Richtlinienanalyse in BigQuery schreiben

1. Rufen Sie in der Google Cloud Console die Seite „Richtlinienanalyse“ auf.

   Policy Analyzer aufrufen

2. Suchen Sie im Bereich Richtlinien analysieren nach der gewünschten Abfragevorlage und klicken Sie dann auf Abfrage erstellen. Wenn Sie eine benutzerdefinierte Abfrage erstellen möchten, klicken Sie auf Benutzerdefinierte Abfrage erstellen.

3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

4. Achten Sie darauf, dass Ihre Abfrageparameter festgelegt sind:

   • Wenn Sie eine Abfragevorlage verwenden, prüfen Sie die vorab ausgefüllten Abfrageparameter.
   • Wenn Sie eine benutzerdefinierte Abfrage erstellen, legen Sie die Ressourcen, Hauptkonten, Rollen und Berechtigungen fest, nach denen Sie abfragen möchten.

   Weitere Informationen zu den Arten von Abfragen, die Sie erstellen können, finden Sie unter IAM-Richtlinien analysieren.

5. Klicken Sie im Bereich mit dem Namen der Abfrage auf Analysieren > Nur Ergebnis exportieren. Der Bereich Exportergebnisse wird geöffnet.

6. Geben Sie im Abschnitt Exportziel festlegen die folgenden Informationen ein:

   • Projekt: Das Projekt, in dem sich Ihr BigQuery-Dataset befindet.
   • Dataset: Das BigQuery-Dataset, in das Sie Ergebnisse exportieren möchten.
   • Tabelle: Das Präfix der BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden. Wenn keine Tabelle mit dem angegebenen Präfix vorhanden ist, wird in BigQuery eine neue Tabelle erstellt.

7. Klicken Sie auf Weiter.

8. Optional: Wählen Sie im Bereich Zusätzliche Einstellungen konfigurieren die gewünschten Optionen aus:

   • Partitionierung: Gibt an, ob die Tabelle partitioniert werden soll. Weitere Informationen zu partitionierten Tabellen finden Sie unter Einführung in partitionierte Tabellen.
   • Schreibeinstellung: Gibt an, welche Aktion ausgeführt wird, wenn die Zieltabelle oder -partition bereits vorhanden ist. Wenn die Tabelle oder Partition bereits vorhanden ist, werden die Daten standardmäßig in BigQuery an die Tabelle oder die neueste Partition angehängt.

9. Klicken Sie auf Exportieren.

Der Richtlinienanalysator führt Ihre Abfrage aus und exportiert die Ergebnisse in die angegebene Tabelle.

gcloud

Mit der Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und Ergebnisse am angegebenen BigQuery-Ziel abrufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Ressourcentyp, auf den die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die mit dieser Ressource und ihren untergeordneten Elementen verknüpft sind. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, auf die die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• PRINCIPAL: Der Nutzer, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.
• PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, nach denen Sie suchen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen angeben, wird im Policy Analyzer nach jeder der aufgeführten Berechtigungen gesucht.
• DATASET: Das BigQuery-Dataset in der Form projects/PROJECT_ID/datasets/DATASET_ID, wobei PROJECT_ID die alphanumerische ID Ihres Google Cloud-Projekts und DATASET_ID die ID Ihres Datasets ist.
• TABLE_PREFIX: Das Präfix der BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden. Wenn eine Tabelle mit dem angegebenen Präfix nicht vorhanden ist, wird in BigQuery eine neue Tabelle erstellt.
• PARTITION_KEY: Optional. Der Partitionsschlüssel für partitionierte BigQuery-Tabellen. Policy Analyzer unterstützt nur REQUEST_TIME-Partitionsschlüssel.
• WRITE_DISPOSITION: Optional. Gibt die Aktion an, die ausgeführt wird, wenn die Zieltabelle oder -partition bereits vorhanden ist. Eine Liste der möglichen Werte finden Sie unter writeDisposition. Wenn die Tabelle oder Partition bereits vorhanden ist, werden die Daten standardmäßig in BigQuery an die Tabelle oder die neueste Partition angehängt.

