Halaman ini diterjemahkan oleh Cloud Translation API.

Menulis analisis kebijakan ke Cloud Storage

Halaman ini menjelaskan cara menganalisis kebijakan Identity and Access Management (IAM) secara asinkron dan menulis hasilnya ke Cloud Storage. Fungsi ini sebagian besar setara dengan menganalisis kebijakan IAM, kecuali hasil analisis ditulis ke bucket Cloud Storage.

Sebelum memulai

Enable the Cloud Asset API.

Enable the API

Anda harus mengaktifkan API di project yang akan digunakan untuk mengirim kueri. Resource ini tidak harus sama dengan resource yang Anda gunakan untuk cakupan kueri.

Peran dan izin yang diperlukan

Peran dan izin berikut diperlukan untuk menjalankan analisis kebijakan dan mengekspor hasil ke Cloud Storage.

Peran IAM yang diperlukan

Untuk mendapatkan izin yang diperlukan guna menganalisis kebijakan dan mengekspor hasilnya ke BigQuery, minta administrator untuk memberi Anda peran IAM berikut pada project, folder, atau organisasi yang akan menjadi cakupan kueri Anda:

Cloud Asset Viewer (roles/cloudasset.viewer)
Storage Object Creator (roles/storage.objectCreator)
Untuk menganalisis kebijakan dengan peran IAM kustom: Role Viewer (roles/iam.roleViewer)
Untuk menggunakan Google Cloud CLI guna menganalisis kebijakan: Konsumen Penggunaan Layanan (roles/serviceusage.serviceUsageConsumer)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menganalisis kebijakan dan mengekspor hasilnya ke BigQuery. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menganalisis kebijakan dan mengekspor hasilnya ke BigQuery:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
storage.objects.create
Untuk menganalisis kebijakan dengan peran IAM khusus: iam.roles.get
Untuk menggunakan Google Cloud CLI guna menganalisis kebijakan: serviceusage.services.use

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Izin Google Workspace yang diperlukan

Jika ingin melihat apakah akun utama memiliki peran atau izin tertentu sebagai hasil dari keanggotaannya di grup Google Workspace, Anda memerlukan izin Google Workspace groups.read. Izin ini terdapat dalam peran Admin Pembaca Grup, dan dalam peran yang lebih canggih seperti peran Admin Grup atau Admin Super. Lihat Menetapkan peran admin tertentu untuk mengetahui informasi selengkapnya.

Menganalisis kebijakan dan mengekspor hasil

Metode AnalyzeIamPolicyLongrunning memungkinkan Anda mengeluarkan permintaan analisis dan mendapatkan hasil di bucket Cloud Storage yang ditentukan.

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource yang ingin Anda cakup dalam penelusuran. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan turunannya yang akan dianalisis. Gunakan nilai project, folder, atau organization.
RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda jadikan cakupan penelusuran. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan turunannya yang akan dianalisis. Project ID berupa string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
PRINCIPAL: Akun utama yang aksesnya ingin Anda analisis, dalam bentuk PRINCIPAL_TYPE:ID—misalnya, user:my-user@example.com. Untuk mengetahui daftar lengkap jenis akun utama, lihat ID utama.
PERMISSIONS: Daftar izin yang dipisahkan koma yang ingin Anda periksa—misalnya, compute.instances.get,compute.instances.start. Jika Anda mencantumkan beberapa izin, Policy Analyzer akan memeriksa izin yang tercantum.
STORAGE_OBJECT_URI: ID resource unik objek Cloud Storage yang ingin Anda ekspor hasil analisisnya, dalam bentuk gs://BUCKET_NAME/OBJECT_NAME—misalnya, gs://my-bucket/analysis.json.

Jalankan perintah gcloud asset analyze-iam-policy-longrunning:

Linux, macOS, atau Cloud Shell

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (PowerShell)

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (cmd.exe)

Catatan: Jika perintah ini menggunakan ' untuk mengutip konten, ganti tanda kutip tunggal dengan tanda kutip ganda. Jika kutipan bertingkat, gunakan \" untuk meng-escape tanda kutip dalam.

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --gcs-output-path=STORAGE_OBJECT_URI

Anda akan melihat respons seperti berikut:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Untuk menganalisis kebijakan izin IAM dan mengekspor hasilnya ke Cloud Storage, gunakan metode analyzeIamPolicyLongrunning Cloud Asset Inventory API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource yang ingin Anda cakup dalam penelusuran. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan turunannya yang akan dianalisis. Gunakan nilai projects, folders, atau organizations.
RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda jadikan cakupan penelusuran. Hanya kebijakan izin IAM yang dilampirkan ke resource ini dan turunannya yang akan dianalisis. Project ID berupa string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
FULL_RESOURCE_NAME: Opsional. Nama resource lengkap dari resource yang aksesnya ingin Anda analisis. Untuk daftar format nama lengkap resource, lihat Format nama resource.
PRINCIPAL: Opsional. Akun utama yang aksesnya ingin Anda analisis, dalam bentuk PRINCIPAL_TYPE:ID—misalnya, user:my-user@example.com. Untuk mengetahui daftar lengkap jenis akun utama, lihat ID utama.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Opsional. Izin yang ingin Anda periksa—misalnya, compute.instances.get. Jika Anda mencantumkan beberapa izin, Penganalisis Kebijakan akan memeriksa izin yang tercantum.
STORAGE_OBJECT_URI: ID resource unik objek Cloud Storage yang ingin Anda ekspor hasil analisisnya, dalam bentuk gs://BUCKET_NAME/OBJECT_NAME—misalnya, gs://my-bucket/analysis.json.

Metode HTTP dan URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

Meminta isi JSON:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "outputConfig": {
      "gcsDestination": {
        "uri": "STORAGE_OBJECT_URI"
      }
    }
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

API Explorer (browser)

Salin isi permintaan dan buka halaman referensi metode. Panel API Explorer terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempelkan isi permintaan di alat ini, lengkapi kolom lainnya yang wajib diisi, lalu klik Jalankan.

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

Melihat hasil analisis kebijakan IAM

Untuk melihat hasil analisis kebijakan IAM:

Di konsol Google Cloud, buka halaman Bucket.

Buka Buckets
Buka file baru tempat Anda menulis analisis.

Hasilnya mencantumkan tuple {identity, role(s)/permission(s), resource} bersama dengan kebijakan IAM yang menghasilkan tuple tersebut.