Cette page vous explique comment créer, gérer et exécuter des requêtes Policy Analyzer enregistrées. Vous pouvez créer jusqu'à 200 requêtes enregistrées sur un élément. Cette limite n'inclut pas les requêtes enregistrées de ses enfants. Par exemple, si votre organisation comporte 10 projets, chaque projet peut contenir jusqu'à 200 requêtes enregistrées, et l'organisation peut en contenir jusqu'à 200.
Avant de commencer
-
Activez Cloud Asset API.
Rôles requis
Pour obtenir les autorisations nécessaires pour créer et gérer des requêtes enregistrées, demandez à votre administrateur de vous attribuer le rôle IAM Propriétaire d'éléments cloud (roles/cloudasset.owner
) pour le projet, le dossier ou l'organisation dans lequel vous allez enregistrer votre requête.
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Ce rôle prédéfini contient les autorisations requises pour créer et gérer des requêtes enregistrées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour créer et gérer des requêtes enregistrées:
-
cloudasset.savedqueries.create
-
cloudasset.savedqueries.delete
-
cloudasset.savedqueries.get
-
cloudasset.savedqueries.list
-
cloudasset.savedqueries.update
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créez une requête enregistrée
gcloud
Pour créer une requête Policy Analyzer dans un projet, un dossier ou une organisation parent, utilisez la commande gcloud asset saved-queries create
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
SCOPE_RESOURCE_TYPE_PLURAL
: type de ressource auquel vous souhaitez limiter votre recherche, au pluriel. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeurprojects
,folders
ouorganizations
. -
SCOPE_RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, commemy-project
. Les ID de dossier et d'organisation sont numériques, comme123456789012
. -
FULL_RESOURCE_NAME
: facultatif. Nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Pour obtenir la liste des formats de nom de ressource complet, consultez la section Format du nom de ressource. PRINCIPAL
: facultatif. Compte principal dont vous souhaitez analyser l'accès, sous la formePRINCIPAL_TYPE:ID
(par exemple,user:my-user@example.com
). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants des comptes principaux.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: facultatif. Les autorisations que vous souhaitez vérifier, par exemplecompute.instances.get
. Si vous indiquez plusieurs autorisations, Policy Analyzer recherche chacune d'elles.-
QUERY_ID
: ID à utiliser pour la requête enregistrée, qui doit être unique dans la ressource parente spécifiée (projet, dossier ou organisation). L'ID de requête peut contenir des lettres, des chiffres et des traits d'union. -
RESOURCE_TYPE
: type de ressource pour lequel vous souhaitez enregistrer une requête. Utilisez la valeurproject
,folder
ouorganization
. -
RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez enregistrer une requête. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques. -
LABEL_KEY
etLABEL_VALUE
: facultatifs. Liste de paires clé/valeur séparées par une virgule à associer à la requête, qui peut être utilisée dans les opérations de recherche et de liste. Vous pouvez inclure jusqu'à 10 étiquettes par requête enregistrée. DESCRIPTION
: facultatif. Chaîne décrivant la requête.
Enregistrez le code suivant dans un fichier nommé request.json
:
{ "IamPolicyAnalysisQuery": { "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID", "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud asset saved-queries create \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_ID \ --query-file-path=request.json \ --labels="LABEL_KEY=LABEL_VALUE" \ --description="DESCRIPTION"
Windows (PowerShell)
gcloud asset saved-queries create ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_ID ` --query-file-path=request.json ` --labels="LABEL_KEY=LABEL_VALUE" ` --description="DESCRIPTION"
Windows (cmd.exe)
gcloud asset saved-queries create ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_ID ^ --query-file-path=request.json ^ --labels="LABEL_KEY=LABEL_VALUE" ^ --description="DESCRIPTION"
La réponse contient la requête enregistrée. Voici un exemple:
content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-18T22:47:25.640783Z' description: A query checking what permissions my-user@example.com has on my-project labels: user: my-user lastUpdateTime: '2022-04-18T22:47:25.640783Z' name: projects/12345678901/savedQueries/my-query
REST
Pour créer une requête enregistrée dans Policy Analyzer dans un projet, un dossier ou une organisation parent, utilisez la méthode savedQueries.create
de l'API Cloud Asset Inventory.
