La API de Cloud Asset te permite usar un lenguaje de consulta personalizado para buscar políticas de Identity and Access Management (IAM) dentro de una organización, carpeta o proyecto.
Antes de comenzar
- Habilita la API de Cloud DLP para el proyecto.
- Asegúrate de que se le haya otorgado una función que contenga el permiso
cloudasset.assets.searchAllIamPolicies
al emisor. Consulta el tema control de acceso para obtener más información.
Buscar políticas
Console
Para buscar todas las políticas de IAM, completa los siguientes pasos.
- Ve a la página Asset Inventory de Cloud Console.
Ir a la página Asset Inventory - Para establecer el permiso de tu búsqueda, abre el cuadro de lista Proyectos en la barra de menú y, luego, selecciona la organización, la carpeta o el proyecto que deseas consultar.
- Selecciona la pestaña Política de IAM.
- Para buscar políticas, puedes usar una consulta predeterminada o crear una propia.
- Para usar una consulta predeterminada, selecciona las opciones de Ajustes predeterminados de consulta en el panel Filtrar resultados. Para filtrar los resultados, selecciona las opciones de Filtros.
- Para compilar tu propia consulta, ingresa el texto de la consulta en la barra Filtros. Selecciona el cuadro de texto y, luego, una lista de campos de búsqueda que se puede mostrar. La búsqueda de políticas admite varios campos. Obtén más información sobre la sintaxis de consultas.
Las políticas que coinciden con la consulta se enumeran en la tabla Resultado.
Para ver la consulta como un comando de la CLI de Google Cloud, selecciona Ver consulta.
Para exportar los resultados, selecciona Descargar CSV.
gcloud
Puedes llamar a SearchAllIamPolicies
con el comando gcloud asset search-all-iam-policies
. Debes ejecutar la versión 302.0.0 o posterior de la CLI de Google Cloud. Puedes verificar tu versión con el comando gcloud version
:
gcloud asset search-all-iam-policies \ --scope=SCOPE \ --query=QUERY \ --asset-types=ASSET_TYPES,… \ --order-by=ORDER_BY \ --page-size=PAGE_SIZE \
Donde:
(Opcional) SCOPE: Un permiso puede ser un proyecto, una carpeta o una organización. La búsqueda se limita a las políticas de IAM dentro de este permiso. Se le debe otorgar al emisor una función que contenga el permiso
cloudasset.assets.searchAllIamPolicies
en el alcance deseado. Si no se especifica, se usará la propiedad del proyecto configurado. Para encontrar el proyecto configurado, ejecutagcloud config get-value project
. Para cambiar la configuración, ejecutagcloud config set project PROJECT_ID
.Los valores permitidos son los siguientes:
projects/PROJECT_ID
(p. ej., "projects/foo-bar
")projects/PROJECT_NUMBER
(p. ej., "projects/12345678
")folders/FOLDER_NUMBER
(p. ej., "folders/1234567
")organizations/ORGANIZATION_NUMBER
(p. ej., "organizations/123456
")
QUERY: la declaración de la consulta (opcional). Consulta cómo construir una consulta para obtener más información. Si no se especifica o está vacía, buscará todas las políticas de IAM dentro del
scope
especificado. Ten en cuenta que la string de consulta se compara con cada vinculación de política de IAM, incluidos sus principales, funciones y condiciones de IAM. Las políticas de IAM que se muestran solo contendrán las vinculaciones que coincidan con tu consulta. Para obtener más información sobre la estructura de las políticas de IAM, consulta Información sobre las políticas.Ejemplos:
policy:amy@gmail.com
para buscar vinculaciones de políticas de IAM que especifiquen el usuario “amy@gmail.com”.policy:roles/compute.admin
para encontrar vinculaciones de políticas de IAM que especifiquen la función de administrador de Compute.policy:comp*
para encontrar vinculaciones de políticas de IAM que contengan “comp” como un prefijo de cualquier palabra de la vinculación.policy.role.permissions:storage.buckets.update
para encontrar vinculaciones de políticas de IAM que especifiquen una función que contenga el permiso “storage.buckets.update”. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permisoiam.roles.get
en la función deseada, las vinculaciones de políticas que especifiquen esta función se quitarán de los resultados de la búsqueda.policy.role.permissions:upd*
para encontrar vinculaciones de políticas de IAM que especifiquen una función que contenga “upd” como un prefijo de cualquier palabra en la vinculación. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permisoiam.roles.get
en la función deseada, las vinculaciones de políticas que especifiquen esta función se quitarán de los resultados de la búsqueda.resource:organizations/123456
para encontrar vinculaciones de políticas de IAM que se establecen en "organizations/123456".resource=//cloudresourcemanager.googleapis.com/projects/myproject
para encontrar vinculaciones de políticas de IAM que se establecen en el proyecto llamado “myproject”.Important
para encontrar vinculaciones de políticas de IAM que contengan la palabra “Important” en cualquiera de los campos de búsqueda (excepto los permisos incluidos).resource:(instance1 OR instance2) policy:amy
para encontrar vinculaciones de políticas de IAM que se establecen en los recursos “instance1” o “instance2” y también especifican el usuario “amy”.roles:roles/compute.admin
para encontrar vinculaciones de políticas de IAM que especifiquen la función de administrador de Compute.memberTypes:user
para encontrar vinculaciones de políticas de IAM que contengan el tipo principal “user”.
