Questa pagina è stata tradotta dall'API Cloud Translation.

Gestisci query salvate

Questa pagina mostra come creare, gestire ed eseguire Query di Policy Analyzer. Puoi creare fino a 200 query salvate su un asset. Questo limite non include le query salvate dei relativi figli. Ad esempio, se hai 10 progetti in un'organizzazione, ogni progetto può avere fino a 200 query salvate un'organizzazione può salvare fino a 200 query.

Prima di iniziare

Attiva Cloud Asset API.
Abilita l'API

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare e gestire le query salvate, chiedi all'amministratore di concederti Ruolo IAM di Proprietario asset cloud (roles/cloudasset.owner) nel progetto, nella cartella o nell'organizzazione che salverai a cui vuoi indirizzare la query. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questo ruolo predefinito contiene le autorizzazioni necessarie per creare e gestire le query salvate. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per creare e gestire le query salvate sono necessarie le seguenti autorizzazioni:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Crea una query salvata

gcloud

Per creare una query salvata di Policy Analyzer in un progetto, una cartella o una cartella padre utilizza gcloud asset saved-queries create .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

SCOPE_RESOURCE_TYPE_PLURAL: il tipo di risorsa che vuoi per definire l'ambito della ricerca, in forma plurale. Solo i criteri di autorizzazione IAM collegati a verrà analizzata questa risorsa e i suoi discendenti. Utilizza il valore projects, folders o organizations.
SCOPE_RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud di cui vuoi definire l'ambito la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai relativi discendenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco dei formati dei nomi di risorsa completi, consulta Formato del nome della risorsa:
PRINCIPAL: facoltativo. L'entità di cui vuoi analizzare l'accesso, sotto forma PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori entità.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facoltativo. La autorizzazioni che vuoi controllare, ad esempio compute.instances.get. Se elencare più autorizzazioni, Policy Analyzer controllerà se sono presenti autorizzazioni elencate.
QUERY_ID: l'ID da utilizzare per la query salvata, che deve essere univoco in la risorsa padre specificata (progetto, cartella o organizzazione). Puoi usare lettere, numeri e trattini nell'ID query.
RESOURCE_TYPE: il tipo di risorsa per cui vuoi salvare una query. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del progetto, della cartella o organizzazione per cui vuoi salvare una query. Gli ID progetto possono essere alfanumerici o numerico. Gli ID cartella e organizzazione sono numerici.
LABEL_KEY e LABEL_VALUE: facoltativi. R un elenco separato da virgole di coppie chiave/valore da collegare alla query, che può essere utilizzato nella ricerca con le operazioni di elenco. Puoi includere fino a 10 etichette per ogni query salvata.
DESCRIPTION: facoltativo. Una stringa che descrive la query.

Salva i seguenti contenuti in un file denominato request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

La risposta contiene la query salvata. Ad esempio, potrebbe avere il seguente aspetto:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Per creare una query salvata di Policy Analyzer in un progetto, una cartella o una cartella padre per la tua organizzazione, utilizza il comando savedQueries.create .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa per cui vuoi salvare una query. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del progetto, della cartella o organizzazione per cui vuoi salvare una query. Gli ID progetto possono essere alfanumerici o numerico. Gli ID cartella e organizzazione sono numerici.
QUERY_ID: l'ID da utilizzare per la query salvata, che deve essere univoco in la risorsa padre specificata (progetto, cartella o organizzazione). Puoi usare lettere, numeri e trattini nell'ID query.
SCOPE_RESOURCE_TYPE: il tipo di risorsa che vuoi per definire l'ambito della ricerca. Solo i criteri di autorizzazione IAM collegati a verrà analizzata questa risorsa e i suoi discendenti. Utilizza il valore projects, folders o organizations.
SCOPE_RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud di cui vuoi definire l'ambito la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai relativi discendenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa per cui vuoi analizzare l'accesso. Per un elenco dei formati dei nomi di risorsa completi, consulta Formato del nome della risorsa:
PRINCIPAL: facoltativo. L'entità di cui vuoi analizzare l'accesso, sotto forma PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori entità.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facoltativo. La autorizzazioni che vuoi controllare, ad esempio compute.instances.get. Se elencare più autorizzazioni, Policy Analyzer controllerà se sono presenti autorizzazioni elencate.
LABEL_KEY e LABEL_VALUE: facoltativi. Una chiave-valore da associare alla query, che può essere utilizzata nelle operazioni di ricerca ed elenco. Puoi includere fino a 10 etichette per ogni query salvata.
DESCRIPTION: facoltativo. Una stringa che descrive la query.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Corpo JSON della richiesta:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri pagina di riferimento del metodo. Sul lato destro della pagina si apre il riquadro Explorer API. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila tutti gli altri campi obbligatori e fai clic su Esegui.

