IAM-Zulassungsrichtlinien suchen

Mit der Cloud Asset API können Sie eine benutzerdefinierte Abfragesprache verwenden, um in IAM-Zulassungsrichtlinien (Identity and Access Management) in einem Projekt, einem Ordner oder einer Organisation zu suchen.

Hinweise

Zulassungsrichtlinie suchen

Console

Führen Sie die folgenden Schritte aus, um in allen IAM-Zulassungsrichtlinien zu suchen.

  1. Rufen Sie in der Google Cloud Console die Seite Asset-Inventar auf.

    Asset Inventory aufrufen

  2. Um den Umfang der Suche festzulegen, öffnen Sie das Listenfeld "Projekte" in der Menüleiste und wählen Sie die abzufragende Organisation, den Ordner oder das Projekt aus.

  3. Wählen Sie den Tab IAM-Richtlinie aus.

  4. Um Zulassungsrichtlinien zu suchen, können Sie eine vordefinierte Abfrage verwenden oder eine eigene erstellen.

    • Wenn Sie eine voreingestellte Abfrage verwenden möchten, wählen Sie im Bereich Ergebnisse filtern Optionen aus Abfragevoreinstellungen aus. Wählen Sie zum Filtern der Ergebnisse Optionen unter Filter aus.

    • Wenn Sie eine eigene Abfrage erstellen möchten, geben Sie den Abfragetext in die Filterleiste ein. Wählen Sie das Textfeld aus. Daraufhin wird eine Liste der suchbaren Felder angezeigt. Die Richtliniensuche unterstützt mehrere Felder. Weitere Informationen zur Abfragesyntax.

Die Zulassungsrichtlinien, die mit der Abfrage übereinstimmen, werden in der Tabelle Ergebnis aufgeführt.

Wenn Sie die Abfrage als Google Cloud CLI-Befehl ansehen möchten, wählen Sie View query aus.

Wählen Sie zum Exportieren der Ergebnisse CSV-Datei herunterladen aus.

gcloud

Sie können SearchAllIamPolicies mit dem Befehl gcloud asset search-all-iam-policies aufrufen. Sie müssen die Google Cloud CLI 302.0.0 oder höher ausführen. Sie können Ihre Version mit dem Befehl gcloud version prüfen:

gcloud asset search-all-iam-policies \
    --scope=SCOPE \
    --query="QUERY" \
    --asset-types=ASSET_TYPE_1,ASSET_TYPE_2,... \
    --order-by=ORDER_BY

Geben Sie folgende Werte an:

  • SCOPE: erforderlich. Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein. Die Suche ist auf die IAM-Zulassungsrichtlinien in diesem Bereich beschränkt. Dem Aufrufer muss eine Rolle gewährt werden, die die Berechtigung cloudasset.assets.searchAllIamPolicies für den ausgewählten Bereich enthält. Wenn keine Angabe erfolgt, wird das konfigurierte Projektattribut verwendet.

    Zulässige Werte:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Google Cloud-Projektnummer ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:

      1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

        Zu Google Dashboard

      2. Klicken Sie in der Menüleiste auf das Auswahlfeld.
      3. Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
      4. Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Google Cloud-Ordner-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Auswahlfeld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

      Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Google Cloud-Organisations-ID ermitteln

      Console

      Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

      1. Öffnen Sie die Google Cloud Console.

        Zur Google Cloud Console

      2. Klicken Sie in der Menüleiste auf das Auswahlfeld.
      3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
      4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

      gcloud-CLI

      Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • QUERY: Optional. Die Abfrageanweisung. Weitere Informationen finden Sie unter Abfragesyntax. Wenn nicht angegeben oder leer, wird in allen IAM-Zulassungsrichtlinien im angegebenen scope gesucht. Beachten Sie, dass der Abfragestring mit jeder Bindung von Zulassungsrichtlinien verglichen wird, einschließlich ihrer Hauptkonten, Rollen und IAM-Bedingungen. Die zurückgegebenen Zulassungsrichtlinien enthalten nur die Bindungen, die Ihrer Abfrage entsprechen. Weitere Informationen zur Struktur der Zulassungsrichtlinie finden Sie unter Informationen zu Richtlinien.

    Beispiele:

    • policy:amy@gmail.com, um Richtlinienbindungen für die Zulassung zu finden, für die der Nutzer „amy@gmail.com“ angegeben ist.

