Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzare i criteri IAM effettivi

In IAM, i criteri effettivi descrive come vengono ereditati per una risorsa tutti i criteri principali e dei predecessori nella gerarchia delle risorse.

Per il recupero tramite Cloud Asset Inventory sono supportati solo i criteri di autorizzazione. Le seguenti forme di controllo dell'accesso non sono supportate:

Prima di iniziare

Abilita l'API Cloud Asset Inventory nel progetto da cui stai eseguendo i comandi di Cloud Asset Inventory.

Abilita l'API Cloud Asset Inventory
Assicurati che il tuo account disponga del ruolo corretto per chiamare l'API Cloud Asset Inventory. Per le singole autorizzazioni per ogni tipo di chiamata, consulta Autorizzazioni.

Visualizzare i criteri effettivi sulle risorse

gcloud

gcloud asset get-effective-iam-policy \
    --scope=SCOPE_PATH \
    --names=ASSET_NAME_1,ASSET_NAME_2,...

Fornisci i seguenti valori:

SCOPE_PATH: utilizza uno dei seguenti valori:

I valori consentiti sono:
- projects/PROJECT_ID, dove PROJECT_ID è ID del progetto di primo livello da cui controllare i criteri IAM effettivi.
- projects/PROJECT_NUMBER, dove PROJECT_NUMBER è il numero del progetto di primo livello da cui controllare i criteri IAM effettivi.
  Come trovare un Google Cloud numero di progetto
  Console Google Cloud
  
  Per trovare un Google Cloud numero di progetto, completa i seguenti passaggi:
  
  Vai alla pagina Ti diamo il benvenuto nella console Google Cloud.
  
  Vai a Benvenuto
  
  Fai clic sulla casella di elenco selettore nella barra dei menu.
  
  Seleziona la tua organizzazione dalla casella di elenco, quindi cerca il nome del progetto. Il nome, il numero e l'ID progetto vengono visualizzati accanto all'intestazione Ti diamo il benvenuto.
  
  Vengono visualizzate fino a 4000 risorse. Se non vedi il progetto che stai cercando, vai alla pagina Gestisci risorse e filtra l'elenco utilizzando il nome del progetto.
  
  Interfaccia a riga di comando gcloud
  
  Puoi recuperare un Google Cloud numero di progetto con il seguente comando:
  
  gcloud projects describe PROJECT_ID --format="value(projectNumber)"
- folders/FOLDER_ID, dove FOLDER_ID è l'ID della cartella di primo livello da cui controllare i criteri IAM effettivi.
  Come trovare l'ID di una Google Cloud cartella
  Console Google Cloud
  
  Per trovare l'ID di una Google Cloud cartella:
  
  Vai alla console Google Cloud.
  
  Vai alla console Google Cloud
  
  Fai clic sulla casella di elenco selettore nella barra dei menu.
  
  Seleziona la tua organizzazione dalla casella di elenco.
  
  Cerca il nome della cartella. L'ID cartella viene visualizzato accanto al nome della cartella.
  
  Interfaccia a riga di comando gcloud
  
  Puoi recuperare l'ID di una Google Cloud cartella a livello di organizzazione con il seguente comando:
  
  gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
  
  dove TOP_LEVEL_FOLDER_NAME è una corrispondenza parziale o completa della stringa per il nome della cartella. Rimuovi il flag --format per visualizzare ulteriori informazioni sulle cartelle trovate.
  
  Il comando precedente non restituisce gli ID delle sottocartelle all'interno delle cartelle. Per farlo, esegui il seguente comando utilizzando l'ID di una cartella di primo livello:
  
  gcloud resource-manager folders list --folder=FOLDER_ID
- organizations/ORGANIZATION_ID, dove ORGANIZATION_ID è l'ID dell'organizzazione di primo livello da cui controllare i criteri IAM effettivi.
  Come trovare l'ID di un' Google Cloud organizzazione
  Console Google Cloud
  
  Per trovare l'ID di un' Google Cloud organizzazione, segui questi passaggi:
  
  Vai alla console Google Cloud.
  
  Vai alla console Google Cloud
  
  Fai clic sulla casella di elenco selettore nella barra dei menu.
  
  Seleziona la tua organizzazione dalla casella di elenco.
  
  Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.
  
  Interfaccia a riga di comando gcloud
  
  Puoi recuperare l'ID di un' Google Cloud organizzazione con il seguente comando:
  
  gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
ASSET_NAME_#: un elenco separato da virgole di nomi completi delle risorse.

Puoi recuperare i criteri per un massimo di 20 asset in un unico batch.

Consulta il riferimento all'interfaccia a riga di comando gcloud per tutte le opzioni.

