Analizza criteri IAM

Questa pagina mostra come utilizzare lo strumento di analisi dei criteri per scoprire quali entità (utenti, account di servizio, gruppi e domini) hanno accesso a quali risorse di Google Cloud.

Gli esempi in questa pagina mostrano come eseguire una query Analisi criteri e visualizzare immediatamente i risultati. Se vuoi esportare i risultati per ulteriori analisi, puoi utilizzare AnalyzeIamPolicyLongrunning per scrivere i risultati delle query in BigQuery o Cloud Storage.

Prima di iniziare

  • Attiva Cloud Asset API.

    Abilita l'API

    Devi abilitare l'API nel progetto o nell'organizzazione che utilizzerai per inviare la query. La risorsa non deve necessariamente essere la stessa a cui è limitata l'ambito della query.

  • (Facoltativo) Scopri come funziona lo Strumento di analisi criteri.

Autorizzazioni e ruoli richiesti

Per analizzare i criteri di autorizzazione, sono necessari i seguenti ruoli e autorizzazioni.

Ruoli IAM obbligatori

Per ottenere le autorizzazioni necessarie per analizzare un criterio di autorizzazione, chiedi all'amministratore di concederti i seguenti ruoli IAM per il progetto, la cartella o l'organizzazione a cui è limitata l'ambito della query:

  • Visualizzatore Cloud Asset (roles/cloudasset.viewer)
  • Per analizzare i criteri con ruoli IAM personalizzati: Visualizzatore ruoli (roles/iam.roleViewer)
  • Per utilizzare l'interfaccia a riga di comando di Google Cloud per analizzare i criteri: Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per analizzare un criterio di autorizzazione. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllResources
  • cloudasset.assets.searchAllIamPolicies
  • Per analizzare i criteri con ruoli IAM personalizzati: iam.roles.get
  • Per utilizzare l'interfaccia a riga di comando di Google Cloud per analizzare i criteri: serviceusage.services.use

Potresti anche essere in grado di ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Autorizzazioni richieste per Google Workspace

Se vuoi espandere i gruppi nei risultati delle query per vedere se un'entità ha determinati ruoli o autorizzazioni a causa della sua appartenenza a un gruppo Google Workspace, devi disporre dell'autorizzazione Google Workspace groups.read. Questa autorizzazione è contenuta nel ruolo Amministratore di Lettori di Gruppi e in ruoli più efficaci, come i ruoli di Amministratore di Gruppi o Super amministratore. Per informazioni su come concedere questi ruoli, consulta Assegnare ruoli di amministratore specifici.

Determina quali entità possono accedere a una risorsa

Puoi utilizzare l'Analizzatore criteri per verificare quali entità hanno determinati ruoli o autorizzazioni per una risorsa specifica nel progetto, nella cartella o nell'organizzazione. Per ottenere queste informazioni, crea una query che includa la risorsa per cui vuoi analizzare l'accesso e uno o più ruoli o autorizzazioni da controllare.

console

  1. Nella console, vai alla pagina Strumento di analisi criteri.

    Vai alla pagina dello strumento di analisi dei criteri

  2. Nella sezione Crea query da modello, fai clic su Crea query personalizzata.

  3. Nel campo Seleziona ambito di query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi applicare l'ambito della query. Analizzatore criteri analizza il progetto, la cartella o l'organizzazione e le eventuali risorse all'interno del progetto, della cartella o dell'organizzazione.

  4. Scegli la risorsa da controllare e il ruolo o l'autorizzazione da verificare:

    1. Nel campo Parametro 1, seleziona Risorsa dal menu a discesa.
    2. Nel campo Risorsa, inserisci il nome completo della risorsa per cui vuoi analizzare l'accesso. Se non conosci il nome completo della risorsa, inizia a digitarne il nome, quindi selezionala dall'elenco delle risorse fornito.
    3. Fai clic su Aggiungi selettore.
    4. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
    5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, scegli il ruolo o l'autorizzazione che vuoi controllare.
    6. Facoltativo: per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere i selettori Ruolo e Autorizzazione finché non vengono elencati tutti i ruoli e le autorizzazioni che vuoi controllare.
  5. (Facoltativo) Fai clic su Continua, quindi seleziona le opzioni avanzate che vuoi attivare per questa query.

