In IAM, i criteri effettivi descrive come vengono ereditati per una risorsa tutti i criteri principali e dei predecessori nella gerarchia delle risorse.
Per il recupero tramite Cloud Asset Inventory sono supportati solo i criteri di autorizzazione. Le seguenti forme di controllo dell'accesso non sono supportate:
Prima di iniziare
Abilita l'API Cloud Asset Inventory nel progetto su cui stai eseguendo i comandi di Cloud Asset Inventory da cui proviene.
Assicurati che il tuo account abbia ruolo corretto per chiamare l'API Cloud Asset Inventory. Per le singole autorizzazioni per ogni tipo di chiamata, consulta Autorizzazioni.
Visualizzare i criteri validi sulle risorse
gcloud
gcloud asset get-effective-iam-policy \ --scope=SCOPE_PATH \ --names=ASSET_NAME_1,ASSET_NAME_2,...
Fornisci i seguenti valori:
-
SCOPE_PATH: utilizza uno dei seguenti valori:I valori consentiti sono:
-
projects/PROJECT_ID, dovePROJECT_IDè il ID del progetto di livello superiore da cui verificare i criteri IAM effettivi. -
projects/PROJECT_NUMBER, dovePROJECT_NUMBERè il numero del progetto di primo livello da cui controllare i criteri IAM effettivi.Come trovare il numero di un progetto Google Cloud
Console Google Cloud
Per trovare il numero di un progetto Google Cloud, completa i seguenti passaggi:
-
Vai alla pagina Ti diamo il benvenuto nella console Google Cloud.
- Fai clic sulla casella di elenco selettore nella barra dei menu.
-
Seleziona la tua organizzazione dalla casella di elenco, quindi cerca il nome del progetto. Il nome, il numero e l'ID progetto vengono visualizzati vicino all'intestazione Ti diamo il benvenuto.
Vengono visualizzate fino a 4000 risorse. Se non vedi il progetto che stai cercando, vai alla Gestire le risorse e filtrando l'elenco usando il nome del progetto.
Interfaccia a riga di comando gcloud
Puoi recuperare il numero di un progetto Google Cloud con il seguente comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
-
folders/FOLDER_ID, doveFOLDER_IDè il ID della cartella di livello superiore da cui verificare i criteri IAM effettivi.Come trovare l'ID di una cartella Google Cloud
Console Google Cloud
Per trovare l'ID di una cartella Google Cloud, completa i seguenti passaggi:
-
Vai alla console Google Cloud.
- Fai clic sulla casella di elenco selettore nella barra dei menu.
- Seleziona la tua organizzazione dall'elenco.
- Cerca il nome della cartella. L'ID cartella viene visualizzato accanto al nome della cartella.
Interfaccia a riga di comando gcloud
Puoi recuperare l'ID di una cartella Google Cloud a livello di organizzazione con il seguente comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
dove TOP_LEVEL_FOLDER_NAME è una corrispondenza parziale o completa della stringa per il nome della cartella. Rimuovi il flag
--formatper visualizzare ulteriori informazioni sulle cartelle trovate.Il comando precedente non restituisce gli ID delle sottocartelle all'interno delle cartelle. Per farlo, esegui questo comando utilizzando l'ID di una cartella di primo livello:
gcloud resource-manager folders list --folder=FOLDER_ID
-
-
organizations/ORGANIZATION_ID, doveORGANIZATION_IDè l'ID dell'organizzazione di primo livello da cui verificare i criteri IAM effettivi.Come trovare l'ID di un'organizzazione Google Cloud
Console Google Cloud
Per trovare l'ID di un'organizzazione Google Cloud:
-
Vai alla console Google Cloud.
- Fai clic sull'elenco del commutatore nella barra dei menu.
- Seleziona la tua organizzazione dall'elenco.
- Fai clic sulla scheda Tutte. L'ID organizzazione è visualizzato accanto al nome dell'organizzazione.
Interfaccia a riga di comando gcloud
Puoi recuperare l'ID di un'organizzazione Google Cloud con il seguente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
-
ASSET_NAME_#: un elenco separato da virgole di nomi completi di risorse.
Puoi recuperare i criteri per un massimo di 20 asset per gruppo.
