Halaman ini diterjemahkan oleh Cloud Translation API.

Kelola kueri tersimpan

Halaman ini menunjukkan cara membuat, mengelola, dan menjalankan kueri Penganalisis Kebijakan tersimpan. Anda dapat membuat hingga 200 kueri tersimpan di aset. Batas ini tidak mencakup kueri tersimpan turunannya. Misalnya, jika Anda memiliki 10 project dalam organisasi, setiap project dapat memiliki hingga 200 kueri tersimpan dan organisasi dapat memiliki hingga 200 kueri tersimpan.

Sebelum memulai

Enable the Cloud Asset API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat dan mengelola kueri tersimpan, minta administrator untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner) di project, folder, atau organisasi tempat Anda akan menyimpan kueri. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dan mengelola kueri tersimpan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola kueri tersimpan:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Buat kueri yang disimpan

gcloud

Untuk membuat kueri Penganalisis Kebijakan tersimpan dalam project, folder, atau organisasi induk, gunakan perintah gcloud asset saved-queries create.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

SCOPE_RESOURCE_TYPE_PLURAL: Jenis resource yang ingin Anda cakupkan penelusuran Anda, dalam bentuk jamak. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan turunannya yang akan dianalisis. Gunakan nilai projects, folders, atau organizations.
SCOPE_RESOURCE_ID: ID Google Cloud project, folder, atau organisasi yang ingin Anda cakupkan pencarian Anda. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan ke turunannya yang akan dianalisis. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
FULL_RESOURCE_NAME: Opsional. Nama resource lengkap dari resource yang ingin Anda analisis aksesnya. Untuk daftar format nama lengkap resource, lihat Format nama resource.
PRINCIPAL: Opsional. Principal yang aksesnya ingin Anda analisis, dalam bentuk PRINCIPAL_TYPE:ID—misalnya, user:my-user@example.com. Untuk mengetahui daftar lengkap jenis akun utama, lihat ID utama.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Opsional. Izin yang ingin Anda periksa—misalnya, compute.instances.get. Jika Anda mencantumkan beberapa izin, Penganalisis Kebijakan akan memeriksa izin yang tercantum.
QUERY_ID: ID yang akan digunakan untuk kueri tersimpan, yang harus unik di resource induk yang ditentukan (project, folder, atau organisasi). Anda dapat menggunakan huruf, angka, dan tanda hubung di ID kueri.
RESOURCE_TYPE: Jenis resource yang ingin Anda simpan kuerinya. Gunakan nilai project, folder, atau organization.
RESOURCE_ID: ID Google Cloud project, folder, atau organisasi yang ingin Anda simpan kuerinya. Project ID dapat berupa alfanumerik atau numerik. Folder dan ID organisasi berupa numerik.
LABEL_KEY dan LABEL_VALUE: Opsional. Daftar key/value pair yang dipisahkan koma untuk dilampirkan ke kueri, yang dapat digunakan dalam operasi penelusuran dan daftar. Anda dapat menyertakan hingga 10 label untuk setiap kueri tersimpan.
DESCRIPTION: Opsional. String yang menjelaskan kueri.

Simpan konten berikut ini dalam file yang bernama request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

Respons berisi kueri yang disimpan. Misalnya, tampilannya mungkin seperti berikut:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Untuk membuat kueri Penganalisis Kebijakan tersimpan dalam project induk, folder, atau organisasi, gunakan metode savedQueries.create Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource yang ingin Anda simpan kuerinya. Gunakan nilai projects, folders, atau organizations.
RESOURCE_ID: ID Google Cloud project, folder, atau organisasi yang ingin Anda simpan kuerinya. Project ID dapat berupa alfanumerik atau numerik. Folder dan ID organisasi berupa numerik.
QUERY_ID: ID yang akan digunakan untuk kueri tersimpan, yang harus unik di resource induk yang ditentukan (project, folder, atau organisasi). Anda dapat menggunakan huruf, angka, dan tanda hubung di ID kueri.
SCOPE_RESOURCE_TYPE: Jenis resource yang ingin Anda cakupkan penelusuran Anda. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan turunannya yang akan dianalisis. Gunakan nilai projects, folders, atau organizations.
SCOPE_RESOURCE_ID: ID Google Cloud project, folder, atau organisasi yang ingin Anda cakupkan pencarian Anda. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan ke turunannya yang akan dianalisis. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
FULL_RESOURCE_NAME: Opsional. Nama resource lengkap dari resource yang ingin Anda analisis aksesnya. Untuk daftar format nama lengkap resource, lihat Format nama resource.
PRINCIPAL: Opsional. Principal yang aksesnya ingin Anda analisis, dalam bentuk PRINCIPAL_TYPE:ID—misalnya, user:my-user@example.com. Untuk mengetahui daftar lengkap jenis akun utama, lihat ID utama.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Opsional. Izin yang ingin Anda periksa—misalnya, compute.instances.get. Jika Anda mencantumkan beberapa izin, Penganalisis Kebijakan akan memeriksa izin yang tercantum.
LABEL_KEY dan LABEL_VALUE: Opsional. Pasangan key/value untuk dilampirkan ke kueri, yang dapat digunakan dalam operasi penelusuran dan daftar. Anda dapat menyertakan hingga 10 label untuk setiap kueri tersimpan.
DESCRIPTION: Opsional. String yang menjelaskan kueri.

