Auf dieser Seite wird gezeigt, wie Sie gespeicherte Policy Analyzer-Abfragen erstellen, verwalten und ausführen. Sie können bis zu 200 gespeicherte Abfragen für ein Asset erstellen. Dieses Limit umfasst nicht die gespeicherten Abfragen seiner untergeordneten Elemente. Beispiel: Sie haben 10 Projekte unter Organisation kann jedes Projekt bis zu 200 gespeicherte Abfragen und die Organisation bis zu 200 gespeicherte Abfragen haben.
Hinweis
-
Enable the Cloud Asset API.
Erforderliche Rollen
Um die Berechtigungen zu erhalten, die Sie zum Erstellen und Verwalten gespeicherter Abfragen benötigen,
bitten Sie Ihren Administrator, Ihnen
Die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner
) für das Projekt, den Ordner oder die Organisation, die Sie speichern
an die Ihre Abfrage gerichtet wird.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen und Verwalten gespeicherter Abfragen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Zum Erstellen und Verwalten gespeicherter Abfragen sind die folgenden Berechtigungen erforderlich:
-
cloudasset.savedqueries.create
-
cloudasset.savedqueries.delete
-
cloudasset.savedqueries.get
-
cloudasset.savedqueries.list
-
cloudasset.savedqueries.update
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Gespeicherte Suchanfrage erstellen
gcloud
Verwenden Sie den Befehl gcloud asset saved-queries create
, um eine gespeicherte Policy Analyzer-Abfrage in einem übergeordneten Projekt, Ordner oder einer übergeordneten Organisation zu erstellen.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
SCOPE_RESOURCE_TYPE_PLURAL
: Der Typ der gewünschten Ressource. um Ihre Suche auf Pluralform zu beschränken. Nur IAM-Zulassungsrichtlinien, die angehängt sind diese Ressource und ihre Nachfolgerelemente analysiert werden. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
SCOPE_RESOURCE_ID
: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, deren Umfang Sie festlegen möchten um Ihre Suche zu ergänzen. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
. -
FULL_RESOURCE_NAME
: Optional. Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen. PRINCIPAL
: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im FormatPRINCIPAL_TYPE:ID
, z. B.user:my-user@example.com
. Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B.compute.instances.get
. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach allen aufgeführten Berechtigungen.-
QUERY_ID
: Die ID, die für die gespeicherte Abfrage verwendet werden soll. Sie muss in Die angegebene übergeordnete Ressource (Projekt, Ordner oder Organisation) Sie können Buchstaben, Zahlen und Bindestriche in der Abfrage-ID. -
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie eine Abfrage speichern möchten. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, für die Sie eine Abfrage speichern möchten. Projekt-IDs können alphanumerisch sein oder numerisch sein. Ordner- und Organisations-IDs sind numerisch. -
LABEL_KEY
undLABEL_VALUE
: Optional. Eine durch Kommas getrennte Liste von Schlüssel/Wert-Paaren, die an die Abfrage angehängt werden. Sie können in Such- und Listenvorgängen verwendet werden. Sie können für jede gespeicherte Abfrage bis zu zehn Labels einfügen. DESCRIPTION
: Optional. Ein String, der die Abfrage beschreibt.
Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json
:
{ "IamPolicyAnalysisQuery": { "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID", "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries create \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_ID \ --query-file-path=request.json \ --labels="LABEL_KEY=LABEL_VALUE" \ --description="DESCRIPTION"
Windows (PowerShell)
gcloud asset saved-queries create ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_ID ` --query-file-path=request.json ` --labels="LABEL_KEY=LABEL_VALUE" ` --description="DESCRIPTION"
Windows (cmd.exe)
gcloud asset saved-queries create ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_ID ^ --query-file-path=request.json ^ --labels="LABEL_KEY=LABEL_VALUE" ^ --description="DESCRIPTION"
Die Antwort enthält die gespeicherte Abfrage. Das könnte beispielsweise so aussehen:
content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-18T22:47:25.640783Z' description: A query checking what permissions my-user@example.com has on my-project labels: user: my-user lastUpdateTime: '2022-04-18T22:47:25.640783Z' name: projects/12345678901/savedQueries/my-query
REST
So erstellen Sie eine gespeicherte Policy Analyzer-Abfrage in einem übergeordneten Projekt, Ordner oder
Unternehmen der Cloud Asset Inventory API
savedQueries.create
.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie eine Abfrage speichern möchten. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_ID
: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, für die Sie eine Abfrage speichern möchten. Projekt-IDs können alphanumerisch sein oder numerisch sein. Ordner- und Organisations-IDs sind numerisch. -
QUERY_ID
: Die ID, die für die gespeicherte Abfrage verwendet werden soll. Sie muss in der angegebenen übergeordneten Ressource (Projekt, Ordner oder Organisation) eindeutig sein. Sie können Buchstaben, Zahlen und Bindestriche in der Abfrage-ID verwenden. -
SCOPE_RESOURCE_TYPE
: Der Typ der gewünschten Ressource. um Ihre Suche einzugrenzen. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
SCOPE_RESOURCE_ID
: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, deren Umfang Sie festlegen möchten um Ihre Suche zu ergänzen. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
. -
FULL_RESOURCE_NAME
: Optional. Der vollständige Ressourcenname der Ressource, die deren Zugriff Sie analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen. PRINCIPAL
: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im FormatPRINCIPAL_TYPE:ID
, z. B.user:my-user@example.com
. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: Optional. Die Berechtigungen, nach denen Sie suchen möchten, z. B.compute.instances.get
. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach allen aufgeführten Berechtigungen.-
LABEL_KEY
undLABEL_VALUE
: Optional. Ein Schlüssel/Wert-Paar -Paar zum Anhängen an die Abfrage, das in Such- und Listenvorgängen verwendet werden kann. Sie können für jede gespeicherte Suchanfrage bis zu 10 Labels hinzufügen. DESCRIPTION
: Optional. Ein String, der die Abfrage beschreibt.
HTTP-Methode und URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID
JSON-Text anfordern:
{ "content": { "iamPolicyAnalysisQuery": { "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID", "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }, "labels": { "LABEL_KEY": "LABEL_VALUE" }, "description": "DESCRIPTION" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die gespeicherte Abfrage. Das könnte beispielsweise so aussehen:
{ "name": "projects/12345678901/savedQueries/my-query", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "user": "my-user" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }
Gespeicherte Abfrage ausführen
gcloud
Um eine gespeicherte Analyseabfrage auszuführen, verwenden Sie die Methode
gcloud asset analyze-iam-policy
.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
SCOPE_RESOURCE_TYPE
: Der Ressourcentyp, auf den die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wertproject
,folder
oderorganization
. -
SCOPE_RESOURCE_ID
: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, deren Umfang Sie festlegen möchten um Ihre Suche zu ergänzen. Nur IAM-Zulassungsrichtlinien, die an diese Ressource angehängt sind, und und Nachfolgerelemente analysiert. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
-
RESOURCE_TYPE_PLURAL
: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, -Ordners oder der -Organisation, in der die Abfrage gespeichert ist. Sie können ein Projekt nicht anhand der alphanumerischen Projekt-ID identifizieren, sondern müssen die Projektnummer verwenden. QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie verwenden möchten.
Führen Sie den gcloud asset Analyzer-iam-policy Befehl:
Linux, macOS oder Cloud Shell
gcloud asset analyze-iam-policy \ --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \ --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Windows (PowerShell)
gcloud asset analyze-iam-policy ` --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ` --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Windows (cmd.exe)
gcloud asset analyze-iam-policy ^ --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^ --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Die Antwort enthält die Ergebnisse der Ausführung der gespeicherten Abfrage für die angegebene Ressource. Beispiele für Abfrageergebnisse finden Sie unter IAM-Richtlinien analysieren.
REST
Verwenden Sie die Methode analyzeIamPolicy
der Cloud Asset Inventory API, um eine gespeicherte Analyseabfrage auszuführen.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
SCOPE_RESOURCE_TYPE
: Der Ressourcentyp, auf den die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Wert verwendenprojects
,folders
oderorganizations
. -
SCOPE_RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, auf die die Suche beschränkt werden soll. Nur IAM-Zulassungsrichtlinien, die an diese Ressource angehängt sind, und und Nachfolgerelemente analysiert. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert wird. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, -Ordners oder der -Organisation, in der die Abfrage gespeichert ist. Sie können ein Projekt nicht anhand der alphanumerischen Projekt-ID identifizieren, sondern müssen die Projektnummer verwenden. QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie verwenden möchten.