  6. Nel riquadro Query personalizzata, fai clic su Esegui query. La pagina del rapporto mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con i ruoli o le autorizzazioni specificati sulla risorsa specificata.

gcloud

Prima di utilizzare i dati di comando riportati di seguito, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • FULL_RESOURCE_NAME: il nome completo della risorsa di cui vuoi analizzare l'accesso. Per un elenco dei formati completi dei nomi delle risorse, consulta la sezione Formato dei nomi delle risorse.
  • PERMISSIONS: un elenco separato da virgole delle autorizzazioni per le quali vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.

Esegui il comando gcloud asset analizza-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Ricevi una risposta YAML con risultati di analisi. Ogni risultato di analisi elenca un insieme di accessi, identità e risorse pertinenti alla query, seguito dall'associazione dei ruoli IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è CONDITIONAL.

Le entità che dispongono di una qualsiasi delle autorizzazioni specificate per la risorsa specificata sono elencate nei campi identities della risposta. L'esempio seguente mostra un singolo risultato di analisi con il campo identities evidenziato.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Per determinare quali entità dispongono di determinate autorizzazioni per una risorsa, utilizza il metodo analyzeIamPolicy dell'API Cloud Asset Inventory.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • FULL_RESOURCE_NAME: il nome completo della risorsa di cui vuoi analizzare l'accesso. Per un elenco dei formati completi dei nomi delle risorse, consulta la sezione Formato dei nomi delle risorse.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: le autorizzazioni che vuoi controllare, ad esempio: compute.instances.get. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON richiesta:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato di analisi descrive un'associazione di ruolo IAM pertinente, quindi elenca la risorsa, gli accessi e le entità in tale associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è elencato come CONDITIONAL.

Le entità che dispongono di una qualsiasi delle autorizzazioni specificate per la risorsa specificata sono elencate nei campi identities della risposta. L'esempio seguente mostra un singolo risultato di analisi con il campo identities evidenziato.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Determina quali entità hanno determinati ruoli o autorizzazioni

Puoi utilizzare lo Strumento di analisi criteri per verificare quali entità hanno ruoli o autorizzazioni specifici su qualsiasi risorsa di Google Cloud della tua organizzazione. Per ottenere queste informazioni, crea una query che includa uno o più ruoli o autorizzazioni da controllare, ma non specifichi una risorsa.

console

  1. Nella console, vai alla pagina Strumento di analisi criteri.

    Vai alla pagina dello strumento di analisi dei criteri

  2. Nella sezione Crea query da modello, fai clic su Crea query personalizzata.

  3. Nel campo Seleziona ambito di query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi applicare l'ambito della query. Analizzatore criteri analizza il progetto, la cartella o l'organizzazione e le eventuali risorse all'interno del progetto, della cartella o dell'organizzazione.

  4. Nel campo Parametro 1, seleziona Ruolo o Autorizzazione.

  5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, scegli il ruolo o l'autorizzazione che vuoi controllare.

  6. (Facoltativo) Per controllare autorizzazioni e ruoli aggiuntivi, procedi nel seguente modo:

    1. Fai clic su Aggiungi selettore.
    2. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
    3. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, scegli il ruolo o l'autorizzazione che vuoi controllare.
    4. Continua ad aggiungere i selettori Ruolo e Autorizzazione finché non vengono elencati tutti i ruoli e le autorizzazioni che vuoi controllare.
  7. (Facoltativo) Fai clic su Continua, quindi seleziona le opzioni avanzate che vuoi attivare per questa query.

  8. Nel riquadro Query personalizzata, fai clic su Esegui query. La pagina del rapporto mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con le autorizzazioni o i ruoli specificati su qualsiasi risorsa nell'ambito.

gcloud

Prima di utilizzare i dati di comando riportati di seguito, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • ROLES: un elenco separato da virgole delle autorizzazioni per le quali vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se elenchi più ruoli, Analizzatore criteri cercherà i ruoli elencati.
  • PERMISSIONS: un elenco separato da virgole delle autorizzazioni per le quali vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.