Führen Sie den Befehl gcloud asset analyze-iam-policy-longrunning aus:

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --bigquery-dataset=DATASET \
    --bigquery-table-prefix=TABLE_PREFIX \
    --bigquery-partition-key=PARTITION_KEY \
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --bigquery-dataset=DATASET `
    --bigquery-table-prefix=TABLE_PREFIX `
    --bigquery-partition-key=PARTITION_KEY `
    --bigquery-write-disposition=WRITE_DISPOSITION

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --bigquery-dataset=DATASET ^
    --bigquery-table-prefix=TABLE_PREFIX ^
    --bigquery-partition-key=PARTITION_KEY ^
    --bigquery-write-disposition=WRITE_DISPOSITION

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Mit der Methode AnalyzeIamPolicyLongrunning können Sie eine Analyseanfrage senden und Ergebnisse am angegebenen BigQuery-Ziel abrufen.

Wenn Sie eine IAM-Zulassungsrichtlinie analysieren und die Ergebnisse in BigQuery exportieren möchten, verwenden Sie die Methode analyzeIamPolicyLongrunning der Cloud Asset Inventory API.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, auf den die Suche beschränkt werden soll. Es werden nur IAM-Zulassungsrichtlinien analysiert, die mit dieser Ressource und ihren untergeordneten Elementen verknüpft sind. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, auf die Sie die Suche beschränken möchten. Es werden nur IAM-Zugriffssteuerungsrichtlinien analysiert, die mit dieser Ressource und ihren untergeordneten Elementen verknüpft sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, nach denen Sie suchen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen angeben, wird im Policy Analyzer nach jeder der aufgeführten Berechtigungen gesucht.
• DATASET: Das BigQuery-Dataset in der Form projects/PROJECT_ID/datasets/DATASET_ID, wobei PROJECT_ID die alphanumerische ID Ihres Google Cloud-Projekts und DATASET_ID die ID Ihres Datasets ist.
• TABLE_PREFIX: Das Präfix der BigQuery-Tabellen, in die die Analyseergebnisse geschrieben werden. Wenn eine Tabelle mit dem angegebenen Präfix nicht vorhanden ist, wird in BigQuery eine neue Tabelle erstellt.
• PARTITION_KEY: Optional. Der Partitionsschlüssel für partitionierte BigQuery-Tabellen. Policy Analyzer unterstützt nur REQUEST_TIME-Partitionsschlüssel.
• WRITE_DISPOSITION: Optional. Gibt die Aktion an, die ausgeführt wird, wenn die Zieltabelle oder -partition bereits vorhanden ist. Eine Liste der möglichen Werte finden Sie unter writeDisposition. Wenn die Tabelle oder Partition bereits vorhanden ist, werden die Daten standardmäßig in BigQuery an die Tabelle oder die neueste Partition angehängt.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

JSON-Text anfordern:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  },
  "outputConfig": {
    "bigqueryDestination": {
      "dataset": "DATASET",
      "tablePrefix": "TABLE_PREFIX",
      "partitionKey": "PARTITION_KEY",
      "writeDisposition": "WRITE_DISPOSITION"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

1. Öffnen Sie in der Google Cloud Console die Seite BigQuery.

   BigQuery aufrufen

2. Um die Tabellen und Ansichten im Dataset anzuzeigen, öffnen Sie den Navigationsbereich. Wählen Sie im Bereich Explorer Ihr Projekt aus, um es zu maximieren, und wählen Sie dann ein Dataset aus.

3. Wählen Sie in der Liste die Tabellen mit Ihrem Präfix aus. Die Tabelle mit dem Suffix analysis enthält die Abfrage und die Metadaten (z. B. Name des Vorgangs, Zeitpunkt der Anfrage und nicht kritische Fehler). Die Tabelle mit dem Suffix analysis_result ist das Ergebnis der Auflistung von Tupel von {identity, role(s)/permission(s), resource} zusammen mit IAM-Richtlinien, die diese Tupel generieren.

4. Um einen Beispieldatensatz anzuzeigen, wählen Sie den Tab Vorschau aus.

API

Rufen Sie tabledata.list auf, um die Daten in Ihrer Tabelle zu durchsuchen. Geben Sie im Parameter tableId den Namen Ihrer Tabelle an.

Sie können die folgenden optionalen Parameter konfigurieren, um die Ausgabe zu steuern.

• maxResults ist die maximale Anzahl von zurückzugebenden Ergebnissen.
• selectedFields ist eine durch Kommas getrennte Liste von Spalten, die zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Spalten zurückgegeben.
• startIndex ist der nullbasierte Index der Startzeile, die gelesen werden soll.

Die Werte werden zusammengefasst in einem JSON-Objekt zurückgegeben. Dieses Objekt muss dann wie in der Referenzdokumentation zu tabledata.list beschrieben geparst werden.