Nesta página, mostramos como usar a Análise de políticas para descobrir quais principais (usuários, contas de serviço, grupos e domínios) têm acesso a quais recursos do Google Cloud.
Os exemplos nesta página mostram como executar uma consulta de análise de política e
visualizar os resultados imediatamente. Se você quiser exportar os resultados para uma análise mais detalhada, use
AnalyzeIamPolicyLongrunning
para gravar
os resultados da consulta no BigQuery ou no
Cloud Storage.
Antes de começar
Enable the Cloud Asset API.
Ative a API no projeto ou na organização que você vai usar para enviar a consulta. Não precisa ser o mesmo recurso que está no escopo da sua consulta.
Opcional: entenda como a Análise de políticas funciona.
Opcional: se você quiser executar mais de 20 consultas de análise de política por organização por dia, verifique se você tem uma ativação do nível Premium no nível da organização camada de o Security Command Center. Para mais informações, consulte Faturamento perguntas.
Papéis e permissões necessárias
Os papéis e as permissões a seguir são necessários para analisar as políticas de permissão.
Papéis do IAM obrigatórios
Para receber as permissões necessárias para analisar uma política de permissão, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto, na pasta ou na organização em que você vai aplicar a consulta:
-
Leitor de recursos do Cloud (
roles/cloudasset.viewer
) -
Para analisar políticas com papéis personalizados do IAM:
Leitor de papéis (
roles/iam.roleViewer
) -
Para usar a CLI do Google Cloud para analisar políticas:
Consumidor de uso de serviço (
roles/serviceusage.serviceUsageConsumer
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos têm as permissões necessárias para analisar uma política de permissão. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para analisar uma política de permissão:
-
cloudasset.assets.analyzeIamPolicy
-
cloudasset.assets.searchAllResources
-
cloudasset.assets.searchAllIamPolicies
-
Para analisar políticas com papéis personalizados do IAM:
iam.roles.get
-
Para usar a Google Cloud CLI para analisar políticas:
serviceusage.services.use
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Permissões necessárias do Google Workspace
Se você quiser expandir grupos nos resultados da consulta para saber se um principal
tem determinadas funções ou permissões devido à associação a um
grupo do Google Workspace, você precisa da permissão groups.read
do Google Workspace.
Essa permissão está contida na função "Administrador de leitores de grupos" e em outros
funções avançadas, como as de "Administrador de grupos" ou "Superadministrador". Para saber como
conceder esses papéis, consulte Atribuir funções administrativas específicas.
Determinar quais principais podem acessar um recurso
Use a ferramenta Análise de políticas para verificar quais principais têm determinados papéis ou permissões em um recurso específico no projeto, na pasta ou na organização. Para conseguir essas informações, crie uma consulta com o recurso em que você quer analisar o acesso e um ou mais papéis ou permissões para verificar.
Console
No console do Google Cloud, acesse a página Policy Analyzer.
Na seção Analisar políticas, encontre o painel Consulta personalizada. e clique em Criar consulta personalizada nesse painel.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. a ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o recurso e o papel ou a permissão a serem verificados:
- No campo Parâmetro 1, selecione Recurso no menu suspenso.
- No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
- Clique em Adicionar seletor.
- No campo Parâmetro 2, selecione Papel ou Permissão.
- No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
- Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página "Relatório" mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os principais com os papéis ou permissões especificados no recurso.
As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se o consulta não for concluída nesse período, o console do Google Cloud exibirá um banner indicando que o e os resultados estejam incompletos. Para receber mais resultados dessas consultas, exporte os resultados para o BigQuery.
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
RESOURCE_TYPE
: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valorproject
,folder
ouorganization
.RESOURCE_ID
: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente Serão analisadas as políticas de permissão do IAM anexadas a este recurso e aos descendentes dele. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.FULL_RESOURCE_NAME
: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de de nomes de recursos, consulte Nomes de recursos formato.PERMISSIONS
: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo,compute.instances.get,compute.instances.start
. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
Execute o gcloud asset analyze-iam-policy (link em inglês) comando:
Linux, macOS ou Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --full-resource-name=FULL_RESOURCE_NAME \ --permissions='PERMISSIONS'
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --full-resource-name=FULL_RESOURCE_NAME ` --permissions='PERMISSIONS'
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --full-resource-name=FULL_RESOURCE_NAME ^ --permissions='PERMISSIONS'
Você recebe uma resposta YAML com os resultados da análise. Cada resultado de análise lista um conjunto de
acessos, identidades e recursos relevantes para a consulta, seguidos pela
vinculação de papel do IAM relacionada. Se a vinculação de função for condicional, o resultado da análise
também incluirá o resultado da avaliação da condição. Se a condição não puder ser avaliada, o
resultado será CONDITIONAL
.
