Auf dieser Seite wird gezeigt, wie Sie gespeicherte Policy Analyzer-Abfragen erstellen, verwalten und ausführen. Sie können bis zu 200 gespeicherte Abfragen für ein Asset erstellen. Dieses Limit umfasst nicht die gespeicherten Abfragen seiner untergeordneten Elemente. Wenn Sie beispielsweise 10 Projekte in einer Organisation haben, kann jedes Projekt bis zu 200 gespeicherte Abfragen und die Organisation bis zu 200 gespeicherte Abfragen haben.
Hinweise
-
Cloud Asset API aktivieren.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud Asset-Inhaber (roles/cloudasset.owner
) für das Projekt, den Ordner oder die Organisation zu gewähren, in dem Sie die Abfrage speichern, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Verwalten gespeicherter Abfragen benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen und Verwalten gespeicherter Abfragen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um gespeicherte Abfragen zu erstellen und zu verwalten:
-
cloudasset.savedqueries.create
-
cloudasset.savedqueries.delete
-
cloudasset.savedqueries.get
-
cloudasset.savedqueries.list
-
cloudasset.savedqueries.update
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Gespeicherte Suchanfrage erstellen
gcloud
Verwenden Sie den Befehl gcloud asset saved-queries create
, um eine gespeicherte Policy Analyzer-Abfrage in einem übergeordneten Projekt, einem Ordner oder einer Organisation zu erstellen.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
-
SCOPE_RESOURCE_TYPE_PLURAL
: Der Typ der Ressource, auf die Sie Ihre Suche einschränken möchten, in Pluralform. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre Nachfolger angehängt sind. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
SCOPE_RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf das bzw. die die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre Nachfolger angehängt sind. Projekt-IDs sind alphanumerische Strings wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
. -
FULL_RESOURCE_NAME
: Optional. Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Formate für Ressourcennamen finden Sie unter Format von Ressourcennamen. PRINCIPAL
: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im FormatPRINCIPAL_TYPE:ID
, z. B.user:my-user@example.com
. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkontokennungen.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: Optional. Die Berechtigungen, die Sie überprüfen möchten, z. B.compute.instances.get
. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach einer der aufgeführten Berechtigungen.-
QUERY_ID
: Die für die gespeicherte Abfrage zu verwendende ID, die in der angegebenen übergeordneten Ressource (Projekt, Ordner oder Organisation) eindeutig sein muss. Die Abfrage-ID kann Buchstaben, Ziffern und Bindestriche enthalten. -
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie eine Abfrage speichern möchten. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, für die Sie eine Abfrage speichern möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch. -
LABEL_KEY
undLABEL_VALUE
: Optional. Eine durch Kommas getrennte Liste von Schlüssel/Wert-Paaren, die an die Abfrage angehängt werden können und in Such- und Listenvorgängen verwendet werden können. Für jede gespeicherte Abfrage können Sie bis zu zehn Labels angeben. DESCRIPTION
: Optional. Ein String, der die Abfrage beschreibt.
Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json
:
{ "IamPolicyAnalysisQuery": { "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID", "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }
Führen Sie den folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries create \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_ID \ --query-file-path=request.json \ --labels="LABEL_KEY=LABEL_VALUE" \ --description="DESCRIPTION"
Windows (PowerShell)
gcloud asset saved-queries create ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_ID ` --query-file-path=request.json ` --labels="LABEL_KEY=LABEL_VALUE" ` --description="DESCRIPTION"
Windows (cmd.exe)
gcloud asset saved-queries create ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_ID ^ --query-file-path=request.json ^ --labels="LABEL_KEY=LABEL_VALUE" ^ --description="DESCRIPTION"
Die Antwort enthält die gespeicherte Abfrage. Diese könnte beispielsweise so aussehen:
content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-18T22:47:25.640783Z' description: A query checking what permissions my-user@example.com has on my-project labels: user: my-user lastUpdateTime: '2022-04-18T22:47:25.640783Z' name: projects/12345678901/savedQueries/my-query
REST
Verwenden Sie die Methode savedQueries.create
der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage in einem übergeordneten Projekt, einem Ordner oder einer Organisation zu erstellen.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie eine Abfrage speichern möchten. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, für die Sie eine Abfrage speichern möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch. -
QUERY_ID
: Die für die gespeicherte Abfrage zu verwendende ID, die in der angegebenen übergeordneten Ressource (Projekt, Ordner oder Organisation) eindeutig sein muss. Die Abfrage-ID kann Buchstaben, Ziffern und Bindestriche enthalten. -
SCOPE_RESOURCE_TYPE
: Der Ressourcentyp, auf den Sie die Suche einschränken möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre Nachfolger angehängt sind. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
SCOPE_RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf das bzw. die die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre Nachfolger angehängt sind. Projekt-IDs sind alphanumerische Strings wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
. -
FULL_RESOURCE_NAME
: Optional. Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der vollständigen Formate für Ressourcennamen finden Sie unter Format von Ressourcennamen. PRINCIPAL
: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im FormatPRINCIPAL_TYPE:ID
, z. B.user:my-user@example.com
. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkontokennungen.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: Optional. Die Berechtigungen, die Sie überprüfen möchten, z. B.compute.instances.get
. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach einer der aufgeführten Berechtigungen.-
LABEL_KEY
undLABEL_VALUE
: Optional. Ein Schlüssel/Wert-Paar, das an die Abfrage angehängt werden kann und in Such- und Listenvorgängen verwendet werden kann. Sie können für jede gespeicherte Abfrage bis zu zehn Labels angeben. DESCRIPTION
: Optional. Ein String, der die Abfrage beschreibt.
HTTP-Methode und URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID
JSON-Text der Anfrage:
{ "content": { "iamPolicyAnalysisQuery": { "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID", "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } } }, "labels": { "LABEL_KEY": "LABEL_VALUE" }, "description": "DESCRIPTION" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die gespeicherte Abfrage. Diese könnte beispielsweise so aussehen:
{ "name": "projects/12345678901/savedQueries/my-query", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "user": "my-user" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }
Gespeicherte Abfrage ausführen
gcloud
Verwenden Sie zum Ausführen einer gespeicherten Analyseabfrage den Befehl gcloud asset analyze-iam-policy
.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
-
SCOPE_RESOURCE_TYPE
: Der Ressourcentyp, auf den Sie die Suche einschränken möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre Nachfolger angehängt sind. Verwenden Sie den Wertproject
,folder
oderorganization
. -
SCOPE_RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf das bzw. die die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre Nachfolger angehängt sind. Projekt-IDs sind alphanumerische Strings wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
. -
RESOURCE_TYPE_PLURAL
: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht zur Identifizierung eines Projekts verwenden, sondern müssen die Projektnummer verwenden. QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie verwenden möchten.
Führen Sie den Befehl gcloud asset analysis-iam-policy aus:
Linux, macOS oder Cloud Shell
gcloud asset analyze-iam-policy \ --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \ --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Windows (PowerShell)
gcloud asset analyze-iam-policy ` --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ` --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Windows (cmd.exe)
gcloud asset analyze-iam-policy ^ --SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^ --saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Die Antwort enthält die Ergebnisse der Ausführung der gespeicherten Abfrage für die angegebene Ressource. Beispiele für Abfrageergebnisse finden Sie unter IAM-Richtlinien analysieren.
REST
Verwenden Sie zum Ausführen einer gespeicherten Analyseabfrage die Methode analyzeIamPolicy
der Cloud Asset Inventory API.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
-
SCOPE_RESOURCE_TYPE
: Der Ressourcentyp, auf den Sie die Suche einschränken möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre Nachfolger angehängt sind. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
SCOPE_RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, auf das bzw. die die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre Nachfolger angehängt sind. Projekt-IDs sind alphanumerische Strings wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
. -
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht zur Identifizierung eines Projekts verwenden, sondern müssen die Projektnummer verwenden. QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie verwenden möchten.