Esempio

Esegui il seguente comando per visualizzare i criteri IAM effettivi nell'my-instance istanza Compute Engine ereditati dall'organizzazione con ID my-organization-id.

Come trovare l'ID di un' Google Cloud organizzazione

Console Google Cloud

Per trovare l'ID di un' Google Cloud organizzazione, segui questi passaggi:

Vai alla console Google Cloud.

Vai alla console Google Cloud
Fai clic sulla casella di elenco selettore nella barra dei menu.
Seleziona la tua organizzazione dalla casella di elenco.
Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.

Interfaccia a riga di comando gcloud

Puoi recuperare l'ID di un' Google Cloud organizzazione con il seguente comando:

gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

gcloud asset get-effective-iam-policy \
    --scope=organizations/my-organization-id \
    --names=//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance

Risposta di esempio

policyResults:
- fullResourceName: //compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance
  policies:
  - attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
    policy:
      bindings:
      - members:
        - user:alex@example.com
        - user:bola@example.com
        role: roles/cloudkms.admin
      - members:
        - serviceAccount:000000000000-compute@developer.gserviceaccount.com
        role: roles/editor
  - attachedResource: //cloudresourcemanager.googleapis.com/folders/000000000000
    policy:
      bindings:
      - members:
        - user:cruz@example.com
        role: roles/resourcemanager.folderAdmin
      - members:
        - user:dani@example.com
        role: roles/resourcemanager.folderEditor
  - attachedResource: //cloudresourcemanager.googleapis.com/organizations/0000000000000
    policy:
      bindings:
      - members:
        - user:hao@example.com
        role: organizations/0000000000000/roles/CustomProjectAdmin
      - members:
        - serviceAccount:000000000000@cloudservices.gserviceaccount.com
        - user:ira@example.com
        - user:jie@example.com
        role: roles/accesscontextmanager.policyAdmin

REST

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_PATH/effectiveIamPolicies:batchGet

Nota: per questa richiesta puoi utilizzare un metodo GET con parametri come stringa di query. Tuttavia, l'URL della richiesta è limitato in termini di lunghezza, il che significa che il server rifiuta la richiesta se la stringa di query è troppo lunga. Per evitare limitazioni di lunghezza, utilizza una richiesta POST , imposta un'intestazione X-HTTP-Method-Override: GET e utilizza un corpo JSON per i parametri.

Corpo JSON della richiesta:

{
  "names": [
    "ASSET_NAME_1",
    "ASSET_NAME_2",
    "..."
  ]
}

Fornisci i seguenti valori:

SCOPE_PATH: utilizza uno dei seguenti valori:

I valori consentiti sono:
- projects/PROJECT_ID, dove PROJECT_ID è ID del progetto di primo livello da cui controllare i criteri IAM effettivi.
- projects/PROJECT_NUMBER, dove PROJECT_NUMBER è il numero del progetto di primo livello da cui controllare i criteri IAM effettivi.
  Come trovare un Google Cloud numero di progetto
  Console Google Cloud
  
  Per trovare un Google Cloud numero di progetto, completa i seguenti passaggi:
  
  Vai alla pagina Ti diamo il benvenuto nella console Google Cloud.
  
  Vai a Benvenuto
  
  Fai clic sulla casella di elenco selettore nella barra dei menu.
  
  Seleziona la tua organizzazione dalla casella di elenco, quindi cerca il nome del progetto. Il nome, il numero e l'ID progetto vengono visualizzati accanto all'intestazione Ti diamo il benvenuto.
  
  Vengono visualizzate fino a 4000 risorse. Se non vedi il progetto che stai cercando, vai alla pagina Gestisci risorse e filtra l'elenco utilizzando il nome del progetto.
  
  Interfaccia a riga di comando gcloud
  
  Puoi recuperare un Google Cloud numero di progetto con il seguente comando:
  
  gcloud projects describe PROJECT_ID --format="value(projectNumber)"
- folders/FOLDER_ID, dove FOLDER_ID è l'ID della cartella di primo livello da cui controllare i criteri IAM effettivi.
  Come trovare l'ID di una Google Cloud cartella
  Console Google Cloud
  
  Per trovare l'ID di una Google Cloud cartella:
  
  Vai alla console Google Cloud.
  
  Vai alla console Google Cloud
  
  Fai clic sulla casella di elenco selettore nella barra dei menu.
  
  Seleziona la tua organizzazione dalla casella di elenco.
  
  Cerca il nome della cartella. L'ID cartella viene visualizzato accanto al nome della cartella.
  