ASSET_TYPES: Es una lista de tipos de recursos a los que se adjuntan las políticas de administración de identidades y accesos (opcional). Si está vacío, buscará las políticas de administración de identidades y accesos que se adjuntan a todos los tipos de recursos que se pueden buscar. También se admiten expresiones regulares. Por ejemplo:
- Las políticas de IAM de instantáneas
"compute.googleapis.com.*"
vinculadas al tipo de recurso comienzan con"compute.googleapis.com"
. - Las políticas de IAM de instantáneas
".*Instance"
vinculadas al tipo de recurso terminan con"Instance"
. - Las políticas de IAM de instantáneas
".*Instance.*"
vinculadas al tipo de recurso contienen"Instance"
.
Consulta RE2 para ver toda la sintaxis de expresión regular admitida. Si la expresión regular no coincide con ningún tipo de elemento compatible, se mostrará un error
INVALID_ARGUMENT
.- Las políticas de IAM de instantáneas
ORDER_BY (opcional): Es una lista de campos separados por comas que especifican el orden de clasificación de los resultados. El orden predeterminado es ascendente. Agrega
" DESC"
después del nombre del campo para indicar el orden descendente. Se ignoran los caracteres de espacio redundantes. Ejemplo:"assetType DESC, resource"
. Solo se pueden ordenar los campos primitivos singulares en la respuesta:resource
assetType
project
Todos los demás campos, como los campos repetidos (p. ej.,
folders
) y campos no primitivos (p. ej.,policy
) no se admiten.PAGE_SIZE: El tamaño de la página para la paginación del resultado de la búsqueda (opcional). La cantidad máxima es 500. Si el valor se establece en
0
, se seleccionará un valor predeterminado adecuado.
Los siguientes son comandos de gcloud
de ejemplo:
Busca todas las vinculaciones de políticas de IAM en tu
organizations/123456
que contengan el dominiomycompany.com
:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query='policy:"domain:mycompany.com"'
Busca todas las vinculaciones de políticas de IAM en tu
organizations/123456
en la que se le otorgó la función básica de propietario (roles/owner
) amyuser@mycompany.com
:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query='policy:(roles/owner myuser@mycompany.com)'
Busca todas las vinculaciones de políticas de IAM en tu
organizations/123456
que se establecieron enprojects/12345678
:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query='resource:projects/12345678'
api
Puedes llamar a SearchAllIamPolicies
con un token de OAuth válido para un proyecto. Para llamar al método SearchAllIamPolicies
desde Cloud Shell o cualquier consola en la que esté disponible el comando gcloud
:
Si no configuraste la pantalla de consentimiento de OAuth de tu proyecto, deberás hacerlo. Se requerirá una dirección de correo electrónico y un nombre del producto.
- Ve a la pantalla de consentimiento de OAuth de tu proyecto.
Configuración de la pantalla de consentimiento - Ingresa el Nombre de la aplicación que deseas mostrar.
- En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. Debe ser tu dirección de correo electrónico o un grupo de Google que te pertenezca.
- Agrega otro tipo de información opcional que desees mostrar.
- Haz clic en Guardar.
- Ve a la pantalla de consentimiento de OAuth de tu proyecto.
Crea un token de OAuth para tu proyecto. Consulta Configura OAuth 2.0 para obtener más información.
- Ve a la página Crear ID de cliente de OAuth.
Crear clientes de OAuth - Selecciona App de escritorio como el Tipo de aplicación.
