IAM-Richtlinien analysieren

Auf dieser Seite wird gezeigt, wie Sie mit dem Policy Analyzer feststellen, welche Hauptkonten (Nutzer, Dienstkonten, Gruppen und Domains) Zugriff auf welche Google Cloud-Ressourcen haben.

In den Beispielen auf dieser Seite wird gezeigt, wie Sie eine Richtlinienanalyse-Abfrage ausführen und sich die Ergebnisse sofort ansehen. Wenn Sie die Ergebnisse zur weiteren Analyse exportieren möchten, können Sie mit AnalyzeIamPolicyLongrunning Abfrageergebnisse in BigQuery oder Cloud Storage schreiben.

Hinweis

  • Cloud Asset API aktivieren.

    Aktivieren Sie die API

    Sie müssen die API in dem Projekt oder der Organisation aktivieren, die Sie zum Senden der Abfrage verwenden möchten. Dies muss nicht die gleiche Ressource sein, auf die Sie Ihre Abfrage beschränken.

  • Optional: Informieren Sie sich über die Funktionsweise von Policy Analyzer.

Erforderliche Rollen und Berechtigungen

Die folgenden Rollen und Berechtigungen sind zum Analysieren von Zugriffsrichtlinien erforderlich.

Erforderliche IAM-Rollen

Wenn Sie die Berechtigungen zum Analysieren einer Allow-Richtlinie erhalten möchten, bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt, den Ordner oder die Organisation zu gewähren, auf die sich Ihre Abfrage bezieht:

  • Cloud-Asset-Betrachter (roles/cloudasset.viewer)
  • So analysieren Sie Richtlinien mit benutzerdefinierten IAM-Rollen: Rollenbetrachter (roles/iam.roleViewer)
  • Zur Verwendung von Google Cloud CLI: Dienstnutzungsnutzer (roles/serviceusage.serviceUsageConsumer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Analysieren einer Allow-Richtlinie erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllResources
  • cloudasset.assets.searchAllIamPolicies
  • So analysieren Sie Richtlinien mit benutzerdefinierten IAM-Rollen: iam.roles.get
  • So verwenden Sie die Google Cloud-Befehlszeile für die Analyse von Richtlinien: serviceusage.services.use

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Erforderliche Google Workspace-Berechtigungen

Wenn Sie Gruppen in Abfrageergebnissen maximieren möchten, um zu sehen, ob ein Hauptkonto bestimmte Rollen oder Berechtigungen aufgrund seiner Mitgliedschaft in einer Google Workspace-Gruppe hat, benötigen Sie die Google Workspace-Berechtigung groups.read. Diese Berechtigung ist in der Rolle „Gruppenleser-Administrator“ und in leistungsstarken Rollen wie „Gruppenadministrator“ oder „Super Admin“ enthalten. Informationen zum Zuweisen dieser Rollen finden Sie unter Bestimmte Administratorrollen zuweisen.

Festlegen, welche Hauptkonten auf eine Ressource zugreifen können

Mit der Richtlinienanalyse können Sie prüfen, welche Hauptrollen bestimmte Rollen oder Berechtigungen für eine bestimmte Ressource in Ihrem Projekt, Ordner oder Ihrer Organisation haben. Erstellen Sie dazu eine Abfrage, die die Ressource enthält, für die Sie den Zugriff analysieren möchten, sowie eine oder mehrere Rollen oder Berechtigungen, die geprüft werden sollen.

Console

  1. Rufen Sie in der Cloud Console die Seite Richtlinienanalyse auf.

    Zur Seite „Richtlinienanalyse“

  2. Klicken Sie im Abschnitt Abfrage aus einer Vorlage erstellen auf Benutzerdefinierte Abfrage erstellen.

  3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

  4. Wählen Sie die zu prüfende Ressource und die zu prüfende Rolle oder Berechtigung aus:

    1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Ressource aus.
    2. Geben Sie im Feld Ressource den vollständigen Ressourcennamen der Ressource ein, für die Sie den Zugriff analysieren möchten. Wenn Sie den vollständigen Ressourcennamen nicht kennen, beginnen Sie mit der Eingabe des Anzeigenamens der Ressource und wählen Sie die Ressource aus der Liste der bereitgestellten Ressourcen aus.
    3. Klicken Sie auf Auswahl hinzufügen.
    4. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
    5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
    6. Optional: Um nach zusätzlichen Rollen und Berechtigungen zu suchen, fügen Sie weitere Rollen und Berechtigungen hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten. abgeschlossen.
  5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

  6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Abfrage ausführen. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Hauptkonten mit den angegebenen Rollen oder Berechtigungen für die angegebene Ressource angezeigt.

gcloud

Bevor Sie eine der folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert project, folder oder organization.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FULL_RESOURCE_NAME: Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Ressourcennamenformate finden Sie unter Ressourcenname.
  • PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, wird im Policy Analyzer eine der aufgeführten Berechtigungen gesucht.