    • policy:roles/compute.admin, um Bindungen von Zulassungsrichtlinien zu finden, die die Rolle „Compute-Administrator“ angeben.

    • policy:comp*, um Zulassungsrichtlinienbindungen zu finden, die „comp“ als Präfix eines beliebigen Wortes in der Bindung enthalten.

    • policy.role.permissions:storage.buckets.update, um Richtlinienbindungen zuzulassen, die eine Rolle mit der Berechtigung "storage.buckets.update" angeben. Wenn dem Aufrufer keine Rolle gewährt wurde, die die Berechtigung iam.roles.get für die gewünschte Rolle enthält, werden Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt.

    • policy.role.permissions:upd* zum Suchen von Zulassungsrichtlinienbindungen, die eine Rolle angeben, die „upd“ als Präfix eines beliebigen Wortes in der Bindung enthält. Wenn dem Aufrufer keine Rolle mit der Berechtigung iam.roles.get für die gewünschte Rolle gewährt wurde, werden Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt.

    • resource:organizations/123456, um Bindungen für Zulassungsrichtlinien zu finden, die für „organizations/123456“ festgelegt sind.

    • resource=//cloudresourcemanager.googleapis.com/projects/myproject, um Bindungen von Zulassungsrichtlinien für das Projekt „myproject“ zu finden.

    • Important, um Zulassungsrichtlinienbindungen zu finden, die in einem der durchsuchbaren Felder „Wichtig“ als Wort enthalten (außer bei den „Eingeschlossenen Berechtigungen“).

    • resource:(instance1 OR instance2) policy:amy, um Richtlinienbindungen für die Zulassung zu finden, die für die Ressourcen „instance1“ oder „instance2“ festgelegt sind und auch den Nutzer „amy“ angeben.

    • roles:roles/compute.admin, um Bindungen von Zulassungsrichtlinien zu finden, die die Rolle „Compute-Administrator“ angeben.

    • memberTypes:user, um Bindungen von Zulassungsrichtlinien zu finden, die den Hauptkontotyp „Nutzer“ enthalten.

  • ASSET_TYPE: Optional. Eine Liste der Asset-Typen, denen die Zulassungsrichtlinien von Identity and Access Management zugeordnet sind. Wenn das Feld leer ist, werden die Zulassungsrichtlinien für Identity and Access Management durchsucht, die mit allen suchbaren Asset-Typen verknüpft sind. Reguläre Ausdrücke werden unterstützt. Wenn der reguläre Ausdruck mit keinem unterstützten Assettyp übereinstimmt, wird der Fehler INVALID_ARGUMENT zurückgegeben.

  • ORDER_BY: Optional. Eine durch Kommas getrennte Liste von Feldern, die die Sortierreihenfolge der Ergebnisse angeben. Die Standardreihenfolge ist aufsteigend. Fügen Sie nach dem Feldnamen DESC ein, um die absteigende Reihenfolge anzugeben. Redundante Leerzeichen werden ignoriert. Beispiel:"assetType DESC, resource". Nur einzelne einfache Felder in der Antwort können sortiert werden:

    • resource

    • assetType

    • project

    Alle anderen Felder wie wiederkehrende Felder (z. B. folders) und nicht-primitive Felder (z. B. policy) werden nicht unterstützt.

Im Folgenden finden Sie einige Beispiele für gcloud-Befehle:

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen in Ihrem organizations/123456, die die Domain mycompany.com enthalten:

    gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query="policy:\"domain:mycompany.com\""

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen in Ihrem organizations/123456, bei denen myuser@mycompany.com die einfache Rolle „Inhaber“ (roles/owner) gewährt wurde:

    gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query="policy:(roles/owner myuser@mycompany.com)"

  • Suchen Sie in Ihrem organizations/123456 nach allen Bindungen von IAM-Zulassungsrichtlinien, die für projects/12345678 festgelegt sind:

    gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query="resource:projects/12345678"

REST

Sie können SearchAllIamPolicies mit einem gültigen OAuth-Token für ein Projekt aufrufen. Zum Aufrufen der Methode SearchAllIamPolicies über Cloud Shell oder einer beliebigen Konsole, in der der Befehl gcloud verfügbar ist:

  1. Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, müssen Sie dies tun. Für den OAuth-Zustimmungsbildschirm sind eine E-Mail-Adresse und ein Produktname erforderlich.

