分析 IAM 政策

本页面介绍了如何使用政策分析器来确定哪些主帐号(用户、服务帐号、群组和网域)对哪些 Google Cloud 资源具有访问权限。

本页面上的示例展示了如何运行 Policy Analysis 查询并立即查看结果。如果要导出结果以供进一步分析,您可以使用 AnalyzeIamPolicyLongrunning 将查询结果写入 BigQueryCloud Storage

准备工作

  • 启用 Cloud Asset API。

    启用 API

    您必须在将用于发送查询的项目或组织中启用该 API。该资源不必与将查询范围限定到同一资源。

  • 可选:了解 Policy Analyzer 的工作原理

所需的角色和权限

如需分析允许政策,需要具备以下角色和权限。

所需 IAM 角色

如需获取分析允许政策所需的权限,请让管理员向您授予查询范围(项目、文件夹或组织)的下列 IAM 角色。

  • Cloud Asset Viewer (roles/cloudasset.viewer)
  • 如需分析使用自定义 IAM 角色的政策,请执行以下操作:Role Viewer (roles/iam.roleViewer)
  • 如需使用 Google Cloud CLI 分析政策,请执行以下操作:Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

如需详细了解如何授予角色,请参阅管理访问权限

这些预定义角色包含分析允许政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllResources
  • cloudasset.assets.searchAllIamPolicies
  • 如需分析使用自定义 IAM 角色的政策,请执行以下操作: iam.roles.get
  • 如需使用 Google Cloud CLI 分析政策,请执行以下操作: serviceusage.services.use

您也可以使用自定义角色或其他预定义角色来获取这些权限。

所需的 Google Workspace 权限

如果要在查询结果中扩展群组以查看主帐号是否因担任 Google Workspace 群组而拥有特定角色或权限,您需要拥有 groups.read Google Workspace 权限。此权限包含在 Groups Reader Admin 角色以及更强大的角色(如 Groups Admin 或 Super Admin 角色)中。如需了解如何授予这些角色,请参阅分配特定管理员角色

确定哪些主帐号可以访问资源

您可以使用政策分析器检查哪些主帐号对项目、文件夹或组织中的特定资源拥有特定角色或权限。要获取此信息,请创建查询,其中包含要分析其访问权限的资源以及要检查的一个或多个角色或权限。

控制台

  1. 在 Cloud Console 中,转到政策分析器页面。

    转到“政策分析器”页面

  2. 基于模板创建查询部分中,点击构建自定义查询

  3. 选择查询范围字段中,选择要将查询范围限定到的项目、文件夹或组织。政策分析器将分析该项目、文件夹或组织的访问权限,以及该项目、文件夹或组织中的任何资源。

  4. 选择要检查的资源以及要检查的角色或权限:

    1. 参数 1 字段中,从下拉菜单中选择资源
    2. 资源字段中,输入要分析其访问权限的资源的完整资源名称。如果您不知道完整资源名称,请输入资源的显示名,然后从提供的资源列表中选择该资源。
    3. 点击 添加选择器
    4. 参数 2 字段中,选择角色权限
    5. 选择角色选择权限字段中,选择要检查的角色或权限。
    6. 可选:如需检查其他角色和权限,请继续添加角色权限选择器,直到您列出要检查的所有角色和权限。
  5. 可选:点击继续,然后选择您要为此查询启用的任何高级选项

  6. 自定义查询窗格中,点击运行查询。报告页面会显示您输入的查询参数,以及对指定资源拥有指定角色或权限的所有主帐号的结果表。

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectfolderorganization
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • FULL_RESOURCE_NAME:您要分析其访问权限的资源的完整资源名称。如需查看完整的资源名称格式列表,请参阅资源名称格式
  • PERMISSIONS:您要检查的权限的英文逗号分隔列表,例如 compute.instances.get,compute.instances.start。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。

执行 gcloud assetanalyze-iam-policy 命令:

Linux、macOS 或 Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

您会收到包含分析结果的 YAML 响应。每个分析结果都会列出一组与您的查询相关的访问权限、身份和资源,以及相关的 IAM 角色绑定。如果角色绑定是条件式的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果为 CONDITIONAL

