Scrivere analisi dei criteri in Cloud Storage

gcloud

Prima di utilizzare i dati di comando riportati di seguito, apporta le seguenti sostituzioni:

• RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore project, folder o organization.
• RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
• PRINCIPAL: l'entità di cui vuoi analizzare l'accesso, nel formato PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori delle entità.
• PERMISSIONS: un elenco separato da virgole delle autorizzazioni per le quali vuoi controllare, ad esempio compute.instances.get,compute.instances.start. Se indichi più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni.
• STORAGE_OBJECT_URI: l'identificatore univoco della risorsa dell'oggetto Cloud Storage in cui vuoi esportare i risultati dell'analisi, nel formato gs://BUCKET_NAME/OBJECT_NAME, ad esempio gs://my-bucket/analysis.json.

Esegui il comando gcloud asset analytics-iam-policy-longrun:

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --gcs-output-path=STORAGE_OBJECT_URI

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --gcs-output-path=STORAGE_OBJECT_URI

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --gcs-output-path=STORAGE_OBJECT_URI

Dovresti ricevere una risposta simile alla seguente:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Per analizzare un criterio di autorizzazione IAM ed esportare i risultati in Cloud Storage, utilizza il metodo analyzeIamPolicyLongrunning dell'API Cloud Asset Inventory.

Prima di utilizzare uno qualsiasi dei dati della richiesta, effettua le seguenti sostituzioni:

• RESOURCE_TYPE: il tipo di risorsa per cui vuoi limitare la ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Utilizza il valore projects, folders o organizations.
• RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud che vuoi utilizzare per l'ambito della ricerca. Verranno analizzati soltanto i criteri di autorizzazione IAM associati a questa risorsa e ai suoi discendenti. Gli ID progetto sono stringhe alfanumeriche come my-project. Gli ID di cartelle e organizzazioni sono numerici, come 123456789012.
• FULL_RESOURCE_NAME: facoltativo. Il nome completo della risorsa di cui vuoi analizzare l'accesso. Per un elenco dei formati completi dei nomi delle risorse, consulta Formato del nome della risorsa.
• PRINCIPAL: facoltativo. L'entità di cui vuoi analizzare l'accesso, nel formato PRINCIPAL_TYPE:ID, ad esempio user:my-user@example.com. Per un elenco completo dei tipi di entità, consulta Identificatori delle entità.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: facoltativo. Le autorizzazioni che vuoi verificare, ad esempio compute.instances.get. Se elenca più autorizzazioni, Analizzatore criteri verifica la presenza di autorizzazioni elencate.
• STORAGE_OBJECT_URI: l'identificatore univoco della risorsa dell'oggetto Cloud Storage in cui vuoi esportare i risultati dell'analisi, nel formato gs://BUCKET_NAME/OBJECT_NAME, ad esempio gs://my-bucket/analysis.json.

Metodo HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

Corpo JSON richiesta:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "outputConfig": {
      "gcsDestination": {
        "uri": "STORAGE_OBJECT_URI"
      }
    }
  }
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl -X POST \
-H "Authorization: Bearer "$(gcloud auth application-default print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth application-default print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method POST `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}