    1. Rufen Sie den OAuth-Zustimmungsbildschirm für Ihr Projekt auf.

      Zustimmungsbildschirm konfigurieren

    2. Geben Sie den Namen der Anwendung ein, der angezeigt werden soll.

    3. Wählen Sie unter Support-E-Mail-Adresse die E-Mail-Adresse aus, die Sie als öffentlicher Kontakt anzeigen möchten. Dies muss Ihre E-Mail-Adresse oder eine Google-Gruppe sein, deren Inhaber Sie sind.

    4. Fügen Sie nach Belieben weitere Details hinzu.

    5. Klicken Sie auf Speichern.

  2. Erstellen Sie ein OAuth-Token für Ihr Projekt. Weitere Informationen findest du unter OAuth 2.0 einrichten.

    1. Rufen Sie die Seite „OAuth-Client-ID erstellen“ auf.

      OAuth-Client erstellen

    2. Wählen Sie Desktop-App als Anwendungstyp aus.

    3. Klicken Sie auf Erstellen.

  3. Laden Sie die Datei client_secret.json herunter.

    1. Rufen Sie die Seite Anmeldedaten auf.

    2. Klicken Sie rechts neben Ihrer neuen Client-ID auf JSON herunterladen.

    3. Speichern Sie die Datei an einem sicheren Speicherort, auf den nur Ihre Anwendung zugreifen kann.

  4. Melden Sie sich mit der JSON-Datei mit dem folgenden Befehl an.

    gcloud auth application-default login --client-id-file=YOUR_JSON_FILE

    Mit diesem Befehl werden Sie aufgefordert, einen Link zu öffnen. Achten Sie darauf, dass auf der Seite der Anwendungsname angezeigt wird, den Sie auf Ihrem OAuth-Zustimmungsbildschirm festgelegt haben.

  5. Sie können jetzt IAM-Zulassungsrichtlinien mit curl-Befehlen abfragen.

    curl -X POST \
     -H "X-HTTP-Method-Override: GET" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetTypes": [
            "ASSET_TYPE_1",
            "ASSET_TYPE_2",
            "..."
          ],
          "orderBy": "ORDER_BY",
          "pageSize": PAGE_SIZE,
          "query": "QUERY"
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies

    Geben Sie die folgenden Informationen an:

    • ASSET_TYPE: Optional. Eine Liste der Asset-Typen, denen die Zulassungsrichtlinien von Identity and Access Management zugeordnet sind. Wenn das Feld leer ist, werden die Zulassungsrichtlinien für Identity and Access Management durchsucht, die mit allen suchbaren Asset-Typen verknüpft sind. Reguläre Ausdrücke werden unterstützt. Wenn der reguläre Ausdruck mit keinem unterstützten Asset-Typ übereinstimmt, wird der Fehler INVALID_ARGUMENT zurückgegeben.

    • ORDER_BY: Optional. Eine durch Kommas getrennte Liste von Feldern, die die Sortierreihenfolge der Ergebnisse angeben. Die Standardreihenfolge ist aufsteigend. Fügen Sie nach dem Feldnamen DESC ein, um die absteigende Reihenfolge anzugeben. Redundante Leerzeichen werden ignoriert. Beispiel:"assetType DESC, resource". Nur einzelne einfache Felder in der Antwort können sortiert werden:

      • resource

      • assetType

      • project

      Alle anderen Felder wie wiederkehrende Felder (z. B. folders) und nicht-primitive Felder (z. B. policy) werden nicht unterstützt.

    • PAGE_SIZE: Optional. Die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen. Der Maximalwert beträgt 2.000. Wenn der Wert auf 0 oder ein negativer Wert festgelegt ist, wird ein geeigneter Standardwert ausgewählt. nextPageToken wird zurückgegeben, um nachfolgende Ergebnisse abzurufen.

    • QUERY: Optional. Die Abfrageanweisung. Weitere Informationen finden Sie unter Abfragesyntax. Wenn das Feld nicht angegeben oder leer ist, wird in allen IAM-Zulassungsrichtlinien im angegebenen scope gesucht. Beachten Sie, dass der Abfragestring mit jeder Bindung der Zulassungsrichtlinie verglichen wird, einschließlich ihrer Hauptkonten, Rollen und IAM-Bedingungen. Die zurückgegebenen Zulassungsrichtlinien enthalten nur die Bindungen, die Ihrer Abfrage entsprechen. Weitere Informationen zur Struktur der Zulassungsrichtlinie finden Sie unter Informationen zu Zulassungsrichtlinien.

