Diese Seite wurde von der Cloud Translation API übersetzt.

Richtlinienanalyse in Cloud Storage schreiben

Auf dieser Seite wird erläutert, wie Sie Richtlinien für die Identitäts- und Zugriffsverwaltung asynchron analysieren und die Ergebnisse in Cloud Storage schreiben. Die Funktion entspricht weitgehend der Analyse von IAM-Richtlinien, mit dem Unterschied, dass das Analyseergebnis in einen Cloud Storage-Bucket geschrieben wird.

Hinweise

Cloud Asset API aktivieren.

Aktivieren Sie die API

Sie müssen die API in dem Projekt oder der Organisation aktivieren, die Sie zum Senden der Abfrage. Dabei muss es sich nicht um die Ressource handeln, auf die Sie den Bereich der Abfrage beschränken.

Erforderliche Rollen und Berechtigungen

Die folgenden Rollen und Berechtigungen sind zum Ausführen einer Richtlinienanalyse und -export erforderlich die Ergebnisse an Cloud Storage.

Erforderliche IAM-Rollen

Um die Berechtigungen zu erhalten, die Sie zum Analysieren einer Richtlinie und Exportieren der Ergebnisse in BigQuery bitten Sie Ihren Administrator, Ihnen folgenden IAM-Rollen für das Projekt, den Ordner oder die Organisation, die Sie festlegen an:

Cloud-Asset-Betrachter (roles/cloudasset.viewer)
Storage-Objekt-Ersteller (roles/storage.objectCreator)
So analysieren Sie Richtlinien mit benutzerdefinierten IAM-Rollen: Rollenbetrachter (roles/iam.roleViewer)
So analysieren Sie Richtlinien mit der Google Cloud CLI: Service Usage-Nutzer (roles/serviceusage.serviceUsageConsumer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten Berechtigungen zum Analysieren einer Richtlinie und Exportieren der Ergebnisse nach BigQuery Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um eine Richtlinie zu analysieren und die Ergebnisse zu exportieren BigQuery:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
storage.objects.create
So analysieren Sie Richtlinien mit benutzerdefinierten IAM-Rollen: iam.roles.get
So analysieren Sie Richtlinien mit der Google Cloud CLI: serviceusage.services.use

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Erforderliche Google Workspace-Berechtigungen

Wenn Sie sehen möchten, ob ein Hauptkonto damit bestimmte Rollen oder Berechtigungen hat ihrer Mitgliedschaft in einer Google Workspace-Gruppe benötigen Sie die groups.read Google Workspace-Berechtigung. Diese Berechtigung ist im Google Groups-Leser enthalten. Administratorrolle und in leistungsstärkeren Rollen wie Gruppenadministrator oder Super Admin Rollen. Weitere Informationen finden Sie unter Bestimmte Administratorrollen zuweisen. Informationen.

Richtlinien analysieren und Ergebnisse exportieren

Die AnalyzeIamPolicyLongrunning ermöglicht es Ihnen, eine Analyseanfrage zu senden und Ergebnisse in der angegebenen Cloud Storage-Bucket:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

RESOURCE_TYPE: Der Typ der Ressource, auf die Sie die Suche beschränken möchten. Nur IAM-Zulassungsrichtlinien die an diese Ressource und ihre Nachfolger angehängt sind, analysiert werden. Wert verwenden project, folder oder organization.
RESOURCE_ID: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, auf das bzw. die Sie die Suche beschränken möchten. Nur An diese Ressource und ihre Nachfolger gebundene IAM-Zulassungsrichtlinien werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
PRINCIPAL: das Hauptkonto, dessen die Sie analysieren möchten, in der Form PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.
PERMISSIONS: A Durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere überprüft Policy Analyzer nach allen aufgeführten Berechtigungen.
STORAGE_OBJECT_URI: Die eindeutige Ressource Kennzeichnung des Cloud Storage-Objekts, in das Sie die Analyseergebnisse exportieren möchten, im Feld aus gs://BUCKET_NAME/OBJECT_NAME, z. B. gs://my-bucket/analysis.json

Führen Sie den gcloud asset Analyzer-iam-policy-longrunning Befehl:

Linux, macOS oder Cloud Shell

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (PowerShell)

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (cmd.exe)

Hinweis: Wenn dieser Befehl ' zum Zitieren von Inhalten verwendet, ersetzen Sie diese einfachen Anführungszeichen durch doppelte Anführungszeichen. Wenn Anführungszeichen verschachtelt sind, verwenden Sie \", um die inneren Anführungszeichen zu maskieren.

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --gcs-output-path=STORAGE_OBJECT_URI

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Analysieren Sie eine IAM-Zulassungsrichtlinie und exportieren Sie die Ergebnisse nach Cloud Storage, verwenden Sie die analyzeIamPolicyLongrunning .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Typ der Ressource, auf die Sie die Suche beschränken möchten. Nur IAM-Zulassungsrichtlinien die an diese Ressource und ihre Nachfolger angehängt sind, analysiert werden. Wert verwenden projects, folders oder organizations.
RESOURCE_ID: Die ID des Google Cloud-Projekt, -Ordner oder -Organisation, auf das bzw. die Sie die Suche beschränken möchten. Nur An diese Ressource und ihre Nachfolger gebundene IAM-Zulassungsrichtlinien werden analysiert. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcenname der Ressource, die deren Zugriff Sie analysieren möchten. Eine Liste aller Formate für Ressourcennamen finden Sie unter Format des Ressourcennamens:
PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Haupttypen finden Sie unter Haupt-IDs.
PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, sucht Policy Analyzer nach allen aufgeführten Berechtigungen.
STORAGE_OBJECT_URI: Die eindeutige Ressource Kennzeichnung des Cloud Storage-Objekts, in das Sie die Analyseergebnisse exportieren möchten, im Feld aus gs://BUCKET_NAME/OBJECT_NAME, z. B. gs://my-bucket/analysis.json

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

JSON-Text anfordern:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "outputConfig": {
      "gcsDestination": {
        "uri": "STORAGE_OBJECT_URI"
      }
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

APIs Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

Ergebnisse der IAM-Richtlinienanalyse ansehen

So rufen Sie die Analyse der IAM-Richtlinien auf:

Rufen Sie in der Google Cloud Console die Seite Buckets auf.

Buckets aufrufen
Öffnen Sie die neue Datei, in die Sie die Analyse exportiert haben.

In den Ergebnissen werden Tupel von {identity, role(s)/permission(s), resource} zusammen mit IAM-Richtlinien aufgelistet, die diese Tupel generieren.