Se usó la API de Cloud Translation para traducir esta página.

Administrar consultas guardadas

En esta página, se muestra cómo crear, administrar y ejecutar consultas del Analizador de políticas guardadas. Puedes crear hasta 200 consultas guardadas en un recurso. Este límite no incluye las consultas guardadas de sus elementos secundarios. Por ejemplo, si tienes 10 proyectos en una organización, cada proyecto puede tener hasta 200 consultas guardadas y la organización también puede tener hasta 200 consultas guardadas.

Antes de comenzar

Enable the Cloud Asset API.
Enable the API

Roles obligatorios

A fin de obtener los permisos que necesitas para crear y administrar consultas guardadas, solicita a tu administrador que te otorgue el Rol de IAM de propietario de Cloud Asset (roles/cloudasset.owner) en el proyecto, la carpeta o la organización que guardarás tu consulta. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear y administrar consultas guardadas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear y administrar consultas guardadas:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Ingresar un nombre para la consulta

gcloud

Para crear una consulta del Analizador de políticas guardada en un proyecto, una carpeta o una organización superior, usa el comando gcloud asset saved-queries create.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

SCOPE_RESOURCE_TYPE_PLURAL: Es el tipo de recurso que deseas. definir el alcance de tu búsqueda, en plural. Solo se analizarán las políticas de permiso de IAM adjuntas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
SCOPE_RESOURCE_ID: El ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas acotar la búsqueda. Solo se analizarán las políticas de permiso de IAM adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de organización y carpeta son numéricos, como 123456789012
FULL_RESOURCE_NAME: Opcional El nombre completo del recurso que en las que quieres analizar el acceso. Para obtener una lista de los formatos de nombre de recurso completos, consulta Formato de nombre de recurso.
PRINCIPAL: Opcional El principal cuyo acceso deseas analizar, en el formato PRINCIPAL_TYPE:ID (por ejemplo, user:my-user@example.com). Para obtener una lista completa de los tipos de principales, consulta Identificadores de principal.
PERMISSION_1, PERMISSION_2… PERMISSION_N: Opcional. El permisos que deseas verificar, por ejemplo, compute.instances.get. Si mostrar varios permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.
QUERY_ID: Es el ID que se usará para la consulta guardada, que debe ser único en el recurso superior especificado (proyecto, carpeta o organización). Puedes usar letras, números y guiones en el ID de consulta.
RESOURCE_TYPE: El tipo de recurso para el que deseas guardar una consulta. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID del proyecto, la carpeta o organización en la que quieres guardar una consulta. Los IDs del proyecto pueden ser alfanuméricos. o numéricos. Los IDs de organización y carpeta son numéricos.
LABEL_KEY y LABEL_VALUE: opcional. Es una lista de pares clave-valor separados por comas para adjuntar a la consulta, que se puede usar en operaciones de búsqueda y enumeración. Puedes incluir hasta 10 etiquetas por cada consulta guardada.
DESCRIPTION: Opcional Es una cadena que describe la consulta.

Guarda el siguiente código en un archivo llamado request.json.

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

La respuesta contiene la consulta guardada. Por ejemplo, podría verse de la siguiente manera:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Para crear una consulta guardada del Analizador de políticas en un proyecto superior, una carpeta o organización, usa las APIs de Cloud Asset Inventory savedQueries.create .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso para el que deseas guardar una consulta. Usa el valor projects, folders o organizations.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas guardar una consulta. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de organización y carpeta son numéricos.
QUERY_ID: Es el ID que se usará para la consulta guardada, que debe ser único en el recurso superior especificado (proyecto, carpeta o organización). Puedes usar letras, números y guiones en el ID de consulta.
SCOPE_RESOURCE_TYPE: Es el tipo de recurso que deseas. para determinar el alcance de tu búsqueda. Solo se analizarán las políticas de permiso de IAM adjuntas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
SCOPE_RESOURCE_ID: El ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas acotar la búsqueda. Solo se analizarán las políticas de permiso de IAM adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de organización y carpeta son numéricos, como 123456789012
FULL_RESOURCE_NAME: Opcional El nombre completo del recurso que en las que quieres analizar el acceso. Para obtener una lista de los formatos de nombre de recurso completos, consulta Formato de nombre de recurso.
PRINCIPAL: Opcional La principal cuyo acceso quieres analizar, en el formulario PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com Para obtener una lista completa de los tipos de principales, consulta Identificadores de principal.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Opcional. El permisos que deseas verificar, por ejemplo, compute.instances.get. Si mostrar varios permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.
LABEL_KEY y LABEL_VALUE: opcional. Una clave-valor para adjuntarlo a la consulta, que puede usarse en las operaciones de búsqueda y enumeración. Puedes incluir lo siguiente: hasta 10 etiquetas por cada consulta guardada.
DESCRIPTION: Opcional Es una cadena que describe la consulta.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Cuerpo JSON de la solicitud:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

