Esta página foi traduzida pela API Cloud Translation.

Gerir consultas guardadas

Esta página mostra como criar, gerir e executar consultas do Analisador de políticas guardadas. Pode criar até 200 consultas guardadas num recurso. Este limite não inclui as consultas guardadas dos respetivos filhos. Por exemplo, se tiver 10 projetos numa organização, cada projeto pode ter até 200 consultas guardadas e a organização pode ter até 200 consultas guardadas.

Antes de começar

Enable the Cloud Asset API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

Funções necessárias

Para obter as autorizações de que precisa para criar e gerir consultas guardadas, peça ao seu administrador para lhe conceder a função do IAM proprietário de recursos do Google Cloud (roles/cloudasset.owner) no projeto, na pasta ou na organização onde vai guardar a sua consulta. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém as autorizações necessárias para criar e gerir consultas guardadas. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

As seguintes autorizações são necessárias para criar e gerir consultas guardadas:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Criar uma consulta guardada

gcloud

Para criar uma consulta do Analisador de políticas guardada num projeto principal, numa pasta ou numa organização, use o comando gcloud asset saved-queries create.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

SCOPE_RESOURCE_TYPE_PLURAL: o tipo de recurso ao qual quer restringir a sua pesquisa, no plural. Apenas as políticas de permissão do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa. Google Cloud Apenas as políticas de permissão do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual quer analisar o acesso. Para ver uma lista de formatos de nomes de recursos completos, consulte o artigo Formato do nome do recurso.
PRINCIPAL: opcional. O principal cujo acesso quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para ver uma lista completa dos tipos principais, consulte o artigo Identificadores principais.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As autorizações que quer verificar, por exemplo, compute.instances.get. Se listar várias autorizações, o Analisador de políticas verifica se alguma das autorizações indicadas está presente.
QUERY_ID: o ID a usar para a consulta guardada, que tem de ser exclusivo no recurso principal especificado (projeto, pasta ou organização). Pode usar letras, números e hífenes no ID da consulta.
RESOURCE_TYPE: o tipo de recurso para o qual quer guardar uma consulta. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do Google Cloud projeto, da pasta ou da organização para a qual quer guardar uma consulta. Os IDs dos projetos podem ser alfanuméricos ou numéricos. Os IDs das pastas e das organizações são numéricos.
LABEL_KEY e LABEL_VALUE: opcional. Uma lista separada por vírgulas de pares de chave/valor a anexar à consulta, que podem ser usados em operações de pesquisa e de lista. Pode incluir até 10 etiquetas para cada consulta guardada.
DESCRIPTION: opcional. Uma string que descreve a consulta.

Guarde o seguinte conteúdo num ficheiro denominado request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

A resposta contém a consulta guardada. Por exemplo, pode ter o seguinte aspeto:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Para criar uma consulta do Analisador de políticas guardada num projeto principal, numa pasta ou numa organização, use o método savedQueries.create da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso para o qual quer guardar uma consulta. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do Google Cloud projeto, da pasta ou da organização para a qual quer guardar uma consulta. Os IDs dos projetos podem ser alfanuméricos ou numéricos. Os IDs das pastas e das organizações são numéricos.
QUERY_ID: o ID a usar para a consulta guardada, que tem de ser exclusivo no recurso principal especificado (projeto, pasta ou organização). Pode usar letras, números e hífenes no ID da consulta.
SCOPE_RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de permissão do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa. Google Cloud Apenas as políticas de permissão do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual quer analisar o acesso. Para ver uma lista de formatos de nomes de recursos completos, consulte o artigo Formato do nome do recurso.
PRINCIPAL: opcional. O principal cujo acesso quer analisar, no formato PRINCIPAL_TYPE:ID, por exemplo, user:my-user@example.com. Para ver uma lista completa dos tipos principais, consulte o artigo Identificadores principais.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As autorizações que quer verificar, por exemplo, compute.instances.get. Se listar várias autorizações, o Analisador de políticas verifica se alguma das autorizações indicadas está presente.
LABEL_KEY e LABEL_VALUE: opcional. Um par de chave/valor a anexar à consulta, que pode ser usado em operações de pesquisa e de lista. Pode incluir até 10 etiquetas para cada consulta guardada.
DESCRIPTION: opcional. Uma string que descreve a consulta.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Corpo JSON do pedido:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