- Haga clic en Crear.
- Ve a la página Crear ID de cliente de OAuth.
Descarga el archivo
client_secret.json
.- Ve a la página Credenciales.
- A la derecha de tu ID de cliente nuevo, haz clic en Descargar JSON.
- Almacena el archivo de forma segura en una ubicación a la que solo pueda acceder tu app.
Accede mediante el archivo JSON son el siguiente comando.
gcloud auth application-default login --client-id-file=YOUR_JSON_FILE
Tenga en cuenta que este comando te solicitará que abras un vínculo. Asegúrate de que la página muestre el Nombre de la aplicación que estableciste en la pantalla de consentimiento de OAuth.
Genera un token de autenticación para tu cuenta con el siguiente comando:
TOKEN=$(gcloud auth application-default print-access-token)
Ahora puedes consultar las políticas de IAM con los comandos
curl
.PAGE_SIZE=PAGE_SIZE PAGE_TOKEN="PAGE_TOKEN" SCOPE="SCOPE" QUERY="QUERY" ASSET_TYPES="ASSET_TYPES,…" ORDER_BY="ORDER_BY" curl -s -G \ -H "Authorization: Bearer $TOKEN" \ -d "page_size=$PAGE_SIZE" \ -d "page_token=$PAGE_TOKEN" \ -d "scope=$SCOPE" \ -d "asset_types=$ASSET_TYPES,…" \ -d "order_by=$ORDER_BY" \ --data-urlencode "query=$QUERY" \ "https://cloudasset.googleapis.com/v1/$SCOPE:searchAllIamPolicies"
(Opcional) SCOPE: Un permiso puede ser un proyecto, una carpeta o una organización. La búsqueda se limita a las políticas de IAM dentro de este permiso. Se le debe otorgar al emisor una función que contenga el permiso
cloudasset.assets.searchAllIamPolicies
en el alcance deseado.Los valores permitidos son los siguientes:
projects/PROJECT_ID
(p. ej., "projects/foo-bar
")projects/PROJECT_NUMBER
(p. ej., "projects/12345678
")folders/FOLDER_NUMBER
(p. ej., "folders/1234567
")organizations/ORGANIZATION_NUMBER
(p. ej., "organizations/123456
")
QUERY: la declaración de la consulta (opcional). Consulta cómo construir una consulta para obtener más información. Si no se especifica o está vacía, buscará todas las políticas de IAM dentro del
scope
especificado. Ten en cuenta que la string de consulta se compara con cada vinculación de política de IAM, incluidos sus principales, funciones y condiciones de IAM. Las políticas de IAM que se muestran solo contendrán las vinculaciones que coincidan con tu consulta. Para obtener más información sobre la estructura de las políticas de IAM, consulta Información sobre las políticas.Ejemplos:
policy:amy@gmail.com
para buscar vinculaciones de políticas de IAM que especifiquen el usuario “amy@gmail.com”.policy:roles/compute.admin
para encontrar vinculaciones de políticas de IAM que especifiquen la función de administrador de Compute.policy:comp*
para encontrar vinculaciones de políticas de IAM que contengan “comp” como un prefijo de cualquier palabra de la vinculación.policy.role.permissions:storage.buckets.update
para encontrar vinculaciones de políticas de IAM que especifiquen una función que contenga el permiso “storage.buckets.update”. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permisoiam.roles.get
en la función deseada, las vinculaciones de políticas que especifiquen esta función se quitarán de los resultados de la búsqueda.policy.role.permissions:upd*
para encontrar vinculaciones de políticas de IAM que especifiquen una función que contenga “upd” como un prefijo de cualquier palabra en el permiso de la función. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permisoiam.roles.get
en la función deseada, las vinculaciones de políticas que especifiquen esta función se quitarán de los resultados de la búsqueda.resource:organizations/123456
para encontrar vinculaciones de políticas de IAM que se establecen en "organizations/123456".resource=//cloudresourcemanager.googleapis.com/projects/myproject
para encontrar vinculaciones de políticas de IAM que se establecen en el proyecto llamado “myproject”.Important
para encontrar vinculaciones de políticas de IAM que contengan la palabra “Important” en cualquiera de los campos de búsqueda (excepto los permisos incluidos).resource:(instance1 OR instance2) policy:amy
para encontrar vinculaciones de políticas de IAM que se establecen en los recursos “instance1” o “instance2” y también especifican el usuario “amy”.roles:roles/compute.admin
para encontrar vinculaciones de políticas de IAM que especifiquen la función de administrador de Compute.memberTypes:user
para encontrar vinculaciones de políticas de IAM que contengan el tipo principal “user”.
