搜索 IAM 政策

控制台

如需搜索所有 IAM 政策，请完成以下步骤。

1. 转到 Cloud Console 中的 Asset Inventory 页面。
   转到“Asset Inventory”页面
2. 要设置搜索范围，请打开菜单栏中的“项目”列表框，然后选择要查询的组织、文件夹或项目。
3. 选择 IAM 政策标签页。
4. 如需搜索政策，您可以使用预设查询或构建自己的查询。
   • 如下使用预设查询，请从过滤结果窗格上的查询预设中选择选项。如需过滤结果，请从过滤条件中选择选项。
   • 如需构建您自己的查询，请在过滤条件栏中输入查询文本。选择文本框，然后系统会显示可搜索字段的列表。政策搜索支持多个字段。详细了解查询语法。

结果表中会列出与查询匹配的政策。

如需以 gcloud 命令行工具命令来查看查询，请选择查看查询。

如需导出结果，请选择下载 CSV。

gcloud

您可以使用 gcloud asset search-all-iam-policies 命令调用 SearchAllIamPolicies。您必须运行 Cloud SDK 302.0.0 或更高版本。您可以使用 gcloud version 命令检查您的版本：

gcloud asset search-all-iam-policies \
  --scope=SCOPE \
  --query=QUERY \
  --asset-types=ASSET_TYPES,… \
  --order-by=ORDER_BY \
  --page-size=PAGE_SIZE \

其中：

• （可选）SCOPE：范围可以是项目、文件夹或组织。搜索范围仅限于此范围内的 IAM 政策。必须为调用者授予一个角色，该角色包含所需范围的 cloudasset.assets.searchAllIamPolicies 权限。如果未指定，将使用已配置的项目属性。如需查找已配置的项目，请运行 gcloud config get-value project。如需更改此设置，请运行 gcloud config set project PROJECT_ID。

  允许使用的值包括：

  • projects/PROJECT_ID（例如，“projects/foo-bar”）
  • projects/PROJECT_NUMBER（例如，“projects/12345678”）
  • folders/FOLDER_NUMBER（例如，“folders/1234567”）
  • organizations/ORGANIZATION_NUMBER（例如，“organizations/123456”）

• （可选）QUERY：查询语句。如需了解详情，请参阅如何构建查询。如果未指定或为空，它将搜索指定 scope 中的所有 IAM 政策。请注意，查询字符串会与每个 IAM 政策绑定进行比较，包括其主帐号、角色和 IAM 条件。返回的 IAM 政策将仅包含与查询匹配的绑定。如需详细了解 IAM 政策结构，请参阅了解政策。

  示例：

  • policy:amy@gmail.com，查找指定用户“amy@gmail.com”的 IAM 政策绑定。
  • policy:roles/compute.admin，查找指定 Compute Admin 角色的 IAM 政策绑定。
  • policy:comp*，以查找包含“comp”作为绑定中任何字词的前缀的 IAM 政策绑定。
  • policy.role.permissions:storage.buckets.update，查找指定包含“storage.buckets.update”权限的角色的 Cloud IAM 政策绑定。请注意，如果调用者未被授予包含所需角色的 iam.roles.get 权限的角色，则指定此角色的政策绑定将从搜索结果中删除。
  • policy.role.permissions:upd* 以查找 IAM，政策绑定将包含“upd”的角色用作绑定中的任何字词的前缀。请注意，如果调用者未被授予包含所需角色的 iam.roles.get 权限的角色，则指定此角色的政策绑定将从搜索结果中删除。
  • resource:organizations/123456，查找设置在“organizations/123456”上的 IAM 政策绑定。
  • resource=//cloudresourcemanager.googleapis.com/projects/myproject，查找在名为“myproject”的项目上设置的 IAM 政策绑定。
  • Important，查找任何可搜索字段（包含的权限除外）中包含“Important”一词的 IAM 政策绑定。
  • resource:(instance1 OR instance2) policy:amy，查找设置在资源“instance1”或“instance2”上并指定用户“amy”的 IAM 政策绑定。
  • roles:roles/compute.admin，查找指定 Compute Admin 角色的 IAM 政策绑定。
  • memberTypes:user，查找包含“user”主帐号类型的 IAM 政策绑定。

