Escribe análisis de políticas en BigQuery

1. En la consola de Google Cloud, ve a la página Analizador de políticas.

   Ir al Analizador de políticas

2. En la sección Analizar políticas, busca la plantilla de consulta que deseas usar. Luego, haz clic en Crear consulta. Si deseas crear una consulta personalizada, haz clic Crear consulta personalizada.

3. En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.

4. Asegúrate de que tus parámetros de consulta estén configurados:

   • Si usas una plantilla de consulta, confirma los parámetros de consulta completados previamente.
   • Si creas una consulta personalizada, configura los recursos, las principales, los roles y permisos que quieres consultar.

   Para obtener más información sobre los tipos de consultas que puedes crear, visita Analiza las políticas de IAM.

5. En el panel etiquetado con el nombre de la consulta, Haz clic en Analizar > Exportar solo el resultado. El botón Exportar se abrirá el panel de resultados.

6. En la sección Establecer destino de exportación, ingresa la siguiente información:

   • Proyecto: Es el proyecto en el que se encuentra tu conjunto de datos de BigQuery. ubicado.
   • Conjunto de datos: Es el conjunto de datos de BigQuery que deseas exportar. los resultados de búsqueda.
   • Tabla: El prefijo de las tablas de BigQuery en las que se encuentran los resultados del análisis se escribirán. Si una tabla con el prefijo especificado no existe, BigQuery crea una tabla nueva.

7. Haga clic en Continuar.

8. Opcional: En la sección Establecer configuración adicional, selecciona de servicio que desees:

   • Partición: Indica si se debe particionar la tabla. Para obtener más información tablas particionadas, consulta Introducción a las tablas particionadas, tablas.
   • Write preference: Especifica la acción que se produce si el destino tabla o partición ya existe. De forma predeterminada, si la tabla o partición ya existen, BigQuery adjunta los datos a la tabla o la partición más reciente.

9. Haz clic en Exportar.

El Analizador de políticas ejecuta tu consulta y exporta los resultados al tabla especificada.

gcloud

Método AnalyzeIamPolicyLongrunning le permite emitir una solicitud de análisis y obtener resultados en la búsqueda destino de BigQuery.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor project, folder o organization.
• RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
• PRINCIPAL: La principal de datos que quieres analizar, de la forma PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principales, consulta Identificadores principales.
• PERMISSIONS: A una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start Si incluyes varias permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.
• DATASET: Es el conjunto de datos de BigQuery. en el formato projects/PROJECT_ID/datasets/DATASET_ID, donde PROJECT_ID es el ID alfanumérico de tu proyecto de Google Cloud. DATASET_ID es el ID de tu conjunto de datos.
• TABLE_PREFIX: Es el prefijo del Tablas de BigQuery en las que se escribirán los resultados del análisis. Si una tabla con los no existe el prefijo especificado, BigQuery crea una tabla nueva.
• PARTITION_KEY: Opcional La clave de partición para la tabla particionada de BigQuery. El Analizador de políticas solo admite claves de partición REQUEST_TIME.
• WRITE_DISPOSITION: Opcional Especifica la acción que ocurre si la tabla o partición de destino ya existe. Para obtener una lista de posibles de rendimiento, consulta writeDisposition De forma predeterminada, si la tabla o partición ya existe, BigQuery agregará los datos a la tabla o la partición más reciente.

Ejecuta el gcloud asset analyze-iam-policy-longrunning :

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --bigquery-dataset=DATASET \
    --bigquery-table-prefix=TABLE_PREFIX \
    --bigquery-partition-key=PARTITION_KEY \
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --bigquery-dataset=DATASET `
    --bigquery-table-prefix=TABLE_PREFIX `
    --bigquery-partition-key=PARTITION_KEY `
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --bigquery-dataset=DATASET ^
    --bigquery-table-prefix=TABLE_PREFIX ^
    --bigquery-partition-key=PARTITION_KEY ^
    --bigquery-write-disposition=WRITE_DISPOSITION

Deberías recibir una respuesta similar a la que figura a continuación:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Método AnalyzeIamPolicyLongrunning le permite emitir una solicitud de análisis y obtener resultados en la búsqueda destino de BigQuery.

