Buscar políticas de IAM

La API de Cloud Asset te permite usar un lenguaje de consulta personalizado para buscar políticas de Identity and Access Management (IAM) dentro de una organización, carpeta o proyecto.

Antes de comenzar

Habilita la API de Cloud DLP para el proyecto.
Asegúrate de que se le haya otorgado una función que contenga el permiso cloudasset.assets.searchAllIamPolicies al emisor. Consulta el tema control de acceso para obtener más información.

Buscar políticas

Console

Para buscar todas las políticas de IAM, completa los siguientes pasos.

Ve a la página Asset Inventory de Cloud Console.
Ir a la página Asset Inventory
Para establecer el permiso de tu búsqueda, abre el cuadro de lista Proyectos en la barra de menú y, luego, selecciona la organización, la carpeta o el proyecto que deseas consultar.
Selecciona la pestaña Política de IAM.
Para buscar políticas, puedes usar una consulta predeterminada o crear una propia.
- Para usar una consulta predeterminada, selecciona las opciones de Ajustes predeterminados de consulta en el panel Filtrar resultados. Para filtrar los resultados, selecciona las opciones de Filtros.
- Para compilar tu propia consulta, ingresa el texto de la consulta en la barra Filtros. Selecciona el cuadro de texto y, luego, una lista de campos de búsqueda que se puede mostrar. La búsqueda de políticas admite varios campos. Obtén más información sobre la sintaxis de consultas.

Las políticas que coinciden con la consulta se enumeran en la tabla Resultado.

Para ver la consulta como un comando de la CLI de Google Cloud, selecciona Ver consulta.

Para exportar los resultados, selecciona Descargar CSV.

gcloud

Puedes llamar a SearchAllIamPolicies con el comando gcloud asset search-all-iam-policies. Debes ejecutar la versión 302.0.0 o posterior de la CLI de Google Cloud. Puedes verificar tu versión con el comando gcloud version:

gcloud asset search-all-iam-policies \
  --scope=SCOPE \
  --query=QUERY \
  --asset-types=ASSET_TYPES,… \
  --order-by=ORDER_BY \
  --page-size=PAGE_SIZE \

Donde:

(Opcional) SCOPE: Un permiso puede ser un proyecto, una carpeta o una organización. La búsqueda se limita a las políticas de IAM dentro de este permiso. Se le debe otorgar al emisor una función que contenga el permiso cloudasset.assets.searchAllIamPolicies en el alcance deseado. Si no se especifica, se usará la propiedad del proyecto configurado. Para encontrar el proyecto configurado, ejecuta gcloud config get-value project. Para cambiar la configuración, ejecuta gcloud config set project PROJECT_ID.

Los valores permitidos son los siguientes:
- projects/PROJECT_ID (p. ej., "projects/foo-bar")
- projects/PROJECT_NUMBER (p. ej., "projects/12345678")
- folders/FOLDER_NUMBER (p. ej., "folders/1234567")
- organizations/ORGANIZATION_NUMBER (p. ej., "organizations/123456")
QUERY: la declaración de la consulta (opcional). Consulta cómo construir una consulta para obtener más información. Si no se especifica o está vacía, buscará todas las políticas de IAM dentro del scope especificado. Ten en cuenta que la string de consulta se compara con cada vinculación de política de IAM, incluidos sus principales, funciones y condiciones de IAM. Las políticas de IAM que se muestran solo contendrán las vinculaciones que coincidan con tu consulta. Para obtener más información sobre la estructura de las políticas de IAM, consulta Información sobre las políticas.

