Como pesquisar políticas do IAM

A API Cloud Asset permite usar uma linguagem de consulta personalizada para pesquisar políticas de gerenciamento de identidade e acesso (IAM, na sigla em inglês) em um projeto, pasta ou organização.

Antes de começar

Ative a API Cloud Asset no projeto.
Confira se o autor da chamada recebeu um papel que contenha a permissão cloudasset.assets.searchAllIamPolicies. Saiba mais no tópico Controle de acesso.

Pesquisar políticas

Console

Para pesquisar todas as políticas do IAM, conclua as etapas a seguir.

Acesse a página Inventário de recursos no Console do Google Cloud.
Acessar a página Inventário de recursos
Para definir o escopo da pesquisa, abra a caixa de lista Projetos na barra de menus e selecione a organização, a pasta ou o projeto a ser consultado.
Selecione a guia Política do IAM.
Para pesquisar políticas, você pode usar uma consulta predefinida ou criar a sua própria.
- Para usar uma consulta predefinida, selecione opções em Predefinições de consulta no painel Filtrar resultados. Para filtrar resultados, selecione opções em Filtros.
- Para criar a sua própria consulta, insira o texto da consulta na barra Filtro. Selecione a caixa de texto, e uma lista de campos pesquisáveis será exibida. A pesquisa de políticas aceita vários campos. Saiba mais sobre Sintaxe de consulta.

As políticas correspondentes à consulta são listadas na tabela Resultado.

Para visualizar a consulta como um comando da CLI do Google Cloud, selecione Visualizar consulta.

Para exportar os resultados, selecione Fazer o download do CSV.

gcloud

É possível chamar SearchAllIamPolicies usando o comando gcloud asset search-all-iam-policies. É necessário executar a versão 302.0.0 ou mais recente da CLI do Google Cloud. Para verificar a sua versão, use o comando gcloud version.

gcloud asset search-all-iam-policies \
  --scope=SCOPE \
  --query=QUERY \
  --asset-types=ASSET_TYPES,… \
  --order-by=ORDER_BY \
  --page-size=PAGE_SIZE \

Em que:

(Opcional) SCOPE: um escopo pode ser um projeto, uma pasta ou uma organização. A pesquisa fica limitada às políticas do IAM que estão nesse escopo. O autor da chamada precisa receber um papel que contenha a permissão cloudasset.assets.searchAllIamPolicies no escopo pretendido. Se não for especificado, a propriedade do projeto configurado vai ser usada. Para encontrar o projeto configurado, execute: gcloud config get-value project. Para alterar a configuração, execute: gcloud config set project PROJECT_ID.

Os valores permitidos são:
- projects/PROJECT_ID (ex., "projects/foo-bar")
- projects/PROJECT_NUMBER (ex., "projects/12345678")
- folders/FOLDER_NUMBER (ex., "folders/1234567")
- organizations/ORGANIZATION_NUMBER (ex., "organizations/123456")
(Opcional) QUERY: a instrução de consulta. Saiba mais em Como criar uma consulta. Se não for especificado ou estiver vazio, ele pesquisará todas as políticas de IAM no scope especificado. A string de consulta é comparada a cada vinculação de política do IAM, incluindo os principais, os papéis e as condições do IAM. As políticas de IAM retornadas terão apenas as vinculações que corresponderem à sua consulta. Saiba mais sobre a estrutura das políticas do IAM em Noções básicas sobre políticas.

