Escribir análisis de políticas en BigQuery

1. En la consola de Google Cloud , ve a la página Analizador de políticas.

   Ir a Analizador de políticas

2. En la sección Analizar políticas, busca la plantilla de consulta que quieras usar y haz clic en Crear consulta. Si quieres crear una consulta personalizada, haz clic en Crear consulta personalizada.

3. En el campo Seleccionar ámbito de la consulta, selecciona el proyecto, la carpeta o la organización en los que quieras acotar la consulta. Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como a los recursos que contenga.

4. Asegúrate de que los parámetros de consulta estén definidos:

   • Si usas una plantilla de consulta, confirma los parámetros de consulta rellenados previamente.
   • Si vas a crear una consulta personalizada, define los recursos, las entidades, los roles y los permisos que quieras consultar.

   Para obtener más información sobre los tipos de consultas que puedes crear, consulta Analizar políticas de IAM.

5. En el panel con el nombre de la consulta, haz clic en Analizar > Exportar solo el resultado. Se abrirá el panel Exportar resultados.

6. En la sección Define el destino de exportación, introduce la siguiente información:

   • Proyecto: el proyecto en el que se encuentra tu conjunto de datos de BigQuery.
   • Conjunto de datos: el conjunto de datos de BigQuery al que quiere exportar los resultados.
   • Tabla: prefijo de las tablas de BigQuery en las que se escribirán los resultados del análisis. Si no existe ninguna tabla con el prefijo especificado, BigQuery crea una.

7. Haz clic en Continuar.

8. Opcional: En la sección Configurar ajustes adicionales, selecciona las opciones que quieras:

   • Particiones: indica si se va a particionar la tabla. Para obtener más información sobre las tablas con particiones, consulta el artículo Introducción a las tablas con particiones.
   • Preferencia de escritura: especifica la acción que se produce si la tabla o la partición de destino ya existen. De forma predeterminada, si la tabla o la partición ya existen, BigQuery añade los datos a la tabla o a la partición más reciente.

9. Haz clic en Exportar.

Analizador de políticas ejecuta la consulta y exporta los resultados a la tabla especificada.

gcloud

El método AnalyzeIamPolicyLongrunning te permite enviar una solicitud de análisis y obtener los resultados en el destino de BigQuery especificado.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

• RESOURCE_TYPE: el tipo de recurso al que quieres acotar la búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos asociadas a este recurso y a sus descendientes. Usa el valor project, folder o organization.
• RESOURCE_ID: el ID delGoogle Cloud proyecto, la carpeta o la organización en los que quieres acotar la búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos asociadas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
• PRINCIPAL: la entidad de seguridad principal cuyo acceso quieres analizar, con el formato PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com. Para ver una lista completa de los tipos de principales, consulta Identificadores de principales.
• PERMISSIONS: una lista separada por comas de los permisos que quieres comprobar. Por ejemplo, compute.instances.get,compute.instances.start. Si incluyes varios permisos, Analizador de políticas comprobará si se ha concedido alguno de ellos.
• DATASET: el conjunto de datos de BigQuery con el formato projects/PROJECT_ID/datasets/DATASET_ID, donde PROJECT_ID es el ID alfanumérico de su proyecto Google Cloud y DATASET_ID es el ID de su conjunto de datos.
• TABLE_PREFIX: prefijo de las tablas de BigQuery en las que se escribirán los resultados del análisis. Si no existe ninguna tabla con el prefijo especificado, BigQuery crea una.
• PARTITION_KEY: opcional. Clave de partición de la tabla con particiones de BigQuery. Analizador de políticas solo admite claves de partición REQUEST_TIME.
• WRITE_DISPOSITION: opcional. Especifica la acción que se lleva a cabo si la tabla o la partición de destino ya existen. Para ver una lista de los valores posibles, consulta writeDisposition. De forma predeterminada, si la tabla o la partición ya existen, BigQuery añade los datos a la tabla o a la partición más reciente.