Ejemplos:
- policy:amy@gmail.com para buscar vinculaciones de políticas de IAM que especifiquen el usuario “amy@gmail.com”.
- policy:roles/compute.admin para encontrar vinculaciones de políticas de IAM que especifiquen la función de administrador de Compute.
- policy:comp* para encontrar vinculaciones de políticas de IAM que contengan “comp” como un prefijo de cualquier palabra de la vinculación.
- policy.role.permissions:storage.buckets.update para encontrar vinculaciones de políticas de IAM que especifiquen una función que contenga el permiso “storage.buckets.update”. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permiso iam.roles.get en la función deseada, las vinculaciones de políticas que especifiquen esta función se quitarán de los resultados de la búsqueda.
- policy.role.permissions:upd* para encontrar vinculaciones de políticas de IAM que especifiquen una función que contenga “upd” como un prefijo de cualquier palabra en la vinculación. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permiso iam.roles.get en la función deseada, las vinculaciones de políticas que especifiquen esta función se quitarán de los resultados de la búsqueda.
- resource:organizations/123456 para encontrar vinculaciones de políticas de IAM que se establecen en "organizations/123456".
- resource=//cloudresourcemanager.googleapis.com/projects/myproject para encontrar vinculaciones de políticas de IAM que se establecen en el proyecto llamado “myproject”.
- Important para encontrar vinculaciones de políticas de IAM que contengan la palabra “Important” en cualquiera de los campos de búsqueda (excepto los permisos incluidos).
- resource:(instance1 OR instance2) policy:amy para encontrar vinculaciones de políticas de IAM que se establecen en los recursos “instance1” o “instance2” y también especifican el usuario “amy”.
- roles:roles/compute.admin para encontrar vinculaciones de políticas de IAM que especifiquen la función de administrador de Compute.
- memberTypes:user para encontrar vinculaciones de políticas de IAM que contengan el tipo principal “user”.
ASSET_TYPES: Es una lista de tipos de recursos a los que se adjuntan las políticas de administración de identidades y accesos (opcional). Si está vacío, buscará las políticas de administración de identidades y accesos que se adjuntan a todos los tipos de recursos que se pueden buscar. También se admiten expresiones regulares. Por ejemplo:
- Las políticas de IAM de instantáneas "compute.googleapis.com.*" vinculadas al tipo de recurso comienzan con "compute.googleapis.com".
- Las políticas de IAM de instantáneas ".*Instance" vinculadas al tipo de recurso terminan con "Instance".
- Las políticas de IAM de instantáneas ".*Instance.*" vinculadas al tipo de recurso contienen "Instance".
Consulta RE2 para ver toda la sintaxis de expresión regular admitida. Si la expresión regular no coincide con ningún tipo de elemento compatible, se mostrará un error INVALID_ARGUMENT.
ORDER_BY (opcional): Es una lista de campos separados por comas que especifican el orden de clasificación de los resultados. El orden predeterminado es ascendente. Agrega " DESC" después del nombre del campo para indicar el orden descendente. Se ignoran los caracteres de espacio redundantes. Ejemplo: "assetType DESC, resource". Solo se pueden ordenar los campos primitivos singulares en la respuesta:
- resource
- assetType
- project
Todos los demás campos, como los campos repetidos (p. ej., folders) y campos no primitivos (p. ej., policy) no se admiten.
PAGE_SIZE: El tamaño de la página para la paginación del resultado de la búsqueda (opcional). La cantidad máxima es 500. Si el valor se establece en 0, se seleccionará un valor predeterminado adecuado.

Los siguientes son comandos de gcloud de ejemplo:

Busca todas las vinculaciones de políticas de IAM en tu organizations/123456 que contengan el dominio mycompany.com:

gcloud asset search-all-iam-policies \
  --scope=organizations/123456 \
  --query='policy:"domain:mycompany.com"'

Busca todas las vinculaciones de políticas de IAM en tu organizations/123456 en la que se le otorgó la función básica de propietario (roles/owner) a myuser@mycompany.com:
```
gcloud asset search-all-iam-policies \
  --scope=organizations/123456 \
  --query='policy:(roles/owner myuser@mycompany.com)'
```
Busca todas las vinculaciones de políticas de IAM en tu organizations/123456 que se establecieron en projects/12345678:
```
gcloud asset search-all-iam-policies \
  --scope=organizations/123456 \
  --query='resource:projects/12345678'
```

api

Puedes llamar a SearchAllIamPolicies con un token de OAuth válido para un proyecto. Para llamar al método SearchAllIamPolicies desde Cloud Shell o cualquier consola en la que esté disponible el comando gcloud:

Si no configuraste la pantalla de consentimiento de OAuth de tu proyecto, deberás hacerlo. Se requerirá una dirección de correo electrónico y un nombre del producto.