  Interfaccia a riga di comando gcloud
  
  Puoi recuperare l'ID di una Google Cloud cartella a livello di organizzazione con il seguente comando:
  
  gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
  
  dove TOP_LEVEL_FOLDER_NAME è una corrispondenza parziale o completa della stringa per il nome della cartella. Rimuovi il flag --format per visualizzare ulteriori informazioni sulle cartelle trovate.
  
  Il comando precedente non restituisce gli ID delle sottocartelle all'interno delle cartelle. Per farlo, esegui il seguente comando utilizzando l'ID di una cartella di primo livello:
  
  gcloud resource-manager folders list --folder=FOLDER_ID
- organizations/ORGANIZATION_ID, dove ORGANIZATION_ID è l'ID dell'organizzazione di primo livello da cui controllare i criteri IAM effettivi.
  Come trovare l'ID di un' Google Cloud organizzazione
  Console Google Cloud
  
  Per trovare l'ID di un' Google Cloud organizzazione, segui questi passaggi:
  
  Vai alla console Google Cloud.
  
  Vai alla console Google Cloud
  
  Fai clic sulla casella di elenco selettore nella barra dei menu.
  
  Seleziona la tua organizzazione dalla casella di elenco.
  
  Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.
  
  Interfaccia a riga di comando gcloud
  
  Puoi recuperare l'ID di un' Google Cloud organizzazione con il seguente comando:
  
  gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
ASSET_NAME_#: un array di nomi completi delle risorse.

Puoi recuperare i criteri per un massimo di 20 asset in un unico batch.

Consulta il riferimento REST per tutte le opzioni.

Esempi di comandi

Esegui uno dei seguenti comandi per visualizzare i criteri IAM effettivi nell'my-instance istanza Compute Engine ereditati dall'organizzazione con l'ID my-organization-id.

Come trovare l'ID di un' Google Cloud organizzazione

Console Google Cloud

Per trovare l'ID di un' Google Cloud organizzazione, segui questi passaggi:

Vai alla console Google Cloud.

Vai alla console Google Cloud
Fai clic sulla casella di elenco selettore nella barra dei menu.
Seleziona la tua organizzazione dalla casella di elenco.
Fai clic sulla scheda Tutti. L'ID organizzazione viene visualizzato accanto al nome dell'organizzazione.

Interfaccia a riga di comando gcloud

Puoi recuperare l'ID di un' Google Cloud organizzazione con il seguente comando:

gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

curl (Linux, macOS o Cloud Shell)

curl -X POST \
     -H "X-HTTP-Method-Override: GET" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d '{
            "names": [
              "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance"
            ]
          }' \
     https://cloudasset.googleapis.com/v1/organizations/my-organization-id/effectiveIamPolicies:batchGet

PowerShell (Windows)

$cred = gcloud auth print-access-token

$headers = @{ 
  "X-HTTP-Method-Override" = "GET";
  "Authorization" = "Bearer $cred"
}


$body = @"
{
  "names": [
    "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/my-instance"
  ]
}
"@

Invoke-WebRequest `
  -Method POST `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -Body $body `
  -Uri "https://cloudasset.googleapis.com/v1/organizations/my-organization-id/effectiveIamPolicies:batchGet" | Select-Object -Expand Content

Risposta di esempio

{
  "policyResults": [
    {
      "fullResourceName": "//compute.googleapis.com/projects/my-project/zones/us-central1-a/instances/instance-1",
      "policies": [
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "policy": {
            "bindings": [
              {
                "role": "roles/cloudkms.admin",
                "members": [
                  "user:alex@example.com",
                  "user:bola@example.com"
                ]
              },
              {
                "role": "roles/editor",
                "members": [
                  "serviceAccount:000000000000-compute@developer.gserviceaccount.com"
                ]
              }
            ]
          }
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/folders/000000000000",
          "policy": {
            "bindings": [
              {
                "role": "roles/resourcemanager.folderAdmin",
                "members": [
                  "user:cruz@example.com"
                ]
              },
              {
                "role": "roles/resourcemanager.folderEditor",
                "members": [
                  "user:dani@example.com"
                ]
              }
            ]
          }
        },
        {
          "attachedResource": "//cloudresourcemanager.googleapis.com/organizations/000000000000",
          "policy": {
            "bindings": [
              {
                "role": "organizations/1060291660910/roles/CustomProjectAdmin",
                "members": [
                  "user:hao@example.com"
                ]
              },
              {
                "role": "roles/accesscontextmanager.policyAdmin",
                "members": [
                  "serviceAccount:000000000000@cloudservices.gserviceaccount.com",
                  "user:ira@example.com",
                  "user:jie@example.com"
                ]
              }
            ]
          }
        }
      ]
    }
  ]
}