Exemplos:
- policy:amy@gmail.com para encontrar vinculações de políticas do IAM que especifiquem o usuário "amy@gmail.com".
- policy:roles/compute.admin para encontrar vinculações de políticas do IAM que especifiquem o papel de Administrador do Compute.
- policy:comp* para encontrar vinculações de políticas do IAM que contenham "comp" como prefixo de qualquer palavra na vinculação.
- policy.role.permissions:storage.buckets.update para encontrar vinculações de políticas do Cloud IAM que especifiquem um papel que contenha a permissão "storage.buckets.update". Se o autor da chamada não tiver recebido um papel que contenha a permissão iam.roles.get no papel pretendido, as vinculações de política que especificam esse papel vão ser removidas dos resultados da pesquisa.
- policy.role.permissions:upd* para encontrar vinculações de políticas do IAM que especifiquem um papel que contenha "upd" como prefixo de qualquer palavra na vinculação. Se o autor da chamada não tiver recebido um papel que contenha a permissão iam.roles.get no papel pretendido, as vinculações de políticas que especificam esse papel vão ser removidas dos resultados da pesquisa.
- resource:organizations/123456 para encontrar vinculações de políticas do IAM definidas em "organizations/123456".
- resource=//cloudresourcemanager.googleapis.com/projects/myproject para encontrar vinculações de políticas do IAM definidas no projeto denominado "myproject".
- Important para encontrar vinculações de políticas do IAM que contenham "Important" como palavra em qualquer um dos campos pesquisáveis, exceto as permissões incluídas.
- resource:(instance1 OR instance2) policy:amy para encontrar vinculações de políticas do IAM definidas em recursos "instance1" ou "instance2" e também especificar o usuário "amy".
- roles:roles/compute.admin para encontrar vinculações de políticas do IAM que especifiquem o papel de Administrador do Compute.
- memberTypes:user para encontrar vinculações de políticas do IAM que contenham o tipo de principal "user".
(Opcional) ASSET_TYPES: uma lista com os tipos de recursos aos quais as políticas do Identity and Access Management estão anexadas. Se estiver vazio, ele vai pesquisar as políticas do Identity and Access Management anexadas a todos os tipos de recursos pesquisáveis. Expressões regulares também são aceitas. Exemplo:
- "compute.googleapis.com.*" tira snapshots de políticas do IAM anexadas a tipos de recursos que começam com "compute.googleapis.com".
- ".*Instance" tira snapshots de políticas do IAM anexadas a tipos de recursos que terminam com "Instance".
- ".*Instance.*" tira snapshots de políticas do IAM anexadas a tipos de recursos que contêm "Instance".
Consulte RE2 para ver todas as sintaxes de expressão regular aceitas. Se a expressão regular não corresponder a nenhum tipo de recurso aceito, um erro INVALID_ARGUMENT vai ser retornado.
(Opcional) ORDER_BY: uma lista de campos separada por vírgulas que especifica a ordem de classificação dos resultados. A ordem padrão é crescente. Adicione " DESC" depois do nome do campo para indicar a ordem decrescente. Caracteres de espaço redundantes são ignorados. Exemplo: "assetType DESC, resource". Somente os campos primitivos singulares na resposta são classificáveis:
- resource
- assetType
- project
Os demais campos, como os repetidos (por exemplo, folders) e os não primitivos (por exemplo, policy), não são aceitos.
(Opcional) PAGE_SIZE: o tamanho da página para a paginação de resultados da pesquisa. O valor máximo é 500. Se o valor for 0, um padrão apropriado será escolhido;

Veja a seguir exemplos de comandos gcloud:

Encontre todas as vinculações de política de IAM no organizations/123456 que contenham o domínio mycompany.com:

gcloud asset search-all-iam-policies \
  --scope=organizations/123456 \
  --query='policy:"domain:mycompany.com"'

Encontre todas as vinculações de políticas do IAM na organizations/123456 em que myuser@mycompany.com recebeu o papel básico de Proprietário (roles/owner):
```
gcloud asset search-all-iam-policies \
  --scope=organizations/123456 \
  --query='policy:(roles/owner myuser@mycompany.com)'
```
Encontre todas as vinculações de políticas do IAM na organizations/123456 que estão definidas em projects/12345678:
```
gcloud asset search-all-iam-policies \
  --scope=organizations/123456 \
  --query='resource:projects/12345678'
```

api

Você pode chamar SearchAllIamPolicies usando um token OAuth válido para um projeto. Para chamar o método SearchAllIamPolicies do Cloud Shell ou de qualquer console em que o comando gcloud esteja disponível:

Se você ainda não configurou a tela de consentimento do OAuth do seu projeto, precisará fazê-lo. É necessário informar um endereço de e-mail e o nome do produto para a tela de consentimento do OAuth.