Os principais que têm qualquer uma das permissões especificadas no recurso especificado estão listados em
os campos identities
na resposta. O exemplo a seguir mostra um único resultado de análise com o campo identities
destacado.
... --- ACLs: - accesses: - permission: compute.instances.get - permission: compute.instances.start identities: - name: user:my-user@example.com resources: - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project policy: attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project binding: members: - user: my-user@example.com role: roles/compute.admin --- ...
Se o tempo limite da solicitação expirar antes do término da consulta, você vai receber um erro DEADLINE_EXCEEDED
. Para receber mais resultados dessas consultas, grave
os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração
de analyze-iam-policy
. Para ver instruções, consulte
Gravar a análise de políticas no
BigQuery ou
Gravar a análise de políticas no
Cloud Storage.
REST
Para determinar quais principais têm determinadas permissões em um
use o recurso da API Cloud Asset Inventory
analyzeIamPolicy
.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
RESOURCE_TYPE
: o tipo do recurso que terá o escopo de sua pesquisa. Somente as políticas de permissão do IAM anexada a esse recurso e aos descendentes dele serão analisados. Use o valorprojects
,folders
ouorganizations
.RESOURCE_ID
: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.FULL_RESOURCE_NAME
: O nome completo do recurso com o acesso que você quer analisar. Para uma lista de de nomes de recursos, consulte Nomes de recursos formato.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: as permissões que que você quer verificar, por exemplo,compute.instances.get
. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
Método HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON da solicitação:
{ "analysisQuery": { "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Para enviar a solicitação, expanda uma destas opções:
Você recebe uma resposta JSON com os resultados da análise. Cada resultado da análise descreve uma
vinculação de papéis do IAM e lista os recursos, os acessos e os principais
essa vinculação. Se a vinculação de função for condicional, o resultado da análise também incluirá o resultado
da avaliação da condição. Se não for possível avaliar a condição, o resultado será listado como
CONDITIONAL
:
Os principais que têm qualquer uma das permissões especificadas no recurso especificado são listados nos
campos identities
na resposta. O exemplo a seguir mostra um único resultado de análise com o campo identities
destacado.
... { "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project", "iamBinding": { "role": "roles/compute.admin", "members": [ "user:my-user@example.com" ] }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" } ], "accesses": [ { "permission": "compute.instances.get" }, { "permission": "compute.instances.start" } ] } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se o tempo limite da solicitação expirar antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED
. Para receber mais resultados dessas consultas, grave
os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração
de analyzeIamPolicy
. Para ver instruções, consulte
Gravar a análise de políticas no
BigQuery ou
Gravar a análise de políticas no
Cloud Storage.
Determinar quais principais têm determinados papéis ou permissões
É possível usar a ferramenta Análise de políticas para verificar quais principais têm papéis ou permissões específicas em qualquer recurso do Google Cloud na organização. Para conseguir essas informações, crie uma consulta que inclua um ou mais papéis ou permissões que você quer verificar, mas não especifique um recurso.
Console
No console do Google Cloud, acesse a página Policy Analyzer.
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. a ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
No campo Parâmetro 1, selecione Papel ou Permissão.
No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
Opcional: para verificar papéis e permissões adicionais, faça o seguinte:
- Clique em Adicionar seletor.
- No campo Parâmetro 2, selecione Papel ou Permissão.
- No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
- Continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os principais com as permissões ou papéis especificados em qualquer recurso no escopo.
As consultas de análise de políticas no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console do Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para receber mais resultados para essas consultas, exporte os resultados para o BigQuery.