      Beispiele:

      • policy:amy@gmail.com, um Bindungen für Zulassungsrichtlinien zu finden, bei denen der Nutzer „amy@gmail.com“ angegeben ist.

      • policy:roles/compute.admin, um Bindungen für Zulassungsrichtlinien zu finden, die die Rolle „Compute-Administrator“ angeben.

      • policy:comp*, um Zulassungsrichtlinienbindungen zu finden, die „comp“ als Präfix eines beliebigen Wortes in der Bindung enthalten.

      • policy.role.permissions:storage.buckets.update, um Richtlinienbindungen zuzulassen, die eine Rolle mit der Berechtigung „storage.buckets.update“ angeben. Wenn dem Aufrufer keine Rolle mit der Berechtigung iam.roles.get für die gewünschte Rolle gewährt wurde, werden Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt.

      • policy.role.permissions:upd*, um Zulassungsrichtlinienbindungen zu finden, die eine Rolle angeben, die „upd“ als Präfix eines beliebigen Wortes in der Rollenberechtigung enthält. Wenn dem Aufrufer keine Rolle mit der Berechtigung iam.roles.get für die gewünschte Rolle gewährt wurde, lassen Sie zu, dass Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt werden.

      • resource:organizations/123456, um Bindungen für Zulassungsrichtlinien zu finden, die für „organizations/123456“ festgelegt sind.

      • resource=//cloudresourcemanager.googleapis.com/projects/myproject, um Bindungen für die Zulassungsrichtlinie zu finden, die für das Projekt „myproject“ festgelegt sind.

      • Important, um Richtlinienbindungen zu finden, die in einem der durchsuchbaren Felder „Wichtig“ als Wort enthalten (außer bei den enthaltenen Berechtigungen).

      • resource:(instance1 OR instance2) policy:amy, um Bindungen für die Zulassungsrichtlinie zu finden, die für die Ressourcen „instance1“ oder „instance2“ festgelegt sind und auch den Nutzer „amy“ angeben.

      • roles:roles/compute.admin, um Bindungen für Zulassungsrichtlinien zu finden, die die Rolle „Compute-Administrator“ angeben.

      • memberTypes:user, um Bindungen von Zulassungsrichtlinien zu finden, die den Hauptkontotyp „Nutzer“ enthalten.

    • SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein. Die Suche ist auf die IAM-Zulassungsrichtlinien in diesem Bereich beschränkt. Dem Aufrufer muss eine Rolle gewährt werden, die die Berechtigung cloudasset.assets.searchAllIamPolicies für den ausgewählten Bereich enthält. Wenn keine Angabe erfolgt, wird das konfigurierte Projektattribut verwendet.

      Zulässige Werte:

      • projects/PROJECT_ID

      • projects/PROJECT_NUMBER

        Google Cloud-Projektnummer ermitteln

        Console

        Führen Sie die folgenden Schritte aus, um eine Google Cloud-Projektnummer zu ermitteln:

        1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

          Zu Google Dashboard

        2. Klicken Sie in der Menüleiste auf das Auswahlfeld.
        3. Wählen Sie Ihre Organisation im Feld Auswählen aus aus und suchen Sie dann nach dem Namen Ihres Projekts.
        4. Klicken Sie auf den Projektnamen, um zu diesem Projekt zu wechseln. Die Projektnummer wird auf der Karte Projektinformationen angezeigt.

        gcloud-CLI

        Mit dem folgenden Befehl können Sie eine Google Cloud-Projektnummer abrufen:

        gcloud projects describe PROJECT_ID --format="value(projectNumber)"

      • folders/FOLDER_ID

        Google Cloud-Ordner-ID ermitteln

        Console

        Führen Sie die folgenden Schritte aus, um eine Google Cloud-Ordner-ID zu ermitteln:

        1. Öffnen Sie die Google Cloud Console.

          Zur Google Cloud Console

        2. Klicken Sie in der Menüleiste auf das Auswahlfeld.
        3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
        4. Suchen Sie nach dem Namen Ihres Ordners. Die Ordner-ID wird neben dem Ordnernamen angezeigt.

        gcloud-CLI

        Mit dem folgenden Befehl können Sie eine Google Cloud-Ordner-ID auf Organisationsebene abrufen:

        gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

        Dabei kann TOP_LEVEL_FOLDER_NAME eine vollständige oder teilweise Stringübereinstimmung sein. Entfernen Sie die Option --format, um weitere Informationen zu den gefundenen Ordnern zu sehen.