Não insira nenhuma informação confidencial na tela de consentimento do OAuth. Qualquer informação que você salvar nessa tela poderá ficar visível publicamente para quem acessa seu URL. Os detalhes do produto e do e-mail são exibidos na tela de login e quando alguém tenta acessar um recurso sem ter permissão para isso.
1. Acesse a tela de consentimento OAuth do seu projeto.
  Configurar tela de consentimento
2. Digite o Nome do aplicativo que você quer exibir.
3. Em E-mail de suporte, selecione o endereço de e-mail que você quer exibir como um contato público. Precisa ser o seu endereço de e-mail ou um grupo do Google que pertença a você.
4. Adicione os detalhes opcionais que você quiser.
5. Clique em Salvar.
Crie um token OAuth para seu projeto. Para ver mais informações, consulte Como configurar o OAuth 2.0.
1. Acesse a página Criar ID do cliente OAuth.
  Criar cliente OAuth
2. Selecione App para computador como o Tipo de aplicativo.
3. Clique em Criar.
Faça o download do arquivo client_secret.json.
1. Acesse a página Credenciais.
2. À direita de seu novo ID do cliente, clique em Fazer o download do JSON.
3. Armazene com segurança o arquivo em um local que somente o app possa acessar.
Faça login usando o arquivo JSON com o seguinte comando:
```
gcloud auth application-default login --client-id-file=YOUR_JSON_FILE
```
Esse comando solicitará que você abra um link. Verifique se o Nome do aplicativo definido na tela de consentimento do OAuth é exibido.
Gere um token de autenticação para sua conta com o seguinte comando:
```
TOKEN=$(gcloud auth application-default print-access-token)
```

Agora, é possível consultar as políticas do IAM usando comandos curl.

PAGE_SIZE=PAGE_SIZE
PAGE_TOKEN="PAGE_TOKEN"
SCOPE="SCOPE"
QUERY="QUERY"
ASSET_TYPES="ASSET_TYPES,…"
ORDER_BY="ORDER_BY"
curl -s -G \
    -H "Authorization: Bearer $TOKEN" \
    -d "page_size=$PAGE_SIZE" \
    -d "page_token=$PAGE_TOKEN" \
    -d "scope=$SCOPE" \
    -d "asset_types=$ASSET_TYPES,…" \
    -d "order_by=$ORDER_BY" \
    --data-urlencode "query=$QUERY" \
    "https://cloudasset.googleapis.com/v1/$SCOPE:searchAllIamPolicies"

(Opcional) SCOPE: um escopo pode ser um projeto, uma pasta ou uma organização. A pesquisa fica limitada às políticas do IAM que estão nesse escopo. O autor da chamada precisa receber um papel que contenha a permissão cloudasset.assets.searchAllIamPolicies no escopo pretendido.

Os valores permitidos são:
- projects/PROJECT_ID (ex., "projects/foo-bar")
- projects/PROJECT_NUMBER (ex., "projects/12345678")
- folders/FOLDER_NUMBER (ex., "folders/1234567")
- organizations/ORGANIZATION_NUMBER (ex., "organizations/123456")
(Opcional) QUERY: a instrução de consulta. Saiba mais sobre como criar uma consulta. Se não for especificado ou estiver vazio, ele pesquisará todas as políticas de IAM no scope especificado. A string de consulta é comparada a cada vinculação de política do IAM, incluindo os principais, os papéis e as condições do IAM. As políticas de IAM retornadas terão apenas as vinculações que corresponderem à sua consulta. Saiba mais sobre a estrutura das políticas do IAM em Noções básicas sobre políticas.

