Visualiza las políticas de IAM efectivas

En este tema, se muestra cómo ver las políticas eficaces de administración de identidades y accesos (IAM) en un recurso determinado.

En IAM, en la política vigente, se describe cómo se heredan todas las políticas principales y principales en la jerarquía de recursos de un recurso.

Permiso y permisos

Cuando solicitas políticas de IAM efectivas, debes especificar un alcance. Puede ser una organización, una carpeta o un proyecto. Se mostrarán todas las políticas de IAM establecidas en ese alcance o debajo de él. El alcance de la solicitud no tiene que ser el mismo que el proyecto habilitado para la API de Cloud Asset. Además, el proyecto habilitado y el alcance de la solicitud requieren permisos diferentes.

Antes de comenzar

Antes de comenzar, completa los pasos que se indican a continuación.

  1. Habilita la API de Cloud Asset Inventory para tu proyecto.
    Habilita la API de Cloud Asset Inventory

    Este proyecto no tiene que ser el mismo que el permiso de tus solicitudes. Obtén más información sobre la configuración de un proyecto cuando habilitas un servicio.

  2. Instala el SDK de Google Cloud.

  3. Para configurar tu entorno a fin de llamar a la API de Cloud Asset Inventory con el comando curl de Unix, completa los siguientes pasos.

    1. Instala oauth2l en tu máquina local para que puedas interactuar con el sistema Google OAuth.
    2. Confirma que tienes acceso al comando curl de Unix.
    3. Obtén un token de acceso para la autenticación.

      TOKEN=$(gcloud auth print-access-token)
      
  4. Establece permisos.

    1. Configura permisos para la API de Cloud Asset.
    2. Habilita los siguientes permisos para el permiso de tu solicitud.

      • cloudasset.assets.analyzeIamPolicy
      • cloudasset.assets.searchAllResources
      • cloudasset.assets.searchAllIamPolicies

      Estos permisos están incluidos en las siguientes funciones predefinidas:

      • Propietario de Cloud Asset (roles/cloudasset.owner)
      • Visualizador de Cloud Asset (roles/cloudasset.viewer)

      Para obtener más información sobre las funciones y los permisos de la API de Cloud Asset, consulta Control de acceso.

Obtén políticas de IAM efectivas

Para obtener las políticas de IAM efectivas en un recurso mediante la API de Cloud Asset Inventory con el comando curl, completa los siguientes pasos.

  1. Crea un archivo request.json para el cuerpo de la solicitud y establece su contenido en la solicitud en formato JSON.

    El siguiente cuerpo de solicitud recupera las políticas de IAM efectivas para FULL_RESOURCE_NAME_1 y FULL_RESOURCE_NAME_2.

    {
     "names": [
       "FULL_RESOURCE_NAME_1",
       "FULL_RESOURCE_NAME_2",
     ]
    }
    

    FULL_RESOURCE_NAME requiere un nombre de recurso único con formato específico. Para obtener una lista de los nombres completos de los tipos de elementos compatibles con la API de Cloud Asset, consulta Formato de nombre de recurso.

    Puedes recuperar políticas de IAM efectivas para un máximo de 10 recursos en un solo lote.

  2. Obtén políticas de IAM efectivas mediante el siguiente comando de curl para recuperar políticas establecidas en SCOPE o en ellas:

    SERVER_URL="https://cloudasset.googleapis.com";
    
    curl \
    -H "Authorization: Bearer $TOKEN" \
    -H "Content-Type: application/json" \
    -H "X-Goog-User-Project: ENABLED_PROJECT" \
    -H "X-HTTP-Method-Override: GET" \
    -d @request.json \
    "${SERVER_URL}/v1/SCOPE/effectiveIamPolicies:batchGet"
    

    En SCOPE, los valores admitidos son los siguientes:

    • organizations/ORGANIZATION_NUMBER
    • folders/FOLDER_NUMBER
    • projects/PROJECT_NUMBER
    • projects/PROJECT_ID

    En ENABLED_PROJECT, los valores admitidos son los siguientes:

    • PROJECT_NUMBER
    • PROJECT_ID