Explorador de APIs (navegador)

Copia el cuerpo de la solicitud y abre la página de referencia del método. El panel del Explorador de API se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Pega el cuerpo de la solicitud en esta herramienta, completa cualquier otro campo obligatorio y haz clic en Ejecutar.

La respuesta contiene la consulta guardada. Por ejemplo, podría verse de la siguiente manera:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Ejecuta una consulta guardada

gcloud

Para ejecutar una consulta de análisis guardada, usa el gcloud asset analyze-iam-policy kubectl.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

SCOPE_RESOURCE_TYPE: Es el tipo de recurso para el que deseas acotar la búsqueda. Solo se analizarán las políticas de permiso de IAM adjuntas a este recurso y a sus descendientes. Usa el valor project, folder o organization.
SCOPE_RESOURCE_ID: Es el ID del Proyecto, organización o carpeta de Google Cloud al que quieras asignar el permiso tu búsqueda. Solo se analizarán las políticas de permiso de IAM adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
RESOURCE_TYPE_PLURAL: Es el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
RESOURCE_NUM_ID: El ID numérico del proyecto, la carpeta o la organización de Google Cloud en la que se guarda la consulta. No puedes usar el proyecto alfanumérico para identificar un proyecto: debes usar el número del proyecto.
QUERY_ID: Es el ID de la consulta guardada que deseas usar.

Ejecuta el gcloud asset analyze-iam-policy :

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

La respuesta contiene los resultados de ejecutar la consulta guardada en el recurso especificado. Para obtener ejemplos de resultados de consultas, consulta Analiza las políticas de IAM.

REST

Para ejecutar una consulta de análisis guardada, usa el método analyzeIamPolicy de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

SCOPE_RESOURCE_TYPE: Es el tipo de recurso para el que deseas acotar la búsqueda. Solo las políticas de permiso de IAM este recurso y sus elementos subordinados. Usa el valor projects, folders o organizations.
SCOPE_RESOURCE_ID: Es el ID del Proyecto, organización o carpeta de Google Cloud al que quieras asignar el permiso tu búsqueda. Solo las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de organización y carpeta son numéricos, como 123456789012
RESOURCE_TYPE: Es el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
RESOURCE_NUM_ID: El ID numérico del proyecto, la carpeta o la organización de Google Cloud en la que se guarda la consulta. No puedes usar el proyecto alfanumérico para identificar un proyecto: debes usar el número del proyecto.
QUERY_ID: El ID de la consulta guardada que deseas usar

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

La respuesta contiene los resultados de la ejecución de la consulta guardada en el recurso especificado. Para obtener ejemplos de resultados de consultas, consulta Analiza las políticas de IAM.

Obtén una consulta guardada

gcloud

Para obtener una consulta guardada del Analizador de políticas, usa el gcloud asset saved-queries get kubectl.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

QUERY_ID: Es el ID de la consulta guardada que deseas obtener.
RESOURCE_TYPE: Es el tipo de recurso en el que se guarda la consulta. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID del proyecto, la carpeta o organización en la que se guarda la consulta. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de carpeta y organización son numéricos.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

La respuesta contiene la consulta guardada. Por ejemplo, podría verse de la siguiente manera:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Para obtener una consulta guardada del Analizador de políticas, usa el método savedQueries.get de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
RESOURCE_NUM_ID: El ID numérico del proyecto de Google Cloud la carpeta o la organización en la que se guarda la consulta. No puedes usar el proyecto alfanumérico para identificar un proyecto: debes usar el número del proyecto.
QUERY_ID: El ID de la consulta guardada que deseas obtener.

Método HTTP y URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Explorador de APIs (navegador)

Abre la página de referencia del método. El panel del Explorador de API se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Completa los campos obligatorios y haz clic en Ejecutar.