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
RESOURCE_TYPE
: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valorproject
,folder
ouorganization
.RESOURCE_ID
: o ID do Projeto, pasta ou organização do Google Cloud em que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.ROLES
: uma lista separada por vírgulas das funções que você quer verificar, por exemplo,roles/compute.admin,roles/compute.imageUser
. Se você listar vários papéis, o Policy Analyzer vai verificar se algum deles está listado.PERMISSIONS
: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo,compute.instances.get,compute.instances.start
. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
Execute o comando gcloud asset analyze-iam-policy:
Linux, macOS ou Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --roles='ROLES' \ --permissions='PERMISSIONS'
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --roles='ROLES' ` --permissions='PERMISSIONS'
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --roles='ROLES' ^ --permissions='PERMISSIONS'
Você recebe uma resposta JSON com os resultados da análise. Cada resultado da análise descreve uma
vinculação de papéis do IAM e lista os recursos, os acessos e os principais
essa vinculação. Se a vinculação do papel for condicional, o resultado da análise também incluirá o resultado
da avaliação da condição. Se a condição não puder ser avaliada, o resultado será listado como
CONDITIONAL
.
Os principais que têm qualquer um dos papéis ou permissões especificados são listados no
identities
na resposta. O exemplo a seguir mostra um único resultado de análise com o campo identities
destacado.
... --- ACLs: - accesses: - permission: compute.instances.get - permission: compute.instances.start - role: roles/compute.admin identities: - name: user:my-user@example.com resources: - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project policy: attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project binding: members: - user: my-user@example.com role: roles/compute.admin --- ...
Se o tempo limite da solicitação expirar antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED
. Para receber mais resultados dessas consultas, grave
os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração
de analyze-iam-policy
. Para instruções, consulte
Grave análises de políticas nos
BigQuery ou
Grave análises de políticas em
Cloud Storage.
REST
Para determinar quais principais têm determinados papéis ou permissões, use o método
analyzeIamPolicy
da API Cloud Asset Inventory.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
RESOURCE_TYPE
: o tipo do recurso que terá o escopo de sua pesquisa. Somente as políticas de permissão do IAM anexada a esse recurso e aos descendentes dele serão analisados. Use o valorprojects
,folders
ouorganizations
.RESOURCE_ID
: o ID do Projeto, pasta ou organização do Google Cloud em que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.ROLE_1
,ROLE_2
...ROLE_N
: os papéis que que você quer verificar, por exemplo,roles/compute.admin
. Se você listar vários a ferramenta, a Análise de políticas verifica se há um dos papéis listados.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: as permissões que você quer verificar, por exemplo,compute.instances.get
. Se você listar vários permissões, a Análise de políticas vai verificar as permissões listadas.
Método HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON da solicitação:
{ "analysisQuery": { "accessSelector": { "roles": [ "ROLE_1", "ROLE_2", "ROLE_N" ], "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Para enviar a solicitação, expanda uma destas opções:
Você recebe uma resposta JSON com os resultados da análise. Cada resultado da análise descreve uma
vinculação de papéis do IAM e lista os recursos, os acessos e os principais
essa vinculação. Se a vinculação de função for condicional, o resultado da análise também incluirá o resultado
da avaliação da condição. Se não for possível avaliar a condição, o resultado será listado como
CONDITIONAL
:
Os principais que têm qualquer um dos papéis ou permissões especificados são listados no
identities
na resposta. O exemplo a seguir mostra um único resultado de análise com o campo identities
destacado.
... { "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project", "iamBinding": { "role": "roles/compute.admin", "members": [ "user:my-user@example.com" ] }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" } ], "accesses": [ { "permission": "compute.instances.get" }, { "role": "roles/compute.admin" } ] } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se o tempo limite da solicitação expirar antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED
. Para receber mais resultados dessas consultas, grave
os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração
de analyzeIamPolicy
. Para ver instruções, consulte
Gravar a análise de políticas no
BigQuery ou
Gravar a análise de políticas no
Cloud Storage.
Determinar o acesso de um principal a um recurso
Use a ferramenta Análise de políticas para verificar quais papéis ou permissões um principal tem em um recurso na sua organização. Para conseguir essas informações, crie uma consulta que inclua o principal em que você quer analisar o acesso e o recurso para o qual você quer verificar as permissões.
Console
No console do Google Cloud, acesse a página Policy Analyzer.
