Mit der Cloud Asset API können Sie eine benutzerdefinierte Abfragesprache verwenden, um in IAM-Zulassungsrichtlinien (Identity and Access Management) in einem Projekt, einem Ordner oder einer Organisation zu suchen.
Hinweise
Aktivieren Sie die Cloud Asset API für Ihr Projekt.
Prüfen Sie, ob dem Aufrufer eine Rolle mit der Berechtigung
cloudasset.assets.searchAllIamPolicies
erteilt wurde. Weitere Informationen finden Sie unter Zugriffssteuerung.
Zulassungsrichtlinie suchen
Console
Führen Sie die folgenden Schritte aus, um in allen IAM-Zulassungsrichtlinien zu suchen.
Rufen Sie in der Google Cloud Console die Seite Asset-Inventar auf.
Um den Umfang der Suche festzulegen, öffnen Sie das Listenfeld "Projekte" in der Menüleiste und wählen Sie die abzufragende Organisation, den Ordner oder das Projekt aus.
Wählen Sie den Tab IAM-Richtlinie aus.
Um Zulassungsrichtlinien zu suchen, können Sie eine vordefinierte Abfrage verwenden oder eine eigene erstellen.
Wenn Sie eine voreingestellte Abfrage verwenden möchten, wählen Sie im Bereich Ergebnisse filtern Optionen aus Abfragevoreinstellungen aus. Wählen Sie zum Filtern der Ergebnisse Optionen unter Filter aus.
Wenn Sie eine eigene Abfrage erstellen möchten, geben Sie den Abfragetext in die Filterleiste ein. Wählen Sie das Textfeld aus. Daraufhin wird eine Liste der suchbaren Felder angezeigt. Die Richtliniensuche unterstützt mehrere Felder. Weitere Informationen zur Abfragesyntax.
Die Zulassungsrichtlinien, die mit der Abfrage übereinstimmen, werden in der Tabelle Ergebnis aufgeführt.
Wenn Sie die Abfrage als Google Cloud CLI-Befehl ansehen möchten, wählen Sie View query aus.
Wählen Sie zum Exportieren der Ergebnisse CSV-Datei herunterladen aus.
gcloud
Sie können SearchAllIamPolicies
mit dem Befehl gcloud asset search-all-iam-policies
aufrufen. Sie müssen die Google Cloud CLI 302.0.0 oder höher ausführen. Sie können Ihre Version mit dem Befehl gcloud version
prüfen:
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="QUERY" \
--asset-types=ASSET_TYPE_1,ASSET_TYPE_2,... \
--order-by=ORDER_BY
Geben Sie folgende Werte an:
SCOPE
: erforderlich. Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein. Die Suche ist auf die IAM-Zulassungsrichtlinien in diesem Bereich beschränkt. Dem Aufrufer muss eine Rolle gewährt werden, die die Berechtigungcloudasset.assets.searchAllIamPolicies
für den ausgewählten Bereich enthält. Wenn keine Angabe erfolgt, wird das konfigurierte Projektattribut verwendet.Zulässige Werte:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Google Cloud-Projektnummer ermitteln
Console
Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:
-
Rufen Sie in der Google Cloud Console die Seite Dashboard auf.
- Klicken Sie in der Menüleiste auf das Auswahlfeld.
- Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
- Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.
gcloud-CLI
Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Google Cloud-Ordner-ID ermitteln
Console
Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:
-
Öffnen Sie die Google Cloud Console.
- Klicken Sie in der Menüleiste auf das Auswahlfeld.
- Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
- Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.
gcloud-CLI
Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option
--format
, um weitere Informationen zu den gefundenen Ordnern zu sehen.Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Google Cloud-Organisations-ID ermitteln
Console
Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:
-
Öffnen Sie die Google Cloud Console.
- Klicken Sie in der Menüleiste auf das Auswahlfeld.
- Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
- Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.
gcloud-CLI
Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
QUERY
: Optional. Die Abfrageanweisung. Weitere Informationen finden Sie unter Abfragesyntax. Wenn nicht angegeben oder leer, wird in allen IAM-Zulassungsrichtlinien im angegebenenscope
gesucht. Beachten Sie, dass der Abfragestring mit jeder Bindung von Zulassungsrichtlinien verglichen wird, einschließlich ihrer Hauptkonten, Rollen und IAM-Bedingungen. Die zurückgegebenen Zulassungsrichtlinien enthalten nur die Bindungen, die Ihrer Abfrage entsprechen. Weitere Informationen zur Struktur der Zulassungsrichtlinie finden Sie unter Informationen zu Richtlinien.Beispiele:
policy:amy@gmail.com
, um Richtlinienbindungen für die Zulassung zu finden, für die der Nutzer „amy@gmail.com“ angegeben ist.policy:roles/compute.admin
, um Bindungen von Zulassungsrichtlinien zu finden, die die Rolle „Compute-Administrator“ angeben.policy:comp*
, um Zulassungsrichtlinienbindungen zu finden, die „comp“ als Präfix eines beliebigen Wortes in der Bindung enthalten.policy.role.permissions:storage.buckets.update
, um Richtlinienbindungen zuzulassen, die eine Rolle mit der Berechtigung "storage.buckets.update" angeben. Wenn dem Aufrufer keine Rolle gewährt wurde, die die Berechtigungiam.roles.get
für die gewünschte Rolle enthält, werden Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt.policy.role.permissions:upd*
zum Suchen von Zulassungsrichtlinienbindungen, die eine Rolle angeben, die „upd“ als Präfix eines beliebigen Wortes in der Bindung enthält. Wenn dem Aufrufer keine Rolle mit der Berechtigungiam.roles.get
für die gewünschte Rolle gewährt wurde, werden Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt.resource:organizations/123456
, um Bindungen für Zulassungsrichtlinien zu finden, die für „organizations/123456“ festgelegt sind.resource=//cloudresourcemanager.googleapis.com/projects/myproject
, um Bindungen von Zulassungsrichtlinien für das Projekt „myproject“ zu finden.Important
, um Zulassungsrichtlinienbindungen zu finden, die in einem der durchsuchbaren Felder „Wichtig“ als Wort enthalten (außer bei den „Eingeschlossenen Berechtigungen“).resource:(instance1 OR instance2) policy:amy
, um Richtlinienbindungen für die Zulassung zu finden, die für die Ressourcen „instance1“ oder „instance2“ festgelegt sind und auch den Nutzer „amy“ angeben.roles:roles/compute.admin
, um Bindungen von Zulassungsrichtlinien zu finden, die die Rolle „Compute-Administrator“ angeben.memberTypes:user
, um Bindungen von Zulassungsrichtlinien zu finden, die den Hauptkontotyp „Nutzer“ enthalten.
ASSET_TYPE
: Optional. Eine Liste der Asset-Typen, denen die Zulassungsrichtlinien von Identity and Access Management zugeordnet sind. Wenn das Feld leer ist, werden die Zulassungsrichtlinien für Identity and Access Management durchsucht, die mit allen suchbaren Asset-Typen verknüpft sind. Reguläre Ausdrücke werden unterstützt. Wenn der reguläre Ausdruck mit keinem unterstützten Assettyp übereinstimmt, wird der FehlerINVALID_ARGUMENT
zurückgegeben.ORDER_BY
: Optional. Eine durch Kommas getrennte Liste von Feldern, die die Sortierreihenfolge der Ergebnisse angeben. Die Standardreihenfolge ist aufsteigend. Fügen Sie nach dem FeldnamenDESC
ein, um die absteigende Reihenfolge anzugeben. Redundante Leerzeichen werden ignoriert. Beispiel:"assetType DESC, resource"
. Nur einzelne einfache Felder in der Antwort können sortiert werden:resource
assetType
project
Alle anderen Felder wie wiederkehrende Felder (z. B.
folders
) und nicht-primitive Felder (z. B.policy
) werden nicht unterstützt.