ASSET_TYPES: Es una lista de tipos de recursos a los que se adjuntan las políticas de administración de identidades y accesos (opcional). Si está vacío, buscará las políticas de administración de identidades y accesos que se adjuntan a todos los tipos de recursos que se pueden buscar. También se admiten expresiones regulares. Por ejemplo:
- Las políticas de IAM de instantáneas
"compute.googleapis.com.*"
vinculadas al tipo de recurso comienzan con"compute.googleapis.com"
. - Las políticas de IAM de instantáneas
".*Instance"
vinculadas al tipo de recurso terminan con"Instance"
. - Las políticas de IAM de instantáneas
".*Instance.*"
vinculadas al tipo de recurso contienen"Instance"
.
Consulta RE2 para ver toda la sintaxis de expresión regular admitida. Si la expresión regular no coincide con ningún tipo de elemento compatible, se mostrará un error
INVALID_ARGUMENT
.- Las políticas de IAM de instantáneas
ORDER_BY (opcional): Es una lista de campos separados por comas que especifican el orden de clasificación de los resultados. El orden predeterminado es ascendente. Agrega
" DESC"
después del nombre del campo para indicar el orden descendente. Se ignoran los caracteres de espacio redundantes. Ejemplo:"assetType DESC, resource"
. Solo se pueden ordenar los campos primitivos singulares en la respuesta:resource
assetType
project
Todos los demás campos, como los campos repetidos (p. ej.,
folders
) y campos no primitivos (p. ej.,policy
) no se admiten.PAGE_SIZE: El tamaño de la página para la paginación del resultado de la búsqueda (opcional). La cantidad máxima es 2000. Si el valor se establece en
0
, se seleccionará un valor predeterminado adecuado.(Opcional) PAGE_TOKEN: El token que representa el siguiente lote de resultados de la llamada anterior a este método. El
page_token
debe ser el mismo que el valor denext_page_token
de la respuesta de la llamada anterior.
Referencia de la API y biblioteca cliente
SearchAllIamPolicies
:
Construye una consulta
Consulta la sintaxis de las consultas para obtener más información sobre el lenguaje de las consultas.
Consulta la búsqueda de ejemplos de políticas de IAM para obtener más información sobre las consultas de muestra de varios casos de uso reales.
Consulta políticas de IAM mediante vinculación de información
Para buscar políticas de IAM, una expresión de consulta debe tener el siguiente formato:
policy:QUERY
También puedes buscar tipos o funciones principales de forma exclusiva con los siguientes formatos:
- Concordancia exacta:
memberTypes=QUERY
roles=QUERY
- Coincidencia parcial:
memberTypes:QUERY
roles:QUERY
Principal
Las vinculaciones de políticas de IAM admiten cinco tipos de principales:
- Cuentas de Google, como
user:user@gmail.com
- Grupos de Google, como
group:devs@googlegroups.com
- Dominios de Cloud Identity y G Suite, como
domain:google.com
- Cuentas de servicio, como
serviceAccount:my-other-app@appspot.gserviceaccount.com
- Identificadores especiales, como
allUsers
yallAuthenticatedUsers
Puedes limitar tu consulta a las políticas relacionadas con un usuario específico mediante el uso de la siguiente sintaxis:
policy:"user:amy@mycompany.com"
Ten en cuenta que user:amy@mycompany.com
debe estar entre comillas dobles, ya que contiene el carácter especial :
. Puedes omitir el prefijo user:
o group:
en una cadena de consulta, si el valor de la consulta es lo suficientemente único o si deseas buscar la dirección de correo electrónico sin importar el tipo de principal. Por ejemplo, la siguiente consulta probablemente coincidirá con un solo usuario:
policy:amy@mycompany.com
También puedes limitar tu consulta a las políticas relacionadas con un tipo principal específico mediante la siguiente sintaxis:
policy:user
memberTypes:user
memberTypes=user
Ten en cuenta que es posible que policy:user
coincida con un tipo de principal diferente. Por ejemplo: group:test-user@mycompany.com
. Usa memberTypes
para limitar la búsqueda a tipos de principales específicos.