Na seção Analisar políticas, encontre o painel Consulta personalizada. e clique em Criar consulta personalizada nesse painel.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. a ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o recurso e o principal para verificar:
- No campo Parâmetro 1, selecione Recurso no menu suspenso.
- No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
- Clique em Adicionar seletor.
- No campo Parâmetro 2, selecione Principal no menu suspenso.
- No campo Principal, comece a digitar o nome de um usuário, conta de serviço ou grupo. Em seguida, selecione o usuário, a conta de serviço ou o grupo com o acesso que você quer analisar na lista de principais fornecida.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página "Relatório" mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os papéis que o principal especificado tem no recurso especificado.
As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se o consulta não for concluída nesse período, o console do Google Cloud exibirá um banner indicando que o e os resultados estejam incompletos. Para receber mais resultados para essas consultas, exporte os resultados para o BigQuery.
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
RESOURCE_TYPE
: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valorproject
,folder
ouorganization
.RESOURCE_ID
: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente Serão analisadas as políticas de permissão do IAM anexadas a este recurso e aos descendentes dele. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.FULL_RESOURCE_NAME
: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome de recurso.PRINCIPAL
: o principal cujo acesso você quer analisar, no formatoPRINCIPAL_TYPE:ID
, por exemplo,user:my-user@example.com
. Para conferir uma lista completa dos tipos de principais, consulte Identificadores de principais.
Execute o gcloud asset analyze-iam-policy (link em inglês) comando:
Linux, macOS ou Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --full-resource-name=FULL_RESOURCE_NAME \ --identity=PRINCIPAL
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --full-resource-name=FULL_RESOURCE_NAME ` --identity=PRINCIPAL
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --full-resource-name=FULL_RESOURCE_NAME ^ --identity=PRINCIPAL
Você recebe uma resposta YAML com os resultados da análise. Cada resultado de análise lista um conjunto de
acessos, identidades e recursos relevantes para a consulta, seguidos pela
vinculação de papel do IAM relacionada. Se a vinculação de função for condicional, o resultado da análise
também incluirá o resultado da avaliação da condição. Se a condição não puder ser avaliada, o
resultado será CONDITIONAL
.
As funções que o diretor tem no recurso especificado são listadas nos campos accesses
da resposta. O exemplo a seguir mostra um único resultado de análise com o campo accesses
destacado.
... --- ACLs: - accesses: - roles/iam.serviceAccountUser identities: - name: user:my-user@example.com resources: - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project policy: attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project binding: members: - user: my-user@example.com role: roles/iam.serviceAccountUser --- ...
Se a solicitação expirar antes de a consulta terminar, você receberá uma
DEADLINE_EXCEEDED
erro. Para receber mais resultados dessas consultas, grave
os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração
de analyze-iam-policy
. Para instruções, consulte
Grave análises de políticas nos
BigQuery ou
Grave análises de políticas em
Cloud Storage.
REST
Para determinar o acesso de um principal a um recurso, use o método
analyzeIamPolicy
da API Cloud Asset Inventory.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
RESOURCE_TYPE
: o tipo do recurso que terá o escopo de sua pesquisa. Somente as políticas de permissão do IAM anexada a esse recurso e aos descendentes dele serão analisados. Use o valorprojects
,folders
ouorganizations
.RESOURCE_ID
: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.FULL_RESOURCE_NAME
: O nome completo do recurso com o acesso que você quer analisar. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome de recurso.PRINCIPAL
: o principal com de acesso que você quer analisar, no formatoPRINCIPAL_TYPE:ID
. Por exemplo,user:my-user@example.com
Para conferir uma lista completa dos tipos de principais, consulte Identificadores de principais.
Método HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON da solicitação:
{ "analysisQuery": { "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" } } }
Para enviar a solicitação, expanda uma destas opções:
Você recebe uma resposta JSON com os resultados da análise. Cada resultado de análise descreve uma vinculação de papel do IAM relevante e lista o recurso, os acessos e os principais nessa vinculação. Se a vinculação de função for condicional, o resultado da análise também incluirá o resultado
da avaliação da condição. Se não for possível avaliar a condição, o resultado será listado como
CONDITIONAL
:
As funções que o diretor tem no recurso especificado são listadas nos campos accesses
da resposta. O exemplo a seguir mostra uma única análise
resultado com o campo accesses
destacado.