Consulta il riferimento dell'interfaccia a riga di comando gcloud per tutte le opzioni.
Esempio
Esegui il seguente comando per visualizzare i criteri IAM effettivi nell'my-instance istanza Compute Engine ereditati dall'organizzazione con ID my-organization-id.
Come trovare l'ID di un'organizzazione Google Cloud
Console Google Cloud
Per trovare l'ID di un'organizzazione Google Cloud:
-
Vai alla console Google Cloud.
- Fai clic sulla casella di elenco selettore nella barra dei menu.
- Seleziona la tua organizzazione dall'elenco.
- Fai clic sulla scheda Tutte. L'ID organizzazione è visualizzato accanto al nome dell'organizzazione.
Interfaccia a riga di comando gcloud
Puoi recuperare l'ID di un'organizzazione Google Cloud con il comando seguente:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
gcloud asset get-effective-iam-policy \ --scope=organizations/my-organization-id \ --names=//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance
Esempio di risposta
policyResults:
- fullResourceName: //compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance
policies:
- attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
bindings:
- members:
- user:alex@example.com
- user:bola@example.com
role: roles/cloudkms.admin
- members:
- serviceAccount:000000000000-compute@developer.gserviceaccount.com
role: roles/editor
- attachedResource: //cloudresourcemanager.googleapis.com/folders/000000000000
policy:
bindings:
- members:
- user:cruz@example.com
role: roles/resourcemanager.folderAdmin
- members:
- user:dani@example.com
role: roles/resourcemanager.folderEditor
- attachedResource: //cloudresourcemanager.googleapis.com/organizations/0000000000000
policy:
bindings:
- members:
- user:hao@example.com
role: organizations/0000000000000/roles/CustomProjectAdmin
- members:
- serviceAccount:000000000000@cloudservices.gserviceaccount.com
- user:ira@example.com
- user:jie@example.com
role: roles/accesscontextmanager.policyAdmin
REST
Metodo HTTP e URL:
POST https://cloudasset.googleapis.com/v1/SCOPE_PATH/effectiveIamPolicies:batchGet
Corpo JSON della richiesta:
{ "names": [ "ASSET_NAME_1", "ASSET_NAME_2", "..." ] }
Fornisci i seguenti valori:
-
SCOPE_PATH: utilizza uno dei seguenti valori:I valori consentiti sono:
-
projects/PROJECT_ID, dovePROJECT_IDè il ID del progetto di livello superiore da cui verificare i criteri IAM effettivi. -
projects/PROJECT_NUMBER, dovePROJECT_NUMBERè il numero del progetto di primo livello da cui controllare i criteri IAM effettivi.Come trovare il numero di un progetto Google Cloud
Console Google Cloud
Per trovare il numero di un progetto Google Cloud, completa i seguenti passaggi:
-
Vai alla pagina Ti diamo il benvenuto nella console Google Cloud.
- Fai clic sulla casella di elenco selettore nella barra dei menu.
-
Seleziona la tua organizzazione dalla casella di elenco, quindi cerca il nome del progetto. Il nome, il numero e l'ID progetto vengono visualizzati vicino all'intestazione Ti diamo il benvenuto.
Sono visualizzate fino a 4000 risorse. Se non vedi il progetto che stai cercando, vai alla pagina Gestisci risorse e filtra l'elenco utilizzando il nome del progetto.
Interfaccia a riga di comando gcloud
Puoi recuperare il numero di un progetto Google Cloud con il seguente comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
-
folders/FOLDER_ID, doveFOLDER_IDè il ID della cartella di livello superiore da cui verificare i criteri IAM effettivi.Come trovare l'ID di una cartella Google Cloud
Console Google Cloud
Per trovare l'ID di una cartella Google Cloud, completa i seguenti passaggi:
-
Vai alla console Google Cloud.
- Fai clic sulla casella di elenco selettore nella barra dei menu.
- Seleziona la tua organizzazione dall'elenco.
- Cerca il nome della cartella. L'ID cartella viene visualizzato accanto al nome della cartella.
