Berechtigungen testen

Die meisten Google Cloud-Ressourcen bieten die Methode testIamPermissions(), mit der Sie programmatisch prüfen können, ob dem aktuell authentifizierten Aufrufer eine oder mehrere spezifische IAM-Berechtigungen für die Ressource erteilt wurden. Die Methode testIamPermissions() gibt mit einer Ressourcen-URL und einer Gruppe von Berechtigungen als Eingabeparameter die Gruppe der Berechtigungen für den Aufrufer zurück.

Mit der Methode testIamPermissions() können Sie bestimmen, ob ein Nutzer Zugriff auf ein Verwaltungstool in einer Webanwendung haben soll. Mit dieser Methode können Sie beispielsweise anhand der Berechtigungen des Nutzers entscheiden, ob detaillierte Informationen zu einer Google Cloud-Ressource angezeigt werden sollen.

Es soll beispielsweise festgestellt werden, ob der aktuell authentifizierte Nutzer zum Löschen eines Projekts berechtigt ist. Rufen Sie dazu die Methode projects.testIamPermissions()auf und geben Sie dabei die Projekt-ID (z. B. foo-project) und die Berechtigung resourcemanager.projects.deleteals Eingabeparameter an. Wenn dem Aufrufer die Berechtigung resourcemanager.projects.delete gewährt wurde, ist dies im Antworttext aufgeführt. Wenn der Aufrufer diese Berechtigung nicht hat, listet der Antworttext keine Berechtigungen auf.

Die Methode testIamPermissions() ist für grafische Benutzeroberflächen (GUIs) von Drittanbietern vorgesehen, die Google Cloud-Ressourcen auf der Grundlage der Berechtigungen des authentifizierten Nutzers anzeigen sollen. Beispielsweise verwendet die Cloud Console intern die Methode testIamPermissions(), um zu bestimmen, welche Ressourcen und Funktionen nach der Authentifizierung angezeigt werden. Unterschiedlichen Nutzern werden in der Regel unterschiedliche Berechtigungen gewährt. Die Cloud Console blendet Elemente entsprechend aus oder stellt sie zur Verfügung.

Vorbereitung

Resource Manager API aktivieren.
Aktivieren Sie die API

Erforderliche Rollen

Zum Testen von Berechtigungen ist keine IAM-Rolle erforderlich.

Berechtigungen testen

In diesem Beispiel wird gezeigt, wie die Berechtigungen resourcemanager.projects.get und resourcemanager.projects.delete für ein Google Cloud-Projekt getestet werden. Verwenden Sie zum Testen von Berechtigungen für andere Google Cloud-Ressourcen die Methode testIamPermissions(), die von den einzelnen Ressourcen bereitgestellt wird. Sie können beispielsweise die IAM-Berechtigungen für einen Cloud Storage-Bucket testen.

REST

In diesem Beispiel hat der Nutzer eine IAM-Rolle, mit der er Informationen zu einem Projekt abrufen, aber keine Projekte löschen kann.

Die Methode projects.testIamPermissions der Resource Manager API akzeptiert eine Liste von Berechtigungen und testet, welche Berechtigungen ein Hauptkonto hat.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:testIamPermissions

JSON-Text anfordern:

{
  "permissions":  [
    "resourcemanager.projects.get",
    "resourcemanager.projects.delete"
  ]
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer "$(gcloud auth application-default print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:testIamPermissions"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth application-default print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method POST `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:testIamPermissions" | Select-Object -Expand Content

API Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle erforderlichen Felder aus und klicken Sie auf Execute (Ausführen).

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "permissions": [
    "resourcemanager.projects.get"
  ]
}

C++

Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der Referenzdokumentation zur IAM C++ API.

Auf GitHub ansehen Feedback

namespace iam = ::google::cloud::iam;
[](std::string const& name, std::vector<std::string> const& permissions) {
  iam::IAMClient client(iam::MakeIAMConnection());
  auto response = client.TestIamPermissions(name, permissions);
  if (!response) throw std::runtime_error(response.status().message());
  std::cout << "Permissions successfully tested: " << response->DebugString()
            << "\n";
}

C#

Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der Referenzdokumentation zur IAM C# API.