... { "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project", "iamBinding": { "role": "roles/iam.serviceAccountUser", "members": [ "user:my-user@example.com" ] }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" } ], "accesses": [ { "roles": "iam.serviceAccountUser" } ] } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se a solicitação expirar antes de a consulta terminar, você receberá uma
DEADLINE_EXCEEDED
erro. Para obter mais resultados para essas consultas, escreva
os resultados para o BigQuery ou o Cloud Storage usando a versão de longa duração
de analyzeIamPolicy
. Para ver instruções, consulte
Gravar a análise de políticas no
BigQuery ou
Gravar a análise de políticas no
Cloud Storage.
Determinar quais recursos um principal pode acessar
Use a ferramenta Análise de políticas para verificar em quais recursos da organização um papel principal tem determinados papéis ou permissões. Para conseguir essas informações, crie uma consulta que inclua o principal com o acesso você quer analisar e um ou mais papéis ou permissões para verificar.
Console
No console do Google Cloud, acesse a página Policy Analyzer.
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada nesse painel.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. a ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o principal a ser verificado e o papel ou a permissão a ser verificada:
- No campo Parâmetro 1, selecione Principal no menu suspenso.
- No campo Principal, comece a digitar o nome de um usuário, conta de serviço ou grupo. Em seguida, selecione o usuário, a conta de serviço ou o grupo com o acesso que você quer analisar na lista de principais fornecida.
- Clique em Adicionar seletor.
- No campo Parâmetro 2, selecione Papel ou Permissão.
- No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
- Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página "Relatório" mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os recursos em que o principal especificado tem os papéis especificados ou permissões.
As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Após um minuto, o console do Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console do Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para receber mais resultados dessas consultas, exporte os resultados para o BigQuery.
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
RESOURCE_TYPE
: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valorproject
,folder
ouorganization
.RESOURCE_ID
: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.PRINCIPAL
: o principal com de acesso que você quer analisar, no formatoPRINCIPAL_TYPE:ID
. Por exemplo,user:my-user@example.com
Para uma lista completa dos tipos principais, consulte Identificadores principais:PERMISSIONS
: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo,compute.instances.get,compute.instances.start
. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
Execute o comando gcloud asset analyze-iam-policy:
Linux, macOS ou Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --identity=PRINCIPAL \ --permissions='PERMISSIONS'
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --identity=PRINCIPAL ` --permissions='PERMISSIONS'
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --identity=PRINCIPAL ^ --permissions='PERMISSIONS'
Você recebe uma resposta YAML com os resultados da análise. Cada resultado de análise lista um conjunto de
acessos, identidades e recursos relevantes para a consulta, seguidos pela
vinculação de papel do IAM relacionada. Se a vinculação de função for condicional, o resultado da análise
também incluirá o resultado da avaliação da condição. Se a condição não puder ser avaliada, o
resultado será CONDITIONAL
.
Os recursos em que o principal especificado tem qualquer uma das permissões especificadas estão listados em
os campos resources
na resposta. O exemplo a seguir mostra uma única análise
resultado com o campo resources
destacado.
... --- ACLs: - accesses: - permission: compute.instances.get - permission: compute.instances.start identities: - name: user:my-user@example.com resources: - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image policy: attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image binding: members: - user: my-user@example.com role: roles/compute.admin --- ...
Se a solicitação expirar antes de a consulta terminar, você receberá uma
DEADLINE_EXCEEDED
erro. Para receber mais resultados dessas consultas, grave
os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração
de analyze-iam-policy
. Para ver instruções, consulte
Gravar a análise de políticas no
BigQuery ou
Gravar a análise de políticas no
Cloud Storage.