Avant d'utiliser les données de requête, effectuez les remplacements suivants:
-
RESOURCE_TYPE
: type de ressource pour lequel vous souhaitez enregistrer une requête. Utilisez la valeurprojects
,folders
ouorganizations
. -
RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez enregistrer une requête. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques. -
QUERY_ID
: ID à utiliser pour la requête enregistrée, qui doit être unique dans la ressource parente spécifiée (projet, dossier ou organisation). L'ID de requête peut contenir des lettres, des chiffres et des traits d'union. -
SCOPE_RESOURCE_TYPE
: type de ressource auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeurprojects
,folders
ouorganizations
. -
SCOPE_RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, commemy-project
. Les ID de dossier et d'organisation sont numériques, comme123456789012
. -
FULL_RESOURCE_NAME
: facultatif. Nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Pour obtenir la liste des formats de nom de ressource complet, consultez la section Format du nom de ressource. PRINCIPAL
: facultatif. Compte principal dont vous souhaitez analyser l'accès, sous la formePRINCIPAL_TYPE:ID
(par exemple,user:my-user@example.com
). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants des comptes principaux.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: facultatif. Les autorisations que vous souhaitez vérifier, par exemplecompute.instances.get
. Si vous indiquez plusieurs autorisations, Policy Analyzer recherche chacune d'elles.-
LABEL_KEY
etLABEL_VALUE
: facultatifs. Paire clé/valeur à associer à la requête, et pouvant être utilisée dans les opérations de recherche et de liste. Vous pouvez inclure jusqu'à 10 étiquettes pour chaque requête enregistrée. DESCRIPTION
: facultatif. Chaîne décrivant la requête.
Méthode HTTP et URL :
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID
Corps JSON de la requête :
{ "content": { "iamPolicyAnalysisQuery": { "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID", "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }, "labels": { "LABEL_KEY": "LABEL_VALUE" }, "description": "DESCRIPTION" }
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient la requête enregistrée. Voici un exemple:
{ "name": "projects/12345678901/savedQueries/my-query", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "user": "my-user" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }
Exécuter une requête enregistrée
gcloud
Pour exécuter une requête d'analyse enregistrée, utilisez la commande gcloud asset analyze-iam-policy
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
SCOPE_RESOURCE_TYPE
: type de ressource auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeurproject
,folder
ouorganization
. -
SCOPE_RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, commemy-project
. Les ID de dossier et d'organisation sont numériques, comme123456789012
. -
RESOURCE_TYPE_PLURAL
: type de ressource dans lequel la requête est enregistrée. Utilisez la valeurprojects
,folders
ouorganizations
. -
RESOURCE_NUM_ID
: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro. QUERY_ID
: ID de la requête enregistrée que vous souhaitez utiliser.
Exécutez la commande gcloud assetanalyze-iam-policy:
Linux, macOS ou Cloud Shell
gcloud asset analyze-iam-policy \ --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \ --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Windows (PowerShell)
gcloud asset analyze-iam-policy ` --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ` --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Windows (cmd.exe)
gcloud asset analyze-iam-policy ^ --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^ --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
La réponse contient les résultats de l'exécution de la requête enregistrée sur la ressource spécifiée. Pour obtenir des exemples de résultats de requête, consultez la page Analyser les stratégies IAM.
REST
Pour exécuter une requête d'analyse enregistrée, utilisez la méthode analyzeIamPolicy
de l'API Cloud Asset Inventory.
Avant d'utiliser les données de requête, effectuez les remplacements suivants:
-
SCOPE_RESOURCE_TYPE
: type de ressource auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeurprojects
,folders
ouorganizations
. -
SCOPE_RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, commemy-project
. Les ID de dossier et d'organisation sont numériques, comme123456789012
. -
RESOURCE_TYPE
: type de ressource dans lequel la requête est enregistrée. Utilisez la valeurprojects
,folders
ouorganizations
. -
RESOURCE_NUM_ID
: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro. QUERY_ID
: ID de la requête enregistrée que vous souhaitez utiliser.
Méthode HTTP et URL :
POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy
Corps JSON de la requête :
{ "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" }
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient les résultats de l'exécution de la requête enregistrée sur la ressource spécifiée. Pour obtenir des exemples de résultats de requête, consultez la page Analyser les stratégies IAM.