Interfaccia a riga di comando gcloud
Puoi recuperare l'ID di una cartella Google Cloud a livello di organizzazione con il seguente comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
dove TOP_LEVEL_FOLDER_NAME è una corrispondenza parziale o completa della stringa per il nome della cartella. Rimuovi il flag
--formatper visualizzare ulteriori informazioni sulle cartelle trovate.Il comando precedente non restituisce gli ID delle sottocartelle all'interno delle cartelle. Per farlo, esegui questo comando utilizzando l'ID di una cartella di primo livello:
gcloud resource-manager folders list --folder=FOLDER_ID
-
-
organizations/ORGANIZATION_ID, doveORGANIZATION_IDè l'ID dell'organizzazione di primo livello da cui verificare i criteri IAM effettivi.Come trovare l'ID di un'organizzazione Google Cloud
Console Google Cloud
Per trovare l'ID di un'organizzazione Google Cloud:
-
Vai alla console Google Cloud.
- Fai clic sull'elenco del selettore nella barra dei menu.
- Seleziona la tua organizzazione dall'elenco.
- Fai clic sulla scheda Tutte. L'ID organizzazione è visualizzato accanto al nome dell'organizzazione.
Interfaccia a riga di comando gcloud
Puoi recuperare l'ID di un'organizzazione Google Cloud con il comando seguente:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
-
ASSET_NAME_#: un array di nomi completi delle risorse.
Puoi recuperare i criteri per un massimo di 20 asset per gruppo.
Consulta la documentazione di riferimento REST per tutte le opzioni di CPU e memoria disponibili.
Esempi di comandi
Esegui uno dei seguenti comandi per visualizzare i criteri IAM effettivi nell'my-instance istanza Compute Engine ereditati dall'organizzazione con l'ID my-organization-id.
Come trovare l'ID di un'organizzazione Google Cloud
Console Google Cloud
Per trovare l'ID di un'organizzazione Google Cloud:
-
Vai alla console Google Cloud.
- Fai clic sull'elenco del commutatore nella barra dei menu.
- Seleziona la tua organizzazione dall'elenco.
- Fai clic sulla scheda Tutte. L'ID organizzazione è visualizzato accanto al nome dell'organizzazione.
Interfaccia a riga di comando gcloud
Puoi recuperare l'ID di un'organizzazione Google Cloud con il seguente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
curl (Linux, macOS o Cloud Shell)
curl -X POST \ -H "X-HTTP-Method-Override: GET" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ -d '{ "names": [ "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance" ] }' \ https://cloudasset.googleapis.com/v1/organizations/my-organization-id/effectiveIamPolicies:batchGet
PowerShell (Windows)
$cred = gcloud auth print-access-token $headers = @{ "X-HTTP-Method-Override" = "GET"; "Authorization" = "Bearer $cred" } $body = @" { "names": [ "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance" ] } "@ Invoke-WebRequest ` -Method POST ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body $body ` -Uri "https://cloudasset.googleapis.com/v1/organizations/my-organization-id/effectiveIamPolicies:batchGet" | Select-Object -Expand Content
Esempio di risposta
{ "policyResults": [ { "fullResourceName": "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/instance-1", "policies": [ { "attachedResource": "//cloudresourcemanager.googleapis.com/projects/my-project", "policy": { "bindings": [ { "role": "roles/cloudkms.admin", "members": [ "user:alex@example.com", "user:bola@example.com" ] }, { "role": "roles/editor", "members": [ "serviceAccount:000000000000-compute@developer.gserviceaccount.com" ] } ] } }, { "attachedResource": "//cloudresourcemanager.googleapis.com/folders/000000000000", "policy": { "bindings": [ { "role": "roles/resourcemanager.folderAdmin", "members": [ "user:cruz@example.com" ] }, { "role": "roles/resourcemanager.folderEditor", "members": [ "user:dani@example.com" ] } ] } }, { "attachedResource": "//cloudresourcemanager.googleapis.com/organizations/000000000000", "policy": { "bindings": [ { "role": "organizations/1060291660910/roles/CustomProjectAdmin", "members": [ "user:hao@example.com" ] }, { "role": "roles/accesscontextmanager.policyAdmin", "members": [ "serviceAccount:000000000000@cloudservices.gserviceaccount.com", "user:ira@example.com", "user:jie@example.com" ] } ] } } ] } ] }