REST
Para determinar quais recursos um principal pode acessar, use o método
analyzeIamPolicy
.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
RESOURCE_TYPE
: o tipo do recurso que terá o escopo de sua pesquisa. Somente as políticas de permissão do IAM anexada a esse recurso e aos descendentes dele serão analisados. Use o valorprojects
,folders
ouorganizations
.RESOURCE_ID
: o ID do Projeto, pasta ou organização do Google Cloud em que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.PRINCIPAL
: o principal com de acesso que você quer analisar, no formatoPRINCIPAL_TYPE:ID
. Por exemplo,user:my-user@example.com
Para uma lista completa dos tipos principais, consulte Identificadores principais:PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: as permissões que você quer verificar, por exemplo,compute.instances.get
. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
Método HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON da solicitação:
{ "analysisQuery": { "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Para enviar a solicitação, expanda uma destas opções:
Você recebe uma resposta JSON com os resultados da análise. Cada resultado da análise descreve uma
vinculação de papéis do IAM e lista os recursos, os acessos e os principais
essa vinculação. Se a vinculação do papel for condicional, o resultado da análise também incluirá o resultado
da avaliação da condição. Se a condição não puder ser avaliada, o resultado será listado como
CONDITIONAL
.
Os recursos em que o principal especificado tem qualquer uma das permissões especificadas são listados nos
campos resources
na resposta. O exemplo a seguir mostra uma única análise
resultado com o campo resources
destacado.
... { "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image", "iamBinding": { "role": "roles/compute.admin", "members": [ "user:my-user@example.com" ] }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image" } ], "accesses": [ { "permission": "compute.instances.get" }, { "permission": "compute.instances.start" } ] } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se o tempo limite da solicitação expirar antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED
. Para obter mais resultados para essas consultas, escreva
os resultados para o BigQuery ou o Cloud Storage usando a versão de longa duração
de analyzeIamPolicy
. Para instruções, consulte
Grave análises de políticas nos
BigQuery ou
Grave análises de políticas em
Cloud Storage.
Determinar o acesso em um horário específico
Se houver contexto suficiente, a ferramenta Análise de políticas políticas pode analisar vinculações de papéis condicionais que concedem acesso apenas em vezes. Essas condições são chamadas de condições de data/hora. Para que a Análise de políticas analise com precisão as vinculações de função com condições de data/hora, é necessário definir o tempo de acesso na solicitação.
A Análise de políticas também pode analisar recursos condições sem entrada adicional do usuário. Para para mais informações sobre como a ferramenta Análise de políticas políticas funciona com condições, consulte Acesso condicional.
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
RESOURCE_TYPE
: o tipo de recurso para o qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valorproject
,folder
ouorganization
.RESOURCE_ID
: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer restringir sua pesquisa. Somente Serão analisadas as políticas de permissão do IAM anexadas a este recurso e aos descendentes dele. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.PERMISSIONS
: Opcional. Uma lista separada por vírgulas das permissões que você quer verificar, por exemplo,compute.instances.get,compute.instances.start
. Se você listar vários permissões, a Análise de políticas vai verificar as permissões listadas.-
FULL_RESOURCE_NAME
: opcional. O nome completo do recurso que você quer analisar o acesso. Para uma lista de formatos de nomes de recursos completos, consulte Formato do nome do recurso. PERMISSIONS
: Opcional. Uma lista separada por vírgulas das permissões que você quer verificar, por exemplo,compute.instances.get,compute.instances.start
. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.ACCESS_TIME
: o horário que você quer verificar. O horário precisa estar no futuro. Use um carimbo de data/hora no formato RFC 3339, por exemplo,2099-02-01T00:00:00Z
.
Execute o comando gcloud asset analyze-iam-policy:
Linux, macOS ou Cloud Shell
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \ --identity=PRINCIPAL \ --full-resource-name=FULL_RESOURCE_NAME \ --permissions='PERMISSIONS' \ --access-time=ACCESS_TIME
Windows (PowerShell)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ` --identity=PRINCIPAL ` --full-resource-name=FULL_RESOURCE_NAME ` --permissions='PERMISSIONS' ` --access-time=ACCESS_TIME
Windows (cmd.exe)
gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^ --identity=PRINCIPAL ^ --full-resource-name=FULL_RESOURCE_NAME ^ --permissions='PERMISSIONS' ^ --access-time=ACCESS_TIME
Você recebe uma resposta YAML com os resultados da análise. Cada resultado de análise lista um conjunto de
acessos, identidades e recursos relevantes para a consulta, seguidos pela
vinculação de papel do IAM relacionada. Se a vinculação de função for condicional, o resultado da análise
também incluirá o resultado da avaliação da condição. Se não for possível avaliar a condição,
resultado é CONDITIONAL
.
