Esta página foi traduzida pela API Cloud Translation.

Gerenciar consultas salvas

Nesta página, mostramos como criar, gerenciar e executar consultas salvas da ferramenta Análise de políticas políticas. É possível criar até 200 consultas salvas em um recurso. Esse limite não inclui as consultas salvas dos filhos. Por exemplo, se você tiver 10 projetos em uma organização, cada projeto pode ter até 200 consultas salvas, organização pode ter até 200 consultas salvas.

Antes de começar

Enable the Cloud Asset API.
Enable the API

Funções exigidas

Para receber as permissões necessárias para criar e gerenciar consultas salvas, peça ao administrador para conceder a você o papel do IAM de Proprietário de recursos do Cloud (roles/cloudasset.owner) no projeto, na pasta ou na organização em que você vai salvar a consulta. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para criar e gerenciar consultas salvas. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para criar e gerenciar consultas salvas:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Criar uma consulta salva

gcloud

Para criar uma consulta salva da Análise de políticas em um projeto, uma pasta ou um organização, use o gcloud asset saved-queries create kubectl.

Antes de usar os dados do comando abaixo, faça estas substituições:

SCOPE_RESOURCE_TYPE_PLURAL: o tipo de recurso para o qual você quer restringir sua pesquisa, no plural. Somente as políticas de permissão do IAM anexadas a desse recurso e aos descendentes dele serão analisados. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e para os descendentes serão analisados. Os IDs de projeto são strings alfanuméricas como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso que você quer analisar o acesso. Para uma lista de formatos de nomes de recursos completos, consulte Formato do nome do recurso.
PRINCIPAL: opcional. O principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para uma lista completa dos tipos principais, consulte Identificadores principais:
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. O permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Policy Analyzer vai verificar se há alguma delas na lista.
QUERY_ID: o ID a ser usado para a consulta salva, que precisa ser exclusivo no recurso pai especificado (projeto, pasta ou organização). É possível usar letras, números e hifens no ID da consulta.
RESOURCE_TYPE: o tipo de recurso para o qual você quer salvar uma consulta. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para a qual você quer salvar uma consulta. Os IDs de projeto podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.
LABEL_KEY e LABEL_VALUE: opcional. Um lista separada por vírgulas de pares de chave/valor a serem anexados à consulta, que pode ser usado na pesquisa e list. É possível incluir até 10 rótulos para cada consulta salva.
DESCRIPTION: opcional. String que descreve a consulta.

Salve o conteúdo a seguir em um arquivo chamado request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

A resposta contém a consulta salva. Por exemplo, ele poderá se parecer com o seguinte:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Para criar uma consulta salva da Análise de políticas em um projeto, uma pasta ou um organização, use os recursos da API Cloud Asset Inventory savedQueries.create .

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso para o qual você quer salvar uma consulta. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para a qual você quer salvar uma consulta. Os IDs de projeto podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.
QUERY_ID: o ID a ser usado para a consulta salva, que precisa ser único em o recurso pai especificado (projeto, pasta ou organização). Você pode usar letras, números e hifens no ID da consulta.
SCOPE_RESOURCE_TYPE: o tipo de recurso que você quer definir o escopo de sua pesquisa. Somente as políticas de permissão do IAM anexadas a desse recurso e aos descendentes dele serão analisados. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a este recurso e para os descendentes serão analisados. Os IDs de projeto são strings alfanuméricas como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato do nome de recurso.
PRINCIPAL: opcional. O principal cujo acesso você quer analisar, na forma PRINCIPAL_TYPE:ID: por exemplo, user:my-user@example.com. Para conferir uma lista completa dos tipos de principais, consulte Identificadores de principais.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. O permissões que você quer verificar, por exemplo, compute.instances.get. Se você várias permissões, a Análise de políticas vai procurar qualquer uma delas.
LABEL_KEY e LABEL_VALUE: opcional. Uma chave-valor par para anexar à consulta, que pode ser usado em operações de pesquisa e listagem. É possível incluir até 10 rótulos para cada consulta salva.
DESCRIPTION: opcional. Uma string que descreve a consulta.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Corpo JSON da solicitação:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navegador)

Copie o corpo da solicitação e abra a página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Cole o corpo da solicitação nessa ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

A resposta contém a consulta salva. Por exemplo, ele pode ter esta aparência:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Executar uma consulta salva

gcloud

Para executar uma consulta de análise salva, use o método gcloud asset analyze-iam-policy kubectl.

Antes de usar os dados do comando abaixo, faça estas substituições:

SCOPE_RESOURCE_TYPE: o tipo de recurso que você quer definir o escopo de sua pesquisa. Somente as políticas de permissão do IAM anexadas a desse recurso e aos descendentes dele serão analisados. Use o valor project, folder ou organization.
SCOPE_RESOURCE_ID: o ID do Projeto, pasta ou organização do Google Cloud em que você quer incluir o escopo sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs de projeto são strings alfanuméricas como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
RESOURCE_TYPE_PLURAL: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o formato alfanumérico para identificar um projeto, é preciso usar o número do projeto.
QUERY_ID: o ID da consulta salva que você quer usar.

Execute o gcloud asset analyze-iam-policy (link em inglês) comando:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

A resposta contém os resultados da execução da consulta salva no recurso especificado. Para exemplos de resultados, consulte a seção Analisar políticas do IAM.