La risposta contiene la query salvata. Ad esempio, potrebbe avere il seguente aspetto:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Eseguire una query salvata

gcloud

Per eseguire una query di analisi salvata, utilizza la gcloud asset analyze-iam-policy .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

SCOPE_RESOURCE_TYPE: il tipo di risorsa che vuoi per definire l'ambito della ricerca. Solo i criteri di autorizzazione IAM collegati a verrà analizzata questa risorsa e i suoi discendenti. Utilizza il valore project, folder o organization.
SCOPE_RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud di cui vuoi definire l'ambito la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai relativi discendenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
RESOURCE_TYPE_PLURAL: il tipo di risorsa in cui viene salvata la query. Utilizza il valore projects, folders o organizations.
RESOURCE_NUM_ID: l'ID numerico del progetto Google Cloud, una cartella o un'organizzazione in cui è salvata la query. Non puoi utilizzare il progetto alfanumerico per identificare un progetto: devi utilizzare il numero del progetto.
QUERY_ID: l'ID della query salvata che vuoi utilizzare.

Esegui la gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

La risposta contiene i risultati dell'esecuzione della query salvata sulla risorsa specificata. Per di risultati di query, consulta Analizzare criteri IAM.

REST

Per eseguire una query di analisi salvata, utilizza il comando gcloud analyzeIamPolicy .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

SCOPE_RESOURCE_TYPE: il tipo di risorsa che vuoi per definire l'ambito della ricerca. Solo i criteri di autorizzazione IAM collegati a verrà analizzata questa risorsa e i suoi discendenti. Utilizza il valore projects, folders o organizations.
SCOPE_RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud di cui vuoi definire l'ambito la ricerca. Solo i criteri di autorizzazione IAM associati a questa risorsa e ai relativi discendenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
RESOURCE_TYPE: il tipo di risorsa in cui viene salvata la query. Utilizza il valore projects, folders o organizations.
RESOURCE_NUM_ID: l'ID numerico del progetto Google Cloud, una cartella o un'organizzazione in cui è salvata la query. Non puoi utilizzare il progetto alfanumerico per identificare un progetto: devi utilizzare il numero del progetto.
QUERY_ID: l'ID della query salvata che vuoi utilizzare.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Corpo JSON della richiesta:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorer API (browser)

La risposta contiene i risultati dell'esecuzione della query salvata sulla risorsa specificata. Per di risultati di query, consulta Analizzare criteri IAM.

Recuperare una query salvata

gcloud

Per recuperare una query di Policy Analyzer salvata, utilizza il gcloud asset saved-queries get .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

QUERY_ID: l'ID della query salvata che vuoi ottenere.
RESOURCE_TYPE: il tipo di risorsa in cui viene salvata la query. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione in cui viene salvata la query. Gli ID progetto possono essere alfanumerici o numerici. Cartelle e Gli ID organizzazione sono numerici.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

La risposta contiene la query salvata. Ad esempio, potrebbe avere il seguente aspetto:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Per recuperare una query di Policy Analyzer salvata, utilizza la classe savedQueries.get .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa in cui viene salvata la query. Utilizza il valore projects, folders o organizations.
RESOURCE_NUM_ID: l'ID numerico del progetto Google Cloud, una cartella o un'organizzazione in cui è salvata la query. Non puoi utilizzare il progetto alfanumerico per identificare un progetto: devi utilizzare il numero del progetto.
QUERY_ID: l'ID della query salvata che vuoi ottenere.

Metodo HTTP e URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Explorer API (browser)

Apri l'app pagina di riferimento del metodo. Sul lato destro della pagina si apre il riquadro Explorer API. Puoi interagire con questo strumento per inviare richieste. Compila tutti i campi obbligatori e fai clic su Esegui.