Im Folgenden finden Sie einige Beispiele für gcloud
-Befehle:
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen in Ihrem
organizations/123456
, die die Domainmycompany.com
enthalten:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query="policy:\"domain:mycompany.com\""
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen in Ihrem
organizations/123456
, bei denenmyuser@mycompany.com
die einfache Rolle „Inhaber“ (roles/owner
) gewährt wurde:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query="policy:(roles/owner myuser@mycompany.com)"
Suchen Sie in Ihrem
organizations/123456
nach allen Bindungen von IAM-Zulassungsrichtlinien, die fürprojects/12345678
festgelegt sind:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query="resource:projects/12345678"
REST
Sie können SearchAllIamPolicies
mit einem gültigen OAuth-Token für ein Projekt aufrufen. Zum Aufrufen der Methode SearchAllIamPolicies
über Cloud Shell oder einer beliebigen Konsole, in der der Befehl gcloud
verfügbar ist:
Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, müssen Sie dies tun. Für den OAuth-Zustimmungsbildschirm sind eine E-Mail-Adresse und ein Produktname erforderlich.
Rufen Sie den OAuth-Zustimmungsbildschirm für Ihr Projekt auf.
Geben Sie den Namen der Anwendung ein, der angezeigt werden soll.
Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die Sie als öffentlicher Kontakt anzeigen möchten. Dies muss Ihre E-Mail-Adresse oder eine Google-Gruppe sein, deren Inhaber Sie sind.
Fügen Sie nach Belieben weitere Details hinzu.
Klicken Sie auf Speichern.
Erstellen Sie ein OAuth-Token für Ihr Projekt. Weitere Informationen findest du unter OAuth 2.0 einrichten.
Rufen Sie die Seite „OAuth-Client-ID erstellen“ auf.
Wählen Sie Desktop-App als Anwendungstyp aus.
Klicken Sie auf Erstellen.
Laden Sie die Datei
client_secret.json
herunter.Rufen Sie die Seite Anmeldedaten auf.
Klicken Sie rechts neben Ihrer neuen Client-ID auf
JSON herunterladen.Speichern Sie die Datei an einem sicheren Speicherort, auf den nur Ihre Anwendung zugreifen kann.
Melden Sie sich mit der JSON-Datei mit dem folgenden Befehl an.
gcloud auth application-default login --client-id-file=YOUR_JSON_FILE
Mit diesem Befehl werden Sie aufgefordert, einen Link zu öffnen. Achten Sie darauf, dass auf der Seite der Anwendungsname angezeigt wird, den Sie auf Ihrem OAuth-Zustimmungsbildschirm festgelegt haben.
Sie können jetzt IAM-Zulassungsrichtlinien mit
curl
-Befehlen abfragen.curl -X POST \ -H "X-HTTP-Method-Override: GET" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{ "assetTypes": [ "ASSET_TYPE_1", "ASSET_TYPE_2", "..." ], "orderBy": "ORDER_BY", "pageSize": PAGE_SIZE, "query": "QUERY" }' \ https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Geben Sie die folgenden Informationen an:
ASSET_TYPE
: Optional. Eine Liste der Asset-Typen, denen die Zulassungsrichtlinien von Identity and Access Management zugeordnet sind. Wenn das Feld leer ist, werden die Zulassungsrichtlinien für Identity and Access Management durchsucht, die mit allen suchbaren Asset-Typen verknüpft sind. Reguläre Ausdrücke werden unterstützt. Wenn der reguläre Ausdruck mit keinem unterstützten Asset-Typ übereinstimmt, wird der FehlerINVALID_ARGUMENT
zurückgegeben.ORDER_BY
: Optional. Eine durch Kommas getrennte Liste von Feldern, die die Sortierreihenfolge der Ergebnisse angeben. Die Standardreihenfolge ist aufsteigend. Fügen Sie nach dem FeldnamenDESC
ein, um die absteigende Reihenfolge anzugeben. Redundante Leerzeichen werden ignoriert. Beispiel:"assetType DESC, resource"
. Nur einzelne einfache Felder in der Antwort können sortiert werden:resource
assetType
project
Alle anderen Felder wie wiederkehrende Felder (z. B.
