Cette page a été traduite par l'API Cloud Translation.

Gérer les requêtes enregistrées

Cette page vous explique comment créer, gérer et exécuter des Requêtes Policy Analyzer Vous pouvez créer jusqu'à 200 requêtes enregistrées pour un élément. Cette limite n'inclut pas les requêtes enregistrées de ses enfants. Par exemple, si vous avez 10 projets dans pour une organisation, chaque projet peut contenir jusqu'à 200 requêtes enregistrées peut avoir jusqu'à 200 requêtes enregistrées.

Avant de commencer

Activez Cloud Asset API.
Activer l'API

Rôles requis

Pour obtenir les autorisations dont vous avez besoin pour créer et gérer des requêtes enregistrées, demandez à votre administrateur de vous accorder le Rôle IAM Propriétaire d'éléments Cloud (roles/cloudasset.owner) sur le projet, le dossier ou l'organisation que vous allez enregistrer votre requête. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations requises pour créer et gérer des requêtes enregistrées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer et gérer des requêtes enregistrées:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créez une requête enregistrée

gcloud

Pour créer une requête Policy Analyzer enregistrée dans un projet, un dossier ou un élément parent dans votre organisation, utilisez gcloud asset saved-queries create .

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

SCOPE_RESOURCE_TYPE_PLURAL: type de la ressource souhaitée pour limiter votre recherche au pluriel. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants sont analysés. Utiliser la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du Projet, dossier ou organisation Google Cloud auxquels vous souhaitez appliquer le champ d'application votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysés. Les ID de projet sont des chaînes alphanumériques, comme my-project. Les ID de dossier et d'organisation sont numériques, par exemple : 123456789012
FULL_RESOURCE_NAME : facultatif. Le nom complet de la ressource pour lesquels vous souhaitez analyser l'accès. Pour obtenir la liste des formats de nom de ressource complet, consultez Format du nom de ressource.
PRINCIPAL : facultatif. Le compte principal dont vous souhaitez analyser l'accès, au format PRINCIPAL_TYPE:ID, par exemple user:my-user@example.com Pour obtenir la liste complète des types de comptes principaux, consultez Identifiants principaux.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facultatif. La les autorisations que vous souhaitez vérifier, par exemple compute.instances.get. Si vous plusieurs autorisations, Policy Analyzer recherche celles listées.
QUERY_ID: ID à utiliser pour la requête enregistrée, qui doit être unique dans la ressource parente spécifiée (projet, dossier ou organisation). Vous pouvez utiliser des lettres, des chiffres et des traits d'union dans l'ID de requête.
RESOURCE_TYPE: type de ressource pour lequel vous souhaitez enregistrer une requête. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, dossier ou pour laquelle vous souhaitez enregistrer une requête. Les ID de projet peuvent être alphanumériques ou numérique. Les ID de dossier et d'organisation sont numériques.
LABEL_KEY et LABEL_VALUE : facultatifs. A de paires clé/valeur séparées par des virgules à rattacher à la requête, qui peuvent être utilisées dans les fonctions de recherche et lister les opérations. Vous pouvez inclure jusqu'à 10 étiquettes par requête enregistrée.
DESCRIPTION : facultatif. Chaîne décrivant la requête.

Enregistrez le code suivant dans un fichier nommé request.json :