• （可选）ASSET_TYPES：Identity and Access Management 政策所关联至的资产类型的列表。如果留空，它将搜索关联至所有可搜索的资产类型的 Identity and Access Management 政策。此外，还支持正则表达式。例如：

  • 关联至资产类型的 "compute.googleapis.com.*" 快照 IAM 政策以 "compute.googleapis.com" 开头。
  • 关联至资产类型的 ".*Instance" 快照 IAM 政策以 "Instance" 结尾。
  • 关联至资产类型的 ".*Instance.*" 快照 IAM 政策包含 "Instance"。

  如需查看所有支持的正则表达式语法，请参阅 RE2。如果正则表达式与任何支持的资产类型均不匹配，则将返回 INVALID_ARGUMENT 错误。

• （可选）ORDER_BY：指定结果排序顺序的以逗号分隔的字段列表。默认顺序是升序。在字段名称后添加 " DESC" 可指示降序顺序。多余空格会被忽略。示例："assetType DESC, resource"。响应中只有单一原始字段是可排序的：

  • resource
  • assetType
  • project

  不支持所有其他字段，例如重复字段（例如 folders）和非原始字段（例如 policy）。

• （可选）PAGE_SIZE：搜索结果分页的页面大小。最大值是 500。如果该值设为 0，将选择相应默认值。

以下是一个示例 gcloud 命令：

• 查找您的 organizations/123456 中包含 mycompany.com 网域的所有 IAM 政策绑定：

  gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query='policy:"domain:mycompany.com"'
  

• 查找您的 organizations/123456 中 myuser@mycompany.com 被授予 Owner (roles/owner) 基本角色的 IAM 政策绑定：

  gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query='policy:(roles/owner myuser@mycompany.com)'
  

• 查找您的 organizations/123456 中在 projects/12345678 上设置的所有 IAM 政策绑定：

  gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query='resource:projects/12345678'
  

API

您可以使用项目的有效 OAuth 令牌调用 SearchAllIamPolicies。要从 Cloud Shell 或可使用 gcloud 命令的任何控制台调用 SearchAllIamPolicies 方法，请执行以下操作：

1. 如果您尚未配置项目的 OAuth 同意屏幕，则需要进行配置。您将需要在 OAuth 同意屏幕上输入电子邮件地址和产品名称。

   1. 转到项目的 OAuth 同意屏幕。
      配置同意屏幕
   2. 输入您要显示的应用名称。
   3. 在支持电子邮件地址下，选择要显示为公开联系人的电子邮件地址。这必须是您的电子邮件地址或您拥有的 Google 群组。
   4. 根据需要添加任何可选详细信息。
   5. 点击保存。

2. 为您的项目创建 OAuth 令牌。如需了解详情，请参阅设置 OAuth 2.0。

   1. 转到“创建 OAuth 客户端 ID”页面。
      创建 OAuth 客户端
   2. 选择桌面应用作为应用类型。
   3. 点击创建。

3. 下载 client_secret.json 文件。

   1. 转到“凭据”页面。
   2. 在新的客户端 ID 的右侧，点击下载 JSON。file_download
   3. 将文件安全地存储在只有您的应用可以访问的位置。

4. 通过以下命令使用 JSON 文件登录。

   gcloud auth application-default login --client-id-file=YOUR_JSON_FILE
   

   请注意，此命令将提示您打开链接。确保该页面显示您在 OAuth 同意屏幕中设置的应用名称。

5. 使用以下命令为您的帐号生成身份验证令牌：

   TOKEN=$(gcloud auth application-default print-access-token)
   

6. 您现在可以使用 curl 命令查询 IAM 政策。

   PAGE_SIZE=PAGE_SIZE
   PAGE_TOKEN="PAGE_TOKEN"
   SCOPE="SCOPE"
   QUERY="QUERY"
   ASSET_TYPES="ASSET_TYPES,…"
   ORDER_BY="ORDER_BY"
   curl -s -G \
       -H "Authorization: Bearer $TOKEN" \
       -d "page_size=$PAGE_SIZE" \
       -d "page_token=$PAGE_TOKEN" \
       -d "scope=$SCOPE" \
       -d "asset_types=$ASSET_TYPES,…" \
       -d "order_by=$ORDER_BY" \
       --data-urlencode "query=$QUERY" \
       "https://cloudasset.googleapis.com/v1/$SCOPE:searchAllIamPolicies"
   