folders
) und nicht-primitive Felder (z. B.policy
) werden nicht unterstützt.PAGE_SIZE
: Optional. Die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen. Der Maximalwert beträgt 2.000. Wenn der Wert auf0
oder ein negativer Wert festgelegt ist, wird ein geeigneter Standardwert ausgewählt.nextPageToken
wird zurückgegeben, um nachfolgende Ergebnisse abzurufen.QUERY
: Optional. Die Abfrageanweisung. Weitere Informationen finden Sie unter Abfragesyntax. Wenn das Feld nicht angegeben oder leer ist, wird in allen IAM-Zulassungsrichtlinien im angegebenenscope
gesucht. Beachten Sie, dass der Abfragestring mit jeder Bindung der Zulassungsrichtlinie verglichen wird, einschließlich ihrer Hauptkonten, Rollen und IAM-Bedingungen. Die zurückgegebenen Zulassungsrichtlinien enthalten nur die Bindungen, die Ihrer Abfrage entsprechen. Weitere Informationen zur Struktur der Zulassungsrichtlinie finden Sie unter Informationen zu Zulassungsrichtlinien.Beispiele:
policy:amy@gmail.com
, um Bindungen für Zulassungsrichtlinien zu finden, bei denen der Nutzer „amy@gmail.com“ angegeben ist.policy:roles/compute.admin
, um Bindungen für Zulassungsrichtlinien zu finden, die die Rolle „Compute-Administrator“ angeben.policy:comp*
, um Zulassungsrichtlinienbindungen zu finden, die „comp“ als Präfix eines beliebigen Wortes in der Bindung enthalten.policy.role.permissions:storage.buckets.update
, um Richtlinienbindungen zuzulassen, die eine Rolle mit der Berechtigung „storage.buckets.update“ angeben. Wenn dem Aufrufer keine Rolle mit der Berechtigungiam.roles.get
für die gewünschte Rolle gewährt wurde, werden Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt.policy.role.permissions:upd*
, um Zulassungsrichtlinienbindungen zu finden, die eine Rolle angeben, die „upd“ als Präfix eines beliebigen Wortes in der Rollenberechtigung enthält. Wenn dem Aufrufer keine Rolle mit der Berechtigungiam.roles.get
für die gewünschte Rolle gewährt wurde, lassen Sie zu, dass Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt werden.resource:organizations/123456
, um Bindungen für Zulassungsrichtlinien zu finden, die für „organizations/123456“ festgelegt sind.resource=//cloudresourcemanager.googleapis.com/projects/myproject
, um Bindungen für die Zulassungsrichtlinie zu finden, die für das Projekt „myproject“ festgelegt sind.Important
, um Richtlinienbindungen zu finden, die in einem der durchsuchbaren Felder „Wichtig“ als Wort enthalten (außer bei den enthaltenen Berechtigungen).resource:(instance1 OR instance2) policy:amy
, um Bindungen für die Zulassungsrichtlinie zu finden, die für die Ressourcen „instance1“ oder „instance2“ festgelegt sind und auch den Nutzer „amy“ angeben.roles:roles/compute.admin
, um Bindungen für Zulassungsrichtlinien zu finden, die die Rolle „Compute-Administrator“ angeben.memberTypes:user
, um Bindungen von Zulassungsrichtlinien zu finden, die den Hauptkontotyp „Nutzer“ enthalten.
SCOPE
: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein. Die Suche ist auf die IAM-Zulassungsrichtlinien in diesem Bereich beschränkt. Dem Aufrufer muss eine Rolle gewährt werden, die die Berechtigungcloudasset.assets.searchAllIamPolicies
für den ausgewählten Bereich enthält. Wenn keine Angabe erfolgt, wird das konfigurierte Projektattribut verwendet.Zulässige Werte:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Google Cloud-Projektnummer ermitteln
Console
Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:
-
Rufen Sie in der Google Cloud Console die Seite Dashboard auf.
- Klicken Sie in der Menüleiste auf das Auswahlfeld.
- Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
- Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.
gcloud-CLI
Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Google Cloud-Ordner-ID ermitteln
Console
Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:
-
Öffnen Sie die Google Cloud Console.
- Klicken Sie in der Menüleiste auf das Auswahlfeld.
- Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
- Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.
gcloud-CLI
Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option
--format
, um weitere Informationen zu den gefundenen Ordnern zu sehen.Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Google Cloud-Organisations-ID ermitteln
Console
Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:
-
Öffnen Sie die Google Cloud Console.
- Klicken Sie in der Menüleiste auf das Auswahlfeld.
- Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
- Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.
gcloud-CLI
Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Clientbibliothek und API-Referenz
SearchAllIamPolicies
:
So erstellen Sie eine Abfrage
Weitere Informationen zur Abfragesprache finden Sie unter Abfragesyntax.
Weitere Informationen zu den Beispielabfragen für verschiedene reale Anwendungsfälle finden Sie unter Beispiele für IAM-Zulassungsrichtlinien suchen.
IAM-Zulassungsrichtlinien durch Bindungsinformationen abfragen
Ein Abfrageausdruck hat das folgende Format, um nach IAM-Zulassungsrichtlinien zu suchen:
policy:QUERY
Sie können auch ausschließlich nach Hauptkontotypen oder -rollen in den folgenden Formaten suchen:
Genau passend:
memberTypes=QUERY
roles=QUERY
Teilweise Übereinstimmung:
memberTypes:QUERY
roles:QUERY
Hauptkonto
Bindungen von IAM-Zulassungsrichtlinien unterstützen fünf Hauptkontentypen:
Google-Konten, z. B.
user:user@gmail.com
Google-Gruppen, z. B.
group:devs@googlegroups.com
Cloud Identity- und G Suite-Domains, z. B.
domain:google.com
Dienstkonten, z. B.
serviceAccount:my-other-app@appspot.gserviceaccount.com
Spezielle Kennzeichnungen wie
allUsers
undallAuthenticatedUsers
Sie können Ihre Abfrage mithilfe der folgenden Syntax auf Richtlinien beschränken, die sich auf einen bestimmten Nutzer beziehen:
policy:"user:amy@mycompany.com"
Beachten Sie, dass Sie user:amy@mycompany.com
mit doppelten Anführungszeichen zitieren müssen, da sie Sonderzeichen :
enthalten. Sie können das Präfix user:
oder group:
in einem Abfragestring weglassen, wenn der Abfragewert eindeutig genug ist oder Sie unabhängig von dem Hauptkontotyp nach der E-Mail-Adresse suchen möchten. Die folgende Abfrage stimmt beispielsweise wahrscheinlich nur mit einem Nutzer überein:
policy:amy@mycompany.com
Sie können Ihre Abfrage auch auf Richtlinien beschränken, die sich auf einen bestimmten Hauptkontotyp beziehen. Verwenden Sie dafür folgende Syntax:
policy:user
memberTypes:user
memberTypes=user
Es ist möglich, dass policy:user
mit einem anderen Hauptkontotyp übereinstimmt. Beispiel: group:test-user@mycompany.com
Verwenden Sie memberTypes
, um die Suche auf bestimmte Hauptkontotypen zu beschränken.
Beispiele: Abfrage nach Hauptkonto
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die den Nutzer
Amy
angeben:policy:amy
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Domain
mydomain.com
angeben:policy:mydomain.com
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Nutzer
Amy
undJohn
angeben:policy:(amy john)
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die den Nutzer
Amy
oderJohn
angeben:policy:(amy OR john)
Suchen Sie nach allen Bindungen von IAM-Zulassungsrichtlinien in Ihrer Organisation, die
amy@mycompany.com
enthalten:policy:amy@mycompany.com
Suchen Sie nach allen Bindungen für IAM-Zulassungsrichtlinien in Ihrer Organisation, die die Domain
mycompany.com
enthalten:policy:"domain:mycompany.com"
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die dem Dienstkonto
mycompany.gserviceaccount.com
Rollen zuweisen:policy:"serviceAccount:mycompany.gserviceaccount.com"
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die der Gruppe
admins
Rollen zuweisen:policy:"group:admins"
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die allen Nutzern Rollen zuweisen:
memberTypes:allUsers
Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die allen authentifizierten Nutzern Rollen zuweisen:
memberTypes:allAuthenticatedUsers
Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die der Domain
amy@mycompany.com
oder der Domainmycompany.com
Rollen zuweisen:policy:(amy@mycompany.com OR "domain:mycompany.com")
Rolle
Bindungen von IAM-Zulassungsrichtlinien unterstützen verschiedene Arten von Rollen.
