Diese Seite wurde von der Cloud Translation API übersetzt.

Gespeicherte Abfragen verwalten

Auf dieser Seite wird gezeigt, wie Sie gespeicherte Policy Analyzer-Abfragen erstellen, verwalten und ausführen. Sie können bis zu 200 gespeicherte Abfragen für ein Asset erstellen. Dieses Limit umfasst nicht die gespeicherten Abfragen seiner untergeordneten Elemente. Beispiel: Sie haben 10 Projekte unter Organisation kann jedes Projekt bis zu 200 gespeicherte Abfragen und die Organisation bis zu 200 gespeicherte Abfragen haben.

Hinweise

Cloud Asset API aktivieren.
Aktivieren Sie die API

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Erstellen und Verwalten gespeicherter Abfragen benötigen, bitten Sie Ihren Administrator, Ihnen Die IAM-Rolle Cloud Asset Owner (roles/cloudasset.owner) für das Projekt, den Ordner oder die Organisation, die Sie speichern an die Ihre Abfrage gerichtet wird. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält Berechtigungen zum Erstellen und Verwalten gespeicherter Abfragen Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Zum Erstellen und Verwalten gespeicherter Abfragen sind die folgenden Berechtigungen erforderlich:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Gespeicherte Suchanfrage erstellen

gcloud

So erstellen Sie eine gespeicherte Policy Analyzer-Abfrage in einem übergeordneten Projekt, Ordner oder Unternehmen, nutzen Sie die gcloud asset saved-queries create .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

SCOPE_RESOURCE_TYPE_PLURAL: Der Typ der gewünschten Ressource. um Ihre Suche auf Pluralform zu beschränken. Nur IAM-Zulassungsrichtlinien, die angehängt sind diese Ressource und ihre Nachfolgerelemente analysiert werden. Wert verwenden projects, folders oder organizations.
SCOPE_RESOURCE_ID: Die ID des Google Cloud-Projekt, ‐Ordner oder ‐Organisation, deren Umfang Sie festlegen möchten um Ihre Suche zu ergänzen. Nur IAM-Zulassungsrichtlinien, die an diese Ressource angehängt sind, und und Nachfolgerelemente analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012
FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcenname der Ressource, die deren Zugriff Sie analysieren möchten. Eine Liste aller Formate für Ressourcennamen finden Sie unter Format des Ressourcennamens:
PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach allen aufgeführten Berechtigungen.
QUERY_ID: Die ID, die für die gespeicherte Abfrage verwendet werden soll. Sie muss in Die angegebene übergeordnete Ressource (Projekt, Ordner oder Organisation) Sie können Buchstaben, Zahlen und Bindestriche in der Abfrage-ID.
RESOURCE_TYPE: Der Ressourcentyp, für den Sie eine Abfrage speichern möchten. Verwenden Sie den Wert project, folder oder organization.
RESOURCE_ID: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, für die Sie eine Abfrage speichern möchten. Projekt-IDs können alphanumerisch sein oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
LABEL_KEY und LABEL_VALUE: Optional. A kommagetrennte Liste von Schlüssel/Wert-Paaren, die an die Abfrage angehängt werden können und die für Such- und Vorgänge auflisten. Sie können für jede gespeicherte Abfrage bis zu zehn Labels einfügen.
DESCRIPTION: Optional. Ein String, der die Abfrage beschreibt.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

Die Antwort enthält die gespeicherte Abfrage. Sie könnte zum Beispiel so aussehen:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

So erstellen Sie eine gespeicherte Policy Analyzer-Abfrage in einem übergeordneten Projekt, Ordner oder Unternehmen der Cloud Asset Inventory API savedQueries.create .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, für den Sie eine Abfrage speichern möchten. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_ID: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, für die Sie eine Abfrage speichern möchten. Projekt-IDs können alphanumerisch sein oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
QUERY_ID: Die ID, die für die gespeicherte Abfrage verwendet werden soll. Sie muss in Die angegebene übergeordnete Ressource (Projekt, Ordner oder Organisation) Sie können Buchstaben, Ziffern und Bindestriche in der Abfrage-ID.
SCOPE_RESOURCE_TYPE: Der Typ der gewünschten Ressource. um Ihre Suche einzugrenzen. Nur IAM-Zulassungsrichtlinien, die angehängt sind diese Ressource und ihre Nachfolgerelemente analysiert werden. Wert verwenden projects, folders oder organizations.
SCOPE_RESOURCE_ID: Die ID des Google Cloud-Projekt, ‐Ordner oder ‐Organisation, deren Umfang Sie festlegen möchten um Ihre Suche zu ergänzen. Nur IAM-Zulassungsrichtlinien, die an diese Ressource angehängt sind, und und Nachfolgerelemente analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012
FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcenname der Ressource, die deren Zugriff Sie analysieren möchten. Eine Liste aller Formate für Ressourcennamen finden Sie unter Format des Ressourcennamens:
PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach allen aufgeführten Berechtigungen.
LABEL_KEY und LABEL_VALUE: Optional. Ein Schlüssel/Wert-Paar -Paar zum Anhängen an die Abfrage, das in Such- und Listenvorgängen verwendet werden kann. Sie können bis zu 10 Labels für jede gespeicherte Abfrage.
DESCRIPTION: Optional. Ein String, der die Abfrage beschreibt.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