Ejemplos: Consulta por principal
Busca todas las vinculaciones de políticas de IAM que especifiquen el usuario
Amy
:policy:amy
Busca todas las vinculaciones de políticas de IAM que especifiquen el dominio
mydomain.com
:policy:mydomain.com
Busca todas las vinculaciones de políticas de IAM que especifiquen los usuarios
Amy
yJohn
:policy:(amy john)
Busca todas las vinculaciones de políticas de IAM que especifiquen los usuarios
Amy
oJohn
:policy:(amy OR john)
Busca todas las vinculaciones de políticas de IAM en tu organización que contengan
amy@mycompany.com
:policy:amy@mycompany.com
Busca todas las vinculaciones de políticas de IAM en tu organización que contengan el dominio
mycompany.com
:policy:"domain:mycompany.com"
Busca todas las vinculaciones de políticas de IAM que asignen funciones a la cuenta de servicio
mycompany.gserviceaccount.com
:policy:"serviceAccount:mycompany.gserviceaccount.com"
Busca todas las vinculaciones de políticas de IAM que asignen funciones al grupo
admins
:policy:"group:admins"
Busca todas las vinculaciones de políticas de IAM que asignen funciones a todos los usuarios:
memberTypes:allUsers
Busca todas las vinculaciones de políticas de IAM que asignen funciones a todos los usuarios autenticados:
memberTypes:allAuthenticatedUsers
Busca todas las vinculaciones de políticas de IAM que asignen funciones a
amy@mycompany.com
o al dominiomycompany.com
:policy:(amy@mycompany.com OR "domain:mycompany.com")
Rol
Las vinculaciones de políticas de IAM admiten diferentes tipos de funciones. Todos los nombres de las funciones de IAM comienzan con el prefijo roles/
.
- Funciones básicas: Existen tres funciones que existían antes de la introducción de IAM: Propietario (
roles/owner
), Editor (roles/editor
) y Visualizador (roles/viewer
). - Funciones predefinidas: IAM proporciona funciones predefinidas adicionales que brindan acceso detallado a diferentes recursos. Consulta todas las funciones predefinidas.
- Funciones personalizadas: Funciones de IAM definidas por el usuario que contienen una lista seleccionada de permisos.
Puedes limitar tu consulta a las políticas relacionadas con una función específica mediante el uso de la siguiente sintaxis:
policy:roles/role-name
roles:roles/role-name
roles=roles/role-name
Ten en cuenta que puedes omitir el prefijo roles/
en una string de consulta si el valor de la consulta es lo suficientemente único. Por ejemplo, es posible que la siguiente consulta solo coincida con la función roles/cloudasset.owner
:
policy:cloudasset.owner
roles:cloudasset.owner
Ten en cuenta que es posible que policy:cloudasset.owner
coincida con una función diferente. Por ejemplo, cuando se otorga una función al principal user:cloudasset.owner@mycompany.com
. Usa roles
para limitar la búsqueda a las funciones.
Ejemplos: Consulta por función
Busca todas las vinculaciones de políticas de IAM que especifiquen la función
owner
.policy:roles/owner roles:roles/owner roles=roles/owner
Busca todas las vinculaciones de políticas de IAM que asignan a
amy@mycompany.com
función de propietario:policy:(roles/owner amy@mycompany.com)
Busca todas las vinculaciones de políticas de IAM que asignen la función
compute.admin
a los principales cuya dirección de correo electrónico contenga la palabrajohn
:policy:(roles/compute.admin john)
Encuentra todas las vinculaciones de políticas de IAM que otorgan la función
viewer
a los usuarios que tienen “swe” o “sde” como prefijo.policy:(roles/viewer (swe* OR sde*))
Condiciones de IAM
Las vinculaciones de políticas de IAM pueden contener un objeto condition
, que te permite definir y aplicar el control de acceso condicional basado en atributos para los recursos de Google Cloud. Consulta Descripción general de las Condiciones de IAM para obtener más información.