Ejecuta el comando gcloud asset analyze-iam-policy-longrunning:

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --bigquery-dataset=DATASET \
    --bigquery-table-prefix=TABLE_PREFIX \
    --bigquery-partition-key=PARTITION_KEY \
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --bigquery-dataset=DATASET `
    --bigquery-table-prefix=TABLE_PREFIX `
    --bigquery-partition-key=PARTITION_KEY `
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --bigquery-dataset=DATASET ^
    --bigquery-table-prefix=TABLE_PREFIX ^
    --bigquery-partition-key=PARTITION_KEY ^
    --bigquery-write-disposition=WRITE_DISPOSITION

Deberías recibir una respuesta similar a la siguiente:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

El método AnalyzeIamPolicyLongrunning te permite enviar una solicitud de análisis y obtener los resultados en el destino de BigQuery especificado.

Para analizar una política de permisos de IAM y exportar los resultados a BigQuery, usa el método analyzeIamPolicyLongrunning de la API Cloud Asset Inventory.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

• RESOURCE_TYPE: el tipo de recurso al que quieres acotar la búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos asociadas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
• RESOURCE_ID: el ID delGoogle Cloud proyecto, la carpeta o la organización en los que quieres acotar la búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos asociadas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
• FULL_RESOURCE_NAME: opcional. Nombre de recurso completo del recurso del que quieres analizar el acceso. Para ver una lista de los formatos de nombre de recurso completo, consulta Formato de nombre de recurso.
• PRINCIPAL: opcional. La principal cuyo acceso quiere analizar, con el formato PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para ver una lista completa de los tipos de principales, consulta Identificadores de principales.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. Los permisos que quieres comprobar (por ejemplo, compute.instances.get). Si incluye varios permisos, Analizador de políticas comprobará si se ha concedido alguno de ellos.
• DATASET: el conjunto de datos de BigQuery con el formato projects/PROJECT_ID/datasets/DATASET_ID, donde PROJECT_ID es el ID alfanumérico de su proyecto Google Cloud y DATASET_ID es el ID de su conjunto de datos.
• TABLE_PREFIX: prefijo de las tablas de BigQuery en las que se escribirán los resultados del análisis. Si no existe ninguna tabla con el prefijo especificado, BigQuery crea una.
• PARTITION_KEY: opcional. Clave de partición de la tabla con particiones de BigQuery. Analizador de políticas solo admite claves de partición REQUEST_TIME.
• WRITE_DISPOSITION: opcional. Especifica la acción que se lleva a cabo si la tabla o la partición de destino ya existen. Para ver una lista de los valores posibles, consulta writeDisposition. De forma predeterminada, si la tabla o la partición ya existen, BigQuery añade los datos a la tabla o a la partición más reciente.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  },
  "outputConfig": {
    "bigqueryDestination": {
      "dataset": "DATASET",
      "tablePrefix": "TABLE_PREFIX",
      "partitionKey": "PARTITION_KEY",
      "writeDisposition": "WRITE_DISPOSITION"
    }
  }
}

Para enviar tu solicitud, despliega una de estas opciones:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

1. En la Google Cloud consola, ve a la página BigQuery.

   Ir a BigQuery

2. Para mostrar las tablas y las vistas del conjunto de datos, abre el panel de navegación. En la sección Explorador, selecciona tu proyecto para desplegarlo y, a continuación, selecciona un conjunto de datos.

3. En la lista, selecciona las tablas que tengan tu prefijo. La tabla con el sufijo analysis contiene la consulta y los metadatos (por ejemplo, el nombre de la operación, la hora de la solicitud y los errores no críticos). La tabla con el sufijo analysis_result muestra los resultados de las tuplas de {identity, role(s)/permission(s), resource} junto con las políticas de IAM que generan esas tuplas.

4. Para ver un conjunto de datos de muestra, seleccione la pestaña Vista previa.

API

Para consultar los datos de la tabla, llama a tabledata.list. En el parámetro tableId, especifica el nombre de la tabla.

Puedes configurar los siguientes parámetros opcionales para controlar la salida.

• maxResults es el número máximo de resultados que se devolverán.
• selectedFields es una lista de columnas separadas por comas que se van a devolver. Si no se especifica, se devuelven todas las columnas.
• startIndex es el índice basado en cero de la fila inicial que se va a leer.

Los valores se devuelven envueltos en un objeto JSON que debes analizar, tal como se describe en la tabledata.list documentación de referencia.