Esegui il comando gcloud asset analizza-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato di analisi descrive un'associazione di ruolo IAM pertinente, quindi elenca la risorsa, gli accessi e le entità in tale associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è elencato come CONDITIONAL.

Le entità con uno qualsiasi dei ruoli o delle autorizzazioni specificati sono elencate nei campi identities della risposta. L'esempio seguente mostra un singolo risultato di analisi con il campo identities evidenziato.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Per determinare quali entità hanno determinati ruoli o autorizzazioni, utilizza il metodo analyzeIamPolicy di API Cloud Asset Inventory.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • ROLE_1, ROLE_2... ROLE_N: i ruoli che vuoi controllare, ad esempio roles/compute.admin. Se elenchi più ruoli, Analizzatore criteri cercherà i ruoli elencati.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: le autorizzazioni che vuoi controllare, ad esempio: compute.instances.get. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON richiesta:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato di analisi descrive un'associazione di ruolo IAM pertinente, quindi elenca la risorsa, gli accessi e le entità in tale associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è elencato come CONDITIONAL.

Le entità con uno qualsiasi dei ruoli o delle autorizzazioni specificati sono elencate nei campi identities della risposta. L'esempio seguente mostra un singolo risultato di analisi con il campo identities evidenziato.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Determina l'accesso di un'entità a una risorsa

Puoi utilizzare lo Strumento di analisi criteri per verificare quali ruoli o autorizzazioni sono disponibili per un'entità in una risorsa della tua organizzazione. Per ottenere queste informazioni, crea una query che includa l'entità per cui vuoi analizzare l'accesso e la risorsa per cui vuoi analizzare l'accesso.

console

  1. Nella console, vai alla pagina Strumento di analisi criteri.

    Vai alla pagina dello strumento di analisi dei criteri

  2. Nella sezione Crea query da modello, fai clic su Crea query personalizzata.

  3. Nel campo Seleziona ambito di query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi applicare l'ambito della query. Analizzatore criteri analizza il progetto, la cartella o l'organizzazione e le eventuali risorse all'interno del progetto, della cartella o dell'organizzazione.

  4. Scegli la risorsa e l'entità da controllare:

    1. Nel campo Parametro 1, seleziona Risorsa dal menu a discesa.
    2. Nel campo Risorsa, inserisci il nome completo della risorsa per cui vuoi analizzare l'accesso. Se non conosci il nome completo della risorsa, inizia a digitarne il nome, quindi selezionala dall'elenco delle risorse fornito.
    3. Fai clic su Aggiungi selettore.
    4. Nel campo Parametro 2, seleziona Entità dal menu a discesa.
    5. Nel campo Entità, inizia a digitare il nome di un utente, un account di servizio o un gruppo. Quindi, seleziona dall'elenco fornito le entità, l'account di servizio o il gruppo di cui vuoi analizzare l'accesso.
  5. (Facoltativo) Fai clic su Continua, quindi seleziona le opzioni avanzate che vuoi attivare per questa query.

  6. Nel riquadro Query personalizzata, fai clic su Esegui query. La pagina del rapporto mostra i parametri di ricerca inseriti e una tabella dei risultati di tutti i ruoli dell'entità specificata nella risorsa specificata.

gcloud

Prima di utilizzare i dati di comando riportati di seguito, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • FULL_RESOURCE_NAME: il nome completo della risorsa di cui vuoi analizzare l'accesso. Per un elenco dei formati completi dei nomi delle risorse, consulta la sezione Formato dei nomi delle risorse.
  • PRINCIPAL: l'entità di cui vuoi analizzare l'accesso, nel formato PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori delle entità.

Esegui il comando gcloud asset analizza-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

Ricevi una risposta YAML con risultati di analisi. Ogni risultato di analisi elenca un insieme di accessi, identità e risorse pertinenti alla query, seguito dall'associazione dei ruoli IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è CONDITIONAL.