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

La réponse contient la requête enregistrée. Voici un exemple:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Pour créer une requête Policy Analyzer enregistrée dans un projet, un dossier ou un élément parent de votre organisation, utilisez l'API Cloud Asset Inventory savedQueries.create .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource pour lequel vous souhaitez enregistrer une requête. Utilisez la valeur projects, folders ou organizations.
RESOURCE_ID: ID du projet, dossier ou pour laquelle vous souhaitez enregistrer une requête. Les ID de projet peuvent être alphanumériques ou numérique. Les ID de dossier et d'organisation sont numériques.
QUERY_ID: ID à utiliser pour la requête enregistrée, qui doit être unique dans la ressource parente spécifiée (projet, dossier ou organisation). Vous pouvez utiliser des lettres, des chiffres et des traits d'union dans l'ID de requête.
SCOPE_RESOURCE_TYPE: type de la ressource souhaitée pour limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants sont analysés. Utiliser la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du Projet, dossier ou organisation Google Cloud auxquels vous souhaitez appliquer le champ d'application votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysés. Les ID de projet sont des chaînes alphanumériques, comme my-project. Les ID de dossier et d'organisation sont numériques, par exemple : 123456789012
FULL_RESOURCE_NAME : facultatif. Le nom complet de la ressource pour lesquels vous souhaitez analyser l'accès. Pour obtenir la liste des formats de nom de ressource complet, consultez Format du nom de ressource.
PRINCIPAL : facultatif. Le compte principal dont vous souhaitez analyser l'accès, au format PRINCIPAL_TYPE:ID, par exemple user:my-user@example.com Pour obtenir la liste complète des types de comptes principaux, consultez Identifiants principaux.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facultatif. La les autorisations que vous souhaitez vérifier, par exemple compute.instances.get. Si vous plusieurs autorisations, Policy Analyzer recherche celles listées.
LABEL_KEY et LABEL_VALUE : facultatifs. Une clé-valeur à associer à la requête, qui peut être utilisée dans les opérations de recherche et de liste. Vous pouvez inclure jusqu'à 10 étiquettes par requête enregistrée.
DESCRIPTION : facultatif. Chaîne décrivant la requête.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Corps JSON de la requête :

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Copiez le corps de la requête et ouvrez la page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Collez le corps de la requête dans cet outil, renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

La réponse contient la requête enregistrée. Voici un exemple:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Exécuter une requête enregistrée

gcloud

Pour exécuter une requête d'analyse enregistrée, utilisez la gcloud asset analyze-iam-policy .

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

SCOPE_RESOURCE_TYPE: type de la ressource souhaitée pour limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants sont analysés. Utiliser la valeur project, folder ou organization.
SCOPE_RESOURCE_ID: ID du Projet, dossier ou organisation Google Cloud auxquels vous souhaitez appliquer le champ d'application votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysés. Les ID de projet sont des chaînes alphanumériques, comme my-project. Les ID de dossier et d'organisation sont numériques, par exemple : 123456789012
RESOURCE_TYPE_PLURAL: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet Google Cloud le dossier ou l'organisation dans lequel la requête est enregistrée. Vous ne pouvez pas utiliser de code de projet alphanumérique pour identifier un projet. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez utiliser.

Exécutez la gcloud asset analyze-iam-policy :

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

La réponse contient les résultats de l'exécution de la requête enregistrée sur la ressource spécifiée. Pour des exemples de résultats de requête, reportez-vous à la section Analyser Stratégies IAM.

REST

Pour exécuter une requête d'analyse enregistrée, utilisez l'API Cloud Asset Inventory analyzeIamPolicy .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

SCOPE_RESOURCE_TYPE: type de la ressource souhaitée pour limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants sont analysés. Utiliser la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du Projet, dossier ou organisation Google Cloud auxquels vous souhaitez appliquer le champ d'application votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysés. Les ID de projet sont des chaînes alphanumériques, comme my-project. Les ID de dossier et d'organisation sont numériques, par exemple : 123456789012
RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet Google Cloud le dossier ou l'organisation dans lequel la requête est enregistrée. Vous ne pouvez pas utiliser de code de projet alphanumérique pour identifier un projet. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez utiliser.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Corps JSON de la requête :

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navigateur)

Obtenir une requête enregistrée

gcloud

Pour obtenir une requête Policy Analyzer enregistrée, utilisez la gcloud asset saved-queries get .

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

QUERY_ID: ID de la requête enregistrée que vous souhaitez obtenir.
RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, dossier ou l'organisation dans laquelle la requête est enregistrée. Les ID de projet peuvent être alphanumériques ou numériques. Dossier et les ID d'organisation sont numériques.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

La réponse contient la requête enregistrée. Voici un exemple:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Pour obtenir une requête enregistrée dans Policy Analyzer, utilisez l'API Cloud Asset Inventory savedQueries.get .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet Google Cloud le dossier ou l'organisation dans lequel la requête est enregistrée. Vous ne pouvez pas utiliser de code de projet alphanumérique pour identifier un projet. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez obtenir.

Méthode HTTP et URL :

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Ouvrez le page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

La réponse contient la requête enregistrée. Voici un exemple:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Répertorier les requêtes enregistrées

gcloud

Pour répertorier toutes les requêtes Policy Analyzer enregistrées dans un projet, un dossier ou dans votre organisation, utilisez gcloud asset saved-queries list .

