Richtlinienanalyse in BigQuery schreiben

1. Rufen Sie in der Google Cloud Console die Seite „Policy Analyzer“ auf.

   Policy Analyzer aufrufen

2. Suchen Sie im Bereich Richtlinien analysieren die Abfragevorlage, die Sie verwenden möchten, Klicken Sie dann auf Abfrage erstellen. Wenn Sie eine benutzerdefinierte Abfrage erstellen möchten, klicken Sie auf Benutzerdefinierte Abfrage erstellen

3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

4. Stellen Sie sicher, dass Ihre Suchparameter festgelegt sind:

   • Wenn Sie eine Abfragevorlage verwenden, prüfen Sie die vorausgefüllten Abfrageparameter.
   • Wenn Sie eine benutzerdefinierte Abfrage erstellen, legen Sie die Ressourcen, Hauptkonten, Rollen und Berechtigungen, die Sie abfragen möchten.

   Weitere Informationen zu den Abfragetypen, die Sie erstellen können, finden Sie unter IAM-Richtlinien analysieren

5. In dem Bereich mit dem Namen der Abfrage Klicken Sie auf Analysieren > Nur Ergebnis exportieren. Die Funktion Export .

6. Geben Sie im Abschnitt Exportziel festlegen die folgenden Informationen ein:

   • Projekt: Das Projekt, in dem sich Ihr BigQuery-Dataset befindet. befindet.
   • Dataset: Das BigQuery-Dataset, das Sie exportieren möchten. Ergebnisse angezeigt.
   • Tabelle: Das Präfix der BigQuery-Tabellen, für die die Analyseergebnisse vorliegen werden geschrieben. Wenn keine Tabelle mit dem angegebenen Präfix vorhanden ist, BigQuery erstellt eine neue Tabelle.

7. Klicken Sie auf Weiter.

8. Optional: Wählen Sie im Bereich Weitere Einstellungen konfigurieren das gewünschte die gewünschten Optionen:

   • Partitionierung: Gibt an, ob die Tabelle partitioniert werden soll. Weitere Informationen über siehe Einführung in partitionierte Tabellen Tabellen.
   • Schreibeinstellung: Gibt die Aktion an, die eintritt, wenn das Ziel Tabelle oder Partition ist bereits vorhanden. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten an die Tabelle oder der neuesten Partition.

9. Klicken Sie auf Exportieren.

Policy Analyzer führt Ihre Abfrage aus und exportiert die Ergebnisse in den die angegebene Tabelle enthält.

gcloud

Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und Ergebnisse im BigQuery-Ziel.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie die Suche beschränken möchten. Nur IAM-Zulassungsrichtlinien die an diese Ressource und ihre Nachfolger angehängt sind, analysiert werden. Wert verwenden project, folder oder organization.
• RESOURCE_ID: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, auf das bzw. die Sie die Suche beschränken möchten. Nur An diese Ressource und ihre Nachfolger gebundene IAM-Zulassungsrichtlinien werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• PRINCIPAL: das Hauptkonto, dessen die Sie analysieren möchten, in der Form PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.
• PERMISSIONS: A kommagetrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere überprüft Policy Analyzer nach allen aufgeführten Berechtigungen.
• DATASET: Das BigQuery-Dataset im Format projects/PROJECT_ID/datasets/DATASET_ID, wobei PROJECT_ID ist die alphanumerische ID Ihres Google Cloud-Projekts und DATASET_ID ist die ID des Datasets.
• TABLE_PREFIX: Das Präfix des BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden. Wenn eine Tabelle mit dem angegebenes Präfix nicht vorhanden ist, erstellt BigQuery eine neue Tabelle.
• PARTITION_KEY: Optional. Partitionierungsschlüssel für Nach BigQuery partitionierte Tabelle. Policy Analyzer unterstützt nur REQUEST_TIME-Partitionsschlüssel.
• WRITE_DISPOSITION: Optional. Angaben Die Aktion, die auftritt, wenn die Zieltabelle oder -partition bereits vorhanden ist. Eine Liste möglicher finden Sie unter writeDisposition. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten standardmäßig an der Tabelle oder der letzten Partition.

