Cette page a été traduite par l'API Cloud Translation.

Afficher les stratégies IAM en vigueur

Dans IAM, les stratégies en vigueur décrivent la manière dont toutes les stratégies parentes et ancêtres de la hiérarchie des ressources sont héritées pour une ressource.

Seules les stratégies d'autorisation sont acceptées pour la récupération via inventaire des éléments cloud. Les formes de contrôle des accès suivantes ne sont pas acceptées:

Avant de commencer

Activez l'API Cloud Asset Inventory dans le projet à partir duquel vous exécutez les commandes inventaire des éléments cloud.

Activer l'API Cloud Asset Inventory
Assurez-vous que votre compte dispose du rôle approprié pour appeler l'API Cloud Asset Inventory. Pour connaître les autorisations individuelles de chaque type d'appel, consultez la section Autorisations.

Afficher les règles en vigueur sur les ressources

gcloud

gcloud asset get-effective-iam-policy \
    --scope=SCOPE_PATH \
    --names=ASSET_NAME_1,ASSET_NAME_2,...

Indiquez les valeurs suivantes :

SCOPE_PATH: utilisez l'une des valeurs suivantes:

Les valeurs autorisées sont les suivantes :
- projects/PROJECT_ID, où PROJECT_ID est l'ID du projet qui est le niveau supérieur à partir duquel les stratégies IAM efficaces sont vérifiées.
- projects/PROJECT_NUMBER, où PROJECT_NUMBER est le numéro du projet qui est le niveau supérieur à partir duquel les stratégies IAM efficaces sont vérifiées.
  Trouver un numéro de projet Google Cloud
  Google Cloud console
  
  Pour trouver un numéro de projet Google Cloud , procédez comme suit:
  
  Accédez à la page Bienvenue dans la console Google Cloud .
  
  Accéder à "Bienvenue"
  
  Cliquez sur la liste déroulante Basculateur dans la barre de menu.
  
  Sélectionnez votre organisation dans la liste, puis recherchez le nom de votre projet. Le nom, le numéro et l'ID du projet sont affichés près de l'en-tête Bienvenue.
  
  Jusqu'à 4 000 ressources peuvent être affichées. Si le projet que vous recherchez ne s'affiche pas, accédez à la page Gérer les ressources et filtrez la liste en utilisant le nom de ce projet.
  
  CLI gcloud
  
  Vous pouvez récupérer un numéro de projet Google Cloud à l'aide de la commande suivante:
  
  gcloud projects describe PROJECT_ID --format="value(projectNumber)"
- folders/FOLDER_ID, où FOLDER_ID est l'ID du dossier qui est le niveau supérieur à partir duquel les stratégies IAM efficaces sont vérifiées.
  Trouver l'ID d'un dossier Google Cloud
  Google Cloud console
  
  Pour trouver l'ID d'un dossier Google Cloud , procédez comme suit:
  
  Accédez à la console Google Cloud .
  
  Accédez à la console Google Cloud .
  
  Cliquez sur la liste déroulante Basculateur dans la barre de menu.
  
  Sélectionnez votre organisation dans la liste.
  
  Recherchez le nom de votre dossier. L'ID du dossier s'affiche à côté de son nom.
  
  CLI gcloud
  
  Vous pouvez récupérer l'ID d'un dossier Google Cloud situé au niveau de l'organisation à l'aide de la commande suivante:
  
  gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
  
  Où TOP_LEVEL_FOLDER_NAME correspond à une correspondance partielle ou complète de la chaîne pour le nom du dossier. Supprimez l'indicateur --format pour afficher plus d'informations sur les dossiers trouvés.
  
  La commande précédente ne renvoie pas les ID des sous-dossiers dans les dossiers. Pour ce faire, exécutez la commande suivante à l'aide de l'ID d'un dossier de niveau supérieur:
  
  gcloud resource-manager folders list --folder=FOLDER_ID
- organizations/ORGANIZATION_ID, où ORGANIZATION_ID est l'ID de l'organisation qui est le niveau supérieur à partir duquel les stratégies IAM efficaces sont vérifiées.
  Trouver l'ID d'une organisation Google Cloud
  Google Cloud console
  
  Pour trouver l'ID d'une organisation Google Cloud , procédez comme suit:
  
  Accédez à la console Google Cloud .
  
  Accédez à la console Google Cloud .
  
  Cliquez sur la liste déroulante Basculateur dans la barre de menu.
  
  Sélectionnez votre organisation dans la liste.
  
  Cliquez sur l'onglet Tous. L'ID de l'organisation s'affiche à côté de son nom.
  
  CLI gcloud
  
  Vous pouvez récupérer l'ID d'une organisation Google Cloud à l'aide de la commande suivante:
  
  gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
ASSET_NAME_#: liste des noms complets des composants, séparés par une virgule.