JSON-Text anfordern:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

APIs Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

Die Antwort enthält die gespeicherte Abfrage. Sie könnte zum Beispiel so aussehen:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Gespeicherte Abfrage ausführen

gcloud

Um eine gespeicherte Analyseabfrage auszuführen, verwenden Sie die Methode gcloud asset analyze-iam-policy .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

SCOPE_RESOURCE_TYPE: Der Typ der gewünschten Ressource. um Ihre Suche einzugrenzen. Nur IAM-Zulassungsrichtlinien, die angehängt sind diese Ressource und ihre Nachfolgerelemente analysiert werden. Wert verwenden project, folder oder organization.
SCOPE_RESOURCE_ID: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, deren Umfang Sie festlegen möchten um Ihre Suche zu ergänzen. Nur IAM-Zulassungsrichtlinien, die an diese Ressource angehängt sind, und und Nachfolgerelemente analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012
RESOURCE_TYPE_PLURAL: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_NUM_ID: Die numerische ID des Google Cloud-Projekts. Ordner oder Organisation, in der die Abfrage gespeichert ist. Sie können das alphanumerische Projekt nicht verwenden ID zur Identifizierung eines Projekts – Sie müssen die Projektnummer verwenden.
QUERY_ID: Die ID der gespeicherten Abfrage, die Sie verwenden möchten.

Führen Sie den gcloud asset Analyzer-iam-policy Befehl:

Linux, macOS oder Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Die Antwort enthält die Ergebnisse der Ausführung der gespeicherten Abfrage für die angegebene Ressource. Für Beispiele für Abfrageergebnisse finden Sie unter Analysieren IAM-Richtlinien

REST

Verwenden Sie zum Ausführen einer gespeicherten Analyseabfrage die analyzeIamPolicy .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE_RESOURCE_TYPE: Der Typ der gewünschten Ressource. um Ihre Suche einzugrenzen. Nur IAM-Zulassungsrichtlinien, die angehängt sind diese Ressource und ihre Nachfolgerelemente analysiert werden. Wert verwenden projects, folders oder organizations.
SCOPE_RESOURCE_ID: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, deren Umfang Sie festlegen möchten um Ihre Suche zu ergänzen. Nur IAM-Zulassungsrichtlinien, die an diese Ressource angehängt sind, und und Nachfolgerelemente analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012
RESOURCE_TYPE: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_NUM_ID: Die numerische ID des Google Cloud-Projekts. Ordner oder Organisation, in der die Abfrage gespeichert ist. Sie können das alphanumerische Projekt nicht verwenden ID zur Identifizierung eines Projekts – Sie müssen die Projektnummer verwenden.
QUERY_ID: Die ID der gespeicherten Abfrage, die Sie verwenden möchten.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

JSON-Text anfordern:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (Browser)

Die Antwort enthält die Ergebnisse der Ausführung der gespeicherten Abfrage für die angegebene Ressource. Für Beispiele für Abfrageergebnisse finden Sie unter Analysieren IAM-Richtlinien

Gespeicherte Abfrage abrufen

gcloud

Verwenden Sie zum Abrufen einer gespeicherten Policy Analyzer-Abfrage die Methode gcloud asset saved-queries get .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

QUERY_ID: Die ID der gespeicherten Abfrage, die Sie abrufen möchten.
RESOURCE_TYPE: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wert project, folder oder organization.
RESOURCE_ID: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, in der die Abfrage gespeichert wird. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner und Organisations-IDs numerisch sind.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Die Antwort enthält die gespeicherte Abfrage. Sie könnte zum Beispiel so aussehen:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Wenn Sie eine gespeicherte Policy Analyzer-Abfrage abrufen möchten, verwenden Sie die savedQueries.get .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_NUM_ID: Die numerische ID des Google Cloud-Projekts. Ordner oder Organisation, in der die Abfrage gespeichert ist. Sie können das alphanumerische Projekt nicht verwenden ID zur Identifizierung eines Projekts – Sie müssen die Projektnummer verwenden.
QUERY_ID: Die ID der gespeicherten Abfrage, die Sie abrufen möchten.

HTTP-Methode und URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (Browser)

Öffnen Sie das Methodenreferenzseite. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Füllen Sie die Pflichtfelder aus und klicken Sie auf Ausführen.