HTTP-Methode und URL:
POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy
JSON-Text anfordern:
{ "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Ergebnisse der Ausführung der gespeicherten Abfrage auf der angegebenen Ressource. Beispiele für Abfrageergebnisse finden Sie unter IAM-Richtlinien analysieren.
Gespeicherte Abfrage abrufen
gcloud
Verwenden Sie den Befehl gcloud asset saved-queries get
, um eine gespeicherte Policy Analyzer-Abfrage abzurufen.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie abrufen möchten. -
RESOURCE_TYPE
: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, in der die Abfrage gespeichert wird. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner und Organisations-IDs numerisch sind.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (PowerShell)
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (cmd.exe)
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
Die Antwort enthält die gespeicherte Abfrage. Sie könnte zum Beispiel so aussehen:
content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: 2022-04-18T22:47:25.640783Z description: A query checking what permissions my-user@example.com has on my-project labels: user: my-user lastUpdateTime: 2022-04-18T22:47:25.640783Z name: projects/12345678901/savedQueries/my-query
REST
Verwenden Sie die Methode savedQueries.get
der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage abzurufen.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert wird. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, -Ordners oder der -Organisation, in der die Abfrage gespeichert ist. Sie können ein Projekt nicht anhand der alphanumerischen Projekt-ID identifizieren, sondern müssen die Projektnummer verwenden. -
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie abrufen möchten.
HTTP-Methode und URL:
GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die gespeicherte Abfrage. Sie könnte zum Beispiel so aussehen:
{ "name": "projects/12345678901/savedQueries/my-query", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "user": "my-user" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }
Gespeicherte Abfragen auflisten
gcloud
So listen Sie alle gespeicherten Policy Analyzer-Abfragen in einem Projekt, Ordner oder
Unternehmen, nutzen Sie die
gcloud asset saved-queries list
.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfragen gespeichert werden. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie gespeicherte Abfragen auflisten möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
Die Antwort enthält alle gespeicherten Policy Analyzer-Abfragen für das Projekt, den Ordner oder die Organisation. Das könnte beispielsweise so aussehen:
savedQueries: - content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-15T21:17:33.777212Z' description: A query checking what permissions my-user@example.com has on my-project labels: missing-info: permissions lastUpdateTime: '2022-04-15T21:17:33.777212Z' name: projects/12345678901/savedQueries/query-1 - content: iamPolicyAnalysisQuery: accessSelector: permissions: - iam.roles.get - iam.roles.list identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-18T22:47:25.640783Z' description: A query checking what resources my-user@example.com has permission to view roles on labels: missing-info: resource lastUpdateTime: '2022-04-18T22:47:25.640783Z' name: projects/12345678901/savedQueries/query-2
REST
Verwenden Sie die Methode savedQueries.list
der Cloud Asset Inventory API, um alle gespeicherten Policy Analyzer-Abfragen in einem Projekt, Ordner oder einer Organisation aufzulisten.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfragen gespeichert werden. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_ID
: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, für die Sie gespeicherte Abfragen auflisten möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
HTTP-Methode und URL:
GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält alle gespeicherten Policy Analyzer-Abfragen für das Projekt, den Ordner oder die Organisation. Sie könnte zum Beispiel so aussehen:
{ "savedQueries": [ { "name": "projects/12345678901/savedQueries/query-1", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-15T21:17:33.777212Z", "lastUpdateTime": "2022-04-15T21:17:33.777212Z", "labels": { "missing-info": "permission" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }, { "name": "projects/12345678901/savedQueries/query-2", "description": "A query checking what resources my-user@example.com has permission to view roles on", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "missing-info": "resource" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "accessSelector": { "permissions": [ "iam.roles.get", "iam.roles.list" ] }, "identitySelector": { "identity": "user:my-user@example.com" } } } } ] }
Gespeicherte Abfrage aktualisieren
gcloud
Verwenden Sie zum Aktualisieren einer gespeicherten Policy Analyzer-Abfrage die Methode
gcloud asset saved-queries update
.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
UPDATED_QUERY
: Optional. Die aktualisierte Policy Analyzer-Abfrage, die Sie die Sie speichern möchten. Informationen zum Formatieren der Abfrage finden Sie unter Gespeicherte Abfragen erstellen.-
RESOURCE_TYPE
: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wertproject
,folder
oderorganization
. -
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie bearbeiten möchten. -
RESOURCE_ID
: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, in der die Abfrage gespeichert wird. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch. -
UPDATED_LABELS
: Optional. Die aktualisierten Labels, die Sie anhängen möchten der gespeicherten Abfrage. Sie können Labels auch entfernen, indem Sie--remove-labels="KEY_1,KEY_2"
oder löschen Sie alle Labels mit Das Flag--clear-labels
. UPDATED_DESCRIPTION
: Optional. Eine aktualisierte Beschreibung der gespeicherten Abfrage.
Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json
:
{ "IamPolicyAnalysisQuery": { UPDATED_QUERY } }
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries update \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_ID \ --query-file-path=request.json \ --update-labels="UPDATED_LABELS" \ --description="DESCRIPTION"
Windows (PowerShell)
gcloud asset saved-queries update ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_ID ` --query-file-path=request.json ` --update-labels="UPDATED_LABELS" ` --description="DESCRIPTION"
Windows (cmd.exe)
gcloud asset saved-queries update ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_ID ^ --query-file-path=request.json ^ --update-labels="UPDATED_LABELS" ^ --description="DESCRIPTION"
Die Antwort enthält die aktualisierte Abfrage.
REST
Verwenden Sie die Methode savedQueries.patch
der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage zu aktualisieren.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert wird. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts. Ordner oder Organisation, in der die Abfrage gespeichert ist. Sie können das alphanumerische Projekt nicht verwenden ID zur Identifizierung eines Projekts – Sie müssen die Projektnummer verwenden. -
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie bearbeiten möchten. -
UPDATED_FIELDS
: Eine durch Kommas getrennte Liste der Felder, die Sie verwenden möchten. zu aktualisieren. Wenn Sie beispielsweise die Felder für Inhalt, Labels und Beschreibung aktualisieren, würden Sie den Wertcontent,labels,description
verwenden. UPDATED_QUERY
: Optional. Die aktualisierte Policy Analyzer-Abfrage, die Sie die Sie speichern möchten. Informationen zum Formatieren der Abfrage finden Sie unter Gespeicherte Abfrage erstellen.-
UPDATED_LABELS
: Optional. Die aktualisierten Labels, die Sie anhängen möchten der gespeicherten Abfrage. UPDATED_DESCRIPTION
: Optional. Eine aktualisierte Beschreibung der gespeicherten Abfrage.
HTTP-Methode und URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS
JSON-Text anfordern:
{ "content": { "iamPolicyAnalysisQuery": { UPDATED_QUERY }, "labels": { UPDATED_LABELS }, "description": "UPDATED_DESCRIPTION" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die aktualisierte Abfrage.
Gespeicherte Abfragen löschen
gcloud
Verwenden Sie den Befehl gcloud asset saved-queries delete
, um eine gespeicherte Policy Analyzer-Abfrage zu löschen.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie löschen möchten. -
RESOURCE_TYPE
: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, -Ordners oder der -Organisation, in der die Abfrage gespeichert ist. Sie können ein Projekt nicht anhand der alphanumerischen Projekt-ID identifizieren, sondern müssen die Projektnummer verwenden.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries delete \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (PowerShell)
gcloud asset saved-queries delete ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (cmd.exe)
gcloud asset saved-queries delete ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_NUM_ID
REST
Verwenden Sie zum Löschen einer gespeicherten Policy Analyzer-Abfrage die der Cloud Asset Inventory API
savedQueries.delete
.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert wird. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts. Ordner oder Organisation, in der die Abfrage gespeichert ist. Sie können das alphanumerische Projekt nicht verwenden ID zur Identifizierung eines Projekts – Sie müssen die Projektnummer verwenden. -
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie löschen möchten.
HTTP-Methode und URL:
DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Wenn die Abfrage erfolgreich gelöscht wurde, gibt die API eine leere Antwort zurück.