Quando você inclui a hora de acesso na solicitação, a ferramenta Análise de políticas políticas pode avaliar a data/hora
pelas condições Se a condição for avaliada como falsa, esse papel não será incluído na resposta. Se o
condição for avaliada como verdadeira, o resultado da avaliação da condição será listado como
TRUE
:
... --- ACLs: - accesses: - permission: compute.instances.get - permission: compute.instances.start conditionEvaluationValue: 'TRUE' identities: - name: user:my-user@example.com resources: - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project policy: attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project binding: condition: expression: request.time.getHours("America/Los_Angeles") >= 5 title: No access before 5am PST members: - user: my-user@example.com role: roles/compute.admin --- ...
Se a solicitação expirar antes de a consulta terminar, você receberá uma
DEADLINE_EXCEEDED
erro. Para receber mais resultados dessas consultas, grave
os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração
de analyze-iam-policy
. Para instruções, consulte
Grave análises de políticas nos
BigQuery ou
Grave análises de políticas em
Cloud Storage.
REST
Para determinar quais membros terão determinadas permissões em um recurso em
um momento específico, use o método
analyzeIamPolicy
da API Cloud Asset Inventory.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
RESOURCE_TYPE
: o tipo do recurso que terá o escopo de sua pesquisa. Somente as políticas de permissão do IAM anexada a esse recurso e aos descendentes dele serão analisados. Use o valorprojects
,folders
ouorganizations
.RESOURCE_ID
: o ID do Projeto, pasta ou organização do Google Cloud em que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, comomy-project
. Os códigos de pastas e organizações são numéricos, como123456789012
.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: opcional. O permissões que você quer verificar, por exemplo,compute.instances.get
. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.-
FULL_RESOURCE_NAME
: opcional. O nome completo do recurso que você quer analisar o acesso. Para uma lista de formatos de nomes de recursos completos, consulte Formato do nome do recurso. PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: opcional. O permissões que você quer verificar, por exemplo,compute.instances.get
. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.ACCESS_TIME
: a hora que você quiser para verificar. Esse horário precisa estar no futuro. Use um carimbo de data/hora no formato RFC 3339, por exemplo,2099-02-01T00:00:00Z
.
Método HTTP e URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy
Corpo JSON da solicitação:
{ "analysisQuery": { "identitySelector": { "identity": "PRINCIPAL" }, "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] }, "conditionContext": { "accessTime": "ACCESS_TIME" } } }
Para enviar a solicitação, expanda uma destas opções:
Você recebe uma resposta JSON com os resultados da análise. Cada resultado da análise descreve uma
vinculação de papéis do IAM e lista os recursos, os acessos e os principais
essa vinculação. Se a vinculação do papel for condicional, o resultado da análise também incluirá o resultado
da avaliação da condição. Se a condição não puder ser avaliada, o resultado será listado como
CONDITIONAL
.
Quando você inclui o tempo de acesso na solicitação, a Análise de políticas pode avaliar as condições de data/hora. Se a condição for avaliada como falsa, esse papel não será incluído na resposta. Se o
condição for avaliada como verdadeira, o valor de avaliação da condição na resposta da análise será
TRUE
:
... { "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project", "iamBinding": { "role": "roles/compute.admin", "members": [ "user:my-user@example.com" ], "condition": { "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5", "title": "No access before 5am PST" } }, "accessControlLists": [ { "resources": [ { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" } ], "accesses": [ { "permission": "compute.instances.get" }, { "permission": "compute.instances.start" } ], "conditionEvaluation": { "evaluationValue": "TRUE" } } ], "identityList": { "identities": [ { "name": "user:my-user@example.com" } ] }, "fullyExplored": true }, ...
Se o tempo limite da solicitação expirar antes do término da consulta, você vai receber um erro DEADLINE_EXCEEDED
. Para receber mais resultados dessas consultas, grave
os resultados no BigQuery ou no Cloud Storage usando a versão de longa duração
de analyzeIamPolicy
. Para ver instruções, consulte
Gravar a análise de políticas no
BigQuery ou
Gravar a análise de políticas no
Cloud Storage.
Ativar opções
Você pode ativar as opções a seguir para receber resultados de consulta mais detalhados.