I ruoli dell'entità sulla risorsa specificata sono elencati nei campi accesses della risposta. L'esempio seguente mostra un singolo risultato di analisi con il campo accesses evidenziato.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

REST

Per determinare l'accesso di un'entità a una risorsa, utilizza il metodo analyzeIamPolicy dell'API Cloud Asset Inventory.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • FULL_RESOURCE_NAME: il nome completo della risorsa di cui vuoi analizzare l'accesso. Per un elenco dei formati completi dei nomi delle risorse, consulta la sezione Formato dei nomi delle risorse.
  • PRINCIPAL: l'entità di cui vuoi analizzare l'accesso, nel formato PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori delle entità.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON richiesta:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato di analisi descrive un'associazione di ruolo IAM pertinente, quindi elenca la risorsa, gli accessi e le entità in tale associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è elencato come CONDITIONAL.

I ruoli dell'entità sulla risorsa specificata sono elencati nei campi accesses della risposta. L'esempio seguente mostra un singolo risultato di analisi con il campo accesses evidenziato.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Determina a quali risorse può accedere un'entità

Puoi utilizzare lo Strumento di analisi criteri per verificare quali risorse all'interno dell'organizzazione hanno un ruolo o autorizzazioni specifiche. Per ottenere queste informazioni, crea una query che includa l'entità di cui vuoi analizzare l'accesso e una o più autorizzazioni o ruoli che vuoi controllare.

console

  1. Nella console, vai alla pagina Strumento di analisi criteri.

    Vai alla pagina dello strumento di analisi dei criteri

  2. Nella sezione Crea query da modello, fai clic su Crea query personalizzata.

  3. Nel campo Seleziona ambito di query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi applicare l'ambito della query. Analizzatore criteri analizza il progetto, la cartella o l'organizzazione e le eventuali risorse all'interno del progetto, della cartella o dell'organizzazione.

  4. Scegli l'entità da controllare e il ruolo o l'autorizzazione da verificare:

    1. Nel campo Parametro 1, seleziona Entità dal menu a discesa.
    2. Nel campo Entità, inizia a digitare il nome di un utente, un account di servizio o un gruppo. Quindi, seleziona dall'elenco fornito le entità, l'account di servizio o il gruppo di cui vuoi analizzare l'accesso.
    3. Fai clic su Aggiungi selettore.
    4. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
    5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, scegli il ruolo o l'autorizzazione che vuoi controllare.
    6. Facoltativo: per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere i selettori Role e Permission finché non vengono elencati tutti i ruoli e le autorizzazioni che vuoi controllare.
  5. (Facoltativo) Fai clic su Continua, quindi seleziona le opzioni avanzate che vuoi attivare per questa query.

  6. Nel riquadro Query personalizzata, fai clic su Esegui query. La pagina del rapporto mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le risorse su cui l'entità specificata ha le autorizzazioni o i ruoli specificati.

gcloud

Prima di utilizzare i dati di comando riportati di seguito, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • PRINCIPAL: l'entità di cui vuoi analizzare l'accesso, nel formato PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori delle entità.
  • PERMISSIONS: un elenco separato da virgole delle autorizzazioni per le quali vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.

Esegui il comando gcloud asset analizza-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Ricevi una risposta YAML con risultati di analisi. Ogni risultato di analisi elenca un insieme di accessi, identità e risorse pertinenti alla query, seguito dall'associazione dei ruoli IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è CONDITIONAL.

Le risorse in cui l'entità specificata dispone di una qualsiasi delle autorizzazioni specificate sono elencate nei campi resources della risposta. L'esempio seguente mostra un singolo risultato di analisi con il campo resources evidenziato.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Per determinare a quali risorse può accedere un'entità, utilizza il metodo analyzeIamPolicydell'API Cloud Asset Inventory.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • PRINCIPAL: l'entità di cui vuoi analizzare l'accesso, nel formato PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori delle entità.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: le autorizzazioni che vuoi controllare, ad esempio: compute.instances.get. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON richiesta:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato di analisi descrive un'associazione di ruolo IAM pertinente, quindi elenca la risorsa, gli accessi e le entità in tale associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è elencato come CONDITIONAL.

Le risorse in cui l'entità specificata dispone di una qualsiasi delle autorizzazioni specificate sono elencate nei campi resources della risposta. L'esempio seguente mostra un singolo risultato di analisi con il campo resources evidenziato.