Führen Sie den Befehl gcloud asset analytics-iam-policy aus:

Linux, macOS oder Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Sie erhalten eine YAML-Antwort mit Analyseergebnissen. Jedes Analyseergebnis enthält eine Reihe von Zugriffen, Identitäten und Ressourcen, die für die Abfrage relevant sind, gefolgt von der zugehörigen IAM-Rollenbindung. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, ist das Ergebnis CONDITIONAL.

Die Hauptkonten mit einer der angegebenen Berechtigungen für die angegebene Ressource werden in den identities-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis mit dem markierten Feld identities.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Verwenden Sie die analyzeIamPolicy-Methode der Cloud Asset Inventory API, um festzustellen, welche Hauptkonten bestimmte Berechtigungen für eine Ressource haben.

Bevor Sie eine der Anfragedaten verwenden, nehmen Sie folgende Ersetzungen vor:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FULL_RESOURCE_NAME: Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Ressourcennamenformate finden Sie unter Ressourcenname.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, wird im Policy Analyzer eine der aufgeführten Berechtigungen gesucht.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text der Anfrage:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie erhalten eine JSON-Antwort mit den Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, Zugriffe und Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Hauptkonten mit einer der angegebenen Berechtigungen für die angegebene Ressource werden in den identities-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis mit dem markierten Feld identities.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Festlegen, welche Hauptkonten bestimmte Rollen oder Berechtigungen haben

Mit der Richtlinienanalyse können Sie prüfen, welche Hauptkonten bestimmte Rollen oder Berechtigungen für Google Cloud-Ressourcen in Ihrer Organisation haben. Erstellen Sie dazu eine Abfrage, die eine oder mehrere Rollen oder Berechtigungen zur Prüfung enthält, aber keine Ressource angibt.

Console

  1. Rufen Sie in der Cloud Console die Seite Richtlinienanalyse auf.

    Zur Seite „Richtlinienanalyse“

  2. Klicken Sie im Abschnitt Abfrage aus einer Vorlage erstellen auf Benutzerdefinierte Abfrage erstellen.

  3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

  4. Wählen Sie im Feld Parameter 1 entweder Rolle oder Berechtigung aus.

  5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.

  6. Optional: So suchen Sie nach zusätzlichen Rollen und Berechtigungen:

    1. Klicken Sie auf Auswahl hinzufügen.
    2. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
    3. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
    4. Fügen Sie weitere Rollen- und Berechtigungsauswahl hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten.
  7. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

  8. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Abfrage ausführen. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Hauptkonten mit den angegebenen Rollen oder Berechtigungen für alle angegebenen Ressourcen angezeigt.

gcloud

Bevor Sie eine der folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert project, folder oder organization.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ROLES: Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Rollen auflisten, wird vom Policy Analyzer nach einer der aufgeführten Rollen gesucht.
  • PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, wird im Policy Analyzer eine der aufgeführten Berechtigungen gesucht.

Führen Sie den Befehl gcloud asset analytics-iam-policy aus:

Linux, macOS oder Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Sie erhalten eine JSON-Antwort mit den Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, Zugriffe und Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Hauptkonten mit einer der angegebenen Rollen oder Berechtigungen werden in den identities-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis mit dem markierten Feld identities.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Verwenden Sie die analyzeIamPolicy-Methode der Cloud Asset Inventory API, um festzustellen, welche Hauptkonten bestimmte Rollen oder Berechtigungen haben.