对指定资源具有任何指定权限的主帐号会列在响应的 identities 字段中。以下示例显示了单个分析结果,其中突出显示了 identities 字段。

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

如需确定哪些主帐号对某项资源具有特定权限,请使用 Cloud Asset Inventory API 的 analyzeIamPolicy 方法。

在使用任何请求数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectsfoldersorganizations
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • FULL_RESOURCE_NAME:您要分析其访问权限的资源的完整资源名称。如需查看完整的资源名称格式列表,请参阅资源名称格式
  • PERMISSION_1PERMISSION_2... PERMISSION_N:您要检查的权限,例如 compute.instances.get。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。

HTTP 方法和网址:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

请求 JSON 正文:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

如需发送您的请求,请展开以下选项之一:

您会收到包含分析结果的 JSON 响应。每个分析结果都会描述一个相关的 IAM 角色绑定,然后列出该绑定中的资源、访问权限和主帐号。如果角色绑定是条件性的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果会列为 CONDITIONAL

对指定资源具有任何指定权限的主帐号会列在响应的 identities 字段中。以下示例显示了单个分析结果,其中突出显示了 identities 字段。

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

确定哪些主帐号具有特定角色或权限

您可以使用政策分析器检查哪些主帐号具有组织中任意 Google Cloud 资源的特定角色或权限。要获取此信息,请创建包含一个或多个要检查的角色或权限的查询,但不指定资源。

控制台

  1. 在 Cloud Console 中,转到政策分析器页面。

    转到“政策分析器”页面

  2. 基于模板创建查询部分中,点击构建自定义查询

  3. 选择查询范围字段中,选择要将查询范围限定到的项目、文件夹或组织。政策分析器将分析该项目、文件夹或组织的访问权限,以及该项目、文件夹或组织中的任何资源。

  4. 参数 1 字段中,选择角色权限

  5. 选择角色选择权限字段中,选择要检查的角色或权限。

  6. 可选:要检查其他角色和权限,请执行以下操作:

    1. 点击 添加选择器
    2. 参数 2 字段中,选择角色权限
    3. 选择角色选择权限字段中,选择要检查的角色或权限。
    4. 继续添加角色权限选择器,直到列出要检查的所有角色和权限。
  7. 可选:点击继续,然后选择您要为此查询启用的任何高级选项

  8. 自定义查询窗格中,点击运行查询。报告页面会显示您输入的查询参数,以及对指定资源拥有指定角色或权限的所有主帐号的结果表。

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectfolderorganization
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • ROLES:您要检查的权限的英文逗号分隔列表,例如 compute.instances.get,compute.instances.start。如果您列出了多个角色,Policy Analyzer 将检查所列的任何角色。
  • PERMISSIONS:您要检查的权限的英文逗号分隔列表,例如 compute.instances.get,compute.instances.start。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。

执行 gcloud assetanalyze-iam-policy 命令:

Linux、macOS 或 Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

您会收到包含分析结果的 JSON 响应。每个分析结果都会描述一个相关的 IAM 角色绑定,然后列出该绑定中的资源、访问权限和主帐号。如果角色绑定是条件性的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果会列为 CONDITIONAL

具有任何指定角色或权限的主帐号会在响应的 identities 字段中列出。以下示例显示了单个分析结果,其中突出显示了 identities 字段。

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

如需确定哪些主帐号具有特定角色或权限,请使用 Cloud Asset Inventory API 的 analyzeIamPolicy 方法。

在使用任何请求数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectsfoldersorganizations
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • ROLE_1ROLE_2... ROLE_N:您要检查的角色,例如 roles/compute.admin。如果您列出了多个角色,Policy Analyzer 将检查所列的任何角色。
  • PERMISSION_1PERMISSION_2... PERMISSION_N:您要检查的权限,例如 compute.instances.get。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。

HTTP 方法和网址:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

请求 JSON 正文:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

如需发送您的请求,请展开以下选项之一:

您会收到包含分析结果的 JSON 响应。每个分析结果都会描述一个相关的 IAM 角色绑定,然后列出该绑定中的资源、访问权限和主帐号。如果角色绑定是条件性的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果会列为 CONDITIONAL

具有任何指定角色或权限的主帐号会在响应的 identities 字段中列出。以下示例显示了单个分析结果,其中突出显示了 identities 字段。

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

确定主帐号对资源拥有哪些访问权限

您可以使用政策分析器检查主帐号对组织中某个资源拥有什么角色或权限。要获取此信息,请创建查询,其中包含要分析其访问权限的主帐号以及要分析其访问权限的资源。

控制台

  1. 在 Cloud Console 中,转到政策分析器页面。

    转到“政策分析器”页面

  2. 基于模板创建查询部分中,点击构建自定义查询

  3. 选择查询范围字段中,选择要将查询范围限定到的项目、文件夹或组织。政策分析器将分析该项目、文件夹或组织的访问权限,以及该项目、文件夹或组织中的任何资源。

  4. 选择要检查的资源和主帐号:

    1. 参数 1 字段中,从下拉菜单中选择资源
    2. 资源字段中,输入要分析其访问权限的资源的完整资源名称。如果您不知道完整资源名称,请输入资源的显示名,然后从提供的资源列表中选择该资源。
    3. 点击 添加选择器
    4. 参数 2 字段中,从下拉菜单中选择主帐号
    5. 主帐号字段中,开始输入用户、服务帐号或群组的名称。然后,从提供的主帐号列表中选择要分析其访问权限的用户、服务帐号或群组。
  5. 可选:点击继续,然后选择您要为此查询启用的任何高级选项

  6. 自定义查询窗格中,点击运行查询。报告页面会显示您输入的查询参数,以及指定主帐号对指定资源拥有的所有角色的结果表。

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectfolderorganization
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • FULL_RESOURCE_NAME:您要分析其访问权限的资源的完整资源名称。如需查看完整的资源名称格式列表,请参阅资源名称格式
  • PRINCIPAL:您要分析其访问权限的主帐号,格式为 PRINCIPAL_TYPE:ID,例如 user:my-user@example.com。如需查看主帐号类型的完整列表,请参阅主标识符

执行 gcloud assetanalyze-iam-policy 命令:

Linux、macOS 或 Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

您会收到包含分析结果的 YAML 响应。每个分析结果都会列出一组与您的查询相关的访问权限、身份和资源,以及相关的 IAM 角色绑定。如果角色绑定是条件式的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果为 CONDITIONAL

主帐号对指定资源的角色列在响应的 accesses 字段中。以下示例显示了单个分析结果,其中突出显示了 accesses 字段。

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

REST

如需确定主帐号对资源拥有哪些访问权限,请使用 Cloud Asset Inventory API 的 analyzeIamPolicy 方法。

在使用任何请求数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectsfoldersorganizations
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • FULL_RESOURCE_NAME:您要分析其访问权限的资源的完整资源名称。如需查看完整的资源名称格式列表,请参阅资源名称格式
  • PRINCIPAL:您要分析其访问权限的主帐号,格式为 PRINCIPAL_TYPE:ID,例如 user:my-user@example.com。如需查看主帐号类型的完整列表,请参阅主标识符

HTTP 方法和网址:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

请求 JSON 正文:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

如需发送您的请求,请展开以下选项之一:

您会收到包含分析结果的 JSON 响应。每个分析结果都会描述一个相关的 IAM 角色绑定,然后列出该绑定中的资源、访问权限和主帐号。如果角色绑定是条件性的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果会列为 CONDITIONAL

主帐号对指定资源的角色列在响应的 accesses 字段中。以下示例显示了单个分析结果,其中突出显示了 accesses 字段。

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

确定主帐号可以访问的资源

您可以使用政策分析器检查主账号对组织中的哪些资源具有特定角色或权限。要获取此信息,请创建查询,其中包含要分析其权限的主账号以及要检查的一个或多个权限或角色。

控制台

  1. 在 Cloud Console 中,转到政策分析器页面。

    转到“政策分析器”页面

  2. 基于模板创建查询部分中,点击构建自定义查询

  3. 选择查询范围字段中,选择要将查询范围限定到的项目、文件夹或组织。政策分析器将分析该项目、文件夹或组织的访问权限,以及该项目、文件夹或组织中的任何资源。

  4. 选择要检查的主帐号以及要检查的角色或权限:

    1. 参数 1 字段中,从下拉菜单中选择主帐号
    2. 主帐号字段中,开始输入用户、服务帐号或群组的名称。然后,从提供的主帐号列表中选择要分析其访问权限的用户、服务帐号或群组。
    3. 点击 添加选择器
    4. 参数 2 字段中,选择角色权限
    5. 选择角色选择权限字段中,选择要检查的角色或权限。
    6. 可选:如需检查其他角色和权限,请继续添加角色权限选择器,直到您列出要检查的所有角色和权限。
  5. 可选:点击继续,然后选择您要为此查询启用的任何高级选项