Alle IAM-Rollennamen beginnen mit dem Präfix roles/
.
Einfache Rollen: Vor der Einführung von IAM gab es drei Rollen: Inhaber (
roles/owner
), Bearbeiter (roles/editor
) und Betrachter (roles/viewer
).Vordefinierte Rollen: IAM bietet zusätzliche vordefinierte Rollen, die detaillierten Zugriff auf verschiedene Ressourcen ermöglichen. Hier finden Sie alle vordefinierten Rollen.
Benutzerdefinierte Rollen: Benutzerdefinierte IAM-Rollen, die eine Reihe von Berechtigungen enthalten.
Sie können Ihre Abfrage mithilfe der folgenden Syntax auf Richtlinien beschränken, die sich auf eine bestimmte Rolle beziehen:
policy:roles/role-name
roles:roles/role-name
roles=roles/role-name
Sie können das Präfix roles/
in einem Abfragestring weglassen, wenn der Abfragewert eindeutig genug ist. Die folgende Abfrage stimmt beispielsweise wahrscheinlich nur mit der Rolle roles/cloudasset.owner
überein:
policy:cloudasset.owner
roles:cloudasset.owner
Es ist möglich, dass policy:cloudasset.owner
zu einer anderen Rolle gehört. Dies ist beispielsweise der Fall, wenn dem Hauptkonto user:cloudasset.owner@mycompany.com
eine Rolle gewährt wird. Verwenden Sie roles
, um die Suche auf Rollen zu beschränken.
Beispiele: Abfrage nach Rolle
Alle IAM-Zulassungsrichtlinienbindungen suchen, die die Rolle
owner
angeben.policy:roles/owner roles:roles/owner roles=roles/owner
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die
amy@mycompany.com
die Rolle „Inhaber“ zuweisen:policy:(roles/owner amy@mycompany.com)
Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die Hauptkonten die Rolle
compute.admin
zuweisen, deren E-Mail-Adresse das Wortjohn
enthält:policy:(roles/compute.admin john)
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die Nutzern mit „swe“ oder „sde“ als Präfix die Rolle
viewer
gewähren.policy:(roles/viewer (swe* OR sde*))
IAM-Bedingungen
Bindungen von IAM-Zulassungsrichtlinien können ein condition
-Objekt enthalten, mit dem Sie eine bedingte, attributbasierte Zugriffssteuerung für Google Cloud-Ressourcen definieren und erzwingen können. Weitere Informationen finden Sie unter Übersicht über IAM-Bedingungen.
Sie können Ihre Abfrage mithilfe der folgenden Syntax auf Richtlinien für eine bestimmte Bedingung beschränken:
policy:condition_information
Beispiele: Abfrage nach Bedingung
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die eine Bedingung angeben, deren Titel/Beschreibung das Wort „myCondition“ enthält:
policy:myCondition
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die eine Bedingung angeben, deren Ausdruck das Attribut „request.time“ enthält:
policy:"request.time"
IAM-Zulassungsrichtlinien nach enthaltenen Berechtigungen abfragen
Rollen in einer Zulassungsrichtlinie können eine Liste von Berechtigungen enthalten. Weitere Informationen finden Sie in der Referenz für IAM-Berechtigungen. Sie können Ihre Abfrage auf Richtlinien mit einer bestimmten Berechtigung beschränken. Ein Abfrageausdruck hat die folgenden Formate:
- Genau passend:
policy.role.permissions=QUERY
- Teilweise Übereinstimmung:
policy.role.permissions:QUERY
Beispiele: Abfrage nach Berechtigungen
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Berechtigung
compute.instances.create
enthalten:policy.role.permissions:compute.instances.create policy.role.permissions=compute.instances.create
Suchen Sie alle Bindungen von IAM-Zulassungsrichtlinien, die die Berechtigungen für
compute.instances
enthalten:policy.role.permissions:compute.instances
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Berechtigungen
cloudasset.assets.export...