Console
Opção | Descrição |
---|---|
Listar recursos nos recursos que correspondem à consulta | Se você ativar essa opção, os resultados da consulta listarão até 1.000 descendentes relevantes recursos para qualquer recurso pai (projetos, pastas e organizações) nos resultados da consulta. |
Listar usuários individuais nos grupos |
Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos para membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só está disponível se você não especificar um principal na sua consulta. |
Listar permissões nos papéis |
Se você ativar essa opção, os resultados da consulta listarão todas as permissões dentro de cada além da função em si. Esta opção só estará disponível se você não especificar nenhuma permissão ou na sua consulta. |
gcloud
Esta seção descreve várias sinalizações comuns que você pode adicionar ao usar o CLI gcloud para analisar as políticas de permissão. Para uma lista completa de opções, consulte Sinalizações opcionais.
Sinalização | Descrição |
---|---|
--analyze-service-account-impersonation |
Se essa opção estiver ativada, a ferramenta Análise de políticas políticas vai executar análises adicionais para determinar quem pode representar as contas de serviço que têm o acesso especificado aos recursos especificados. Análise de políticas executa uma consulta para cada conta de serviço nos resultados da consulta. Essas consultas analisam quem tem qualquer uma das seguintes permissões na conta de serviço:
Essa é uma operação muito cara, porque ela executa automaticamente
muitas consultas. Recomendamos que você
exportar
ao BigQuery ou
exportar
para o Cloud Storage usando
|
--expand-groups |
Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos para membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só será eficaz se você não especificar um principal na consulta. |
--expand-resources |
Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos derivados relevantes para todos os recursos pai (projetos, pastas e organizações) nos resultados da consulta. |
--expand-roles |
Se você ativar essa opção, os resultados da consulta listarão todas as permissões dentro de cada além da função em si. Esta opção só estará disponível se você não especificar nenhuma permissão ou na sua consulta. |
--output-group-edges |
Se você ativar essa opção, os resultados da consulta vão mostrar as relações de associação relevantes entre grupos. |
--output-resource-edges |
Se você ativar essa opção, os resultados da consulta vão mostrar as relações pai/filho relevantes entre os recursos. |
REST
Para ativar qualquer opção, primeiro adicione um campo options
à sua análise
consulta. Exemplo:
{ "analysisQuery": { "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "accessSelector": { "permissions": [ "iam.roles.get", "iam.roles.list" ] }, "options": { OPTIONS } } }
Substitua OPTIONS
pelas opções que você quer
ativar no formato "OPTION": true
. A tabela a seguir
descreve as opções disponíveis:
Opção | Descrição |
---|---|
analyzeServiceAccountImpersonation |
Se essa opção estiver ativada, a ferramenta Análise de políticas políticas vai executar análises adicionais para determinar quem pode representar as contas de serviço que têm o acesso especificado aos recursos especificados. Análise de políticas executa uma consulta para cada conta de serviço nos resultados da consulta. Essas consultas analisam quem tem qualquer uma das seguintes permissões na conta de serviço:
Essa é uma operação muito cara, porque ela executa automaticamente
muitas consultas. Recomendamos que você
exportar
ao BigQuery ou
exportar
para o Cloud Storage usando
|
expandGroups |
Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos em membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também podem ser expandidas. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só será eficaz se você não especificar um principal na consulta. |
expandResources |
Se você ativar essa opção, os resultados da consulta listarão até 1.000 descendentes relevantes recursos para qualquer recurso pai (projetos, pastas e organizações) nos resultados da consulta. |
expandRoles |
Se você ativar essa opção, os resultados da consulta vão listar todas as permissões de cada função, além da própria função. Esta opção só estará disponível se você não especificar nenhuma permissão ou na sua consulta. |
outputGroupEdges |
Se você ativar essa opção, os resultados da consulta vão mostrar as relações de associação relevantes entre grupos. |
outputResourceEdges |
Se você ativar esta opção, os resultados da consulta terão a saída pai/filho as relações entre os recursos. |
A seguir
- Saiba como usar
AnalyzeIamPolicyLongrunning
para gravar no BigQuery ou gravar no Cloud Storage. - Saiba como usar a API REST para salvar consultas de análise de políticas.
- Conheça as ferramentas de solução de problemas de acesso disponíveis, que você pode usar para descobrir por que um principal não tem um determinado tipo de acesso.