  6. 自定义查询窗格中,点击运行查询。报告页面会显示您输入的查询参数,以及指定主帐号对其拥有指定角色或权限的所有资源的结果表。

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectfolderorganization
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • PRINCIPAL:您要分析其访问权限的主帐号,格式为 PRINCIPAL_TYPE:ID,例如 user:my-user@example.com。如需查看主帐号类型的完整列表,请参阅主标识符
  • PERMISSIONS:您要检查的权限的英文逗号分隔列表,例如 compute.instances.get,compute.instances.start。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。

执行 gcloud assetanalyze-iam-policy 命令:

Linux、macOS 或 Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

您会收到包含分析结果的 YAML 响应。每个分析结果都会列出一组与您的查询相关的访问权限、身份和资源,以及相关的 IAM 角色绑定。如果角色绑定是条件式的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果为 CONDITIONAL

指定主帐号拥有任何指定权限的资源会列在响应的 resources 字段中。以下示例显示了单个分析结果,其中突出显示了 resources 字段。

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

如需确定主帐号可以访问哪些资源,请使用 Cloud Asset Inventory API 的 analyzeIamPolicy 方法。

在使用任何请求数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectsfoldersorganizations
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • PRINCIPAL:您要分析其访问权限的主帐号,格式为 PRINCIPAL_TYPE:ID,例如 user:my-user@example.com。如需查看主帐号类型的完整列表,请参阅主标识符
  • PERMISSION_1PERMISSION_2... PERMISSION_N:您要检查的权限,例如 compute.instances.get。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。

HTTP 方法和网址:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

请求 JSON 正文:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

如需发送您的请求,请展开以下选项之一:

您会收到包含分析结果的 JSON 响应。每个分析结果都会描述一个相关的 IAM 角色绑定,然后列出该绑定中的资源、访问权限和主帐号。如果角色绑定是条件性的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果会列为 CONDITIONAL

指定主帐号拥有任何指定权限的资源会列在响应的 resources 字段中。以下示例显示了单个分析结果,其中突出显示了 resources 字段。

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

确定特定时间的访问权限

如果提供足够的上下文,Policy Analyzer 可以分析仅在特定时间授予访问权限的 IAM 条件角色绑定。这些条件称为日期/时间条件。 为了使 Policy Analyzer 准确分析具有日期/时间条件的角色绑定,您需要在请求中定义访问时间。

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectfolderorganization
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • PERMISSIONS:可选。以英文逗号分隔的待检查权限列表,例如 compute.instances.get,compute.instances.start。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。
  • FULL_RESOURCE_NAME:可选。您要分析其访问权限的资源的完整资源名称。如需查看完整的资源名称格式列表,请参阅资源名称格式
  • PERMISSIONS:可选。以英文逗号分隔的待检查权限列表,例如 compute.instances.get,compute.instances.start。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。
  • ACCESS_TIME:您要检查的时间。此时间必须是将来的时间。请使用 RFC 3339 格式的时间戳,例如 2099-02-01T00:00:00Z

执行 gcloud assetanalyze-iam-policy 命令:

Linux、macOS 或 Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

您会收到包含分析结果的 YAML 响应。每个分析结果都会列出一组与您的查询相关的访问权限、身份和资源,以及相关的 IAM 角色绑定。如果角色绑定是条件式的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果为 CONDITIONAL

将访问时间添加到请求中后,政策分析器可以评估日期/时间条件。如果条件的评估结果为 false,该角色将不会包含在响应中。如果条件的评估结果为 true,则条件评估的结果会列为 TRUE

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

如需确定哪些主帐号在特定时间对某项资源具有特定权限,请使用 Cloud Asset Inventory API 的 analyzeIamPolicy 方法。

在使用任何请求数据之前,请先进行以下替换:

  • RESOURCE_TYPE:您要将搜索范围限定到的资源类型。系统仅会分析附加到此资源及其后代的 IAM 允许政策。使用值 projectsfoldersorganizations
  • RESOURCE_ID:您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 均为数字,如 123456789012
  • PERMISSION_1PERMISSION_2... PERMISSION_N:可选。您要检查的权限,例如 compute.instances.get。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。
  • FULL_RESOURCE_NAME:可选。您要分析其访问权限的资源的完整资源名称。如需查看完整的资源名称格式列表,请参阅资源名称格式
  • PERMISSION_1PERMISSION_2... PERMISSION_N:可选。您要检查的权限,例如 compute.instances.get。如果您列出了多项权限,Policy Analyzer 将检查所列的任何权限。
  • ACCESS_TIME:您要检查的时间。此时间必须是将来的时间。请使用 RFC 3339 格式的时间戳,例如 2099-02-01T00:00:00Z

