Cette page a été traduite par l'API Cloud Translation.

Gérer les requêtes enregistrées

Cette page vous explique comment créer, gérer et exécuter des requêtes Policy Analyzer enregistrées. Vous pouvez créer jusqu'à 200 requêtes enregistrées sur un élément. Cette limite n'inclut pas les requêtes enregistrées de ses enfants. Par exemple, si votre organisation comporte 10 projets, chaque projet peut contenir jusqu'à 200 requêtes enregistrées, et l'organisation peut en contenir jusqu'à 200.

Avant de commencer

Activez Cloud Asset API.
Activer l'API

Rôles requis

Pour obtenir les autorisations nécessaires pour créer et gérer des requêtes enregistrées, demandez à votre administrateur de vous attribuer le rôle IAM Propriétaire d'éléments cloud (roles/cloudasset.owner) pour le projet, le dossier ou l'organisation dans lequel vous allez enregistrer votre requête. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations requises pour créer et gérer des requêtes enregistrées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer et gérer des requêtes enregistrées:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créez une requête enregistrée

gcloud

Pour créer une requête Policy Analyzer dans un projet, un dossier ou une organisation parent, utilisez la commande gcloud asset saved-queries create.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

SCOPE_RESOURCE_TYPE_PLURAL: type de ressource auquel vous souhaitez limiter votre recherche, au pluriel. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, comme my-project. Les ID de dossier et d'organisation sont numériques, comme 123456789012.
FULL_RESOURCE_NAME : facultatif. Nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Pour obtenir la liste des formats de nom de ressource complet, consultez la section Format du nom de ressource.
PRINCIPAL : facultatif. Compte principal dont vous souhaitez analyser l'accès, sous la forme PRINCIPAL_TYPE:ID (par exemple, user:my-user@example.com). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants des comptes principaux.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facultatif. Les autorisations que vous souhaitez vérifier, par exemple compute.instances.get. Si vous indiquez plusieurs autorisations, Policy Analyzer recherche chacune d'elles.
QUERY_ID: ID à utiliser pour la requête enregistrée, qui doit être unique dans la ressource parente spécifiée (projet, dossier ou organisation). L'ID de requête peut contenir des lettres, des chiffres et des traits d'union.
RESOURCE_TYPE: type de ressource pour lequel vous souhaitez enregistrer une requête. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez enregistrer une requête. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
LABEL_KEY et LABEL_VALUE : facultatifs. Liste de paires clé/valeur séparées par une virgule à associer à la requête, qui peut être utilisée dans les opérations de recherche et de liste. Vous pouvez inclure jusqu'à 10 étiquettes par requête enregistrée.
DESCRIPTION : facultatif. Chaîne décrivant la requête.

Enregistrez le code suivant dans un fichier nommé request.json :

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Exécutez la commande suivante:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

La réponse contient la requête enregistrée. Voici un exemple:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Pour créer une requête enregistrée dans Policy Analyzer dans un projet, un dossier ou une organisation parent, utilisez la méthode savedQueries.create de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête, effectuez les remplacements suivants:

RESOURCE_TYPE: type de ressource pour lequel vous souhaitez enregistrer une requête. Utilisez la valeur projects, folders ou organizations.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez enregistrer une requête. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
QUERY_ID: ID à utiliser pour la requête enregistrée, qui doit être unique dans la ressource parente spécifiée (projet, dossier ou organisation). L'ID de requête peut contenir des lettres, des chiffres et des traits d'union.
SCOPE_RESOURCE_TYPE: type de ressource auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, comme my-project. Les ID de dossier et d'organisation sont numériques, comme 123456789012.
FULL_RESOURCE_NAME : facultatif. Nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Pour obtenir la liste des formats de nom de ressource complet, consultez la section Format du nom de ressource.
PRINCIPAL : facultatif. Compte principal dont vous souhaitez analyser l'accès, sous la forme PRINCIPAL_TYPE:ID (par exemple, user:my-user@example.com). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants des comptes principaux.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facultatif. Les autorisations que vous souhaitez vérifier, par exemple compute.instances.get. Si vous indiquez plusieurs autorisations, Policy Analyzer recherche chacune d'elles.
LABEL_KEY et LABEL_VALUE : facultatifs. Paire clé/valeur à associer à la requête, et pouvant être utilisée dans les opérations de recherche et de liste. Vous pouvez inclure jusqu'à 10 étiquettes pour chaque requête enregistrée.
DESCRIPTION : facultatif. Chaîne décrivant la requête.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Corps JSON de la requête :

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Copiez le corps de la requête et ouvrez la page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Collez le corps de la requête dans cet outil, renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

La réponse contient la requête enregistrée. Voici un exemple:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Exécuter une requête enregistrée

gcloud

Pour exécuter une requête d'analyse enregistrée, utilisez la commande gcloud asset analyze-iam-policy.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

SCOPE_RESOURCE_TYPE: type de ressource auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur project, folder ou organization.
SCOPE_RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, comme my-project. Les ID de dossier et d'organisation sont numériques, comme 123456789012.
RESOURCE_TYPE_PLURAL: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez utiliser.