Vous pouvez récupérer les règles pour un maximum de 20 éléments dans un lot.

Consultez la documentation de référence de la gcloud CLI pour toutes les options.

Exemple

Exécutez la commande suivante pour afficher les stratégies IAM applicables sur l'instance Compute Engine my-instance héritées de l'organisation associée à l'ID my-organization-id.

Trouver l'ID d'une organisation Google Cloud

Google Cloud console

Pour trouver l'ID d'une organisation Google Cloud , procédez comme suit:

Accédez à la console Google Cloud .

Accédez à la console Google Cloud .
Cliquez sur la liste déroulante Basculateur dans la barre de menu.
Sélectionnez votre organisation dans la liste.
Cliquez sur l'onglet Tous. L'ID de l'organisation s'affiche à côté de son nom.

CLI gcloud

Vous pouvez récupérer l'ID d'une organisation Google Cloud à l'aide de la commande suivante:

gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

gcloud asset get-effective-iam-policy \
    --scope=organizations/my-organization-id \
    --names=//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance

Exemple de réponse

policyResults:
- fullResourceName: //compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance
  policies:
  - attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
    policy:
      bindings:
      - members:
        - user:alex@example.com
        - user:bola@example.com
        role: roles/cloudkms.admin
      - members:
        - serviceAccount:000000000000-compute@developer.gserviceaccount.com
        role: roles/editor
  - attachedResource: //cloudresourcemanager.googleapis.com/folders/000000000000
    policy:
      bindings:
      - members:
        - user:cruz@example.com
        role: roles/resourcemanager.folderAdmin
      - members:
        - user:dani@example.com
        role: roles/resourcemanager.folderEditor
  - attachedResource: //cloudresourcemanager.googleapis.com/organizations/0000000000000
    policy:
      bindings:
      - members:
        - user:hao@example.com
        role: organizations/0000000000000/roles/CustomProjectAdmin
      - members:
        - serviceAccount:000000000000@cloudservices.gserviceaccount.com
        - user:ira@example.com
        - user:jie@example.com
        role: roles/accesscontextmanager.policyAdmin

REST

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/SCOPE_PATH/effectiveIamPolicies:batchGet

Remarque: Vous pouvez utiliser une méthode GET pour cette requête avec des paramètres en tant que chaîne de requête. Toutefois, l'URL de la requête est limitée en longueur, ce qui signifie que le serveur rejette la requête si la chaîne de requête est trop longue. Pour éviter les restrictions de longueur, utilisez plutôt une requête POST, définissez un en-tête X-HTTP-Method-Override: GET et utilisez un corps JSON pour vos paramètres.

Corps JSON de la requête :

{
  "names": [
    "ASSET_NAME_1",
    "ASSET_NAME_2",
    "..."
  ]
}

Indiquez les valeurs suivantes :

SCOPE_PATH: utilisez l'une des valeurs suivantes:

Les valeurs autorisées sont les suivantes :
- projects/PROJECT_ID, où PROJECT_ID est l'ID du projet qui est le niveau supérieur à partir duquel les stratégies IAM efficaces sont vérifiées.
- projects/PROJECT_NUMBER, où PROJECT_NUMBER est le numéro du projet qui est le niveau supérieur à partir duquel les stratégies IAM efficaces sont vérifiées.
  Trouver un numéro de projet Google Cloud
  Google Cloud console
  
  Pour trouver un numéro de projet Google Cloud , procédez comme suit:
  
  Accédez à la page Bienvenue dans la console Google Cloud .
  
  Accéder à "Bienvenue"
  
  Cliquez sur la liste déroulante Basculateur dans la barre de menu.
  
  Sélectionnez votre organisation dans la liste, puis recherchez le nom de votre projet. Le nom, le numéro et l'ID du projet sont affichés près de l'en-tête Bienvenue.
  
  Jusqu'à 4 000 ressources peuvent être affichées. Si le projet que vous recherchez ne s'affiche pas, accédez à la page Gérer les ressources et filtrez la liste en utilisant le nom de ce projet.
  
  CLI gcloud
  
  Vous pouvez récupérer un numéro de projet Google Cloud à l'aide de la commande suivante:
  
  gcloud projects describe PROJECT_ID --format="value(projectNumber)"
- folders/FOLDER_ID, où FOLDER_ID est l'ID du dossier qui est le niveau supérieur à partir duquel les stratégies IAM efficaces sont vérifiées.
  Trouver l'ID d'un dossier Google Cloud
  Google Cloud console
  
  Pour trouver l'ID d'un dossier Google Cloud , procédez comme suit:
  
  Accédez à la console Google Cloud .
  
  Accédez à la console Google Cloud .
  
  Cliquez sur la liste déroulante Basculateur dans la barre de menu.
  