Explorador de APIs (navegador)

Copie o corpo do pedido e abra a página de referência do método. O painel APIs Explorer é aberto no lado direito da página. Pode interagir com esta ferramenta para enviar pedidos. Cole o corpo do pedido nesta ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

A resposta contém a consulta guardada. Por exemplo, pode ter o seguinte aspeto:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Execute uma consulta guardada

gcloud

Para executar uma consulta de análise guardada, use o comando gcloud asset analyze-iam-policy.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

SCOPE_RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de permissão do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Use o valor project, folder ou organization.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa. Google Cloud Apenas as políticas de permissão do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
RESOURCE_TYPE_PLURAL: o tipo de recurso onde a consulta é guardada. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do Google Cloud projeto, da pasta ou da organização onde a consulta está guardada. Não pode usar o ID do projeto alfanumérico para identificar um projeto. Tem de usar o número do projeto.
QUERY_ID: o ID da consulta guardada que quer usar.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

A resposta contém os resultados da execução da consulta guardada no recurso especificado. Para ver exemplos de resultados de consultas, consulte o artigo Analise as políticas de IAM.

REST

Para executar uma consulta de análise guardada, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE_RESOURCE_TYPE: o tipo de recurso ao qual quer restringir a sua pesquisa. Apenas as políticas de permissão do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Use o valor projects, folders ou organizations.
SCOPE_RESOURCE_ID: o ID do projeto, da pasta ou da organização ao qual quer restringir a sua pesquisa. Google Cloud Apenas as políticas de permissão do IAM anexadas a este recurso e aos respetivos descendentes vão ser analisadas. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
RESOURCE_TYPE: o tipo de recurso onde a consulta é guardada. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do Google Cloud projeto, da pasta ou da organização onde a consulta está guardada. Não pode usar o ID do projeto alfanumérico para identificar um projeto. Tem de usar o número do projeto.
QUERY_ID: o ID da consulta guardada que quer usar.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Corpo JSON do pedido:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

A resposta contém os resultados da execução da consulta guardada no recurso especificado. Para ver exemplos de resultados de consultas, consulte o artigo Analise as políticas de IAM.

Obtenha uma consulta guardada

gcloud

Para obter uma consulta do Analisador de políticas guardada, use o comando gcloud asset saved-queries get.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

QUERY_ID: o ID da consulta guardada que quer obter.
RESOURCE_TYPE: o tipo de recurso onde a consulta é guardada. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do Google Cloud projeto, da pasta ou da organização onde a consulta está guardada. Os IDs dos projetos podem ser alfanuméricos ou numéricos. Os IDs das pastas e das organizações são numéricos.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

A resposta contém a consulta guardada. Por exemplo, pode ter o seguinte aspeto:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Para obter uma consulta guardada do Policy Analyzer, use o método savedQueries.get da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso onde a consulta é guardada. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do Google Cloud projeto, da pasta ou da organização onde a consulta está guardada. Não pode usar o ID do projeto alfanumérico para identificar um projeto. Tem de usar o número do projeto.
QUERY_ID: o ID da consulta guardada que quer obter.

Método HTTP e URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Explorador de APIs (navegador)

Abra a página de referência do método. O painel APIs Explorer é aberto no lado direito da página. Pode interagir com esta ferramenta para enviar pedidos. Preencha todos os campos obrigatórios e clique em Executar.

A resposta contém a consulta guardada. Por exemplo, pode ter o seguinte aspeto:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Liste as consultas guardadas

gcloud

Para listar todas as consultas do Analisador de políticas guardadas num projeto, numa pasta ou numa organização, use o comando gcloud asset saved-queries list.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso onde as consultas são guardadas. Use o valor project, folder ou organization.
RESOURCE_ID: O ID do Google Cloud projeto, da pasta ou da organização para a qual quer listar as consultas guardadas. Os IDs dos projetos podem ser alfanuméricos ou numéricos. Os IDs das pastas e das organizações são numéricos.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

A resposta contém todas as consultas do Analisador de políticas guardadas para o projeto, a pasta ou a organização. Por exemplo, pode ter o seguinte aspeto:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Para listar todas as consultas do Analisador de políticas guardadas num projeto, numa pasta ou numa organização, use o método savedQueries.list da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso onde as consultas são guardadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: O ID do Google Cloud projeto, da pasta ou da organização para a qual quer listar as consultas guardadas. Os IDs dos projetos podem ser alfanuméricos ou numéricos. Os IDs das pastas e das organizações são numéricos.