Bevor Sie eine der Anfragedaten verwenden, nehmen Sie folgende Ersetzungen vor:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ROLE_1, ROLE_2... ROLE_N: Die Rollen, die Sie prüfen möchten, z. B. roles/compute.admin. Wenn Sie mehrere Rollen auflisten, wird vom Policy Analyzer nach einer der aufgeführten Rollen gesucht.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, wird im Policy Analyzer eine der aufgeführten Berechtigungen gesucht.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text der Anfrage:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie erhalten eine JSON-Antwort mit den Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, Zugriffe und Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Hauptkonten mit einer der angegebenen Rollen oder Berechtigungen werden in den identities-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis mit dem markierten Feld identities.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Zugriff eines Hauptkontos auf eine Ressource ermitteln

Mit der Richtlinienanalyse können Sie überprüfen, welche Rollen oder Berechtigungen ein Hauptkonto für eine Ressource in Ihrer Organisation hat. Erstellen Sie dazu eine Abfrage zum Zugriff mit dem Hauptkonto, dessen Zugriff Sie analysieren möchten, sowie der Ressource, für die Sie den Zugriff analysieren möchten.

Console

  1. Rufen Sie in der Cloud Console die Seite Richtlinienanalyse auf.

    Zur Seite „Richtlinienanalyse“

  2. Klicken Sie im Abschnitt Abfrage aus einer Vorlage erstellen auf Benutzerdefinierte Abfrage erstellen.

  3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

  4. Wählen Sie die Ressource und das Hauptkonto aus, die überprüft werden sollen:

    1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Ressource aus.
    2. Geben Sie im Feld Ressource den vollständigen Ressourcennamen der Ressource ein, für die Sie den Zugriff analysieren möchten. Wenn Sie den vollständigen Ressourcennamen nicht kennen, beginnen Sie mit der Eingabe des Anzeigenamens der Ressource und wählen Sie die Ressource aus der Liste der bereitgestellten Ressourcen aus.
    3. Klicken Sie auf Auswahl hinzufügen.
    4. Wählen Sie im Feld Parameter 2 aus dem Drop-down-Menü die Option Hauptkonto aus.
    5. Geben Sie im Feld Hauptkonto den Namen eines Nutzers, eines Dienstkontos oder einer Gruppe ein. Wählen Sie dann den Nutzer, das Dienstkonto oder die Gruppe aus, deren Zugriff Sie in der Liste der bereitgestellten Hauptkonten analysieren möchten.
  5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

  6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Abfrage ausführen. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle für alle Rollen angezeigt, die im angegebenen Hauptkonto für die angegebene Ressource aufgelistet sind.

gcloud

Bevor Sie eine der folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert project, folder oder organization.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FULL_RESOURCE_NAME: Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Ressourcennamenformate finden Sie unter Ressourcenname.
  • PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkennungen.

Führen Sie den Befehl gcloud asset analytics-iam-policy aus:

Linux, macOS oder Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

Sie erhalten eine YAML-Antwort mit Analyseergebnissen. Jedes Analyseergebnis enthält eine Reihe von Zugriffen, Identitäten und Ressourcen, die für die Abfrage relevant sind, gefolgt von der zugehörigen IAM-Rollenbindung. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, ist das Ergebnis CONDITIONAL.

Die Rollen des Hauptkontos für die angegebene Ressource sind in den accesses-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis mit dem markierten Feld accesses.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

REST

Verwenden Sie die analyzeIamPolicy-Methode der Cloud Asset Inventory API, um den Zugriff eines Hauptkontos auf eine Ressource zu ermitteln.

Bevor Sie eine der Anfragedaten verwenden, nehmen Sie folgende Ersetzungen vor:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FULL_RESOURCE_NAME: Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Ressourcennamenformate finden Sie unter Ressourcenname.
  • PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkennungen.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text der Anfrage:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie erhalten eine JSON-Antwort mit den Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, Zugriffe und Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Rollen des Hauptkontos für die angegebene Ressource sind in den accesses-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis mit dem markierten Feld accesses.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Festlegen, auf welche Ressourcen ein Hauptkonto Zugriff haben kann

Mit der Richtlinienanalyse können Sie prüfen, welche Ressourcen in Ihrer Organisation bestimmte Rollen oder Berechtigungen haben. Erstellen Sie dazu eine Abfrage zu einer Ressource, die das Hauptkonto enthält, dessen Zugriff Sie analysieren möchten, sowie eine oder mehrere Berechtigungen oder Rollen, die Sie überprüfen möchten.