• （可选）SCOPE：范围可以是项目、文件夹或组织。搜索范围仅限于此范围内的 IAM 政策。必须为调用者授予一个角色，该角色包含所需范围的 cloudasset.assets.searchAllIamPolicies 权限。

  允许使用的值包括：

  • projects/PROJECT_ID（例如，“projects/foo-bar”）
  • projects/PROJECT_NUMBER（例如，“projects/12345678”）
  • folders/FOLDER_NUMBER（例如，“folders/1234567”）
  • organizations/ORGANIZATION_NUMBER（例如，“organizations/123456”）

• （可选）QUERY：查询语句。 如需了解详情，请参阅如何构建查询。如果未指定或为空，它将搜索指定 scope 中的所有 IAM 政策。请注意，查询字符串会与每个 IAM 政策绑定进行比较，包括其主帐号、角色和 IAM 条件。返回的 IAM 政策将仅包含与查询匹配的绑定。如需详细了解 IAM 政策结构，请参阅了解政策。

  示例：

  • policy:amy@gmail.com，查找指定用户“amy@gmail.com”的 IAM 政策绑定。
  • policy:roles/compute.admin，查找指定 Compute Admin 角色的 IAM 政策绑定。
  • policy:comp*，以查找包含“comp”作为绑定中任何字词的前缀的 IAM 政策绑定。
  • policy.role.permissions:storage.buckets.update，查找指定包含“storage.buckets.update”权限的角色的 Cloud IAM 政策绑定。请注意，如果调用者未被授予包含所需角色的 iam.roles.get 权限的角色，则指定此角色的政策绑定将从搜索结果中删除。
  • policy.role.permissions:upd* 以查找 IAM，政策绑定将包含“upd”的角色用作角色权限中的任何字词的前缀。请注意，如果调用者未被授予包含所需角色的 iam.roles.get 权限的角色，则指定此角色的政策绑定将从搜索结果中删除。
  • resource:organizations/123456，查找设置在“organizations/123456”上的 IAM 政策绑定。
  • resource=//cloudresourcemanager.googleapis.com/projects/myproject，查找在名为“myproject”的项目上设置的 IAM 政策绑定。
  • Important，查找任何可搜索字段（包含的权限除外）中包含“Important”一词的 IAM 政策绑定。
  • resource:(instance1 OR instance2) policy:amy，查找设置在资源“instance1”或“instance2”上并指定用户“amy”的 IAM 政策绑定。
  • roles:roles/compute.admin，查找指定 Compute Admin 角色的 IAM 政策绑定。
  • memberTypes:user，查找包含“user”主帐号类型的 IAM 政策绑定。

• （可选）ASSET_TYPES：Identity and Access Management 政策所关联至的资产类型的列表。如果留空，它将搜索关联至所有可搜索的资产类型的 Identity and Access Management 政策。此外，还支持正则表达式。例如：

  • 关联至资产类型的 "compute.googleapis.com.*" 快照 IAM 政策以 "compute.googleapis.com" 开头。
  • 关联至资产类型的 ".*Instance" 快照 IAM 政策以 "Instance" 结尾。
  • 关联至资产类型的 ".*Instance.*" 快照 IAM 政策包含 "Instance"。

  如需查看所有支持的正则表达式语法，请参阅 RE2。如果正则表达式与任何支持的资产类型均不匹配，则将返回 INVALID_ARGUMENT 错误。

• （可选）ORDER_BY：指定结果排序顺序的以逗号分隔的字段列表。默认顺序是升序。在字段名称后添加 " DESC" 可指示降序顺序。多余空格会被忽略。示例："assetType DESC, resource"。响应中只有单一原始字段是可排序的：

  • resource
  • assetType
  • project

  不支持所有其他字段，例如重复字段（例如 folders）和非原始字段（例如 policy）。

• （可选）PAGE_SIZE：搜索结果分页的页面大小。最大值是 2000。如果该值设为 0，将选择相应默认值。

• （可选）PAGE_TOKEN：表示对此方法的上一次调用的下一批结果的令牌。page_token 必须与上一次调用的响应中 next_page_token 的值相同。