Halaman ini berisi kueri contoh untuk berbagai kasus penggunaan penelusuran kebijakan izin IAM. Beberapa contoh di halaman ini menggunakan perintah seperti grep dan sed, yang tersedia di sistem operasi mirip Cloud Shell dan Unix.
Mencantumkan kebijakan izin IAM dan memformat output
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--flatten="policy.bindings[].members[]" \
--format="table(resource, policy.bindings.role, policy.bindings.members)"
Berikan nilai berikut:
SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Tanda lainnya:
Anda dapat menambahkan
--queryuntuk mendapatkan hasil penelusuran referensi yang lebih spesifik.Anda dapat menambahkan
--asset-typesuntuk mendapatkan jenis resource yang lebih spesifik.Anda dapat menghapus
--flattendan--formatjika tidak ingin memformat hasil.Anda dapat menggunakan
csv, bukantable, untuk menampilkan hasil dalam format CSV.Anda dapat menambahkan
--limituntuk mendapatkan sebagian hasil penelusuran saja. Tanpa flag ini, Inventaris Aset Cloud secara otomatis membuka semua hasil penelusuran.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"pageSize": PAGE_SIZE
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Parameter lainnya:
Anda dapat menambahkan kunci
queryke isi untuk mendapatkan hasil penelusuran resource yang lebih spesifik.Anda dapat menambahkan kunci
assetTypeske isi untuk mendapatkan jenis resource yang lebih spesifik.
Cantumkan resource yang memiliki kebijakan izin IAM dengan "example" pada nama kebijakan
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="resource:example"
Berikan nilai berikut:
SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"query": "resource:example"
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Berikan nilai berikut:
SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Mencantumkan kebijakan IAM yang diizinkan yang ditetapkan pada resource project, folder, atau organisasi di organisasi Anda
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--asset-types=cloudresourcemanager.*
Berikan nilai berikut:
ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Anda dapat mengubah flag --asset-types menjadi
cloudresourcemanager.googleapis.com/Project agar hanya mencakup penelusuran
resource project, atau cloudresourcemanager.googleapis.com/Folder untuk
resource folder.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.*"
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies
Berikan nilai berikut:
ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Anda dapat mengubah nilai assetTypes menjadi cloudresourcemanager.googleapis.com/Project untuk mencakup penelusuran resource project saja, atau cloudresourcemanager.googleapis.com/Folder untuk resource folder.
Menampilkan daftar pelihat project, folder, atau organisasi
Panggilan ini menampilkan pelihat dari IAM sebagai kebijakan izinkan yang langsung ditetapkan pada project, tetapi tidak mencakup penelusuran kebijakan izinkan yang diwarisi dari resource induk project.
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="roles:roles/viewer" \
--asset-types=cloudresourcemanager.* \
--flatten="policy.bindings[].members[]" \
--format="table(policy.bindings.members)"
Berikan nilai berikut:
SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.*",
"pageSize": PAGE_SIZE,
"query": "roles:roles/viewer"
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Membuat daftar project yang penggunanya memiliki peran pemiliknya
Panggilan ini menampilkan project yang kebijakan IAM langsungnya mengizinkan menentukan pengguna dan peran pemilik, tetapi tidak mencakup penelusuran kebijakan izin yang diwarisi dari resource induk project.
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="policy:(roles/owner USER_EMAIL_ADDRESS)" \
--asset-types=cloudresourcemanager.googleapis.com/Project \
--format="table(resource)"
Berikan nilai berikut:
SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
USER_EMAIL_ADDRESS: Alamat email akun Google Cloud yang Anda cari.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.googleapis.com/Project",
"pageSize": PAGE_SIZE,
"query": "policy:(roles/owner USER_EMAIL_ADDRESS)"
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.USER_EMAIL_ADDRESS: Alamat email akun Google Cloud yang Anda cari.SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Membuat daftar peran yang dimiliki pengguna pada sebuah project
Panggilan ini menampilkan peran dari IAM mengizinkan kebijakan yang ditetapkan secara langsung pada project, tetapi tidak mencakup penelusuran kebijakan izinkan yang diwarisi dari resource induk project.
gcloud
gcloud asset search-all-iam-policies \
--scope=projects/PROJECT_ID \
--query="policy:USER_EMAIL_ADDRESS" \
--asset-types=cloudresourcemanager.googleapis.com/Project \
--flatten="policy.bindings[]" \
--format="table(policy.bindings.role)"
Berikan nilai berikut:
PROJECT_ID: ID project yang dapat diakses pengguna.USER_EMAIL_ADDRESS: Alamat email pengguna yang perannya Anda tanyakan.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.googleapis.com/Project",
"pageSize": PAGE_SIZE,
"query": "policy:USER_EMAIL_ADDRESS"
}' \
https://cloudasset.googleapis.com/v1/projects/PROJECT_ID:searchAllIamPolicies
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.USER_EMAIL_ADDRESS: Alamat email pengguna yang perannya Anda tanyakan.PROJECT_ID: ID project yang dapat diakses pengguna.
Mencantumkan izin yang dimiliki pengguna pada project
Panggilan ini menampilkan izin pengguna yang diperoleh dari kebijakan izin IAM yang ditetapkan secara langsung pada project, tetapi tidak mencakup penelusuran kebijakan izin yang diwarisi dari resource induk project.
gcloud
gcloud asset search-all-iam-policies \
--scope=projects/PROJECT_ID \
--query="policy:USER_EMAIL_ADDRESS policy.role.permissions:\"\"" \
--asset-types=cloudresourcemanager.* \
--format="default(explanation.matchedPermissions)"
Berikan nilai berikut:
PROJECT_ID: ID project yang dapat diakses pengguna.USER_EMAIL_ADDRESS: Alamat email pengguna yang izinnya Anda tanyakan.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.*",
"pageSize": PAGE_SIZE,
"query": "policy:USER_EMAIL_ADDRESS policy.role.permissions:\"\""
}' \
https://cloudasset.googleapis.com/v1/projects/PROJECT_ID:searchAllIamPolicies
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.USER_EMAIL_ADDRESS: Alamat email pengguna yang izinnya Anda minta.PROJECT_ID: ID project yang dapat diakses pengguna.