Exemplos:
- policy:amy@gmail.com para encontrar vinculações de políticas do IAM que especifiquem o usuário "amy@gmail.com".
- policy:roles/compute.admin para encontrar vinculações de políticas do IAM que especifiquem o papel de Administrador do Compute.
- policy:comp* para encontrar vinculações de políticas do IAM que contenham "comp" como prefixo de qualquer palavra na vinculação.
- policy.role.permissions:storage.buckets.update para encontrar vinculações de políticas do Cloud IAM que especifiquem um papel que contenha a permissão "storage.buckets.update". Se o autor da chamada não tiver recebido um papel que contenha a permissão iam.roles.get no papel pretendido, as vinculações de política que especificam esse papel vão ser removidas dos resultados da pesquisa.
- policy.role.permissions:upd* para encontrar vinculações de políticas do IAM que especifiquem um papel que contenha "upd" como prefixo de qualquer palavra na permissão do papel. Se o autor da chamada não tiver recebido um papel que contenha a permissão iam.roles.get no papel pretendido, as vinculações de política que especificam esse papel vão ser removidas dos resultados da pesquisa.
- resource:organizations/123456 para encontrar vinculações de políticas do IAM definidas em "organizations/123456".
- resource=//cloudresourcemanager.googleapis.com/projects/myproject para encontrar vinculações de políticas do IAM definidas no projeto denominado "myproject".
- Important para encontrar vinculações de políticas do IAM que contenham "Important" como uma palavra em qualquer um dos campos pesquisáveis (exceto as permissões incluídas).
- resource:(instance1 OR instance2) policy:amy para encontrar vinculações de políticas do IAM configuradas em recursos "instance1" ou "instance2" e também especificar o usuário "amy".
- roles:roles/compute.admin para encontrar vinculações de políticas do IAM que especifiquem o papel de Administrador do Compute.
- memberTypes:user para encontrar vinculações de políticas do IAM que contenham o tipo de principal "user".
(Opcional) ASSET_TYPES: uma lista com os tipos de recursos aos quais as políticas do Identity and Access Management estão anexadas. Se estiver vazio, ele vai pesquisar as políticas do Identity and Access Management anexadas a todos os tipos de recursos pesquisáveis. Expressões regulares também são aceitas. Exemplo:
- "compute.googleapis.com.*" tira snapshots de políticas do IAM anexadas a tipos de recursos que começam com "compute.googleapis.com".
- ".*Instance" tira snapshots de políticas do IAM anexadas a tipos de recursos que terminam com "Instance".
- ".*Instance.*" tira snapshots de políticas do IAM anexadas a tipos de recursos que contêm "Instance".
Consulte RE2 para ver todas as sintaxes de expressão regular aceitas. Se a expressão regular não corresponder a nenhum tipo de recurso aceito, um erro INVALID_ARGUMENT vai ser retornado.
(Opcional) ORDER_BY: uma lista de campos separada por vírgulas que especifica a ordem de classificação dos resultados. A ordem padrão é crescente. Adicione " DESC" depois do nome do campo para indicar a ordem decrescente. Caracteres de espaço redundantes são ignorados. Exemplo: "assetType DESC, resource". Somente os campos primitivos singulares na resposta são classificáveis:
- resource
- assetType
- project
Os demais campos, como os repetidos (por exemplo, folders) e os não primitivos (por exemplo, policy), não são aceitos.
(Opcional) PAGE_SIZE: o tamanho da página para a paginação de resultados da pesquisa. O valor máximo é 2000. Se o valor for 0, um padrão apropriado será escolhido.
(Opcional) PAGE_TOKEN: o token que representa o próximo lote de resultados da chamada anterior para esse método. O page_token precisa ser igual ao valor de next_page_token da resposta da chamada anterior.

Biblioteca de cliente e referência de API

SearchAllIamPolicies:

Como criar uma consulta

Veja a sintaxe de consulta para saber mais sobre a linguagem de consulta.

Consulte como pesquisar amostras de políticas de iam para saber mais sobre as consultas de amostra para vários casos de uso reais.

Consultar políticas do IAM por informações de vinculação

Para pesquisar as políticas do IAM, uma expressão de consulta terá o seguinte formato:

policy:QUERY

Também é possível pesquisar exclusivamente os papéis ou tipos de principais com os seguintes formatos:

Correspondência exata:
- memberTypes=QUERY
- roles=QUERY
Correspondência parcial:
- memberTypes:QUERY
- roles:QUERY

Principal

As vinculações de políticas do IAM oferecem suporte a cinco tipos de principais:

Contas do Google, como user:user@gmail.com
Grupos do Google, como group:devs@googlegroups.com
Domínios do Cloud Identity e do G Suite, como domain:google.com
Contas de serviço, como serviceAccount:my-other-app@appspot.gserviceaccount.com
Identificadores especiais, como allUsers e allAuthenticatedUsers

Você pode limitar sua consulta a políticas relacionadas a um usuário específico usando a seguinte sintaxe:

policy:"user:amy@mycompany.com"

É necessário colocar user:amy@mycompany.com entre aspas duplas, já que ele contém o caractere especial :. É possível omitir o prefixo user: ou group: em uma string de consulta, se o valor da consulta for único o suficiente ou se você quiser pesquisar o endereço de e-mail independentemente do tipo de principal. Por exemplo, a consulta a seguir provavelmente corresponderá apenas a um usuário:

policy:amy@mycompany.com

Você também pode limitar a consulta a políticas relacionadas a um tipo específico de principal usando a seguinte sintaxe:

policy:user
memberTypes:user
memberTypes=user

É possível que policy:user corresponda a outro tipo de principal. Por exemplo, group:test-user@mycompany.com. Use memberTypes para limitar a pesquisa a tipos específicos de principal.