No ingreses información confidencial en la pantalla de consentimiento de OAuth. Cualquier información que guardes en ella podría ser visible de forma pública para cualquier persona que acceda a tu URL. Los detalles del correo electrónico y del producto se muestran en la pantalla de acceso y cuando alguien intenta acceder a un recurso para el cual no tiene permiso.
1. Ve a la pantalla de consentimiento de OAuth de tu proyecto.
  Configuración de la pantalla de consentimiento
2. Ingresa el Nombre de la aplicación que deseas mostrar.
3. En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. Debe ser tu dirección de correo electrónico o un grupo de Google que te pertenezca.
4. Agrega otro tipo de información opcional que desees mostrar.
5. Haz clic en Guardar.
Crea un token de OAuth para tu proyecto. Consulta Configura OAuth 2.0 para obtener más información.
1. Ve a la página Crear ID de cliente de OAuth.
  Crear clientes de OAuth
2. Selecciona App de escritorio como el Tipo de aplicación.
3. Haga clic en Crear.
Descarga el archivo client_secret.json.
1. Ve a la página Credenciales.
2. A la derecha de tu ID de cliente nuevo, haz clic en Descargar JSON.
3. Almacena el archivo de forma segura en una ubicación a la que solo pueda acceder tu app.
Accede mediante el archivo JSON son el siguiente comando.
```
gcloud auth application-default login --client-id-file=YOUR_JSON_FILE
```
Tenga en cuenta que este comando te solicitará que abras un vínculo. Asegúrate de que la página muestre el Nombre de la aplicación que estableciste en la pantalla de consentimiento de OAuth.
Genera un token de autenticación para tu cuenta con el siguiente comando:
```
TOKEN=$(gcloud auth application-default print-access-token)
```

Ahora puedes consultar las políticas de IAM con los comandos curl.

PAGE_SIZE=PAGE_SIZE
PAGE_TOKEN="PAGE_TOKEN"
SCOPE="SCOPE"
QUERY="QUERY"
ASSET_TYPES="ASSET_TYPES,…"
ORDER_BY="ORDER_BY"
curl -s -G \
    -H "Authorization: Bearer $TOKEN" \
    -d "page_size=$PAGE_SIZE" \
    -d "page_token=$PAGE_TOKEN" \
    -d "scope=$SCOPE" \
    -d "asset_types=$ASSET_TYPES,…" \
    -d "order_by=$ORDER_BY" \
    --data-urlencode "query=$QUERY" \
    "https://cloudasset.googleapis.com/v1/$SCOPE:searchAllIamPolicies"

(Opcional) SCOPE: Un permiso puede ser un proyecto, una carpeta o una organización. La búsqueda se limita a las políticas de IAM dentro de este permiso. Se le debe otorgar al emisor una función que contenga el permiso cloudasset.assets.searchAllIamPolicies en el alcance deseado.

Los valores permitidos son los siguientes:
- projects/PROJECT_ID (p. ej., "projects/foo-bar")
- projects/PROJECT_NUMBER (p. ej., "projects/12345678")
- folders/FOLDER_NUMBER (p. ej., "folders/1234567")
- organizations/ORGANIZATION_NUMBER (p. ej., "organizations/123456")
QUERY: la declaración de la consulta (opcional). Consulta cómo construir una consulta para obtener más información. Si no se especifica o está vacía, buscará todas las políticas de IAM dentro del scope especificado. Ten en cuenta que la string de consulta se compara con cada vinculación de política de IAM, incluidos sus principales, funciones y condiciones de IAM. Las políticas de IAM que se muestran solo contendrán las vinculaciones que coincidan con tu consulta. Para obtener más información sobre la estructura de las políticas de IAM, consulta Información sobre las políticas.