La risposta contiene la query salvata. Ad esempio, potrebbe avere il seguente aspetto:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Elenca le query salvate

gcloud

Per elencare tutte le query di Policy Analyzer salvate in un progetto, in una cartella o utilizza gcloud asset saved-queries list .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: tipo di risorsa in cui vengono salvate le query. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del progetto, della cartella o organizzazione per cui vuoi elencare le query salvate. Gli ID progetto possono essere alfanumerici o numerico. Gli ID cartella e organizzazione sono numerici.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

La risposta contiene tutte le query di Policy Analyzer salvate per il progetto, la cartella o l'organizzazione. Ad esempio, potrebbe avere il seguente aspetto:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Per elencare tutte le query di Policy Analyzer salvate in un progetto, in una cartella o per la tua organizzazione, utilizza il comando savedQueries.list .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: tipo di risorsa in cui vengono salvate le query. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del progetto, della cartella o organizzazione per cui vuoi elencare le query salvate. Gli ID progetto possono essere alfanumerici o numerico. Gli ID cartella e organizzazione sono numerici.

Metodo HTTP e URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

Explorer API (browser)

La risposta contiene tutte le query di Policy Analyzer salvate per il progetto, la cartella o l'organizzazione. Ad esempio, potrebbe avere il seguente aspetto:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Aggiornare una query salvata

gcloud

Per aggiornare una query di Policy Analyzer salvata, utilizza la gcloud asset saved-queries update .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

UPDATED_QUERY: facoltativo. La query aggiornata di Policy Analyzer vuoi salvare. Per informazioni su come formattare la query, consulta Creare una query salvata.
RESOURCE_TYPE: il tipo di risorsa in cui viene salvata la query. Utilizza il valore project, folder o organization.
QUERY_ID: l'ID della query salvata che vuoi modificare.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione in cui viene salvata la query. Gli ID progetto possono essere alfanumerici o numerici. Cartelle e Gli ID organizzazione sono numerici.
UPDATED_LABELS: facoltativo. Le etichette aggiornate a cui vuoi collegarti la query salvata. Puoi anche rimuovere le etichette utilizzando --remove-labels="KEY_1,KEY_2" o cancella tutte le etichette con il flag --clear-labels.
UPDATED_DESCRIPTION: facoltativo. Una descrizione aggiornata per i file salvati query.

Salva i seguenti contenuti in un file denominato request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

La risposta contiene la query aggiornata.

REST

Per aggiornare una query di Policy Analyzer salvata, utilizza la classe savedQueries.patch .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa in cui viene salvata la query. Utilizza il valore projects, folders o organizations.
RESOURCE_NUM_ID: l'ID numerico del progetto Google Cloud, una cartella o un'organizzazione in cui è salvata la query. Non puoi utilizzare il progetto alfanumerico per identificare un progetto: devi utilizzare il numero del progetto.
QUERY_ID: l'ID della query salvata che vuoi modificare.
UPDATED_FIELDS: un elenco separato da virgole di campi che ti interessano da aggiornare. Ad esempio, se aggiorni i campi dei contenuti, delle etichette e della descrizione, dovresti utilizzare il valore content,labels,description.
UPDATED_QUERY: facoltativo. La query aggiornata di Policy Analyzer vuoi salvare. Per informazioni su come formattare la query, consulta Creare una query salvata.
UPDATED_LABELS: facoltativo. Le etichette aggiornate a cui vuoi collegarti la query salvata.
UPDATED_DESCRIPTION: facoltativo. Una descrizione aggiornata per i file salvati query.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Corpo JSON della richiesta:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

Explorer API (browser)

La risposta contiene la query aggiornata.

Eliminare una query salvata

gcloud

Per eliminare una query di Policy Analyzer salvata, utilizza gcloud asset saved-queries delete .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

QUERY_ID: l'ID della query salvata che vuoi eliminare.
RESOURCE_TYPE: il tipo di risorsa in cui viene salvata la query. Utilizza il valore project, folder o organization.
RESOURCE_NUM_ID: l'ID numerico del progetto Google Cloud, una cartella o un'organizzazione in cui è salvata la query. Non puoi utilizzare il progetto alfanumerico per identificare un progetto: devi utilizzare il numero del progetto.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Per eliminare una query di Policy Analyzer salvata, utilizza la classe savedQueries.delete .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa in cui viene salvata la query. Utilizza il valore projects, folders o organizations.
RESOURCE_NUM_ID: l'ID numerico del progetto Google Cloud, una cartella o un'organizzazione in cui è salvata la query. Non puoi utilizzare il progetto alfanumerico per identificare un progetto: devi utilizzare il numero del progetto.
QUERY_ID: l'ID della query salvata che vuoi eliminare.

Metodo HTTP e URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Explorer API (browser)

Se la query viene eliminata correttamente, l'API restituisce una risposta vuota.