Exemplos: consulta por principal

Encontre todas as vinculações de política do IAM que especificam o usuário Amy:
```
policy:amy
```
Encontre todas as vinculações de políticas do IAM que especificam o domínio mydomain.com:
```
policy:mydomain.com
```
Encontre todas as vinculações de políticas do IAM que especificam o usuário Amy e John:
```
policy:(amy john)
```
Encontre todas as vinculações de políticas do IAM que especificam o usuário Amy ou John:
```
policy:(amy OR john)
```
Encontre todas as vinculações de política de IAM na sua organização que contenham amy@mycompany.com:
```
policy:amy@mycompany.com
```
Encontre todas as vinculações de políticas do IAM na sua organização que contêm o domínio mycompany.com:
```
policy:"domain:mycompany.com"
```
Encontre todas as vinculações de política do IAM que atribuem papéis à conta de serviço mycompany.gserviceaccount.com:
```
policy:"serviceAccount:mycompany.gserviceaccount.com"
```
Encontre todas as vinculações de políticas do IAM que atribuem papéis ao grupo admins:
```
policy:"group:admins"
```
Encontre todas as vinculações de políticas do IAM que atribuem papéis a todos os usuários:
```
memberTypes:allUsers
```
Encontre todas as vinculações de políticas do IAM que atribuem papéis a todos os usuários autenticados:
```
memberTypes:allAuthenticatedUsers
```
Encontre todas as vinculações de política do IAM que atribuem papéis ao amy@mycompany.com ou ao domínio mycompany.com:
```
policy:(amy@mycompany.com OR "domain:mycompany.com")
```

Papel

As vinculações de política de IAM são compatíveis com diferentes tipos de papéis. Todos os nomes de papéis do IAM começam com o prefixo roles/.

Papéis básicos: há três papéis que já existiam antes da introdução do IAM: Proprietário (roles/owner ), Editor (roles/editor ) e Visualizador (roles/viewer).
Papéis predefinidos: o IAM oferece papéis predefinidos adicionais que dão acesso granular a recursos diferentes. Veja todos os papéis predefinidos.
Papéis personalizados: papéis do IAM definidos pelo usuário que contêm uma lista selecionada de permissões.

Para limitar a consulta às políticas relacionadas a um papel específico, use a seguinte sintaxe:

policy:roles/role-name
roles:roles/role-name
roles=roles/role-name

Você poderá omitir o prefixo roles/ em uma string de consulta se o valor da consulta for exclusivo o suficiente. Por exemplo, a consulta a seguir provavelmente corresponderá apenas ao papel roles/cloudasset.owner:

policy:cloudasset.owner
roles:cloudasset.owner

É possível que policy:cloudasset.owner corresponda a outro papel. Por exemplo, quando um papel é concedido ao principal user:cloudasset.owner@mycompany.com. Use roles para limitar a pesquisa a papéis.

Exemplos: consulta por papel

Encontre todas as vinculações de política do IAM que especificam o papel owner.
```
policy:roles/owner
roles:roles/owner
roles=roles/owner
```
Encontre todas as vinculações de políticas do IAM que atribuem o papel de proprietário a amy@mycompany.com:
```
policy:(roles/owner amy@mycompany.com)
```
Encontre todas as vinculações de políticas do IAM que atribuem o papel compute.admin aos principais com um endereço de e-mail que contém a palavra john:
```
policy:(roles/compute.admin john)
```
Encontre todas as vinculações de políticas do IAM que concedem o papel viewer a usuários que têm "swe" ou "sde" como prefixo.
```
policy:(roles/viewer (swe* OR sde*))
```

Condições do IAM

As vinculações de políticas do IAM podem conter um objeto condition, que permite definir e aplicar controles de acesso condicionais baseados em atributos em recursos do Google Cloud. Saiba mais em Visão geral das Condições do IAM.

Para limitar a consulta às políticas relacionadas a uma condição específica, use a seguinte sintaxe:

policy:condition_information

Exemplos: consulta por condição

Encontre todas as vinculações de políticas do IAM que especificam uma condição, com um título ou uma descrição que contenha a palavra "myCondition":
```
policy:myCondition
```
Encontre todas as vinculações de políticas do IAM que especificam uma condição, com uma expressão que contenha o atributo "request.time":
```
policy:"request.time"
```

Consultar políticas do IAM por permissões incluídas

Os papéis em uma política podem incluir uma lista de permissões. Consulte a referência de permissões do IAM para mais detalhes. É possível limitar sua consulta a políticas que tenham uma permissão específica. Uma expressão de consulta tem estes formatos:

Correspondência exata: policy.role.permissions=QUERY
Correspondência parcial: policy.role.permissions:QUERY