La respuesta contiene la consulta guardada. Por ejemplo, podría verse de la siguiente manera:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Enumera las consultas guardadas

gcloud

Para enumerar todas las consultas guardadas del Analizador de políticas en un proyecto, una carpeta o organización, usa el gcloud asset saved-queries list kubectl.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que se guardan las consultas. Usa el valor project, folder o organization.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas enumerar las búsquedas guardadas. Los IDs del proyecto pueden ser alfanuméricos. o numéricos. Los IDs de organización y carpeta son numéricos.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

La respuesta contiene todas las consultas guardadas del Analizador de políticas para el proyecto, la carpeta o la organización. Por ejemplo, podría verse de la siguiente manera:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Para enumerar todas las consultas guardadas del Analizador de políticas en un proyecto, una carpeta o una organización, usa el método savedQueries.list de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que se guardan las consultas. Usa el valor projects, folders o organizations.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas enumerar las búsquedas guardadas. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de carpeta y organización son numéricos.

Método HTTP y URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

Explorador de APIs (navegador)

La respuesta contiene todas las consultas guardadas del Analizador de políticas para el proyecto, la carpeta o la organización. Por ejemplo, podría verse de la siguiente manera:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Actualiza una consulta guardada

gcloud

Para actualizar una consulta guardada del analizador de políticas, usa el comando gcloud asset saved-queries update.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

UPDATED_QUERY: Opcional La consulta actualizada del Analizador de políticas deseas guardar. Para obtener información sobre cómo dar formato a la consulta, consulta Cómo crear una consulta guardada.
RESOURCE_TYPE: Es el tipo de recurso en el que se guarda la consulta. Usa el valor project, folder o organization.
QUERY_ID: Es el ID de la consulta guardada que deseas editar.
RESOURCE_ID: El ID del proyecto, la carpeta o la organización de Google Cloud en la que se guarda la consulta. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Carpeta y los IDs de las organizaciones son numéricos.
UPDATED_LABELS: Opcional Las etiquetas actualizadas que deseas adjuntar a la consulta guardada También puedes quitar etiquetas con el --remove-labels="KEY_1,KEY_2", o borra todas las etiquetas con la marca --clear-labels.
UPDATED_DESCRIPTION: Opcional Una descripción actualizada de los elementos guardados para cada búsqueda.

Guarda el siguiente código en un archivo llamado request.json.

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

La respuesta contiene la consulta actualizada.

REST

Para actualizar una consulta guardada del Analizador de políticas, usa las APIs de Cloud Asset Inventory savedQueries.patch .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
RESOURCE_NUM_ID: El ID numérico del proyecto, la carpeta o la organización de Google Cloud en la que se guarda la consulta. No puedes usar el ID alfanumérico del proyecto para identificar un proyecto. Debes usar el número de proyecto.
QUERY_ID: Es el ID de la consulta guardada que deseas editar.
UPDATED_FIELDS: Una lista separada por comas de los campos que deseas para actualizarlo. Por ejemplo, si actualizas los campos de contenido, etiquetas y descripción, debes usar el valor content,labels,description.
UPDATED_QUERY: Opcional La consulta actualizada del Analizador de políticas deseas guardar. Para obtener información sobre cómo dar formato a la consulta, consulta Cómo crear una consulta guardada.
UPDATED_LABELS: Opcional Las etiquetas actualizadas que desees adjuntar la consulta guardada.
UPDATED_DESCRIPTION: Opcional Una descripción actualizada de los elementos guardados para cada búsqueda.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Cuerpo JSON de la solicitud:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

Explorador de APIs (navegador)

La respuesta contiene la consulta actualizada.

Borra una consulta guardada

gcloud

Para borrar una consulta guardada del Analizador de políticas, usa el gcloud asset saved-queries delete kubectl.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

QUERY_ID: Es el ID de la búsqueda guardada que deseas borrar.
RESOURCE_TYPE: Es el tipo de recurso en el que se guarda la consulta. Usa el valor project, folder o organization.
RESOURCE_NUM_ID: El ID numérico del proyecto de Google Cloud la carpeta o la organización en la que se guarda la consulta. No puedes usar el ID alfanumérico del proyecto para identificar un proyecto. Debes usar el número de proyecto.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Para borrar una consulta guardada del Analizador de políticas, usa el método savedQueries.delete de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
RESOURCE_NUM_ID: El ID numérico del proyecto de Google Cloud la carpeta o la organización en la que se guarda la consulta. No puedes usar el proyecto alfanumérico para identificar un proyecto: debes usar el número del proyecto.
QUERY_ID: Es el ID de la búsqueda guardada que deseas borrar.

Método HTTP y URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Explorador de APIs (navegador)

Si la consulta se borra correctamente, la API muestra una respuesta vacía.