        Um die ID eines Ordners in einem anderen Ordner abzurufen, listen Sie die Unterordner auf:

        gcloud resource-manager folders list --folder=FOLDER_ID

      • organizations/ORGANIZATION_ID

        Google Cloud-Organisations-ID ermitteln

        Console

        Führen Sie die folgenden Schritte aus, um eine Google Cloud-Organisations-ID zu ermitteln:

        1. Öffnen Sie die Google Cloud Console.

          Zur Google Cloud Console

        2. Klicken Sie in der Menüleiste auf das Auswahlfeld.
        3. Klicken Sie auf das Feld Auswählen aus und wählen Sie Ihre Organisation aus.
        4. Klicken Sie auf den Tab Alle. Die Organisations-ID wird neben dem Namen der Organisation angezeigt.

        gcloud-CLI

        Mit dem folgenden Befehl können Sie eine Google Cloud-Organisations-ID abrufen:

        gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Clientbibliothek und API-Referenz

So erstellen Sie eine Abfrage

Weitere Informationen zur Abfragesprache finden Sie unter Abfragesyntax.

Weitere Informationen zu den Beispielabfragen für verschiedene reale Anwendungsfälle finden Sie unter Beispiele für IAM-Zulassungsrichtlinien suchen.

IAM-Zulassungsrichtlinien durch Bindungsinformationen abfragen

Ein Abfrageausdruck hat das folgende Format, um nach IAM-Zulassungsrichtlinien zu suchen:

policy:QUERY

Sie können auch ausschließlich nach Hauptkontotypen oder -rollen in den folgenden Formaten suchen:

  • Genau passend:

    • memberTypes=QUERY

    • roles=QUERY

  • Teilweise Übereinstimmung:

    • memberTypes:QUERY

    • roles:QUERY

Hauptkonto

Bindungen von IAM-Zulassungsrichtlinien unterstützen fünf Hauptkontentypen:

  1. Google-Konten, z. B. user:user@gmail.com

  2. Google-Gruppen, z. B. group:devs@googlegroups.com

  3. Cloud Identity- und G Suite-Domains, z. B. domain:google.com

  4. Dienstkonten, z. B. serviceAccount:my-other-app@appspot.gserviceaccount.com

  5. Spezielle Kennzeichnungen wie allUsers und allAuthenticatedUsers

Sie können Ihre Abfrage mithilfe der folgenden Syntax auf Richtlinien beschränken, die sich auf einen bestimmten Nutzer beziehen:

policy:"user:amy@mycompany.com"

Beachten Sie, dass Sie user:amy@mycompany.com mit doppelten Anführungszeichen zitieren müssen, da sie Sonderzeichen : enthalten. Sie können das Präfix user: oder group: in einem Abfragestring weglassen, wenn der Abfragewert eindeutig genug ist oder Sie unabhängig von dem Hauptkontotyp nach der E-Mail-Adresse suchen möchten. Die folgende Abfrage stimmt beispielsweise wahrscheinlich nur mit einem Nutzer überein:

policy:amy@mycompany.com

Sie können Ihre Abfrage auch auf Richtlinien beschränken, die sich auf einen bestimmten Hauptkontotyp beziehen. Verwenden Sie dafür folgende Syntax:

policy:user
memberTypes:user
memberTypes=user

Es ist möglich, dass policy:user mit einem anderen Hauptkontotyp übereinstimmt. Beispiel: group:test-user@mycompany.com Verwenden Sie memberTypes, um die Suche auf bestimmte Hauptkontotypen zu beschränken.

Beispiele: Abfrage nach Hauptkonto

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die den Nutzer Amy angeben:

    policy:amy

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Domain mydomain.com angeben:

    policy:mydomain.com

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Nutzer Amy und John angeben:

    policy:(amy john)

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die den Nutzer Amy oder John angeben:

    policy:(amy OR john)

  • Suchen Sie nach allen Bindungen von IAM-Zulassungsrichtlinien in Ihrer Organisation, die amy@mycompany.com enthalten:

    policy:amy@mycompany.com

  • Suchen Sie nach allen Bindungen für IAM-Zulassungsrichtlinien in Ihrer Organisation, die die Domain mycompany.com enthalten:

    policy:"domain:mycompany.com"