Metode HTTP dan URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Meminta isi JSON:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

APIs Explorer (browser)

Salin isi permintaan dan buka halaman referensi metode. Panel APIs Explorer terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempelkan isi permintaan di alat ini, lengkapi kolom lainnya yang wajib diisi, lalu klik Jalankan.

Respons berisi kueri yang disimpan. Misalnya, tampilannya mungkin seperti berikut:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Menjalankan kueri tersimpan

gcloud

Untuk menjalankan kueri analisis tersimpan, gunakan perintah gcloud asset analyze-iam-policy.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

SCOPE_RESOURCE_TYPE: Jenis resource yang ingin Anda cakupkan penelusuran Anda. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan turunannya yang akan dianalisis. Gunakan nilai project, folder, atau organization.
SCOPE_RESOURCE_ID: ID Google Cloud project, folder, atau organisasi yang ingin Anda cakupkan pencarian Anda. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan ke turunannya yang akan dianalisis. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
RESOURCE_TYPE_PLURAL: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik Google Cloud project, folder, atau organisasi tempat kueri disimpan. Anda tidak dapat menggunakan ID project alfanumerik untuk mengidentifikasi project—Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda gunakan.

Jalankan perintah gcloud asset analyze-iam-policy:

Linux, macOS, atau Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Respons berisi hasil menjalankan kueri tersimpan pada resource yang ditentukan. Untuk contoh hasil kueri, lihat Menganalisis kebijakan IAM.

REST

Untuk menjalankan kueri analisis tersimpan, gunakan metode analyzeIamPolicy Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE_RESOURCE_TYPE: Jenis resource yang ingin Anda cakupkan penelusuran Anda. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan turunannya yang akan dianalisis. Gunakan nilai projects, folders, atau organizations.
SCOPE_RESOURCE_ID: ID Google Cloud project, folder, atau organisasi yang ingin Anda cakupkan pencarian Anda. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan ke turunannya yang akan dianalisis. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik Google Cloud project, folder, atau organisasi tempat kueri disimpan. Anda tidak dapat menggunakan ID project alfanumerik untuk mengidentifikasi project—Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda gunakan.

Metode HTTP dan URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Meminta isi JSON:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (browser)

Respons berisi hasil menjalankan kueri tersimpan pada resource yang ditentukan. Untuk contoh hasil kueri, lihat Menganalisis kebijakan IAM.

Mendapatkan kueri tersimpan

gcloud

Untuk mendapatkan kueri Penganalisis Kebijakan yang disimpan, gunakan perintah gcloud asset saved-queries get.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

QUERY_ID: ID kueri tersimpan yang ingin Anda dapatkan.
RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai project, folder, atau organization.
RESOURCE_ID: ID Google Cloud project, folder, atau organisasi tempat kueri disimpan. Project ID dapat berupa alfanumerik atau numerik. Folder dan ID organisasi berupa numerik.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Respons berisi kueri yang disimpan. Misalnya, tampilannya mungkin seperti berikut:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Untuk mendapatkan kueri Policy Analyzer tersimpan, gunakan metode savedQueries.get Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik Google Cloud project, folder, atau organisasi tempat kueri disimpan. Anda tidak dapat menggunakan ID project alfanumerik untuk mengidentifikasi project—Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda dapatkan.

Metode HTTP dan URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (browser)

Buka halaman referensi metode. Panel APIs Explorer terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Lengkapi kolom yang wajib diisi, lalu klik Jalankan.