Console

  1. Rufen Sie in der Cloud Console die Seite Richtlinienanalyse auf.

    Zur Seite „Richtlinienanalyse“

  2. Klicken Sie im Abschnitt Abfrage aus einer Vorlage erstellen auf Benutzerdefinierte Abfrage erstellen.

  3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

  4. Wählen Sie das Hauptkonto aus, das überprüft werden soll, und wählen Sie die Rolle oder Berechtigung aus, die geprüft werden soll:

    1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Hauptkonto aus.
    2. Geben Sie im Feld Hauptkonto den Namen eines Nutzers, eines Dienstkontos oder einer Gruppe ein. Wählen Sie dann den Nutzer, das Dienstkonto oder die Gruppe aus, deren Zugriff Sie in der Liste der bereitgestellten Hauptkonten analysieren möchten.
    3. Klicken Sie auf Auswahl hinzufügen.
    4. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
    5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
    6. Optional: Um nach zusätzlichen Rollen und Berechtigungen zu suchen, fügen Sie weitere Rollen und Berechtigungen hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten. abgeschlossen.
  5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

  6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Abfrage ausführen. Auf der Berichtsseite werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle mit allen Ressourcen angezeigt, auf denen das angegebene Hauptkonto die eingegebenen Rollen oder Berechtigungen hat.

gcloud

Bevor Sie eine der folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert project, folder oder organization.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkennungen.
  • PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, wird im Policy Analyzer eine der aufgeführten Berechtigungen gesucht.

Führen Sie den Befehl gcloud asset analytics-iam-policy aus:

Linux, macOS oder Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Sie erhalten eine YAML-Antwort mit Analyseergebnissen. Jedes Analyseergebnis enthält eine Reihe von Zugriffen, Identitäten und Ressourcen, die für die Abfrage relevant sind, gefolgt von der zugehörigen IAM-Rollenbindung. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, ist das Ergebnis CONDITIONAL.

Die Ressourcen, für die das angegebene Hauptkonto eine der angegebenen Berechtigungen hat, werden in den resources-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis mit dem markierten Feld resources.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Verwenden Sie die analyzeIamPolicy-Methode der Cloud Asset Inventory API, um festzulegen, auf welche Ressourcen ein Hauptkonto Zugriff hat.

Bevor Sie eine der Anfragedaten verwenden, nehmen Sie folgende Ersetzungen vor:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkennungen.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, wird im Policy Analyzer eine der aufgeführten Berechtigungen gesucht.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text der Anfrage:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie erhalten eine JSON-Antwort mit den Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, Zugriffe und Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Ressourcen, für die das angegebene Hauptkonto eine der angegebenen Berechtigungen hat, werden in den resources-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis mit dem markierten Feld resources.

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Zugriff zu einem bestimmten Zeitpunkt bestimmen

Bei ausreichendem Kontext kann das Policy Analyzer bedingte IAM-Rollenbindungen analysieren, die nur Zugriff zu bestimmten Zeiten gewähren. Diese Bedingungen werden als Datum/Uhrzeit-Bedingungen bezeichnet. Damit das Policy Analyzer Rollenrollen mit Datum/Uhrzeit-Bedingungen genau analysieren kann, müssen Sie die Zugriffszeit in der Anfrage definieren.

gcloud

Bevor Sie eine der folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert project, folder oder organization.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PERMISSIONS: Optional. Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, wird im Policy Analyzer eine der aufgeführten Berechtigungen gesucht.
  • FULL_RESOURCE_NAME: optional. Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Ressourcennamenformate finden Sie unter Ressourcennamen.
  • PERMISSIONS: Optional. Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, wird im Policy Analyzer eine der aufgeführten Berechtigungen gesucht.
  • ACCESS_TIME: Die Zeit, die Sie prüfen möchten. Diese Zeit muss in der Zukunft liegen. Verwende einen Zeitstempel im RFC 3339-Format, z. B. 2099-02-01T00:00:00Z.

Führen Sie den Befehl gcloud asset analytics-iam-policy aus:

Linux, macOS oder Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Sie erhalten eine YAML-Antwort mit Analyseergebnissen. Jedes Analyseergebnis enthält eine Reihe von Zugriffen, Identitäten und Ressourcen, die für die Abfrage relevant sind, gefolgt von der zugehörigen IAM-Rollenbindung. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, ist das Ergebnis CONDITIONAL.