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die dem Dienstkonto mycompany.gserviceaccount.com Rollen zuweisen:

    policy:"serviceAccount:mycompany.gserviceaccount.com"

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die der Gruppe admins Rollen zuweisen:

    policy:"group:admins"

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die allen Nutzern Rollen zuweisen:

    memberTypes:allUsers

  • Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die allen authentifizierten Nutzern Rollen zuweisen:

    memberTypes:allAuthenticatedUsers

  • Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die der Domain amy@mycompany.com oder der Domain mycompany.com Rollen zuweisen:

    policy:(amy@mycompany.com OR "domain:mycompany.com")

Rolle

Bindungen von IAM-Zulassungsrichtlinien unterstützen verschiedene Arten von Rollen. Alle IAM-Rollennamen beginnen mit dem Präfix roles/.

  1. Einfache Rollen: Vor der Einführung von IAM gab es drei Rollen: Inhaber (roles/owner), Bearbeiter (roles/editor) und Betrachter (roles/viewer).

  2. Vordefinierte Rollen: IAM bietet zusätzliche vordefinierte Rollen, die detaillierten Zugriff auf verschiedene Ressourcen ermöglichen. Hier finden Sie alle vordefinierten Rollen.

  3. Benutzerdefinierte Rollen: Benutzerdefinierte IAM-Rollen, die eine Reihe von Berechtigungen enthalten.

Sie können Ihre Abfrage mithilfe der folgenden Syntax auf Richtlinien beschränken, die sich auf eine bestimmte Rolle beziehen:

policy:roles/role-name
roles:roles/role-name
roles=roles/role-name

Sie können das Präfix roles/ in einem Abfragestring weglassen, wenn der Abfragewert eindeutig genug ist. Die folgende Abfrage stimmt beispielsweise wahrscheinlich nur mit der Rolle roles/cloudasset.owner überein:

policy:cloudasset.owner
roles:cloudasset.owner

Es ist möglich, dass policy:cloudasset.owner zu einer anderen Rolle gehört. Dies ist beispielsweise der Fall, wenn dem Hauptkonto user:cloudasset.owner@mycompany.com eine Rolle gewährt wird. Verwenden Sie roles, um die Suche auf Rollen zu beschränken.

Beispiele: Abfrage nach Rolle

  • Alle IAM-Zulassungsrichtlinienbindungen suchen, die die Rolle owner angeben.

    policy:roles/owner
roles:roles/owner
roles=roles/owner

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die amy@mycompany.com die Rolle „Inhaber“ zuweisen:

    policy:(roles/owner amy@mycompany.com)

  • Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die Hauptkonten die Rolle compute.admin zuweisen, deren E-Mail-Adresse das Wort john enthält:

    policy:(roles/compute.admin john)

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die Nutzern mit „swe“ oder „sde“ als Präfix die Rolle viewer gewähren.

    policy:(roles/viewer (swe* OR sde*))

IAM-Bedingungen

Bindungen von IAM-Zulassungsrichtlinien können ein condition-Objekt enthalten, mit dem Sie eine bedingte, attributbasierte Zugriffssteuerung für Google Cloud-Ressourcen definieren und erzwingen können. Weitere Informationen finden Sie unter Übersicht über IAM-Bedingungen.

Sie können Ihre Abfrage mithilfe der folgenden Syntax auf Richtlinien für eine bestimmte Bedingung beschränken:

policy:condition_information
Beispiele: Abfrage nach Bedingung

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die eine Bedingung angeben, deren Titel/Beschreibung das Wort „myCondition“ enthält:

    policy:myCondition

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die eine Bedingung angeben, deren Ausdruck das Attribut „request.time“ enthält:

    policy:"request.time"

IAM-Zulassungsrichtlinien nach enthaltenen Berechtigungen abfragen

Rollen in einer Zulassungsrichtlinie können eine Liste von Berechtigungen enthalten. Weitere Informationen finden Sie in der Referenz für IAM-Berechtigungen. Sie können Ihre Abfrage auf Richtlinien mit einer bestimmten Berechtigung beschränken. Ein Abfrageausdruck hat die folgenden Formate:

  • Genau passend: policy.role.permissions=QUERY
  • Teilweise Übereinstimmung: policy.role.permissions:QUERY
Beispiele: Abfrage nach Berechtigungen

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Berechtigung compute.instances.create enthalten:

    policy.role.permissions:compute.instances.create
policy.role.permissions=compute.instances.create