Ejemplos:
- policy:amy@gmail.com para buscar vinculaciones de políticas de IAM que especifiquen el usuario “amy@gmail.com”.
- policy:roles/compute.admin para encontrar vinculaciones de políticas de IAM que especifiquen la función de administrador de Compute.
- policy:comp* para encontrar vinculaciones de políticas de IAM que contengan “comp” como un prefijo de cualquier palabra de la vinculación.
- policy.role.permissions:storage.buckets.update para encontrar vinculaciones de políticas de IAM que especifiquen una función que contenga el permiso “storage.buckets.update”. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permiso iam.roles.get en la función deseada, las vinculaciones de políticas que especifiquen esta función se quitarán de los resultados de la búsqueda.
- policy.role.permissions:upd* para encontrar vinculaciones de políticas de IAM que especifiquen una función que contenga “upd” como un prefijo de cualquier palabra en el permiso de la función. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permiso iam.roles.get en la función deseada, las vinculaciones de políticas que especifiquen esta función se quitarán de los resultados de la búsqueda.
- resource:organizations/123456 para encontrar vinculaciones de políticas de IAM que se establecen en "organizations/123456".
- resource=//cloudresourcemanager.googleapis.com/projects/myproject para encontrar vinculaciones de políticas de IAM que se establecen en el proyecto llamado “myproject”.
- Important para encontrar vinculaciones de políticas de IAM que contengan la palabra “Important” en cualquiera de los campos de búsqueda (excepto los permisos incluidos).
- resource:(instance1 OR instance2) policy:amy para encontrar vinculaciones de políticas de IAM que se establecen en los recursos “instance1” o “instance2” y también especifican el usuario “amy”.
- roles:roles/compute.admin para encontrar vinculaciones de políticas de IAM que especifiquen la función de administrador de Compute.
- memberTypes:user para encontrar vinculaciones de políticas de IAM que contengan el tipo principal “user”.
ASSET_TYPES: Es una lista de tipos de recursos a los que se adjuntan las políticas de administración de identidades y accesos (opcional). Si está vacío, buscará las políticas de administración de identidades y accesos que se adjuntan a todos los tipos de recursos que se pueden buscar. También se admiten expresiones regulares. Por ejemplo:
- Las políticas de IAM de instantáneas "compute.googleapis.com.*" vinculadas al tipo de recurso comienzan con "compute.googleapis.com".
- Las políticas de IAM de instantáneas ".*Instance" vinculadas al tipo de recurso terminan con "Instance".
- Las políticas de IAM de instantáneas ".*Instance.*" vinculadas al tipo de recurso contienen "Instance".
Consulta RE2 para ver toda la sintaxis de expresión regular admitida. Si la expresión regular no coincide con ningún tipo de elemento compatible, se mostrará un error INVALID_ARGUMENT.
ORDER_BY (opcional): Es una lista de campos separados por comas que especifican el orden de clasificación de los resultados. El orden predeterminado es ascendente. Agrega " DESC" después del nombre del campo para indicar el orden descendente. Se ignoran los caracteres de espacio redundantes. Ejemplo: "assetType DESC, resource". Solo se pueden ordenar los campos primitivos singulares en la respuesta:
- resource
- assetType
- project
Todos los demás campos, como los campos repetidos (p. ej., folders) y campos no primitivos (p. ej., policy) no se admiten.
PAGE_SIZE: El tamaño de la página para la paginación del resultado de la búsqueda (opcional). La cantidad máxima es 2000. Si el valor se establece en 0, se seleccionará un valor predeterminado adecuado.
(Opcional) PAGE_TOKEN: El token que representa el siguiente lote de resultados de la llamada anterior a este método. El page_token debe ser el mismo que el valor de next_page_token de la respuesta de la llamada anterior.