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Determinare l'accesso in un orario specifico

Se il contesto è sufficiente, lo Strumento di analisi dei criteri può analizzare le associazioni di ruoli condizionali IAM che concedono l'accesso solo in momenti specifici. Queste condizioni sono chiamate condizioni di data/ora. Affinché Analizzatore criteri possa analizzare con precisione le associazioni di ruoli con le condizioni di data/ora, devi definire l'ora di accesso nella richiesta.

gcloud

Prima di utilizzare i dati di comando riportati di seguito, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • PERMISSIONS: Facoltativo. Un elenco separato da virgole delle autorizzazioni per le quali vuoi controllare, ad esempio: compute.instances.get,compute.instances.start. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.
  • FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa di cui vuoi analizzare l'accesso. Per un elenco dei formati completi dei nomi delle risorse, consulta Formato del nome della risorsa.
  • PERMISSIONS: Facoltativo. Un elenco separato da virgole delle autorizzazioni per le quali vuoi controllare, ad esempio: compute.instances.get,compute.instances.start. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.
  • ACCESS_TIME: l'orario che vuoi controllare. L'orario deve essere successivo. Utilizza un timestamp in formato RFC 3339, ad esempio 2099-02-01T00:00:00Z.

Esegui il comando gcloud asset analizza-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Ricevi una risposta YAML con risultati di analisi. Ogni risultato di analisi elenca un insieme di accessi, identità e risorse pertinenti alla query, seguito dall'associazione dei ruoli IAM correlata. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è CONDITIONAL.

Quando includi l'ora di accesso nella richiesta, Analizzatore criteri può valutare le condizioni di data/ora. Se la condizione è falsa, il ruolo non è incluso nella risposta. Se la condizione restituisce true, il risultato della valutazione della condizione è elencato come TRUE.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Per determinare quali entità avranno determinate autorizzazioni su una risorsa in un momento specifico, utilizza il metodo analyzeIamPolicy dell'API Cloud Asset Inventory.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: facoltativo. Le autorizzazioni che vuoi verificare, ad esempio compute.instances.get. Se elenca più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni elencate.
  • FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa di cui vuoi analizzare l'accesso. Per un elenco dei formati completi dei nomi delle risorse, consulta Formato del nome della risorsa.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: facoltativo. Le autorizzazioni che vuoi verificare, ad esempio compute.instances.get. Se elenca più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni elencate.
  • ACCESS_TIME: l'orario che vuoi controllare. L'orario deve essere successivo. Utilizza un timestamp in formato RFC 3339, ad esempio 2099-02-01T00:00:00Z.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON richiesta:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

Ricevi una risposta JSON con i risultati dell'analisi. Ogni risultato di analisi descrive un'associazione di ruolo IAM pertinente, quindi elenca la risorsa, gli accessi e le entità in tale associazione. Se l'associazione dei ruoli è condizionale, il risultato dell'analisi include anche il risultato della valutazione della condizione. Se la condizione non può essere valutata, il risultato è elencato come CONDITIONAL.

Quando includi l'ora di accesso nella richiesta, Analizzatore criteri può valutare le condizioni di data/ora. Se la condizione è falsa, il ruolo non è incluso nella risposta. Se la condizione restituisce true, il valore di valutazione della condizione nella risposta di analisi è TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Attiva le opzioni

Puoi attivare le seguenti opzioni per ricevere risultati più dettagliati sulle query.

console

Opzione Descrizione
Elenco delle risorse contenute in quelle che soddisfano i criteri della query Se attivi questa opzione, nei risultati della query verranno restituiti fino a 1000 risorse discendenti pertinenti per qualsiasi risorsa principale (progetti, cartelle e organizzazioni).
Elenca singoli utenti all'interno dei gruppi

Se attivi questa opzione, tutti i gruppi nei risultati della query vengono espansi in singoli membri. Se disponi di autorizzazioni di gruppo sufficienti, verranno espansi anche i gruppi nidificati. Questa espansione è limitata a 1000 membri per gruppo.

Questa opzione è disponibile solo se non specifichi un'entità nella tua query.

Elenca autorizzazioni all'interno dei ruoli

Se attivi questa opzione, nei risultati della query saranno elencate tutte le autorizzazioni all'interno di ogni ruolo, oltre al ruolo stesso.

