer usar.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

A resposta contém os resultados da execução da consulta salva no recurso especificado. Para ver exemplos de resultados da consulta, acesse Analisar políticas do IAM.

REST

Para executar uma consulta de análise salva, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação, faça as substituições a seguir:

SCOPE_RESOURCE_TYPE: o tipo de recurso para o qual você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e aos descendentes serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificá-lo. Use o número dele.
QUERY_ID: o ID da consulta salva que você quer usar.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "X-HTTP-Method-Override: GET" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

A resposta contém os resultados da execução da consulta salva no recurso especificado. Para ver exemplos de resultados da consulta, acesse Analisar políticas do IAM.

Ver uma consulta salva

gcloud

Para acessar uma consulta salva da ferramenta Análise de políticas, use o comando gcloud asset saved-queries get.

Antes de usar os dados do comando abaixo, faça estas substituições:

QUERY_ID: o ID da consulta salva que você quer receber.
RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Eles podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

A resposta contém a consulta salva. Por exemplo, ele pode ter esta aparência:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Para acessar uma consulta salva da ferramenta Análise de políticas políticas, use o método savedQueries.get da API Cloud Asset Inventory.

Antes de usar os dados da solicitação, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificá-lo. Use o número dele.
QUERY_ID: o ID da consulta salva que você quer receber.

Método HTTP e URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "X-HTTP-Method-Override: GET" \
    "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navegador)

Abra a página de referência do método. O painel APIs Explorer é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Preencha todos os campos obrigatórios e clique em Executar.

A resposta contém a consulta salva. Por exemplo, ele pode ter esta aparência:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Listar consultas salvas

gcloud

Para listar todas as consultas salvas da ferramenta Análise de políticas políticas em um projeto, pasta ou organização, use o comando gcloud asset saved-queries list.

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso em que as consultas são salvas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que você quer listar as consultas salvas. Eles podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

A resposta contém todas as consultas salvas da ferramenta Análise de políticas políticas para o projeto, a pasta ou a organização. Por exemplo, ele pode ter esta aparência:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Para listar todas as consultas salvas da ferramenta Análise de políticas políticas em um projeto, pasta ou organização, use o método savedQueries.list da API Cloud Asset Inventory.

Antes de usar os dados da solicitação, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso em que as consultas são salvas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que você quer listar as consultas salvas. Eles podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.

Método HTTP e URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "X-HTTP-Method-Override: GET" \
    "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

APIs Explorer (navegador)

A resposta contém todas as consultas salvas da ferramenta Análise de políticas políticas para o projeto, a pasta ou a organização. Por exemplo, ele pode ter esta aparência:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Atualizar uma consulta salva

gcloud

Para atualizar uma consulta salva da ferramenta Análise de políticas políticas, use o comando gcloud asset saved-queries update.

Antes de usar os dados do comando abaixo, faça estas substituições:

UPDATED_QUERY: opcional. A consulta atualizada da ferramenta Análise de políticas políticas que você quer salvar. Para saber como formatar a consulta, acesse Criar uma consulta salva.
RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor project, folder ou organization.
QUERY_ID: o ID da consulta salva que você quer editar.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Eles podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.
UPDATED_LABELS: opcional. Os rótulos atualizados que você quer anexar à consulta salva. Também é possível remover rótulos com a sinalização --remove-labels="KEY_1,KEY_2" ou limpar todos os rótulos com a sinalização --clear-labels.
UPDATED_DESCRIPTION: opcional. Uma descrição atualizada para a consulta salva.

Salve o conteúdo a seguir em um arquivo chamado request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

A resposta contém a consulta atualizada.

REST

Para atualizar uma consulta salva da ferramenta Análise de políticas políticas, use o método savedQueries.patch da API Cloud Asset Inventory.

Antes de usar os dados da solicitação, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificá-lo. Use o número dele.
QUERY_ID: o ID da consulta salva que você quer editar.
UPDATED_FIELDS: uma lista separada por vírgulas dos campos que você quer atualizar. Por exemplo, se você estiver atualizando os campos de conteúdo, rótulos e descrição, use o valor content,labels,description.
UPDATED_QUERY: opcional. A consulta atualizada da ferramenta Análise de políticas políticas que você quer salvar. Para saber como formatar a consulta, acesse Criar uma consulta salva.
UPDATED_LABELS: opcional. Os rótulos atualizados que você quer anexar à consulta salva.
UPDATED_DESCRIPTION: opcional. Uma descrição atualizada para a consulta salva.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Corpo JSON da solicitação:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "X-HTTP-Method-Override: GET" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

APIs Explorer (navegador)

A resposta contém a consulta atualizada.

Excluir uma consulta salva

gcloud

Para excluir uma consulta salva da ferramenta Análise de políticas políticas, use o comando gcloud asset saved-queries delete.

Antes de usar os dados do comando abaixo, faça estas substituições:

QUERY_ID: o ID da consulta salva que você quer excluir.
RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor project, folder ou organization.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificá-lo. Use o número dele.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Para excluir uma consulta salva da ferramenta Análise de políticas políticas, use o método savedQueries.delete da API Cloud Asset Inventory.

Antes de usar os dados da solicitação, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificá-lo. Use o número dele.
QUERY_ID: o ID da consulta salva que você quer excluir.

Método HTTP e URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X DELETE \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "X-HTTP-Method-Override: GET" \
    "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navegador)

Se a consulta for excluída, a API retornará uma resposta vazia.