Referencia de la API y biblioteca cliente

SearchAllIamPolicies:

Construye una consulta

Consulta la sintaxis de las consultas para obtener más información sobre el lenguaje de las consultas.

Consulta la búsqueda de ejemplos de políticas de IAM para obtener más información sobre las consultas de muestra de varios casos de uso reales.

Consulta políticas de IAM mediante vinculación de información

Para buscar políticas de IAM, una expresión de consulta debe tener el siguiente formato:

policy:QUERY

También puedes buscar tipos o funciones principales de forma exclusiva con los siguientes formatos:

Concordancia exacta:
- memberTypes=QUERY
- roles=QUERY
Coincidencia parcial:
- memberTypes:QUERY
- roles:QUERY

Principal

Las vinculaciones de políticas de IAM admiten cinco tipos de principales:

Cuentas de Google, como user:user@gmail.com
Grupos de Google, como group:devs@googlegroups.com
Dominios de Cloud Identity y G Suite, como domain:google.com
Cuentas de servicio, como serviceAccount:my-other-app@appspot.gserviceaccount.com
Identificadores especiales, como allUsers y allAuthenticatedUsers

Puedes limitar tu consulta a las políticas relacionadas con un usuario específico mediante el uso de la siguiente sintaxis:

policy:"user:amy@mycompany.com"

Ten en cuenta que user:amy@mycompany.com debe estar entre comillas dobles, ya que contiene el carácter especial :. Puedes omitir el prefijo user: o group: en una cadena de consulta, si el valor de la consulta es lo suficientemente único o si deseas buscar la dirección de correo electrónico sin importar el tipo de principal. Por ejemplo, la siguiente consulta probablemente coincidirá con un solo usuario:

policy:amy@mycompany.com

También puedes limitar tu consulta a las políticas relacionadas con un tipo principal específico mediante la siguiente sintaxis:

policy:user
memberTypes:user
memberTypes=user

Ten en cuenta que es posible que policy:user coincida con un tipo de principal diferente. Por ejemplo: group:test-user@mycompany.com. Usa memberTypes para limitar la búsqueda a tipos de principales específicos.

Ejemplos: Consulta por principal

Busca todas las vinculaciones de políticas de IAM que especifiquen el usuario Amy:
```
policy:amy
```
Busca todas las vinculaciones de políticas de IAM que especifiquen el dominio mydomain.com:
```
policy:mydomain.com
```
Busca todas las vinculaciones de políticas de IAM que especifiquen los usuarios Amy y John:
```
policy:(amy john)
```
Busca todas las vinculaciones de políticas de IAM que especifiquen los usuarios Amy o John:
```
policy:(amy OR john)
```
Busca todas las vinculaciones de políticas de IAM en tu organización que contengan amy@mycompany.com:
```
policy:amy@mycompany.com
```
Busca todas las vinculaciones de políticas de IAM en tu organización que contengan el dominio mycompany.com:
```
policy:"domain:mycompany.com"
```
Busca todas las vinculaciones de políticas de IAM que asignen funciones a la cuenta de servicio mycompany.gserviceaccount.com:
```
policy:"serviceAccount:mycompany.gserviceaccount.com"
```
Busca todas las vinculaciones de políticas de IAM que asignen funciones al grupo admins:
```
policy:"group:admins"
```
Busca todas las vinculaciones de políticas de IAM que asignen funciones a todos los usuarios:
```
memberTypes:allUsers
```
Busca todas las vinculaciones de políticas de IAM que asignen funciones a todos los usuarios autenticados:
```
memberTypes:allAuthenticatedUsers
```
Busca todas las vinculaciones de políticas de IAM que asignen funciones a amy@mycompany.com o al dominio mycompany.com:
```
policy:(amy@mycompany.com OR "domain:mycompany.com")
```

Rol

Las vinculaciones de políticas de IAM admiten diferentes tipos de funciones. Todos los nombres de las funciones de IAM comienzan con el prefijo roles/.