Die Antwort enthält die gespeicherte Abfrage. Sie könnte zum Beispiel so aussehen:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Gespeicherte Abfragen auflisten

gcloud

So listen Sie alle gespeicherten Policy Analyzer-Abfragen in einem Projekt, Ordner oder Unternehmen, nutzen Sie die gcloud asset saved-queries list .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfragen gespeichert werden. Verwenden Sie den Wert project, folder oder organization.
RESOURCE_ID: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, für die Sie gespeicherte Abfragen auflisten möchten. Projekt-IDs können alphanumerisch sein oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Die Antwort enthält alle gespeicherten Policy Analyzer-Abfragen für das Projekt, den Ordner oder die Organisation. Sie könnte zum Beispiel so aussehen:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

So listen Sie alle gespeicherten Policy Analyzer-Abfragen in einem Projekt, Ordner oder Unternehmen der Cloud Asset Inventory API savedQueries.list .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfragen gespeichert werden. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_ID: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, für die Sie gespeicherte Abfragen auflisten möchten. Projekt-IDs können alphanumerisch sein oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.

HTTP-Methode und URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

APIs Explorer (Browser)

Die Antwort enthält alle gespeicherten Policy Analyzer-Abfragen für das Projekt, den Ordner oder die Organisation. Sie könnte zum Beispiel so aussehen:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Gespeicherte Abfrage aktualisieren

gcloud

Verwenden Sie zum Aktualisieren einer gespeicherten Policy Analyzer-Abfrage die Methode gcloud asset saved-queries update .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

UPDATED_QUERY: Optional. Die aktualisierte Policy Analyzer-Abfrage, die Sie die Sie speichern möchten. Informationen zum Formatieren der Abfrage finden Sie unter Gespeicherte Abfragen erstellen.
RESOURCE_TYPE: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wert project, folder oder organization.
QUERY_ID: Die ID der gespeicherten Abfrage, die Sie bearbeiten möchten.
RESOURCE_ID: die ID des Google Cloud-Projekts, des Ordners oder des Organisation, in der die Abfrage gespeichert wird. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner und Organisations-IDs numerisch sind.
UPDATED_LABELS: Optional. Die aktualisierten Labels, die Sie anhängen möchten der gespeicherten Abfrage. Sie können Labels auch entfernen, indem Sie --remove-labels="KEY_1,KEY_2" oder löschen Sie alle Labels mit Das Flag --clear-labels.
UPDATED_DESCRIPTION: Optional. Eine aktualisierte Beschreibung der gespeicherten Abfrage.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

Die Antwort enthält die aktualisierte Abfrage.

REST

Verwenden Sie zum Aktualisieren einer gespeicherten Policy Analyzer-Abfrage die der Cloud Asset Inventory API savedQueries.patch .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_NUM_ID: Die numerische ID des Google Cloud-Projekts. Ordner oder Organisation, in der die Abfrage gespeichert ist. Sie können das alphanumerische Projekt nicht verwenden ID zur Identifizierung eines Projekts – Sie müssen die Projektnummer verwenden.
QUERY_ID: Die ID der gespeicherten Abfrage, die Sie bearbeiten möchten.
UPDATED_FIELDS: Eine durch Kommas getrennte Liste der Felder, die Sie verwenden möchten. zu aktualisieren. Wenn Sie beispielsweise die Felder für Inhalt, Labels und Beschreibung aktualisieren, würden Sie den Wert content,labels,description verwenden.
UPDATED_QUERY: Optional. Die aktualisierte Policy Analyzer-Abfrage, die Sie die Sie speichern möchten. Informationen zum Formatieren der Abfrage finden Sie unter Gespeicherte Abfragen erstellen.
UPDATED_LABELS: Optional. Die aktualisierten Labels, die Sie anhängen möchten der gespeicherten Abfrage.
UPDATED_DESCRIPTION: Optional. Eine aktualisierte Beschreibung der gespeicherten Abfrage.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

JSON-Text anfordern:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

APIs Explorer (Browser)

Die Antwort enthält die aktualisierte Abfrage.

Gespeicherte Abfragen löschen

gcloud

Verwenden Sie zum Löschen einer gespeicherten Policy Analyzer-Abfrage die Methode gcloud asset saved-queries delete .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

QUERY_ID: Die ID der gespeicherten Abfrage, die Sie löschen möchten.
RESOURCE_TYPE: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wert project, folder oder organization.
RESOURCE_NUM_ID: Die numerische ID des Google Cloud-Projekts. Ordner oder Organisation, in der die Abfrage gespeichert ist. Sie können das alphanumerische Projekt nicht verwenden ID zur Identifizierung eines Projekts – Sie müssen die Projektnummer verwenden.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Verwenden Sie zum Löschen einer gespeicherten Policy Analyzer-Abfrage die der Cloud Asset Inventory API savedQueries.delete .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, unter dem die Abfrage gespeichert wird. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_NUM_ID: Die numerische ID des Google Cloud-Projekts. Ordner oder Organisation, in der die Abfrage gespeichert ist. Sie können das alphanumerische Projekt nicht verwenden ID zur Identifizierung eines Projekts – Sie müssen die Projektnummer verwenden.
QUERY_ID: Die ID der gespeicherten Abfrage, die Sie löschen möchten.

HTTP-Methode und URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (Browser)

Wenn die Abfrage erfolgreich gelöscht wurde, gibt die API eine leere Antwort zurück.