Para analizar una política de permisos de IAM y exportar los resultados a BigQuery, usa las APIs de Cloud Asset Inventory analyzeIamPolicyLongrunning .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

• RESOURCE_TYPE: Es el tipo. del recurso al que quieres definir el alcance de tu búsqueda. Solo políticas de permisos de IAM adjuntos a este recurso y a sus elementos subordinados. Usa el valor projects, folders o organizations.
• RESOURCE_ID: Es el ID del El proyecto, la carpeta o la organización de Google Cloud al que quieres definir el alcance de la búsqueda. Solo Se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus elementos subordinados. Los ID de proyecto son strings alfanuméricas, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.
• FULL_RESOURCE_NAME: Opcional El nombre completo del recurso que en las que quieres analizar el acceso. Para obtener una lista de los formatos de nombre de recurso completos, consulta Formato de nombre de recurso.
• PRINCIPAL: Opcional La principal cuyo acceso quieres analizar, en el formulario PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com Para obtener una lista completa de los tipos de principales, consulta Identificadores principales.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Opcional. El permisos que deseas verificar, por ejemplo, compute.instances.get. Si mostrar varios permisos, el Analizador de políticas verificará cualquiera de los permisos enumerados.
• DATASET: Es el conjunto de datos de BigQuery. en el formato projects/PROJECT_ID/datasets/DATASET_ID, donde PROJECT_ID es el ID alfanumérico de tu proyecto de Google Cloud. DATASET_ID es el ID de tu conjunto de datos.
• TABLE_PREFIX: Es el prefijo del Tablas de BigQuery en las que se escribirán los resultados del análisis. Si una tabla con los no existe el prefijo especificado, BigQuery crea una tabla nueva.
• PARTITION_KEY: Opcional La clave de partición para la tabla particionada de BigQuery. El Analizador de políticas solo admite claves de partición REQUEST_TIME.
• WRITE_DISPOSITION: Opcional Especifica la acción que ocurre si la tabla o partición de destino ya existe. Para obtener una lista de posibles de rendimiento, consulta writeDisposition De forma predeterminada, si la tabla o partición ya existe, BigQuery agregará los datos a la tabla o la partición más reciente.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  },
  "outputConfig": {
    "bigqueryDestination": {
      "dataset": "DATASET",
      "tablePrefix": "TABLE_PREFIX",
      "partitionKey": "PARTITION_KEY",
      "writeDisposition": "WRITE_DISPOSITION"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

1. En la consola de Google Cloud, ve a la página de BigQuery.

   Ir a BigQuery

2. Para mostrar las tablas y vistas en el conjunto de datos, abre el panel de navegación. En la sección Explorador, selecciona el proyecto para expandirlo y, luego, seleccionar un conjunto de datos.

3. En la lista, seleccione las tablas con tu prefijo. La tabla con un El sufijo analysis contiene la consulta y los metadatos (por ejemplo, operación nombre, hora de la solicitud y errores no críticos). La tabla con El sufijo analysis_result es el resultado que muestra las tuplas de {identity, role(s)/permission(s), resource} junto con las políticas de IAM que generan esas tuplas.

4. Para ver un conjunto de datos de muestra, selecciona la pestaña Vista previa.

API

Para explorar los datos de tu tabla, llama a tabledata.list. En el parámetro tableId, especifica el nombre de tu tabla.

Puedes configurar los siguientes parámetros opcionales para controlar el resultado.

• maxResults es la cantidad máxima de resultados que se mostrarán.
• selectedFields es una lista de las columnas separadas por comas que se mostrarán, si no se especifica, se mostrarán todas las columnas.
• startIndex es el índice basado en cero de la fila inicial que se leerá.

Los valores se muestran unidos en un objeto JSON que debes analizar, como se describe en la documentación de referencia de tabledata.list.