Wenn Sie die Zugriffszeit in die Anfrage aufnehmen, kann das Policy Analyzer Datum/Uhrzeit-Bedingungen auswerten. Wenn die Bedingung als falsch ausgewertet wird, ist diese Rolle nicht in der Antwort enthalten. Wenn die Bedingung als wahr ausgewertet wird, wird das Ergebnis der Bedingungsbewertung als TRUE aufgeführt.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Mit der Methode analyzeIamPolicy der Cloud Asset Inventory API können Sie ermitteln, welche Hauptkonten zu einer bestimmten Zeit bestimmte Berechtigungen für eine Ressource haben.

Bevor Sie eine der Anfragedaten verwenden, nehmen Sie folgende Ersetzungen vor:

  • RESOURCE_TYPE: Der Ressourcentyp, auf den Sie die Suche beschränken möchten. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Verwende den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf die/die Ihre Suche angewendet werden soll. Nur IAM-Richtlinien, die an diese Ressource und ihre Nachfolger angehängt sind, werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, ermittelt das Policy Analyzer eine der aufgeführten Berechtigungen.
  • FULL_RESOURCE_NAME: optional. Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Ressourcennamenformate finden Sie unter Ressourcennamen.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, ermittelt das Policy Analyzer eine der aufgeführten Berechtigungen.
  • ACCESS_TIME: Die Zeit, die Sie prüfen möchten. Diese Zeit muss in der Zukunft liegen. Verwende einen Zeitstempel im RFC 3339-Format, z. B. 2099-02-01T00:00:00Z.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text der Anfrage:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie erhalten eine JSON-Antwort mit den Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, Zugriffe und Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsbewertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Wenn Sie die Zugriffszeit in die Anfrage aufnehmen, kann das Policy Analyzer Datum/Uhrzeit-Bedingungen auswerten. Wenn die Bedingung als falsch ausgewertet wird, ist diese Rolle nicht in der Antwort enthalten. Wenn die Bedingung als „true“ ausgewertet wird, ist der Wert für die Bedingungsbewertung in der Analyseantwort TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Optionen aktivieren

Sie können die folgenden Optionen aktivieren, um detailliertere Abfrageergebnisse zu erhalten.

Console

Option Beschreibung
Ressourcen in Ressource(n) auflisten, die der Abfrage entsprechen Wenn Sie diese Option aktivieren, werden in den Abfrageergebnissen bis zu 1.000 relevante nachgeordnete Ressourcen für alle übergeordneten Ressourcen (Projekte, Ordner und Organisationen) in den Abfrageergebnissen aufgelistet.
Einzelne Nutzer in Gruppen auflisten

Wenn Sie diese Option aktivieren, werden alle Gruppen in den Abfrageergebnissen auf einzelne Mitglieder erweitert. Wenn Sie ausreichend Gruppenberechtigungen haben, werden auch verschachtelte Gruppen erweitert. Diese Erweiterung ist auf 1.000 Mitglieder pro Gruppe beschränkt.

Diese Option ist nur verfügbar, wenn Sie in Ihrer Abfrage kein Hauptkonto angeben.

Berechtigungen in Rollen auflisten

Wenn Sie diese Option aktivieren, werden in den Abfrageergebnissen neben der Rolle auch alle Berechtigungen in jeder Rolle aufgelistet.

Diese Option ist nur verfügbar, wenn Sie keine Berechtigungen oder Rollen in der Abfrage angeben.

gcloud

In diesem Abschnitt werden mehrere allgemeine Flags beschrieben, die Sie hinzufügen können, wenn Sie die gcloud-Befehlszeile zum Analysieren von Zugriffsrichtlinien verwenden. Eine vollständige Liste der Optionen finden Sie unter Optionale Flags.

Flag Beschreibung
--analyze-service-account-impersonation

Wenn diese Option aktiviert ist, führt Policy Analyzer zusätzliche Analyseabfragen aus, um die Identität des Dienstkontos zu ermitteln, das den angegebenen Zugriff auf die angegebenen Ressourcen hat. Policy Analyzer führt für jedes Dienstkonto in den Abfrageergebnissen eine Abfrage aus. Mit diesen Abfragen wird analysiert, wer eine der folgenden Berechtigungen für das Dienstkonto hat:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

Dies ist ein sehr teurer Vorgang, da automatisch viele Abfragen ausgeführt werden. Wir empfehlen dringend, den Export nach BigQuery oder in Cloud Storage mit analyze-iam-policy-longrunning zu exportieren, anstatt analyze-iam-policy zu verwenden.