Funciones básicas: Existen tres funciones que existían antes de la introducción de IAM: Propietario (roles/owner ), Editor (roles/editor ) y Visualizador (roles/viewer).
Funciones predefinidas: IAM proporciona funciones predefinidas adicionales que brindan acceso detallado a diferentes recursos. Consulta todas las funciones predefinidas.
Funciones personalizadas: Funciones de IAM definidas por el usuario que contienen una lista seleccionada de permisos.

Puedes limitar tu consulta a las políticas relacionadas con una función específica mediante el uso de la siguiente sintaxis:

policy:roles/role-name
roles:roles/role-name
roles=roles/role-name

Ten en cuenta que puedes omitir el prefijo roles/ en una string de consulta si el valor de la consulta es lo suficientemente único. Por ejemplo, es posible que la siguiente consulta solo coincida con la función roles/cloudasset.owner:

policy:cloudasset.owner
roles:cloudasset.owner

Ten en cuenta que es posible que policy:cloudasset.owner coincida con una función diferente. Por ejemplo, cuando se otorga una función al principal user:cloudasset.owner@mycompany.com. Usa roles para limitar la búsqueda a las funciones.

Ejemplos: Consulta por función

Busca todas las vinculaciones de políticas de IAM que especifiquen la función owner.
```
policy:roles/owner
roles:roles/owner
roles=roles/owner
```
Busca todas las vinculaciones de políticas de IAM que asignan a amy@mycompany.com función de propietario:
```
policy:(roles/owner amy@mycompany.com)
```
Busca todas las vinculaciones de políticas de IAM que asignen la función compute.admin a los principales cuya dirección de correo electrónico contenga la palabra john:
```
policy:(roles/compute.admin john)
```
Encuentra todas las vinculaciones de políticas de IAM que otorgan la función viewer a los usuarios que tienen “swe” o “sde” como prefijo.
```
policy:(roles/viewer (swe* OR sde*))
```

Condiciones de IAM

Las vinculaciones de políticas de IAM pueden contener un objeto condition, que te permite definir y aplicar el control de acceso condicional basado en atributos para los recursos de Google Cloud. Consulta Descripción general de las Condiciones de IAM para obtener más información.

Puedes limitar tu consulta a políticas relacionadas con una condición específica mediante la siguiente sintaxis:

policy:condition_information

Ejemplos: Consulta por condición

Busca todas las vinculaciones de políticas de IAM que especifiquen una condición, cuyo título o descripción contenga la palabra “myCondition”:
```
policy:myCondition
```
Busca todas las vinculaciones de políticas de IAM que especifiquen una condición, cuya expresión contenga el atributo “request.time”:
```
policy:"request.time"
```

Consultar las políticas de IAM según los permisos incluidos

Las funciones de una política pueden incluir una lista de permisos. Consulta la referencia de permisos de IAM para obtener más detalles. Puedes limitar tu consulta a políticas que contengan un permiso específico. Una expresión de consulta tiene los siguientes formatos:

Concordancia exacta: policy.role.permissions=QUERY
Coincidencia parcial: policy.role.permissions:QUERY