REST

Para executar uma consulta de análise salva, use o método analyzeIamPolicy da API Inventário de recursos do Cloud.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

SCOPE_RESOURCE_TYPE: o tipo de recurso que você quer definir o escopo de sua pesquisa. Somente as políticas de permissão do IAM anexadas a desse recurso e aos descendentes dele serão analisados. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para que você quer definir o escopo da pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs de projeto são strings alfanuméricas como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o formato alfanumérico para identificar um projeto, é preciso usar o número do projeto.
QUERY_ID: o ID da consulta salva que você quer usar.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

A resposta contém os resultados da execução da consulta salva no recurso especificado. Para exemplos de resultados, consulte a seção Analisar políticas do IAM.

Ver uma consulta salva

gcloud

Para acessar uma consulta salva da ferramenta Análise de políticas políticas, use o gcloud asset saved-queries get kubectl.

Antes de usar os dados do comando abaixo, faça estas substituições:

QUERY_ID: o ID da consulta salva que você quer receber.
RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que a consulta foi salva. Os IDs de projeto podem ser alfanuméricos ou numéricos. Pasta e são numéricos.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

A resposta contém a consulta salva. Por exemplo, ele pode ter esta aparência:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Para acessar uma consulta salva da Análise de políticas, use o método savedQueries.get .

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificar um projeto. É necessário usar o número do projeto.
QUERY_ID: o ID da consulta salva que você quer receber.

Método HTTP e URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navegador)

Abra a página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Preencha todos os campos obrigatórios e clique em Executar.

A resposta contém a consulta salva. Por exemplo, ele pode ter esta aparência:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Listar consultas salvas

gcloud

Para listar todas as consultas salvas do Analisador de políticas em um projeto, pasta ou organização, use o comando gcloud asset saved-queries list .

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso em que as consultas são salvas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud para listar as consultas salvas. Os IDs de projeto podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

A resposta contém todas as consultas salvas da ferramenta Análise de políticas políticas para o projeto, a pasta ou a organização. Por exemplo, ele pode ter esta aparência:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Para listar todas as consultas salvas do Policy Analyzer em um projeto, pasta ou organização, use o método savedQueries.list da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso em que as consultas são salvas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do projeto, da pasta ou do Google Cloud organização em que você quer listar as consultas salvas. Os IDs de projeto podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.

Método HTTP e URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

APIs Explorer (navegador)

A resposta contém todas as consultas salvas da ferramenta Análise de políticas políticas para o projeto, a pasta ou a organização. Por exemplo, ele poderá se parecer com o seguinte:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Atualizar uma consulta salva

gcloud

Para atualizar uma consulta salva da Análise de políticas, use o comando gcloud asset saved-queries update .

Antes de usar os dados do comando abaixo, faça estas substituições:

UPDATED_QUERY: opcional. A consulta atualizada da Análise de políticas que você quer salvar. Para saber como formatar a consulta, consulte Criar uma consulta salva.
RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor project, folder ou organization.
QUERY_ID: o ID da consulta salva que você quer editar.
RESOURCE_ID: o ID do projeto, da pasta ou da organização do Google Cloud em que a consulta foi salva. Os IDs de projeto podem ser alfanuméricos ou numéricos. Os IDs de pastas e organizações são numéricos.
UPDATED_LABELS: opcional. Os rótulos atualizados que você quer anexar a consulta salva. Também é possível remover rótulos com o --remove-labels="KEY_1,KEY_2" ou limpe todos os rótulos com a sinalização --clear-labels.
UPDATED_DESCRIPTION: opcional. Uma descrição atualizada da consulta salva.

Salve o conteúdo a seguir em um arquivo chamado request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

A resposta contém a consulta atualizada.

REST

Para atualizar uma consulta salva da Análise de políticas, use o método savedQueries.patch .

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto do Google Cloud; ou a organização em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificar um projeto. É necessário usar o número do projeto.
QUERY_ID: o ID da consulta salva que você quer editar.
UPDATED_FIELDS: uma lista separada por vírgulas dos campos que você quer atualizar. Por exemplo, se você estiver atualizando os campos de conteúdo, rótulos e descrição, use o valor content,labels,description.
UPDATED_QUERY: opcional. A consulta atualizada da Análise de políticas que você quer salvar. Para saber como formatar a consulta, consulte Criar uma consulta salva.
UPDATED_LABELS: opcional. Os identificadores atualizados que você quer anexar à consulta salva.
UPDATED_DESCRIPTION: opcional. Uma descrição atualizada para o consulta.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Corpo JSON da solicitação:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

APIs Explorer (navegador)

A resposta contém a consulta atualizada.

Excluir uma consulta salva

gcloud

Para excluir uma consulta salva da ferramenta Análise de políticas políticas, use o gcloud asset saved-queries delete kubectl.

Antes de usar os dados do comando abaixo, faça estas substituições:

QUERY_ID: o ID da consulta salva que você quer excluir.
RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor project, folder ou organization.
RESOURCE_NUM_ID: o ID numérico do projeto, da pasta ou da organização do Google Cloud em que a consulta é salva. Não é possível usar o formato alfanumérico para identificar um projeto, é preciso usar o número do projeto.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Para excluir uma consulta do Policy Analyzer salva, use o método savedQueries.delete da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso em que a consulta é salva. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do projeto do Google Cloud; pasta ou organização em que a consulta é salva. Não é possível usar o ID alfanumérico do projeto para identificar um projeto. É necessário usar o número do projeto.
QUERY_ID: o ID da consulta salva que você quer excluir.

Método HTTP e URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navegador)

Se a consulta for excluída com sucesso, a API retornará uma resposta vazia.