Obtenir une requête enregistrée
gcloud
Pour obtenir une requête Policy Analyzer enregistrée, utilisez la commande gcloud asset saved-queries get
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
QUERY_ID
: ID de la requête enregistrée que vous souhaitez obtenir. -
RESOURCE_TYPE
: type de ressource dans lequel la requête est enregistrée. Utilisez la valeurproject
,folder
ouorganization
. -
RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (PowerShell)
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (cmd.exe)
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
La réponse contient la requête enregistrée. Voici un exemple:
content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: 2022-04-18T22:47:25.640783Z description: A query checking what permissions my-user@example.com has on my-project labels: user: my-user lastUpdateTime: 2022-04-18T22:47:25.640783Z name: projects/12345678901/savedQueries/my-query
REST
Pour obtenir une requête enregistrée dans Policy Analyzer, utilisez la méthode savedQueries.get
de l'API Cloud Asset Inventory.
Avant d'utiliser les données de requête, effectuez les remplacements suivants:
-
RESOURCE_TYPE
: type de ressource dans lequel la requête est enregistrée. Utilisez la valeurprojects
,folders
ouorganizations
. -
RESOURCE_NUM_ID
: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro. -
QUERY_ID
: ID de la requête enregistrée que vous souhaitez obtenir.
Méthode HTTP et URL :
GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient la requête enregistrée. Voici un exemple:
{ "name": "projects/12345678901/savedQueries/my-query", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "user": "my-user" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }
Répertorier les requêtes enregistrées
gcloud
Pour répertorier toutes les requêtes Policy Analyzer enregistrées dans un projet, un dossier ou une organisation, utilisez la commande gcloud asset saved-queries list
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE
: type de ressource dans lequel les requêtes sont enregistrées. Utilisez la valeurproject
,folder
ouorganization
. -
RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud pour lesquels vous souhaitez répertorier les requêtes enregistrées. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
La réponse contient toutes les requêtes Policy Analyzer enregistrées pour le projet, le dossier ou l'organisation. Voici un exemple:
savedQueries: - content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-15T21:17:33.777212Z' description: A query checking what permissions my-user@example.com has on my-project labels: missing-info: permissions lastUpdateTime: '2022-04-15T21:17:33.777212Z' name: projects/12345678901/savedQueries/query-1 - content: iamPolicyAnalysisQuery: accessSelector: permissions: - iam.roles.get - iam.roles.list identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-18T22:47:25.640783Z' description: A query checking what resources my-user@example.com has permission to view roles on labels: missing-info: resource lastUpdateTime: '2022-04-18T22:47:25.640783Z' name: projects/12345678901/savedQueries/query-2
REST
Pour répertorier toutes les requêtes de Policy Analyzer enregistrées dans un projet, un dossier ou une organisation, utilisez la méthode savedQueries.list
de l'API Cloud Asset Inventory.
Avant d'utiliser les données de requête, effectuez les remplacements suivants:
-
RESOURCE_TYPE
: type de ressource dans lequel les requêtes sont enregistrées. Utilisez la valeurprojects
,folders
ouorganizations
. -
RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud pour lesquels vous souhaitez répertorier les requêtes enregistrées. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
Méthode HTTP et URL :
GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient toutes les requêtes Policy Analyzer enregistrées pour le projet, le dossier ou l'organisation. Voici un exemple:
{ "savedQueries": [ { "name": "projects/12345678901/savedQueries/query-1", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-15T21:17:33.777212Z", "lastUpdateTime": "2022-04-15T21:17:33.777212Z", "labels": { "missing-info": "permission" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }, { "name": "projects/12345678901/savedQueries/query-2", "description": "A query checking what resources my-user@example.com has permission to view roles on", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "missing-info": "resource" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "accessSelector": { "permissions": [ "iam.roles.get", "iam.roles.list" ] }, "identitySelector": { "identity": "user:my-user@example.com" } } } } ] }
Mettre à jour une requête enregistrée
gcloud
Pour mettre à jour une requête Policy Analyzer enregistrée, utilisez la commande gcloud asset saved-queries update
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
UPDATED_QUERY
: facultatif. Requête Policy Analyzer mise à jour que vous souhaitez enregistrer. Pour savoir comment mettre en forme la requête, consultez l'article Créer une requête enregistrée.-
RESOURCE_TYPE
: type de ressource dans lequel la requête est enregistrée. Utilisez la valeurproject
,folder
ouorganization
. -
QUERY_ID
: ID de la requête enregistrée que vous souhaitez modifier. -
RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques. -
UPDATED_LABELS
: facultatif. Étiquettes mises à jour que vous souhaitez associer à la requête enregistrée. Vous pouvez également supprimer des libellés avec l'option--remove-labels="KEY_1,KEY_2"
ou tous les supprimer avec l'option--clear-labels
. UPDATED_DESCRIPTION
: facultatif. Description mise à jour de la requête enregistrée.