HTTP 方法和网址:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

请求 JSON 正文:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

如需发送您的请求,请展开以下选项之一:

您会收到包含分析结果的 JSON 响应。每个分析结果都会描述一个相关的 IAM 角色绑定,然后列出该绑定中的资源、访问权限和主帐号。如果角色绑定是条件性的,则分析结果也会包含条件评估的结果。如果无法评估条件,结果会列为 CONDITIONAL

将访问时间添加到请求中后,政策分析器可以评估日期/时间条件。如果条件的评估结果为 false,该角色将不会包含在响应中。如果条件的评估结果为 true,分析响应中的条件评估值为 TRUE

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

启用选项

您可以启用以下选项来接收更详细的查询结果。

控制台

选项 说明
列出与查询匹配的资源内的资源 如果您启用此选项,查询结果中最多会列出查询结果中所有父资源(项目、文件夹和组织)的 1000 个相关后代资源
列出群组内的单个用户

如果启用此选项,查询结果中的任何组都将扩展为个别成员。如果您有足够的群组权限,嵌套群组也会扩展。每次展开最多 1000 名成员。

只有当您在查询中未指定主帐号时,此选项才可用。

列出角色内的权限

如果启用此选项,查询结果除了角色本身之外,还会列出每个角色内的所有权限。

只有当您在查询中未指定任何权限或角色时,此选项才可用。

gcloud

本部分介绍在使用 gcloud CLI 分析允许政策时可以添加的几个常用标志。如需查看选项的完整列表,请参阅可选标志

Flag 说明
--analyze-service-account-impersonation

如果启用此选项,Policy Analyzer 会运行其他分析查询,以确定谁可以模拟对指定资源具有指定访问权限的服务帐号。Policy Analyzer 会对查询结果中的每个服务帐号运行一个查询。这些查询会分析谁对服务帐号具有以下任一权限:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

这是一项耗费大量资源的操作,因为它会自动执行许多查询。我们强烈建议您使用 analyze-iam-policy-longrunning(而非 analyze-iam-policy导出到 BigQuery导出到 Cloud Storage

--expand-groups

如果启用此选项,查询结果中的任何组都将扩展为个别成员。如果您有足够的群组权限,嵌套群组也会扩展。每次展开最多 1000 名成员。

仅当您在查询中指定主帐号时,此选项才有效。

--expand-resources 如果您启用此选项,查询结果中最多会列出查询结果中所有父资源(项目、文件夹和组织)的 1000 个相关后代资源
--expand-roles

如果启用此选项,查询结果除了角色本身之外,还会列出每个角色内的所有权限。

只有当您在查询中未指定任何权限或角色时,此选项才可用。

--output-group-edges 如果启用此选项,查询结果会输出群组之间的相关成员关系。
--output-resource-edges 如果启用此选项,查询结果将输出资源之间的相关父/子关系。

REST

如需启用任何选项,请先向分析查询添加 options 字段。例如:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

OPTIONS 替换为您要启用的选项,格式为 "OPTION": true。下表介绍了可用的选项:

选项 说明
analyzeServiceAccountImpersonation

如果启用此选项,Policy Analyzer 会运行其他分析查询,以确定谁可以模拟对指定资源具有指定访问权限的服务帐号。Policy Analyzer 会对查询结果中的每个服务帐号运行一个查询。这些查询会分析谁对服务帐号具有以下任一权限:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

这是一项耗费大量资源的操作,因为它会自动执行许多查询。我们强烈建议您使用 AnalyzeIamPolicyLongrunning(而非 AnalyzeIamPolicy导出到 BigQuery导出到 Cloud Storage

expandGroups

如果启用此选项,查询结果中的任何组都将扩展为个别成员。如果您有足够的群组权限,嵌套群组也会扩展。每次展开最多 1000 名成员。

仅当您在查询中指定主帐号时,此选项才有效。

expandResources 如果您启用此选项,查询结果中最多会列出查询结果中所有父资源(项目、文件夹和组织)的 1000 个相关后代资源
expandRoles

如果启用此选项,查询结果除了角色本身之外,还会列出每个角色内的所有权限。

只有当您在查询中未指定任何权限或角色时,此选项才可用。

outputGroupEdges 如果启用此选项,查询结果会输出群组之间的相关成员关系。
outputResourceEdges 如果启用此选项,查询结果将输出资源之间的相关父/子关系。

后续步骤