Questa opzione è disponibile solo se non specifichi autorizzazioni o ruoli nella query.

gcloud

Questa sezione descrive diversi flag comuni che puoi aggiungere quando utilizzi l'interfaccia a riga di comando gcloud per analizzare i criteri di autorizzazione. Per un elenco completo delle opzioni, consulta la sezione Flag facoltativi.

Flag Descrizione
--analyze-service-account-impersonation

Se questa opzione è abilitata, Analizzatore criteri esegue query di analisi aggiuntive per determinare chi può impersonare gli account di servizio che hanno l'accesso specificato alle risorse specificate. Lo strumento di analisi dei criteri esegue una query per ogni account di servizio nei risultati delle query. Queste query analizzano le persone che dispongono di una delle seguenti autorizzazioni sull'account di servizio:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

Questa è un'operazione molto costosa, perché esegue automaticamente molte query. Ti consigliamo vivamente di esportare in BigQuery o esportare in Cloud Storage utilizzando analyze-iam-policy-longrunning invece di analyze-iam-policy.

--expand-groups

Se attivi questa opzione, tutti i gruppi nei risultati della query vengono espansi in singoli membri. Se disponi di autorizzazioni di gruppo sufficienti, verranno espansi anche i gruppi nidificati. Questa espansione è limitata a 1000 membri per gruppo.

Questa opzione è efficace solo se non specifichi un'entità nella tua query.

--expand-resources Se attivi questa opzione, nei risultati della query verranno restituiti fino a 1000 risorse discendenti pertinenti per qualsiasi risorsa principale (progetti, cartelle e organizzazioni).
--expand-roles

Se attivi questa opzione, nei risultati della query saranno elencate tutte le autorizzazioni all'interno di ogni ruolo, oltre al ruolo stesso.

Questa opzione è disponibile solo se non specifichi autorizzazioni o ruoli nella query.

--output-group-edges Se questa opzione viene attivata, i risultati della query restituiscono le pertinenti relazioni di appartenenza tra i gruppi.
--output-resource-edges Se abiliti questa opzione, i risultati della query restituiranno le relazioni padre/figlio pertinenti tra le risorse.

REST

Per abilitare eventuali opzioni, aggiungi prima un campo options alla query di analisi. Ad esempio:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Sostituisci OPTIONS con le opzioni da attivare, nel modulo "OPTION": true. La tabella seguente descrive le opzioni disponibili:

Opzione Descrizione
analyzeServiceAccountImpersonation

Se questa opzione è abilitata, Analizzatore criteri esegue query di analisi aggiuntive per determinare chi può impersonare gli account di servizio che hanno l'accesso specificato alle risorse specificate. Lo strumento di analisi dei criteri esegue una query per ogni account di servizio nei risultati delle query. Queste query analizzano le persone che dispongono di una delle seguenti autorizzazioni sull'account di servizio:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

Questa è un'operazione molto costosa, perché esegue automaticamente molte query. Ti consigliamo vivamente di esportare in BigQuery o esportare in Cloud Storage utilizzando AnalyzeIamPolicyLongrunning invece di AnalyzeIamPolicy.

expandGroups

Se attivi questa opzione, tutti i gruppi nei risultati della query vengono espansi in singoli membri. Se disponi di autorizzazioni di gruppo sufficienti, verranno espansi anche i gruppi nidificati. Questa espansione è limitata a 1000 membri per gruppo.

Questa opzione è efficace solo se non specifichi un'entità nella tua query.

expandResources Se attivi questa opzione, nei risultati della query verranno restituiti fino a 1000 risorse discendenti pertinenti per qualsiasi risorsa principale (progetti, cartelle e organizzazioni).
expandRoles

Se attivi questa opzione, nei risultati della query saranno elencate tutte le autorizzazioni all'interno di ogni ruolo, oltre al ruolo stesso.

Questa opzione è disponibile solo se non specifichi autorizzazioni o ruoli nella query.

outputGroupEdges Se questa opzione viene attivata, i risultati della query restituiscono le pertinenti relazioni di appartenenza tra i gruppi.
outputResourceEdges Se abiliti questa opzione, i risultati della query restituiranno le relazioni padre/figlio pertinenti tra le risorse.

Passaggi successivi