Enregistrez le code suivant dans un fichier nommé request.json
:
{ "IamPolicyAnalysisQuery": { UPDATED_QUERY } }
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud asset saved-queries update \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_ID \ --query-file-path=request.json \ --update-labels="UPDATED_LABELS" \ --description="DESCRIPTION"
Windows (PowerShell)
gcloud asset saved-queries update ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_ID ` --query-file-path=request.json ` --update-labels="UPDATED_LABELS" ` --description="DESCRIPTION"
Windows (cmd.exe)
gcloud asset saved-queries update ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_ID ^ --query-file-path=request.json ^ --update-labels="UPDATED_LABELS" ^ --description="DESCRIPTION"
La réponse contient la requête mise à jour.
REST
Pour mettre à jour une requête enregistrée dans Policy Analyzer, utilisez la méthode savedQueries.patch
de l'API Cloud Asset Inventory.
Avant d'utiliser les données de requête, effectuez les remplacements suivants:
-
RESOURCE_TYPE
: type de ressource dans lequel la requête est enregistrée. Utilisez la valeurprojects
,folders
ouorganizations
. -
RESOURCE_NUM_ID
: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro. -
QUERY_ID
: ID de la requête enregistrée que vous souhaitez modifier. -
UPDATED_FIELDS
: listes des champs à mettre à jour, séparés par une virgule. Par exemple, si vous mettez à jour les champs de contenu, de libellés et de description, vous devez utiliser la valeurcontent,labels,description
. UPDATED_QUERY
: facultatif. Requête Policy Analyzer mise à jour que vous souhaitez enregistrer. Pour savoir comment mettre en forme la requête, consultez l'article Créer une requête enregistrée.-
UPDATED_LABELS
: facultatif. Étiquettes mises à jour que vous souhaitez associer à la requête enregistrée. UPDATED_DESCRIPTION
: facultatif. Description mise à jour de la requête enregistrée.
Méthode HTTP et URL :
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS
Corps JSON de la requête :
{ "content": { "iamPolicyAnalysisQuery": { UPDATED_QUERY }, "labels": { UPDATED_LABELS }, "description": "UPDATED_DESCRIPTION" }
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient la requête mise à jour.
Supprimer une requête enregistrée
gcloud
Pour supprimer une requête Policy Analyzer enregistrée, utilisez la commande gcloud asset saved-queries delete
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
QUERY_ID
: ID de la requête enregistrée que vous souhaitez supprimer. -
RESOURCE_TYPE
: type de ressource dans lequel la requête est enregistrée. Utilisez la valeurproject
,folder
ouorganization
. -
RESOURCE_NUM_ID
: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro.
Exécutez la commande suivante:
Linux, macOS ou Cloud Shell
gcloud asset saved-queries delete \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (PowerShell)
gcloud asset saved-queries delete ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (cmd.exe)
gcloud asset saved-queries delete ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_NUM_ID
REST
Pour supprimer une requête enregistrée dans Policy Analyzer, utilisez la méthode savedQueries.delete
de l'API Cloud Asset Inventory.
Avant d'utiliser les données de requête, effectuez les remplacements suivants:
-
RESOURCE_TYPE
: type de ressource dans lequel la requête est enregistrée. Utilisez la valeurprojects
,folders
ouorganizations
. -
RESOURCE_NUM_ID
: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro. -
QUERY_ID
: ID de la requête enregistrée que vous souhaitez supprimer.
Méthode HTTP et URL :
DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Pour envoyer votre requête, développez l'une des options suivantes :
Si la requête est correctement supprimée, l'API renvoie une réponse vide.