Mengelola kueri tersimpan

Halaman ini menunjukkan cara membuat, mengelola, dan menjalankan kueri Penganalisis Kebijakan tersimpan. Anda dapat membuat hingga 200 kueri tersimpan pada satu aset. Batas ini tidak termasuk kueri tersimpan dari turunannya. Misalnya, jika Anda memiliki 10 project dalam satu organisasi, setiap project dapat memiliki hingga 200 kueri tersimpan dan organisasi tersebut dapat memiliki hingga 200 kueri tersimpan.

Sebelum memulai

Enable the Cloud Asset API.
Enable the API

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat dan mengelola kueri tersimpan, minta administrator untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner) di project, folder, atau organisasi yang akan menjadi tujuan penyimpanan kueri Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk membuat dan mengelola kueri tersimpan. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola kueri tersimpan:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Buat kueri yang disimpan

gcloud

Untuk membuat kueri Penganalisis Kebijakan tersimpan di project induk, folder, atau organisasi, gunakan perintah gcloud asset saved-queries create.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

SCOPE_RESOURCE_TYPE_PLURAL: Jenis resource yang ingin Anda cakupan penelusurannya, dalam bentuk jamak. Hanya IAM yang mengizinkan kebijakan yang melekat pada resource ini dan ke turunannya yang akan dianalisis. Gunakan nilai projects, folders, atau organizations.
SCOPE_RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda jadikan cakupan penelusuran. Hanya IAM yang mengizinkan kebijakan yang melekat pada resource ini dan ke turunannya yang akan dianalisis. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa numerik, seperti 123456789012.
FULL_RESOURCE_NAME: Opsional. Nama lengkap resource resource yang aksesnya ingin Anda analisis. Untuk daftar format nama resource lengkap, lihat Format nama resource.
PRINCIPAL: Opsional. Akun utama yang aksesnya ingin Anda analisis, dalam bentuk PRINCIPAL_TYPE:ID—misalnya, user:my-user@example.com. Untuk mengetahui daftar lengkap jenis utama, lihat ID utama.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Opsional. Izin yang ingin Anda periksa—misalnya, compute.instances.get. Jika Anda mencantumkan beberapa izin, Penganalisis Kebijakan akan memeriksa apakah ada izin yang tercantum.
QUERY_ID: ID yang akan digunakan untuk kueri tersimpan, yang harus unik di resource induk yang ditentukan (project, folder, atau organisasi). Anda dapat menggunakan huruf, angka, dan tanda hubung di ID kueri.
RESOURCE_TYPE: Jenis resource yang kuerinya ingin Anda simpan. Gunakan nilai project, folder, atau organization.
RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda simpan kuerinya. Project ID dapat berupa alfanumerik atau numerik. ID folder dan organisasi berupa angka.
LABEL_KEY dan LABEL_VALUE: Opsional. Daftar key-value pair yang dipisahkan koma untuk dilampirkan ke kueri, yang dapat digunakan dalam operasi penelusuran dan daftar. Anda dapat menyertakan hingga 10 label untuk setiap kueri tersimpan.
DESCRIPTION: Opsional. String yang menjelaskan kueri.

Simpan konten berikut ini dalam file yang bernama request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

Respons berisi kueri tersimpan. Misalnya, mungkin akan terlihat seperti berikut:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Untuk membuat kueri Penganalisis Kebijakan yang tersimpan di project induk, folder, atau organisasi, gunakan metode savedQueries.create Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource yang kuerinya ingin Anda simpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda simpan kuerinya. Project ID dapat berupa alfanumerik atau numerik. ID folder dan organisasi berupa angka.
QUERY_ID: ID yang akan digunakan untuk kueri tersimpan, yang harus unik di resource induk yang ditentukan (project, folder, atau organisasi). Anda dapat menggunakan huruf, angka, dan tanda hubung di ID kueri.
SCOPE_RESOURCE_TYPE: Jenis resource yang ingin Anda tetapkan cakupan penelusurannya. Hanya IAM yang mengizinkan kebijakan yang melekat pada resource ini dan ke turunannya yang akan dianalisis. Gunakan nilai projects, folders, atau organizations.
SCOPE_RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda jadikan cakupan penelusuran. Hanya IAM yang mengizinkan kebijakan yang melekat pada resource ini dan ke turunannya yang akan dianalisis. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa numerik, seperti 123456789012.
FULL_RESOURCE_NAME: Opsional. Nama lengkap resource resource yang aksesnya ingin Anda analisis. Untuk daftar format nama resource lengkap, lihat Format nama resource.
PRINCIPAL: Opsional. Akun utama yang aksesnya ingin Anda analisis, dalam bentuk PRINCIPAL_TYPE:ID—misalnya, user:my-user@example.com. Untuk mengetahui daftar lengkap jenis utama, lihat ID utama.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Opsional. Izin yang ingin Anda periksa—misalnya, compute.instances.get. Jika Anda mencantumkan beberapa izin, Penganalisis Kebijakan akan memeriksa apakah ada izin yang tercantum.
LABEL_KEY dan LABEL_VALUE: Opsional. Key-value pair untuk dilampirkan ke kueri, yang dapat digunakan dalam operasi penelusuran dan daftar. Anda dapat menyertakan hingga 10 label untuk setiap kueri tersimpan.
DESCRIPTION: Opsional. String yang menjelaskan kueri.