HTTP-Methode und URL:
POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy
JSON-Text der Anfrage:
{ "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Ergebnisse der Ausführung der gespeicherten Abfrage für die angegebene Ressource. Beispiele für Abfrageergebnisse finden Sie unter IAM-Richtlinien analysieren.
Gespeicherte Abfrage abrufen
gcloud
Verwenden Sie den Befehl gcloud asset saved-queries get
, um eine gespeicherte Policy Analyzer-Abfrage abzurufen.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
-
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie abrufen möchten. -
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
Führen Sie den folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (PowerShell)
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (cmd.exe)
gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID
Die Antwort enthält die gespeicherte Abfrage. Diese könnte beispielsweise so aussehen:
content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: 2022-04-18T22:47:25.640783Z description: A query checking what permissions my-user@example.com has on my-project labels: user: my-user lastUpdateTime: 2022-04-18T22:47:25.640783Z name: projects/12345678901/savedQueries/my-query
REST
Verwenden Sie die Methode savedQueries.get
der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage abzurufen.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht zur Identifizierung eines Projekts verwenden, sondern müssen die Projektnummer verwenden. -
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie abrufen möchten.
HTTP-Methode und URL:
GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die gespeicherte Abfrage. Diese könnte beispielsweise so aussehen:
{ "name": "projects/12345678901/savedQueries/my-query", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "user": "my-user" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }
Gespeicherte Abfragen auflisten
gcloud
Verwenden Sie den Befehl gcloud asset saved-queries list
, um alle gespeicherten Policy Analyzer-Abfragen in einem Projekt, einem Ordner oder einer Organisation aufzulisten.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfragen gespeichert werden. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, für die Sie gespeicherte Abfragen auflisten möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
Führen Sie den folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID
Die Antwort enthält alle gespeicherten Policy Analyzer-Abfragen für das Projekt, den Ordner oder die Organisation. Diese könnte beispielsweise so aussehen:
savedQueries: - content: iamPolicyAnalysisQuery: resourceSelector: fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-15T21:17:33.777212Z' description: A query checking what permissions my-user@example.com has on my-project labels: missing-info: permissions lastUpdateTime: '2022-04-15T21:17:33.777212Z' name: projects/12345678901/savedQueries/query-1 - content: iamPolicyAnalysisQuery: accessSelector: permissions: - iam.roles.get - iam.roles.list identitySelector: identity: user:my-user@example.com scope: projects/scope-project createTime: '2022-04-18T22:47:25.640783Z' description: A query checking what resources my-user@example.com has permission to view roles on labels: missing-info: resource lastUpdateTime: '2022-04-18T22:47:25.640783Z' name: projects/12345678901/savedQueries/query-2
REST
Wenn Sie alle gespeicherten Policy Analyzer-Abfragen in einem Projekt, einem Ordner oder einer Organisation auflisten möchten, verwenden Sie die Methode savedQueries.list
der Cloud Asset Inventory API.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfragen gespeichert werden. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, für die Sie gespeicherte Abfragen auflisten möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
HTTP-Methode und URL:
GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält alle gespeicherten Policy Analyzer-Abfragen für das Projekt, den Ordner oder die Organisation. Diese könnte beispielsweise so aussehen:
{ "savedQueries": [ { "name": "projects/12345678901/savedQueries/query-1", "description": "A query checking what permissions my-user@example.com has on my-project", "createTime": "2022-04-15T21:17:33.777212Z", "lastUpdateTime": "2022-04-15T21:17:33.777212Z", "labels": { "missing-info": "permission" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "resourceSelector": { "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project" }, "identitySelector": { "identity": "user:my-user@example.com" } } } }, { "name": "projects/12345678901/savedQueries/query-2", "description": "A query checking what resources my-user@example.com has permission to view roles on", "createTime": "2022-04-18T22:47:25.640783Z", "lastUpdateTime": "2022-04-18T22:47:25.640783Z", "labels": { "missing-info": "resource" }, "content": { "iamPolicyAnalysisQuery": { "scope": "projects/scope-project", "accessSelector": { "permissions": [ "iam.roles.get", "iam.roles.list" ] }, "identitySelector": { "identity": "user:my-user@example.com" } } } } ] }
Gespeicherte Abfrage aktualisieren
gcloud
Verwenden Sie den Befehl gcloud asset saved-queries update
, um eine gespeicherte Policy Analyzer-Abfrage zu aktualisieren.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
UPDATED_QUERY
: Optional. Die aktualisierte Policy Analyzer-Abfrage, die Sie speichern möchten. Informationen zum Formatieren der Abfrage finden Sie unter Gespeicherte Abfrage erstellen.-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wertproject
,folder
oderorganization
. -
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie bearbeiten möchten. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch. -
UPDATED_LABELS
: Optional. Die aktualisierten Labels, die Sie an die gespeicherte Abfrage anhängen möchten. Sie können Labels auch mit dem Flag--remove-labels="KEY_1,KEY_2"
entfernen oder mit dem Flag--clear-labels
alle Labels löschen. UPDATED_DESCRIPTION
: Optional. Eine aktualisierte Beschreibung für die gespeicherte Abfrage.
Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json
:
{ "IamPolicyAnalysisQuery": { UPDATED_QUERY } }
Führen Sie den folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries update \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_ID \ --query-file-path=request.json \ --update-labels="UPDATED_LABELS" \ --description="DESCRIPTION"
Windows (PowerShell)
gcloud asset saved-queries update ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_ID ` --query-file-path=request.json ` --update-labels="UPDATED_LABELS" ` --description="DESCRIPTION"
Windows (cmd.exe)
gcloud asset saved-queries update ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_ID ^ --query-file-path=request.json ^ --update-labels="UPDATED_LABELS" ^ --description="DESCRIPTION"
Die Antwort enthält die aktualisierte Abfrage.
REST
Verwenden Sie die Methode savedQueries.patch
der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage zu aktualisieren.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht zur Identifizierung eines Projekts verwenden, sondern müssen die Projektnummer verwenden. -
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie bearbeiten möchten. -
UPDATED_FIELDS
: Eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Wenn Sie beispielsweise die Felder für Inhalt, Labels und Beschreibung aktualisieren, verwenden Sie den Wertcontent,labels,description
. UPDATED_QUERY
: Optional. Die aktualisierte Policy Analyzer-Abfrage, die Sie speichern möchten. Informationen zum Formatieren der Abfrage finden Sie unter Gespeicherte Abfrage erstellen.-
UPDATED_LABELS
: Optional. Die aktualisierten Labels, die Sie an die gespeicherte Abfrage anhängen möchten. UPDATED_DESCRIPTION
: Optional. Eine aktualisierte Beschreibung für die gespeicherte Abfrage.
HTTP-Methode und URL:
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS
JSON-Text der Anfrage:
{ "content": { "iamPolicyAnalysisQuery": { UPDATED_QUERY }, "labels": { UPDATED_LABELS }, "description": "UPDATED_DESCRIPTION" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die aktualisierte Abfrage.
Gespeicherte Abfragen löschen
gcloud
Verwenden Sie den Befehl gcloud asset saved-queries delete
, um eine gespeicherte Policy Analyzer-Abfrage zu löschen.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
-
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie löschen möchten. -
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht zur Identifizierung eines Projekts verwenden, sondern müssen die Projektnummer verwenden.
Führen Sie den folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud asset saved-queries delete \ QUERY_ID \ --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (PowerShell)
gcloud asset saved-queries delete ` QUERY_ID ` --RESOURCE_TYPE=RESOURCE_NUM_ID
Windows (cmd.exe)
gcloud asset saved-queries delete ^ QUERY_ID ^ --RESOURCE_TYPE=RESOURCE_NUM_ID
REST
Verwenden Sie die Methode savedQueries.delete
der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage zu löschen.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_NUM_ID
: Die numerische ID des Google Cloud-Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht zur Identifizierung eines Projekts verwenden, sondern müssen die Projektnummer verwenden. -
QUERY_ID
: Die ID der gespeicherten Abfrage, die Sie löschen möchten.
HTTP-Methode und URL:
DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Wenn die Abfrage erfolgreich gelöscht wurde, gibt die API eine leere Antwort zurück.