IAM testet die Berechtigungen des Dienstkontos, mit dem Sie Anmeldedaten generieren.

Auf GitHub ansehen Feedback


using System;
using System.Collections.Generic;
using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static IList<String> TestIamPermissions(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        TestIamPermissionsRequest requestBody = new TestIamPermissionsRequest();
        var permissions = new List<string>() { "resourcemanager.projects.get", "resourcemanager.projects.delete" };
        requestBody.Permissions = new List<string>(permissions);
        var returnedPermissions = service.Projects.TestIamPermissions(requestBody, projectId).Execute().Permissions;

        return returnedPermissions;
    }
}

Java

Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der Referenzdokumentation zur IAM Java API.

IAM testet die Berechtigungen des Dienstkontos, mit dem Sie Anmeldedaten generieren.

Auf GitHub ansehen Feedback

import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.jackson2.JacksonFactory;
import com.google.api.services.cloudresourcemanager.v3.CloudResourceManager;
import com.google.api.services.cloudresourcemanager.v3.model.TestIamPermissionsRequest;
import com.google.api.services.cloudresourcemanager.v3.model.TestIamPermissionsResponse;
import com.google.api.services.iam.v1.IamScopes;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;

public class TestPermissions {

  // Tests if the caller has the listed permissions.
  public static void testPermissions(String projectId) {
    // projectId = "my-project-id"

    CloudResourceManager service = null;
    try {
      service = createCloudResourceManagerService();
    } catch (IOException | GeneralSecurityException e) {
      System.out.println("Unable to initialize service: \n" + e.toString());
      return;
    }

    List<String> permissionsList =
        Arrays.asList("resourcemanager.projects.get", "resourcemanager.projects.delete");

    TestIamPermissionsRequest requestBody =
        new TestIamPermissionsRequest().setPermissions(permissionsList);
    try {
      TestIamPermissionsResponse testIamPermissionsResponse =
          service.projects().testIamPermissions(projectId, requestBody).execute();

      System.out.println(
          "Of the permissions listed in the request, the caller has the following: "
              + testIamPermissionsResponse.getPermissions().toString());
    } catch (IOException e) {
      System.out.println("Unable to test permissions: \n" + e.toString());
    }
  }

  public static CloudResourceManager createCloudResourceManagerService()
      throws IOException, GeneralSecurityException {
    // Use the Application Default Credentials strategy for authentication. For more info, see:
    // https://cloud.google.com/docs/authentication/production#finding_credentials_automatically
    GoogleCredentials credential =
        GoogleCredentials.getApplicationDefault()
            .createScoped(Collections.singleton(IamScopes.CLOUD_PLATFORM));

    CloudResourceManager service =
        new CloudResourceManager.Builder(
                GoogleNetHttpTransport.newTrustedTransport(),
                JacksonFactory.getDefaultInstance(),
                new HttpCredentialsAdapter(credential))
            .setApplicationName("service-accounts")
            .build();
    return service;
  }
}

Python

Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der Referenzdokumentation zur IAM Python API.

IAM testet die Berechtigungen des Dienstkontos, mit dem Sie Anmeldedaten generieren.

Auf GitHub ansehen Feedback

def test_permissions(project_id):
    """Tests IAM permissions of the caller"""

    credentials = service_account.Credentials.from_service_account_file(
        filename=os.environ["GOOGLE_APPLICATION_CREDENTIALS"],
        scopes=["https://www.googleapis.com/auth/cloud-platform"],
    )
    service = googleapiclient.discovery.build(
        "cloudresourcemanager", "v1", credentials=credentials
    )

    permissions = {
        "permissions": [
            "resourcemanager.projects.get",
            "resourcemanager.projects.delete",
        ]
    }

    request = service.projects().testIamPermissions(
        resource=project_id, body=permissions
    )
    returnedPermissions = request.execute()
    print(returnedPermissions)
    return returnedPermissions

Nächste Schritte

Zugriffsrechte für Hauptkonten gewähren, ändern und widerrufen