Metode HTTP dan URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Meminta isi JSON:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login, atau menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke CLI gcloud. Anda dapat memeriksa akun yang aktif saat ini dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login. Anda dapat memeriksa akun yang aktif saat ini dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

APIs Explorer (browser)

Salin isi permintaan dan buka halaman referensi metode. Panel APIs Explorer akan terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempelkan isi permintaan di alat ini, lengkapi kolom wajib lainnya, lalu klik Jalankan.

Respons berisi kueri tersimpan. Misalnya, mungkin akan terlihat seperti berikut:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Menjalankan kueri tersimpan

gcloud

Untuk menjalankan kueri analisis tersimpan, gunakan perintah gcloud asset analyze-iam-policy.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

SCOPE_RESOURCE_TYPE: Jenis resource yang ingin Anda tetapkan cakupan penelusurannya. Hanya IAM yang mengizinkan kebijakan yang melekat pada resource ini dan ke turunannya yang akan dianalisis. Gunakan nilai project, folder, atau organization.
SCOPE_RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda jadikan cakupan penelusuran. Hanya IAM yang mengizinkan kebijakan yang melekat pada resource ini dan ke turunannya yang akan dianalisis. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa numerik, seperti 123456789012.
RESOURCE_TYPE_PLURAL: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik project, folder, atau organisasi Google Cloud tempat kueri disimpan. Anda tidak dapat menggunakan project ID alfanumerik untuk mengidentifikasi project. Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda gunakan.

Jalankan perintah gcloud asset analyze-iam-policy:

Linux, macOS, atau Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Respons berisi hasil menjalankan kueri tersimpan pada resource yang ditentukan. Untuk contoh hasil kueri, lihat Menganalisis kebijakan IAM.

REST

Untuk menjalankan kueri analisis tersimpan, gunakan metode analyzeIamPolicy pada Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE_RESOURCE_TYPE: Jenis resource yang ingin Anda tetapkan cakupan penelusurannya. Hanya IAM yang mengizinkan kebijakan yang melekat pada resource ini dan ke turunannya yang akan dianalisis. Gunakan nilai projects, folders, atau organizations.
SCOPE_RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda jadikan cakupan penelusuran. Hanya IAM yang mengizinkan kebijakan yang melekat pada resource ini dan ke turunannya yang akan dianalisis. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa numerik, seperti 123456789012.
RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik project, folder, atau organisasi Google Cloud tempat kueri disimpan. Anda tidak dapat menggunakan project ID alfanumerik untuk mengidentifikasi project. Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda gunakan.

Metode HTTP dan URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Meminta isi JSON:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (browser)

Respons berisi hasil menjalankan kueri tersimpan pada resource yang ditentukan. Untuk contoh hasil kueri, lihat Menganalisis kebijakan IAM.

Mendapatkan kueri tersimpan

gcloud

Untuk mendapatkan kueri Penganalisis Kebijakan yang tersimpan, gunakan perintah gcloud asset saved-queries get.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

QUERY_ID: ID kueri tersimpan yang ingin Anda dapatkan.
RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai project, folder, atau organization.
RESOURCE_ID: ID project, folder, atau organisasi Google Cloud tempat kueri disimpan. Project ID dapat berupa alfanumerik atau numerik. ID folder dan organisasi berupa angka.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Respons berisi kueri tersimpan. Misalnya, mungkin akan terlihat seperti berikut:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Untuk mendapatkan kueri Penganalisis Kebijakan yang tersimpan, gunakan metode savedQueries.get pada Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik project, folder, atau organisasi Google Cloud tempat kueri disimpan. Anda tidak dapat menggunakan project ID alfanumerik untuk mengidentifikasi project. Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda dapatkan.

Metode HTTP dan URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (browser)

Buka halaman referensi metode. Panel APIs Explorer akan terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Lengkapi kolom yang wajib diisi, lalu klik Jalankan.