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans lequel les requêtes sont enregistrées. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, dossier ou pour laquelle vous souhaitez répertorier les requêtes enregistrées. Les ID de projet peuvent être alphanumériques ou numérique. Les ID de dossier et d'organisation sont numériques.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

La réponse contient toutes les requêtes Policy Analyzer enregistrées pour le projet, le dossier ou l'organisation. Voici un exemple:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Pour répertorier toutes les requêtes Policy Analyzer enregistrées dans un projet, un dossier ou de votre organisation, utilisez l'API Cloud Asset Inventory savedQueries.list .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans lequel les requêtes sont enregistrées. Utilisez la valeur projects, folders ou organizations.
RESOURCE_ID: ID du projet, dossier ou pour laquelle vous souhaitez répertorier les requêtes enregistrées. Les ID de projet peuvent être alphanumériques ou numérique. Les ID de dossier et d'organisation sont numériques.

Méthode HTTP et URL :

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

APIs Explorer (navigateur)

La réponse contient toutes les requêtes Policy Analyzer enregistrées pour le projet, le dossier ou l'organisation. Voici un exemple:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Mettre à jour une requête enregistrée

gcloud

Pour mettre à jour une requête Policy Analyzer enregistrée, utilisez la gcloud asset saved-queries update .

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

UPDATED_QUERY : facultatif. La requête Policy Analyzer mise à jour que vous à enregistrer. Pour savoir comment mettre en forme la requête, consultez l'article Créer une requête enregistrée.
RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur project, folder ou organization.
QUERY_ID: ID de la requête enregistrée que vous souhaitez modifier.
RESOURCE_ID: ID du projet, dossier ou l'organisation dans laquelle la requête est enregistrée. Les ID de projet peuvent être alphanumériques ou numériques. Dossier et les ID d'organisation sont numériques.
UPDATED_LABELS : facultatif. Libellés mis à jour que vous souhaitez associer la requête enregistrée. Vous pouvez également supprimer des étiquettes l'option --remove-labels="KEY_1,KEY_2", ou effacer tous les libellés avec l'indicateur --clear-labels.
UPDATED_DESCRIPTION : facultatif. Une nouvelle description de l'élément enregistré requête.

Enregistrez le code suivant dans un fichier nommé request.json :

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

La réponse contient la requête mise à jour.

REST

Pour mettre à jour une requête enregistrée dans Policy Analyzer, utilisez l'API Cloud Asset Inventory savedQueries.patch .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet Google Cloud le dossier ou l'organisation dans lequel la requête est enregistrée. Vous ne pouvez pas utiliser de code de projet alphanumérique pour identifier un projet. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez modifier.
UPDATED_FIELDS: listes des champs souhaités, séparés par une virgule à mettre à jour. Par exemple, si vous mettez à jour les champs de contenu, de libellés et de description, vous devez utiliser la valeur content,labels,description.
UPDATED_QUERY : facultatif. La requête Policy Analyzer mise à jour que vous à enregistrer. Pour savoir comment mettre en forme la requête, consultez l'article Créer une requête enregistrée.
UPDATED_LABELS : facultatif. Libellés mis à jour que vous souhaitez associer la requête enregistrée.
UPDATED_DESCRIPTION : facultatif. Une nouvelle description de l'élément enregistré requête.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Corps JSON de la requête :

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

APIs Explorer (navigateur)

La réponse contient la requête mise à jour.

Supprimer une requête enregistrée

gcloud

Pour supprimer une requête Policy Analyzer enregistrée, utilisez la gcloud asset saved-queries delete .

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

QUERY_ID: ID de la requête enregistrée que vous souhaitez supprimer.
RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur project, folder ou organization.
RESOURCE_NUM_ID: ID numérique du projet Google Cloud le dossier ou l'organisation dans lequel la requête est enregistrée. Vous ne pouvez pas utiliser de code de projet alphanumérique pour identifier un projet. Vous devez utiliser son numéro.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Pour supprimer une requête de Policy Analyzer enregistrée, utilisez l'API Cloud Asset Inventory savedQueries.delete .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet Google Cloud le dossier ou l'organisation dans lequel la requête est enregistrée. Vous ne pouvez pas utiliser de code de projet alphanumérique pour identifier un projet. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez supprimer.

Méthode HTTP et URL :

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Si la requête est correctement supprimée, l'API renvoie une réponse vide.