Ejemplos: Consulta por permisos

Busca todas las vinculaciones de políticas de IAM que contengan el permiso compute.instances.create.
```
policy.role.permissions:compute.instances.create
policy.role.permissions=compute.instances.create
```
Busca todas las vinculaciones de políticas de IAM que contengan los permisos relacionados compute.instances:
```
policy.role.permissions:compute.instances
```
Busca todas las vinculaciones de políticas de IAM que contengan permisos cloudasset.assets.export... (p. ej., cloudasset.assets.exportAssets y cloudasset.assets.exportIamPolicyAnalysis):
```
policy.role.permissions:cloudasset.assets.export*
```
Busca todas las vinculaciones de políticas de IAM que otorguen a alguien permisos para cambiar las políticas de IAM:
```
policy.role.permissions:setIamPolicy
```
Busca todas las vinculaciones de políticas de IAM que tengan una función con los permisos compute.instances.create y compute.disks.create:
```
policy.role.permissions:(compute.instances.create compute.disks.create)
```
Nota: Los términos de consulta posteriores a policy.role.permissions coinciden con la lista de permisos incluidos en la vinculación de política. Consultar con policy.role.permissions:(foo bar) no garantiza que las palabras foo y bar coincidirán con un solo permiso (p. ej., foo.bar.get), ya que podrán coincidir con dos permisos diferentes (p. ej., foo.get y bar.get). Consulta combinación en la sintaxis de consulta para obtener más información.
Busca todas las vinculaciones de políticas de IAM que contienen el permiso compute.instances.create y especifica el usuario amy:
```
policy.role.permissions:compute.instances.create policy:amy
policy.role.permissions=compute.instances.create policy:amy
```

Consulta políticas de IAM por recurso asociado

Cuando realizas una búsqueda, puedes especificar un nombre de recurso completo para buscar solo las políticas que se establecieron directamente en el recurso. También puedes especificar un proyecto, una carpeta o una organización para buscar solo las políticas que se establecen en los recursos ubicados en el proyecto, la carpeta o la organización determinados. Una expresión de consulta tiene los siguientes formatos:

Concordancia exacta:
- resource=QUERY
- project=QUERY
- folders=QUERY
- organization=QUERY
Coincidencia parcial:
- resource:QUERY
- project:QUERY
- folders:QUERY
- organization:QUERY

Ejemplos: Consulta por recurso asociado

Busca todas las vinculaciones de políticas de IAM que se establecen directamente en un recurso cuyo nombre completo del recurso sea igual a //cloudresourcemanager.googleapis.com/projects/myproject:
```
resource=//cloudresourcemanager.googleapis.com/projects/myproject
```
Busca todas las vinculaciones de políticas de IAM que se establecen directamente en los recursos cuyo nombre de recurso completo contiene la palabra myproject:
```
resource:myproject
```
Busca todas las vinculaciones de políticas de IAM que se establecen directamente en los recursos cuyo nombre de recurso completo contiene una palabra con el prefijo myproj especificado:
```
resource:myproj*
```
Busca todas las vinculaciones de políticas de IAM que se establecen directamente en los recursos de un tipo de servicio determinado:
```
resource:cloudresourcemanager
```
Busca todas las vinculaciones de políticas de IAM que se establecen en myproject o myfolder:
```
resource:(myproject OR myfolder)
```
Busca todas las vinculaciones de políticas de IAM que se establecen en recursos cloudresourcemanager y asigna la función de propietario a los usuarios de gmail.com:
```
resource:cloudresourcemanager policy:(roles/owner gmail.com)
```
Busca todas las vinculaciones de políticas de IAM que se establecen en recursos cuyo project tiene el número 123:
```
project:123
```
Busca todas las vinculaciones de políticas de IAM que se establecen en recursos contenidos en folder con el número 123:
```
folders:123
```
Busca todas las vinculaciones de políticas de IAM que se establecen en recursos cuyo organization tiene el número 123:
```
organization:123
```

Consulta las políticas de IAM por texto libre

También puedes usar una consulta de texto libre sin especificar un campo. La respuesta mostrará las políticas siempre que haya un campo de búsqueda (p. ej., los campos de vinculación de política o los campos de recursos) que coincida con la consulta.

Ejemplos: Consulta por texto libre

Busca todas las vinculaciones de políticas de IAM dentro de tu scope cuyos campos de metadatos (p. ej., vinculaciones de políticas o campos de recursos) contengan Important como una palabra:
```
Important
```
Busca todas las vinculaciones de políticas de IAM dentro de tu scope cuyos campos de metadatos (p. ej., vinculaciones de políticas o campos de recursos) contengan import como un prefijo de cualquier palabra:
```
import*
```