Respons berisi kueri tersimpan. Misalnya, mungkin akan terlihat seperti berikut:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Mencantumkan kueri tersimpan

gcloud

Untuk menampilkan daftar semua kueri Penganalisis Kebijakan yang tersimpan dalam sebuah project, folder, atau organisasi, gunakan perintah gcloud asset saved-queries list.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai project, folder, atau organization.
RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda cantumkan kueri tersimpannya. Project ID dapat berupa alfanumerik atau numerik. ID folder dan organisasi berupa angka.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Responsnya berisi semua kueri Penganalisis Kebijakan tersimpan untuk project, folder, atau organisasi. Misalnya, mungkin akan terlihat seperti berikut:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Untuk menampilkan daftar semua kueri Penganalisis Kebijakan yang tersimpan dalam sebuah project, folder, atau organisasi, gunakan metode savedQueries.list pada Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda cantumkan kueri tersimpannya. Project ID dapat berupa alfanumerik atau numerik. ID folder dan organisasi berupa angka.

Metode HTTP dan URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

APIs Explorer (browser)

Responsnya berisi semua kueri Penganalisis Kebijakan tersimpan untuk project, folder, atau organisasi. Misalnya, mungkin akan terlihat seperti berikut:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Memperbarui kueri tersimpan

gcloud

Untuk memperbarui kueri Penganalisis Kebijakan yang tersimpan, gunakan perintah gcloud asset saved-queries update.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

UPDATED_QUERY: Opsional. Kueri Penganalisis Kebijakan yang diupdate dan ingin Anda simpan. Untuk mempelajari cara memformat kueri, lihat Membuat kueri tersimpan.
RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai project, folder, atau organization.
QUERY_ID: ID kueri tersimpan yang ingin Anda edit.
RESOURCE_ID: ID project, folder, atau organisasi Google Cloud tempat kueri disimpan. Project ID dapat berupa alfanumerik atau numerik. ID folder dan organisasi berupa angka.
UPDATED_LABELS: Opsional. Label baru yang ingin Anda lampirkan ke kueri tersimpan. Anda juga dapat menghapus label dengan flag --remove-labels="KEY_1,KEY_2", atau menghapus semua label dengan flag --clear-labels.
UPDATED_DESCRIPTION: Opsional. Deskripsi yang diperbarui untuk kueri tersimpan.

Simpan konten berikut ini dalam file yang bernama request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

Respons berisi kueri yang diperbarui.

REST

Untuk memperbarui kueri Penganalisis Kebijakan yang tersimpan, gunakan metode savedQueries.patch Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik project, folder, atau organisasi Google Cloud tempat kueri disimpan. Anda tidak dapat menggunakan project ID alfanumerik untuk mengidentifikasi project. Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda edit.
UPDATED_FIELDS: Daftar yang dipisahkan koma untuk kolom yang ingin Anda perbarui. Misalnya, jika Anda memperbarui kolom konten, label, dan deskripsi, Anda akan menggunakan nilai content,labels,description.
UPDATED_QUERY: Opsional. Kueri Penganalisis Kebijakan yang diupdate dan ingin Anda simpan. Untuk mempelajari cara memformat kueri, lihat Membuat kueri tersimpan.
UPDATED_LABELS: Opsional. Label baru yang ingin Anda lampirkan ke kueri tersimpan.
UPDATED_DESCRIPTION: Opsional. Deskripsi yang diperbarui untuk kueri tersimpan.

Metode HTTP dan URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Meminta isi JSON:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

APIs Explorer (browser)

Respons berisi kueri yang diperbarui.

Menghapus kueri tersimpan

gcloud

Untuk menghapus kueri Penganalisis Kebijakan yang tersimpan, gunakan perintah gcloud asset saved-queries delete.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

QUERY_ID: ID kueri tersimpan yang ingin Anda hapus.
RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai project, folder, atau organization.
RESOURCE_NUM_ID: ID numerik project, folder, atau organisasi Google Cloud tempat kueri disimpan. Anda tidak dapat menggunakan project ID alfanumerik untuk mengidentifikasi project. Anda harus menggunakan nomor project.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Untuk menghapus kueri Penganalisis Kebijakan yang tersimpan, gunakan metode savedQueries.delete Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource tempat kueri disimpan. Gunakan nilai projects, folders, atau organizations.
RESOURCE_NUM_ID: ID numerik project, folder, atau organisasi Google Cloud tempat kueri disimpan. Anda tidak dapat menggunakan project ID alfanumerik untuk mengidentifikasi project. Anda harus menggunakan nomor project.
QUERY_ID: ID kueri tersimpan yang ingin Anda hapus.

Metode HTTP dan URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (browser)

Jika kueri berhasil dihapus, API akan menampilkan respons kosong.