  Sélectionnez votre organisation dans la liste.
  
  Recherchez le nom de votre dossier. L'ID du dossier s'affiche à côté de son nom.
  
  CLI gcloud
  
  Vous pouvez récupérer l'ID d'un dossier Google Cloud situé au niveau de l'organisation à l'aide de la commande suivante:
  
  gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
  
  Où TOP_LEVEL_FOLDER_NAME correspond à une correspondance partielle ou complète de la chaîne pour le nom du dossier. Supprimez l'indicateur --format pour afficher plus d'informations sur les dossiers trouvés.
  
  La commande précédente ne renvoie pas les ID des sous-dossiers dans les dossiers. Pour ce faire, exécutez la commande suivante à l'aide de l'ID d'un dossier de niveau supérieur:
  
  gcloud resource-manager folders list --folder=FOLDER_ID
- organizations/ORGANIZATION_ID, où ORGANIZATION_ID est l'ID de l'organisation qui est le niveau supérieur à partir duquel les stratégies IAM efficaces sont vérifiées.
  Trouver l'ID d'une organisation Google Cloud
  Google Cloud console
  
  Pour trouver l'ID d'une organisation Google Cloud , procédez comme suit:
  
  Accédez à la console Google Cloud .
  
  Accédez à la console Google Cloud .
  
  Cliquez sur la liste déroulante Basculateur dans la barre de menu.
  
  Sélectionnez votre organisation dans la liste.
  
  Cliquez sur l'onglet Tous. L'ID de l'organisation s'affiche à côté de son nom.
  
  CLI gcloud
  
  Vous pouvez récupérer l'ID d'une organisation Google Cloud à l'aide de la commande suivante:
  
  gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
ASSET_NAME_#: tableau de noms complets des composants.

Vous pouvez récupérer les règles d'un maximum de 20 éléments dans un lot.

Consultez la documentation de référence REST pour toutes les options.

Exemples de commandes

Exécutez l'une des commandes suivantes pour afficher les stratégies IAM efficaces sur l'instance Compute Engine my-instance héritées de l'organisation avec l'ID my-organization-id.

Trouver l'ID d'une organisation Google Cloud

Google Cloud console

Pour trouver l'ID d'une organisation Google Cloud , procédez comme suit:

Accédez à la console Google Cloud .

Accédez à la console Google Cloud .
Cliquez sur la liste déroulante Basculateur dans la barre de menu.
Sélectionnez votre organisation dans la liste.
Cliquez sur l'onglet Tous. L'ID de l'organisation s'affiche à côté de son nom.

CLI gcloud

Vous pouvez récupérer l'ID d'une organisation Google Cloud à l'aide de la commande suivante:

gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

curl (Linux, macOS ou Cloud Shell)

curl -X POST \
     -H "X-HTTP-Method-Override: GET" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d '{
            "names": [
              "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance"
            ]
          }' \
     https://cloudasset.googleapis.com/v1/organizations/my-organization-id/effectiveIamPolicies:batchGet

PowerShell (Windows)

$cred = gcloud auth print-access-token

$headers = @{ 
  "X-HTTP-Method-Override" = "GET";
  "Authorization" = "Bearer $cred"
}


$body = @"
{
  "names": [
    "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance"
  ]
}
"@

Invoke-WebRequest `
  -Method POST `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -Body $body `
  -Uri "https://cloudasset.googleapis.com/v1/organizations/my-organization-id/effectiveIamPolicies:batchGet" | Select-Object -Expand Content

Exemple de réponse

{
  "policyResults": [
    {
      "fullResourceName": "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/instance-1",
      "policies": [
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "policy": {
            "bindings": [
              {
                "role": "roles/cloudkms.admin",
                "members": [
                  "user:alex@example.com",
                  "user:bola@example.com"
                ]
              },
              {
                "role": "roles/editor",
                "members": [
                  "serviceAccount:000000000000-compute@developer.gserviceaccount.com"
                ]
              }
            ]
          }
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/000000000000",
          "policy": {
            "bindings": [
              {
                "role": "roles/resourcemanager.folderAdmin",
                "members": [
                  "user:cruz@example.com"
                ]
              },
              {
                "role": "roles/resourcemanager.folderEditor",
                "members": [
                  "user:dani@example.com"
                ]
              }
            ]
          }
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/organizations/000000000000",
          "policy": {
            "bindings": [
              {
                "role": "organizations/1060291660910/roles/CustomProjectAdmin",
                "members": [
                  "user:hao@example.com"
                ]
              },
              {
                "role": "roles/accesscontextmanager.policyAdmin",
                "members": [
                  "serviceAccount:000000000000@cloudservices.gserviceaccount.com",
                  "user:ira@example.com",
                  "user:jie@example.com"
                ]
              }
            ]
          }
        }
      ]
    }
  ]
}