  • Suchen Sie alle Bindungen von IAM-Zulassungsrichtlinien, die die Berechtigungen für compute.instances enthalten:

    policy.role.permissions:compute.instances

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Berechtigungen cloudasset.assets.export... enthalten (z. B. cloudasset.assets.exportAssets und cloudasset.assets.exportIamPolicyAnalysis):

    policy.role.permissions:cloudasset.assets.export*

  • Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die einem Nutzer Berechtigungen zum Ändern von IAM-Zulassungsrichtlinien gewähren:

    policy.role.permissions:setIamPolicy

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen mit einer Rolle, die die Berechtigungen compute.instances.create und compute.disks.create enthält:

    policy.role.permissions:(compute.instances.create compute.disks.create)

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die die Berechtigung compute.instances.create enthalten und den Nutzer amy angeben:

    policy.role.permissions:compute.instances.create policy:amy
policy.role.permissions=compute.instances.create policy:amy

IAM-Zulassungsrichtlinien nach verknüpfter Ressource abfragen

Sie können bei einer Suche einen vollständigen Ressourcennamen angeben, um nur in den Zulassungsrichtlinien zu suchen, die direkt für die Ressource festgelegt sind. Sie können auch ein Projekt, einen Ordner oder eine Organisation angeben, um nur in den Zulassungsrichtlinien zu suchen, die für Ressourcen festgelegt sind, die sich unter dem angegebenen Projekt, dem angegebenen Ordner oder der angegebenen Organisation befinden. Ein Abfrageausdruck hat die folgenden Formate:

  • Genau passend:

    • resource=QUERY

    • project=QUERY

    • folders=QUERY

    • organization=QUERY

  • Teilweise Übereinstimmung:

    • resource:QUERY

    • project:QUERY

    • folders:QUERY

    • organization:QUERY

Beispiele: Abfrage nach zugehöriger Ressource

  • Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen, die direkt für eine Ressource festgelegt sind, deren vollständiger Ressourcenname genau gleich //cloudresourcemanager.googleapis.com/projects/myproject ist:

    resource=//cloudresourcemanager.googleapis.com/projects/myproject

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die direkt für Ressourcen festgelegt sind, deren vollständiger Ressourcenname das Wort myproject enthält:

    resource:myproject

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die direkt für Ressourcen festgelegt sind, deren vollständiger Ressourcenname ein Wort mit dem Präfix myproj enthält:

    resource:myproj*

  • Suchen Sie nach allen Bindungen von IAM-Zulassungsrichtlinien, die direkt für Ressourcen eines bestimmten Diensttyps festgelegt sind:

    resource:cloudresourcemanager

  • Suchen Sie alle Bindungen von IAM-Zulassungsrichtlinien, die entweder für myproject oder myfolder festgelegt sind:

    resource:(myproject OR myfolder)

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die für cloudresourcemanager-Ressourcen festgelegt sind, und weisen Sie gmail.com-Nutzern die Inhaberrolle zu:

    resource:cloudresourcemanager policy:(roles/owner gmail.com)

  • Suchen Sie nach allen Bindungen von IAM-Zulassungsrichtlinien, die für Ressourcen festgelegt sind, deren project die Nummer 123 hat:

    project:123

  • Suchen Sie alle IAM-Zulassungsrichtlinienbindungen, die für Ressourcen in folder mit der Nummer 123 festgelegt sind:

    folders:123

  • Suchen Sie nach allen Bindungen von IAM-Zulassungsrichtlinien, die für Ressourcen festgelegt sind, deren organization die Nummer 123 hat:

    organization:123

IAM-Zulassungsrichtlinien nach Freitext abfragen

Sie können auch eine Freitextabfrage verwenden, ohne ein Feld anzugeben. Die Antwort gibt Zulassungsrichtlinien zurück, solange es ein durchsuchbares Feld gibt (z. B. Felder für Zulassungsrichtlinien oder Ressourcenfelder), die mit der Abfrage übereinstimmen.

Beispiele: Abfrage nach Freitext

  • Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen in der scope, deren Metadatenfelder (z. B. Zulassungsrichtlinienbindungen oder Ressourcenfelder) Important als Wort enthalten:

    Important

  • Suchen Sie nach allen IAM-Zulassungsrichtlinienbindungen in der scope, deren Metadatenfelder (z. B. Zulassungsrichtlinienbindungen oder Ressourcenfelder) import als Präfix eines beliebigen Wortes enthalten:

    import*