Exemplos: consulta por permissões

Encontre todas as vinculações de políticas do IAM que contêm a permissão compute.instances.create.
```
policy.role.permissions:compute.instances.create
policy.role.permissions=compute.instances.create
```
Encontre todas as vinculações de políticas do IAM que contêm as permissões relacionadas a compute.instances.
```
policy.role.permissions:compute.instances
```
Encontre todas as vinculações de política do IAM que contêm as permissões cloudasset.assets.export... (por exemplo, cloudasset.assets.exportAssets e cloudasset.assets.exportIamPolicyAnalysis):
```
policy.role.permissions:cloudasset.assets.export*
```
Encontre todas as vinculações de políticas do IAM que concedem permissões para alguém alterar as políticas do IAM:
```
policy.role.permissions:setIamPolicy
```
Encontre todas as vinculações de políticas do IAM com um papel que contém as permissões compute.instances.create e compute.disks.create.
```
policy.role.permissions:(compute.instances.create compute.disks.create)
```
Observação: os termos de consulta após policy.role.permissions correspondem à lista de permissões incluídas na vinculação de política. O uso de policy.role.permissions:(foo bar) não garante que as palavras foo e a palavra bar precisem corresponder a uma única permissão (por exemplo, foo.bar.get). Em vez disso, elas podem corresponder a duas permissões diferentes (por exemplo, foo.get e bar.get). Saiba mais na combinação na sintaxe de consulta.
Encontre todas as vinculações de políticas do IAM que contêm a permissão compute.instances.create e especifique o usuário amy:
```
policy.role.permissions:compute.instances.create policy:amy
policy.role.permissions=compute.instances.create policy:amy
```

Consultar políticas do IAM por recurso associado

Ao fazer uma pesquisa, você pode especificar o nome completo do recurso e buscar somente as políticas diretamente definidas no recurso. Também é possível especificar um projeto, uma pasta ou uma organização e pesquisar apenas as políticas definidas em recursos localizados nesse projeto, pasta ou organização. Uma expressão de consulta tem estes formatos:

Correspondência exata:
- resource=QUERY
- project=QUERY
- folders=QUERY
- organization=QUERY
Correspondência parcial:
- resource:QUERY
- project:QUERY
- folders:QUERY
- organization:QUERY

Exemplos: consulta por recurso associado

Encontre todas as vinculações de políticas do IAM definidas diretamente em um recurso em que o nome completo do recurso é exatamente igual a //cloudresourcemanager.googleapis.com/projects/myproject:
```
resource=//cloudresourcemanager.googleapis.com/projects/myproject
```
Encontre todas as vinculações de políticas do IAM definidas diretamente nos recursos em que o nome completo do recurso contém a palavra myproject:
```
resource:myproject
```
Encontre todas as vinculações de políticas do IAM definidas diretamente em recursos em que o nome completo do recurso contém uma palavra com o prefixo myproj:
```
resource:myproj*
```
Encontre todas as vinculações de políticas do IAM definidas diretamente em recursos de um determinado tipo de serviço:
```
resource:cloudresourcemanager
```
Encontre todas as vinculações de políticas do IAM que estão definidas em myproject ou myfolder:
```
resource:(myproject OR myfolder)
```
Encontre todas as vinculações de políticas do IAM definidas em recursos do cloudresourcemanager e atribua o papel de proprietário a usuários do gmail.com:
```
resource:cloudresourcemanager policy:(roles/owner gmail.com)
```
Encontre todas as vinculações de políticas do IAM definidas nos recursos em que project tem o número 123:
```
project:123
```
Encontre todas as vinculações de políticas do IAM definidas nos recursos contidos no folder com o número 123:
```
folders:123
```
Encontre todas as vinculações de políticas do IAM definidas nos recursos em que organization tem o número 123:
```
organization:123
```

Consultar políticas do IAM por texto livre

Você também pode simplesmente usar uma consulta de texto livre sem especificar um campo. A resposta vai retornar as políticas se houver um campo pesquisável (por exemplo, campos de vinculação de políticas ou de recursos) correspondente à consulta.

Exemplos: consulta por texto livre

Encontre todas as vinculações de políticas do IAM em scope com campos de metadados (por exemplo, vinculações de políticas ou de recursos) que contêm Important como palavra:
```
Important
```
Encontre todas as vinculações de políticas do IAM em scope com campos de metadados (por exemplo, vinculações de políticas ou de recursos) que contêm import como prefixo de qualquer palavra:
```
import*
```