Führen Sie den gcloud asset Analyzer-iam-policy-longrunning Befehl:

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --bigquery-dataset=DATASET \
    --bigquery-table-prefix=TABLE_PREFIX \
    --bigquery-partition-key=PARTITION_KEY \
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --bigquery-dataset=DATASET `
    --bigquery-table-prefix=TABLE_PREFIX `
    --bigquery-partition-key=PARTITION_KEY `
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --bigquery-dataset=DATASET ^
    --bigquery-table-prefix=TABLE_PREFIX ^
    --bigquery-partition-key=PARTITION_KEY ^
    --bigquery-write-disposition=WRITE_DISPOSITION

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und Ergebnisse im BigQuery-Ziel.

Analysieren Sie eine IAM-Zulassungsrichtlinie und exportieren Sie die Ergebnisse nach BigQuery, verwenden Sie die analyzeIamPolicyLongrunning .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie die Suche beschränken möchten. Nur IAM-Zulassungsrichtlinien die an diese Ressource und ihre Nachfolger angehängt sind, analysiert werden. Wert verwenden projects, folders oder organizations.
• RESOURCE_ID: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, auf das bzw. die Sie die Suche beschränken möchten. Nur An diese Ressource und ihre Nachfolger gebundene IAM-Zulassungsrichtlinien werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcenname der Ressource, die deren Zugriff Sie analysieren möchten. Eine Liste aller Formate für Ressourcennamen finden Sie unter Format des Ressourcennamens:
• PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach allen aufgeführten Berechtigungen.
• DATASET: Das BigQuery-Dataset im Format projects/PROJECT_ID/datasets/DATASET_ID, wobei PROJECT_ID ist die alphanumerische ID Ihres Google Cloud-Projekts und DATASET_ID ist die ID des Datasets.
• TABLE_PREFIX: Das Präfix des BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden. Wenn eine Tabelle mit dem angegebenes Präfix nicht vorhanden ist, erstellt BigQuery eine neue Tabelle.
• PARTITION_KEY: Optional. Partitionierungsschlüssel für Nach BigQuery partitionierte Tabelle. Policy Analyzer unterstützt nur REQUEST_TIME-Partitionsschlüssel.
• WRITE_DISPOSITION: Optional. Angaben Die Aktion, die auftritt, wenn die Zieltabelle oder -partition bereits vorhanden ist. Eine Liste möglicher finden Sie unter writeDisposition. Wenn die Tabelle oder Partition bereits vorhanden ist, hängt BigQuery die Daten standardmäßig an der Tabelle oder der letzten Partition.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

JSON-Text anfordern:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  },
  "outputConfig": {
    "bigqueryDestination": {
      "dataset": "DATASET",
      "tablePrefix": "TABLE_PREFIX",
      "partitionKey": "PARTITION_KEY",
      "writeDisposition": "WRITE_DISPOSITION"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

   Zu BigQuery

2. Um die Tabellen und Ansichten im Dataset anzuzeigen, öffnen Sie den Navigationsbereich. Wählen Sie im Bereich Explorer Ihr Projekt aus, um es zu maximieren, und klicken Sie dann wählen Sie ein Dataset aus.

3. Wählen Sie in der Liste die Tabellen mit Ihrem Präfix aus. Die Tabelle mit einem Das Suffix analysis enthält die Abfrage und die Metadaten, z. B. den Vorgang Name, Anfragezeit und nicht kritische Fehler). Die Tabelle mit Das Suffix analysis_result ist die Ergebnisauflistung der Tupel von {identity, role(s)/permission(s), resource} zusammen mit IAM-Richtlinien, die diese Tupel generieren

4. Wählen Sie den Tab Vorschau aus, um einen Beispieldatensatz zu sehen.

API

Rufen Sie tabledata.list auf, um die Daten in Ihrer Tabelle zu durchsuchen. Geben Sie im Parameter tableId den Namen Ihrer Tabelle an.

Sie können die folgenden optionalen Parameter konfigurieren, um die Ausgabe zu steuern.

• maxResults ist die maximale Anzahl von zurückzugebenden Ergebnissen.
• selectedFields ist eine durch Kommas getrennte Liste von Spalten, die zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Spalten zurückgegeben.
• startIndex ist der nullbasierte Index der Startzeile, die gelesen werden soll.

Die Werte werden zusammengefasst in einem JSON-Objekt zurückgegeben. Dieses Objekt muss dann wie in der Referenzdokumentation zu tabledata.list beschrieben geparst werden.