Respons berisi kueri yang disimpan. Misalnya, tampilannya mungkin seperti berikut:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Mencantumkan kueri tersimpan

gcloud

Untuk mencantumkan semua kueri Penganalisis Kebijakan tersimpan dalam project, folder, atau organisasi, gunakan perintah gcloud asset saved-queries list.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai project, folder, atau organization.
RESOURCE_ID: ID Google Cloud project, folder, atau organisasi yang ingin Anda cantumkan untuk kueri tersimpan. Project ID dapat berupa alfanumerik atau numerik. Folder dan ID organisasi berupa numerik.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Respons berisi semua kueri Penganalisis Kebijakan yang disimpan untuk project, folder, atau organisasi. Misalnya, tampilannya mungkin seperti berikut:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Untuk mencantumkan semua kueri Penganalisis Kebijakan tersimpan dalam project, folder, atau organisasi, gunakan metode savedQueries.list Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_ID: ID Google Cloud project, folder, atau organisasi yang ingin Anda cantumkan untuk kueri tersimpan. Project ID dapat berupa alfanumerik atau numerik. Folder dan ID organisasi berupa numerik.

Metode HTTP dan URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

APIs Explorer (browser)

Respons berisi semua kueri Penganalisis Kebijakan yang disimpan untuk project, folder, atau organisasi. Misalnya, tampilannya mungkin seperti berikut:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Memperbarui kueri tersimpan

gcloud

Untuk memperbarui kueri Policy Analyzer tersimpan, gunakan perintah gcloud asset saved-queries update.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

UPDATED_QUERY: Opsional. Kueri Penganalisis Kebijakan yang diperbarui yang ingin Anda simpan. Untuk mempelajari cara memformat kueri, lihat Membuat kueri tersimpan.
RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai project, folder, atau organization.
QUERY_ID: ID kueri tersimpan yang ingin Anda edit.
RESOURCE_ID: ID Google Cloud project, folder, atau organisasi tempat kueri disimpan. Project ID dapat berupa alfanumerik atau numerik. Folder dan ID organisasi berupa numerik.
UPDATED_LABELS: Opsional. Label yang diperbarui yang ingin Anda lampirkan ke kueri tersimpan. Anda juga dapat menghapus label dengan flag --remove-labels="KEY_1,KEY_2", atau menghapus semua label dengan flag --clear-labels.
UPDATED_DESCRIPTION: Opsional. Deskripsi yang diperbarui untuk kueri tersimpan.

Simpan konten berikut ini dalam file yang bernama request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

Respons berisi kueri yang telah diperbarui.

REST

Untuk memperbarui kueri Policy Analyzer tersimpan, gunakan metode savedQueries.patch Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik Google Cloud project, folder, atau organisasi tempat kueri disimpan. Anda tidak dapat menggunakan ID project alfanumerik untuk mengidentifikasi project—Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda edit.
UPDATED_FIELDS: Daftar kolom yang dipisahkan koma yang ingin Anda perbarui. Misalnya, jika Anda memperbarui kolom konten, label, dan deskripsi, Anda akan menggunakan nilai content,labels,description.
UPDATED_QUERY: Opsional. Kueri Penganalisis Kebijakan yang diperbarui yang ingin Anda simpan. Untuk mempelajari cara memformat kueri, lihat Membuat kueri tersimpan.
UPDATED_LABELS: Opsional. Label yang diperbarui yang ingin Anda lampirkan ke kueri tersimpan.
UPDATED_DESCRIPTION: Opsional. Deskripsi yang diperbarui untuk kueri tersimpan.

Metode HTTP dan URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Meminta isi JSON:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

APIs Explorer (browser)

Respons berisi kueri yang telah diperbarui.

Menghapus kueri tersimpan

gcloud

Untuk menghapus kueri Penganalisis Kebijakan tersimpan, gunakan perintah gcloud asset saved-queries delete.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

QUERY_ID: ID kueri tersimpan yang ingin Anda hapus.
RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai project, folder, atau organization.
RESOURCE_NUM_ID: ID numerik Google Cloud project, folder, atau organisasi tempat kueri disimpan. Anda tidak dapat menggunakan ID project alfanumerik untuk mengidentifikasi project—Anda harus menggunakan nomor project.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Untuk menghapus kueri Policy Analyzer tersimpan, gunakan metode savedQueries.delete Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik Google Cloud project, folder, atau organisasi tempat kueri disimpan. Anda tidak dapat menggunakan ID project alfanumerik untuk mengidentifikasi project—Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda hapus.

Metode HTTP dan URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (browser)

Jika kueri berhasil dihapus, API akan menampilkan respons kosong.