Buat daftar pengguna yang dapat mengakses bucket Cloud Storage
gcloud
gcloud asset search-all-iam-policies \
--scope=projects/PROJECT_ID \
--query="policy.role.permissions:storage.buckets" \
--asset-types=cloudresourcemanager.* \
--flatten="policy.bindings[].members[]" \
--format="table(policy.bindings.members)"
Berikan nilai berikut:
PROJECT_ID: ID project yang dapat diakses pengguna.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.*",
"pageSize": PAGE_SIZE,
"query": "policy.role.permissions:storage.buckets"
}' \
https://cloudasset.googleapis.com/v1/projects/PROJECT_ID:searchAllIamPolicies
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.PROJECT_ID: ID project yang dapat diakses pengguna.
Mencantumkan akun layanan yang memiliki peran pemilik untuk mendeteksi setelan kebijakan izin yang berisiko
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--query="policy:(roles/owner serviceAccount)" \
--flatten="policy.bindings[].members[]" \
--format="table(resource.segment(3):label=RESOURCE_TYPE, resource.basename():label=RESOURCE, policy.bindings.members)" |
grep serviceAccount
Berikan nilai berikut:
ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "policy:(roles/owner serviceAccount)"
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies |
sed 's/^\s*//' | grep serviceAccount
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Membuat daftar referensi yang dapat diakses oleh pengguna Gmail
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--query="policy:gmail.com" \
--flatten="policy.bindings[].members[]" \
--format="csv(resource, policy.bindings.role, policy.bindings.members)" |
grep @gmail.com
Berikan nilai berikut:
ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "policy:gmail.com"
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies |
sed 's/^\s*//' | grep @gmail.com
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Mencantumkan resource yang memiliki peran yang diberikan ke seluruh domain
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--query="policy:\"domain:DOMAIN_NAME\"" \
--flatten="policy.bindings[]" \
--format="table(resource, policy.bindings.role)"
Berikan nilai berikut:
ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
DOMAIN_NAME: Nama domain yang terkait dengan organisasi Anda.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "policy:\"domain:DOMAIN_NAME\""
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.DOMAIN_NAME: Nama domain yang terkait dengan organisasi Anda.ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Mencantumkan resource yang memiliki peran yang diberikan kepada publik
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="memberTypes:(allUsers OR allAuthenticatedUsers)" \
--format="table(resource)"
Berikan nilai berikut:
SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "memberTypes:(allUsers OR allAuthenticatedUsers)"
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies |
sed 's/^\s*//' | grep \"resource\":
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.SCOPE: Cakupan dapat berupa project, folder, atau organisasi.Nilai yang diizinkan adalah:
projects/PROJECT_IDprojects/PROJECT_NUMBERCara menemukan nomor project Google Cloud
Konsol
Untuk menemukan nomor project Google Cloud, selesaikan langkah-langkah berikut:
-
Buka halaman Dasbor di Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Pilih organisasi Anda dari kotak Select from, lalu telusuri nama project Anda.
- Klik nama project untuk beralih ke project tersebut. Nomor project ditampilkan di kartu Project info.
gcloud CLI
Anda dapat mengambil nomor project Google Cloud dengan perintah berikut:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDCara menemukan ID folder Google Cloud
Konsol
Untuk menemukan ID folder Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Telusuri nama folder Anda. ID folder ditampilkan di samping nama folder.
gcloud CLI
Anda dapat mengambil ID folder Google Cloud yang berada di tingkat organisasi dengan perintah berikut:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"Dengan TOP_LEVEL_FOLDER_NAME dapat berupa pencocokan string penuh atau sebagian. Hapus opsi
--formatuntuk melihat informasi selengkapnya tentang folder yang ditemukan.Untuk mendapatkan ID folder dalam folder lain, cantumkan subfolder:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDCara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Cantumkan pengguna/grup yang dapat mengubah kebijakan izin IAM pada project, folder, atau organisasi
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--query="policy.role.permissions:(resourcemanager.organizations.setIamPolicy OR resourcemanager.folders.setIamPolicy OR resourcemanager.projects.setIamPolicy)" \
--format="json(resource, policy.bindings, explanation.matchedPermissions)"
Berikan nilai berikut:
ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "policy.role.permissions:(resourcemanager.organizations.setIamPolicy OR resourcemanager.folders.setIamPolicy OR resourcemanager.projects.setIamPolicy)"
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies
Berikan nilai berikut:
PAGE_SIZE: Opsional. Jumlah hasil yang akan ditampilkan per halaman. Jumlah maksimumnya adalah 2.000. Jika nilai ditetapkan ke0atau nilai negatif, default yang sesuai akan dipilih.nextPageTokenditampilkan untuk mengambil hasil berikutnya.ORGANIZATION_ID: ID organisasi yang Anda cantumkan kebijakannya.Cara menemukan ID organisasi Google Cloud
Konsol
Untuk menemukan ID organisasi Google Cloud, selesaikan langkah-langkah berikut:
-
Buka Konsol Google Cloud.
- Klik kotak switcher di panel menu.
- Klik kotak Pilih dari, lalu pilih organisasi Anda.
- Klik tab Semua. ID organisasi ditampilkan di samping nama organisasi.
gcloud CLI
Anda dapat mengambil ID organisasi Google Cloud dengan perintah berikut:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-