Método HTTP e URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

Explorador de APIs (navegador)

A resposta contém todas as consultas do Analisador de políticas guardadas para o projeto, a pasta ou a organização. Por exemplo, pode ter o seguinte aspeto:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Atualize uma consulta guardada

gcloud

Para atualizar uma consulta guardada do Analisador de políticas, use o comando gcloud asset saved-queries update.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

UPDATED_QUERY: opcional. A consulta do analisador de políticas atualizada que quer guardar. Para saber como formatar a consulta, consulte o artigo Crie uma consulta guardada.
RESOURCE_TYPE: o tipo de recurso onde a consulta é guardada. Use o valor project, folder ou organization.
QUERY_ID: o ID da consulta guardada que quer editar.
RESOURCE_ID: o ID do Google Cloud projeto, da pasta ou da organização onde a consulta está guardada. Os IDs dos projetos podem ser alfanuméricos ou numéricos. Os IDs das pastas e das organizações são numéricos.
UPDATED_LABELS: opcional. As etiquetas atualizadas que quer anexar à consulta guardada. Também pode remover etiquetas com a flag --remove-labels="KEY_1,KEY_2" ou limpar todas as etiquetas com a flag --clear-labels.
UPDATED_DESCRIPTION: opcional. Uma descrição atualizada da consulta guardada.

Guarde o seguinte conteúdo num ficheiro denominado request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

A resposta contém a consulta atualizada.

REST

Para atualizar uma consulta guardada do Analisador de políticas, use o método savedQueries.patch da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso onde a consulta é guardada. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do Google Cloud projeto, da pasta ou da organização onde a consulta está guardada. Não pode usar o ID do projeto alfanumérico para identificar um projeto. Tem de usar o número do projeto.
QUERY_ID: o ID da consulta guardada que quer editar.
UPDATED_FIELDS: uma lista separada por vírgulas dos campos que quer atualizar. Por exemplo, se estiver a atualizar os campos de conteúdo, etiquetas e descrição, usaria o valor content,labels,description.
UPDATED_QUERY: opcional. A consulta do analisador de políticas atualizada que quer guardar. Para saber como formatar a consulta, consulte o artigo Crie uma consulta guardada.
UPDATED_LABELS: opcional. As etiquetas atualizadas que quer anexar à consulta guardada.
UPDATED_DESCRIPTION: opcional. Uma descrição atualizada da consulta guardada.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Corpo JSON do pedido:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

Explorador de APIs (navegador)

A resposta contém a consulta atualizada.

Elimine uma consulta guardada

gcloud

Para eliminar uma consulta guardada do Analisador de políticas, use o comando gcloud asset saved-queries delete.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

QUERY_ID: o ID da consulta guardada que quer eliminar.
RESOURCE_TYPE: o tipo de recurso onde a consulta é guardada. Use o valor project, folder ou organization.
RESOURCE_NUM_ID: o ID numérico do Google Cloud projeto, da pasta ou da organização onde a consulta está guardada. Não pode usar o ID do projeto alfanumérico para identificar um projeto. Tem de usar o número do projeto.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Para eliminar uma consulta do Analisador de políticas guardada, use o método savedQueries.delete da API Cloud Asset Inventory.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso onde a consulta é guardada. Use o valor projects, folders ou organizations.
RESOURCE_NUM_ID: o ID numérico do Google Cloud projeto, da pasta ou da organização onde a consulta está guardada. Não pode usar o ID do projeto alfanumérico para identificar um projeto. Tem de usar o número do projeto.
QUERY_ID: o ID da consulta guardada que quer eliminar.

Método HTTP e URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Explorador de APIs (navegador)

Se a consulta for eliminada com êxito, a API devolve uma resposta vazia.