Puedes limitar tu consulta a políticas relacionadas con una condición específica mediante la siguiente sintaxis:
policy:condition_information
Ejemplos: Consulta por condición
Busca todas las vinculaciones de políticas de IAM que especifiquen una condición, cuyo título o descripción contenga la palabra “myCondition”:
policy:myCondition
Busca todas las vinculaciones de políticas de IAM que especifiquen una condición, cuya expresión contenga el atributo “request.time”:
policy:"request.time"
Consultar las políticas de IAM según los permisos incluidos
Las funciones de una política pueden incluir una lista de permisos. Consulta la referencia de permisos de IAM para obtener más detalles. Puedes limitar tu consulta a políticas que contengan un permiso específico. Una expresión de consulta tiene los siguientes formatos:
- Concordancia exacta:
policy.role.permissions=QUERY
- Coincidencia parcial:
policy.role.permissions:QUERY
Ejemplos: Consulta por permisos
Busca todas las vinculaciones de políticas de IAM que contengan el permiso
compute.instances.create
.policy.role.permissions:compute.instances.create policy.role.permissions=compute.instances.create
Busca todas las vinculaciones de políticas de IAM que contengan los permisos relacionados
compute.instances
:policy.role.permissions:compute.instances
Busca todas las vinculaciones de políticas de IAM que contengan permisos
cloudasset.assets.export...
(p. ej.,cloudasset.assets.exportAssets
ycloudasset.assets.exportIamPolicyAnalysis
):policy.role.permissions:cloudasset.assets.export*
Busca todas las vinculaciones de políticas de IAM que otorguen a alguien permisos para cambiar las políticas de IAM:
policy.role.permissions:setIamPolicy
Busca todas las vinculaciones de políticas de IAM que tengan una función con los permisos
compute.instances.create
ycompute.disks.create
:policy.role.permissions:(compute.instances.create compute.disks.create)
Busca todas las vinculaciones de políticas de IAM que contienen el permiso
compute.instances.create
y especifica el usuarioamy
:policy.role.permissions:compute.instances.create policy:amy policy.role.permissions=compute.instances.create policy:amy
Consulta políticas de IAM por recurso asociado
Cuando realizas una búsqueda, puedes especificar un nombre de recurso completo para buscar solo las políticas que se establecieron directamente en el recurso. También puedes especificar un proyecto, una carpeta o una organización para buscar solo las políticas que se establecen en los recursos ubicados en el proyecto, la carpeta o la organización determinados. Una expresión de consulta tiene los siguientes formatos:
- Concordancia exacta:
resource=QUERY
project=QUERY
folders=QUERY
organization=QUERY
- Coincidencia parcial:
resource:QUERY
project:QUERY
folders:QUERY
organization:QUERY
Ejemplos: Consulta por recurso asociado
Busca todas las vinculaciones de políticas de IAM que se establecen directamente en un recurso cuyo nombre completo del recurso sea igual a
//cloudresourcemanager.googleapis.com/projects/myproject
:resource=//cloudresourcemanager.googleapis.com/projects/myproject
Busca todas las vinculaciones de políticas de IAM que se establecen directamente en los recursos cuyo nombre de recurso completo contiene la palabra
myproject
:resource:myproject
Busca todas las vinculaciones de políticas de IAM que se establecen directamente en los recursos cuyo nombre de recurso completo contiene una palabra con el prefijo
myproj
especificado:resource:myproj*
Busca todas las vinculaciones de políticas de IAM que se establecen directamente en los recursos de un tipo de servicio determinado:
resource:cloudresourcemanager
Busca todas las vinculaciones de políticas de IAM que se establecen en
myproject
omyfolder
:resource:(myproject OR myfolder)
Busca todas las vinculaciones de políticas de IAM que se establecen en recursos
cloudresourcemanager
y asigna la función de propietario a los usuarios degmail.com
:resource:cloudresourcemanager policy:(roles/owner gmail.com)
Busca todas las vinculaciones de políticas de IAM que se establecen en recursos cuyo
project
tiene el número123
:project:123
Busca todas las vinculaciones de políticas de IAM que se establecen en recursos contenidos en
folder
con el número123
:folders:123
Busca todas las vinculaciones de políticas de IAM que se establecen en recursos cuyo
organization
tiene el número123
:organization:123
Consulta las políticas de IAM por texto libre
También puedes usar una consulta de texto libre sin especificar un campo. La respuesta mostrará las políticas siempre que haya un campo de búsqueda (p. ej., los campos de vinculación de política o los campos de recursos) que coincida con la consulta.
Ejemplos: Consulta por texto libre
Busca todas las vinculaciones de políticas de IAM dentro de tu
scope
cuyos campos de metadatos (p. ej., vinculaciones de políticas o campos de recursos) contenganImportant
como una palabra:Important
Busca todas las vinculaciones de políticas de IAM dentro de tu
scope
cuyos campos de metadatos (p. ej., vinculaciones de políticas o campos de recursos) contenganimport
como un prefijo de cualquier palabra:import*