Exécutez la commande gcloud assetanalyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

La réponse contient les résultats de l'exécution de la requête enregistrée sur la ressource spécifiée. Pour obtenir des exemples de résultats de requête, consultez la page Analyser les stratégies IAM.

REST

Pour exécuter une requête d'analyse enregistrée, utilisez la méthode analyzeIamPolicy de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête, effectuez les remplacements suivants:

SCOPE_RESOURCE_TYPE: type de ressource auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud auquel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, comme my-project. Les ID de dossier et d'organisation sont numériques, comme 123456789012.
RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez utiliser.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Corps JSON de la requête :

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navigateur)

Obtenir une requête enregistrée

gcloud

Pour obtenir une requête Policy Analyzer enregistrée, utilisez la commande gcloud asset saved-queries get.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

QUERY_ID: ID de la requête enregistrée que vous souhaitez obtenir.
RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.

Exécutez la commande suivante:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

La réponse contient la requête enregistrée. Voici un exemple:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Pour obtenir une requête enregistrée dans Policy Analyzer, utilisez la méthode savedQueries.get de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête, effectuez les remplacements suivants:

RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez obtenir.

Méthode HTTP et URL :

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Ouvrez la page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

La réponse contient la requête enregistrée. Voici un exemple:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Répertorier les requêtes enregistrées

gcloud

Pour répertorier toutes les requêtes Policy Analyzer enregistrées dans un projet, un dossier ou une organisation, utilisez la commande gcloud asset saved-queries list.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans lequel les requêtes sont enregistrées. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lesquels vous souhaitez répertorier les requêtes enregistrées. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.

Exécutez la commande suivante:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

La réponse contient toutes les requêtes Policy Analyzer enregistrées pour le projet, le dossier ou l'organisation. Voici un exemple:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Pour répertorier toutes les requêtes de Policy Analyzer enregistrées dans un projet, un dossier ou une organisation, utilisez la méthode savedQueries.list de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête, effectuez les remplacements suivants:

RESOURCE_TYPE: type de ressource dans lequel les requêtes sont enregistrées. Utilisez la valeur projects, folders ou organizations.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lesquels vous souhaitez répertorier les requêtes enregistrées. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.

Méthode HTTP et URL :

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

APIs Explorer (navigateur)

La réponse contient toutes les requêtes Policy Analyzer enregistrées pour le projet, le dossier ou l'organisation. Voici un exemple:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Mettre à jour une requête enregistrée

gcloud

Pour mettre à jour une requête Policy Analyzer enregistrée, utilisez la commande gcloud asset saved-queries update.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

UPDATED_QUERY : facultatif. Requête Policy Analyzer mise à jour que vous souhaitez enregistrer. Pour savoir comment mettre en forme la requête, consultez l'article Créer une requête enregistrée.
RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur project, folder ou organization.
QUERY_ID: ID de la requête enregistrée que vous souhaitez modifier.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
UPDATED_LABELS : facultatif. Étiquettes mises à jour que vous souhaitez associer à la requête enregistrée. Vous pouvez également supprimer des libellés avec l'option --remove-labels="KEY_1,KEY_2" ou tous les supprimer avec l'option --clear-labels.
UPDATED_DESCRIPTION : facultatif. Description mise à jour de la requête enregistrée.

Enregistrez le code suivant dans un fichier nommé request.json :

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Exécutez la commande suivante:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

La réponse contient la requête mise à jour.

REST

Pour mettre à jour une requête enregistrée dans Policy Analyzer, utilisez la méthode savedQueries.patch de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête, effectuez les remplacements suivants:

RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez modifier.
UPDATED_FIELDS: listes des champs à mettre à jour, séparés par une virgule. Par exemple, si vous mettez à jour les champs de contenu, de libellés et de description, vous devez utiliser la valeur content,labels,description.
UPDATED_QUERY : facultatif. Requête Policy Analyzer mise à jour que vous souhaitez enregistrer. Pour savoir comment mettre en forme la requête, consultez l'article Créer une requête enregistrée.
UPDATED_LABELS : facultatif. Étiquettes mises à jour que vous souhaitez associer à la requête enregistrée.
UPDATED_DESCRIPTION : facultatif. Description mise à jour de la requête enregistrée.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Corps JSON de la requête :

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

APIs Explorer (navigateur)

La réponse contient la requête mise à jour.

Supprimer une requête enregistrée

gcloud

Pour supprimer une requête Policy Analyzer enregistrée, utilisez la commande gcloud asset saved-queries delete.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

QUERY_ID: ID de la requête enregistrée que vous souhaitez supprimer.
RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur project, folder ou organization.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro.

Exécutez la commande suivante:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Pour supprimer une requête enregistrée dans Policy Analyzer, utilisez la méthode savedQueries.delete de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête, effectuez les remplacements suivants:

RESOURCE_TYPE: type de ressource dans lequel la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas identifier un projet à l'aide de l'ID alphanumérique. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez supprimer.

Méthode HTTP et URL :

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

exécutez la commande suivante :

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Si la requête est correctement supprimée, l'API renvoie une réponse vide.