--expand-groups

Wenn Sie diese Option aktivieren, werden alle Gruppen in den Abfrageergebnissen auf einzelne Mitglieder erweitert. Wenn Sie ausreichend Gruppenberechtigungen haben, werden auch verschachtelte Gruppen erweitert. Diese Erweiterung ist auf 1.000 Mitglieder pro Gruppe beschränkt.

Diese Option ist nur wirksam, wenn Sie in Ihrer Abfrage kein Hauptkonto angeben.

--expand-resources Wenn Sie diese Option aktivieren, werden in den Abfrageergebnissen bis zu 1.000 relevante nachgeordnete Ressourcen für alle übergeordneten Ressourcen (Projekte, Ordner und Organisationen) in den Abfrageergebnissen aufgelistet.
--expand-roles

Wenn Sie diese Option aktivieren, werden in den Abfrageergebnissen neben der Rolle auch alle Berechtigungen in jeder Rolle aufgelistet.

Diese Option ist nur verfügbar, wenn Sie keine Berechtigungen oder Rollen in der Abfrage angeben.

--output-group-edges Wenn Sie diese Option aktivieren, geben die Abfrageergebnisse die relevanten Mitgliedschaftsbeziehungen zwischen Gruppen aus.
--output-resource-edges Wenn Sie diese Option aktivieren, geben die Abfrageergebnisse die relevanten übergeordneten und untergeordneten Beziehungen zwischen den Ressourcen aus.

REST

Zum Aktivieren von Optionen fügen Sie zuerst das Analysefeld options zu Ihrer Analyseabfrage hinzu. Beispiel:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Ersetzen Sie OPTIONS durch die Optionen, die Sie aktivieren möchten, im Format "OPTION": true. In der folgenden Tabelle werden die verfügbaren Optionen beschrieben:

Option Beschreibung
analyzeServiceAccountImpersonation

Wenn diese Option aktiviert ist, führt Policy Analyzer zusätzliche Analyseabfragen aus, um die Identität des Dienstkontos zu ermitteln, das den angegebenen Zugriff auf die angegebenen Ressourcen hat. Policy Analyzer führt für jedes Dienstkonto in den Abfrageergebnissen eine Abfrage aus. Mit diesen Abfragen wird analysiert, wer eine der folgenden Berechtigungen für das Dienstkonto hat:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

Dies ist ein sehr teurer Vorgang, da automatisch viele Abfragen ausgeführt werden. Wir empfehlen dringend, den Export nach BigQuery oder in Cloud Storage mit AnalyzeIamPolicyLongrunning zu exportieren, anstatt AnalyzeIamPolicy zu verwenden.

expandGroups

Wenn Sie diese Option aktivieren, werden alle Gruppen in den Abfrageergebnissen auf einzelne Mitglieder erweitert. Wenn Sie ausreichend Gruppenberechtigungen haben, werden auch verschachtelte Gruppen erweitert. Diese Erweiterung ist auf 1.000 Mitglieder pro Gruppe beschränkt.

Diese Option ist nur wirksam, wenn Sie in Ihrer Abfrage kein Hauptkonto angeben.

expandResources Wenn Sie diese Option aktivieren, werden in den Abfrageergebnissen bis zu 1.000 relevante nachgeordnete Ressourcen für alle übergeordneten Ressourcen (Projekte, Ordner und Organisationen) in den Abfrageergebnissen aufgelistet.
expandRoles

Wenn Sie diese Option aktivieren, werden in den Abfrageergebnissen neben der Rolle auch alle Berechtigungen in jeder Rolle aufgelistet.

Diese Option ist nur verfügbar, wenn Sie keine Berechtigungen oder Rollen in der Abfrage angeben.

outputGroupEdges Wenn Sie diese Option aktivieren, geben die Abfrageergebnisse die relevanten Mitgliedschaftsbeziehungen zwischen Gruppen aus.
outputResourceEdges Wenn Sie diese Option aktivieren, geben die Abfrageergebnisse die relevanten übergeordneten und untergeordneten Beziehungen zwischen den Ressourcen aus.

Weitere Informationen