enthalten (z. B.cloudasset.assets.exportAssets
undcloudasset.assets.exportIamPolicyAnalysis
):policy.role.permissions:cloudasset.assets.export*
Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die einem Nutzer Berechtigungen zum Ändern von IAM-Zulassungsrichtlinien gewähren:
policy.role.permissions:setIamPolicy
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen mit einer Rolle, die die Berechtigungen
compute.instances.create
undcompute.disks.create
enthält:policy.role.permissions:(compute.instances.create compute.disks.create)
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Berechtigung
compute.instances.create
enthalten und den Nutzeramy
angeben:policy.role.permissions:compute.instances.create policy:amy policy.role.permissions=compute.instances.create policy:amy
IAM-Zulassungsrichtlinien nach verknüpfter Ressource abfragen
Sie können bei einer Suche einen vollständigen Ressourcennamen angeben, um nur in den Zulassungsrichtlinien zu suchen, die direkt für die Ressource festgelegt sind. Sie können auch ein Projekt, einen Ordner oder eine Organisation angeben, um nur in den Zulassungsrichtlinien zu suchen, die für Ressourcen festgelegt sind, die sich unter dem angegebenen Projekt, dem angegebenen Ordner oder der angegebenen Organisation befinden. Ein Abfrageausdruck hat die folgenden Formate:
Genau passend:
resource=QUERY
project=QUERY
folders=QUERY
organization=QUERY
Teilweise Übereinstimmung:
resource:QUERY
project:QUERY
folders:QUERY
organization:QUERY
Beispiele: Abfrage nach zugehöriger Ressource
Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die direkt für eine Ressource festgelegt sind, deren vollständiger Ressourcenname genau gleich
//cloudresourcemanager.googleapis.com/projects/myproject
ist:resource=//cloudresourcemanager.googleapis.com/projects/myproject
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die direkt für Ressourcen festgelegt sind, deren vollständiger Ressourcenname das Wort
myproject
enthält:resource:myproject
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die direkt für Ressourcen festgelegt sind, deren vollständiger Ressourcenname ein Wort mit dem Präfix
myproj
enthält:resource:myproj*
Suchen Sie nach allen Bindungen von IAM-Zulassungsrichtlinien, die direkt für Ressourcen eines bestimmten Diensttyps festgelegt sind:
resource:cloudresourcemanager
Suchen Sie alle Bindungen von IAM-Zulassungsrichtlinien, die entweder für
myproject
odermyfolder
festgelegt sind:resource:(myproject OR myfolder)
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die für
cloudresourcemanager
-Ressourcen festgelegt sind, und weisen Siegmail.com
-Nutzern die Inhaberrolle zu:resource:cloudresourcemanager policy:(roles/owner gmail.com)
Suchen Sie nach allen Bindungen von IAM-Zulassungsrichtlinien, die für Ressourcen festgelegt sind, deren
project
die Nummer123
hat:project:123
Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die für Ressourcen in
folder
mit der Nummer123
festgelegt sind:folders:123
Suchen Sie nach allen Bindungen von IAM-Zulassungsrichtlinien, die für Ressourcen festgelegt sind, deren
organization
die Nummer123
hat:organization:123
IAM-Zulassungsrichtlinien nach Freitext abfragen
Sie können auch eine Freitextabfrage verwenden, ohne ein Feld anzugeben. Die Antwort gibt Zulassungsrichtlinien zurück, solange es ein durchsuchbares Feld gibt (z. B. Felder für Zulassungsrichtlinien oder Ressourcenfelder), die mit der Abfrage übereinstimmen.
Beispiele: Abfrage nach Freitext
Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen in der
scope
, deren Metadatenfelder (z. B. Zulassungsrichtlinienbindungen oder Ressourcenfelder)Important
als Wort enthalten:Important
Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen in der
scope
, deren Metadatenfelder (z. B. Zulassungsrichtlinienbindungen oder Ressourcenfelder)import
als Präfix eines beliebigen Wortes enthalten:import*