Zulassungsrichtlinien analysieren

Console

1. Rufen Sie in der Google Cloud Console die Seite Richtlinienanalyse auf.

   Zur Seite „Richtlinienanalyse“

2. Suchen Sie im Bereich Richtlinien analysieren nach dem Bereich Benutzerdefinierte Abfrage und klicken Sie darin auf Benutzerdefinierte Abfrage erstellen.

3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

4. Wählen Sie die zu prüfende Ressource und die zu prüfende Rolle oder Berechtigung aus:

   1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Ressource aus.
   2. Geben Sie im Feld Ressource den vollständigen Ressourcennamen der Ressource ein, für die Sie den Zugriff analysieren möchten. Wenn Sie den vollständigen Ressourcennamen nicht kennen, beginnen Sie mit der Eingabe des Anzeigenamens der Ressource und wählen Sie die Ressource aus der Liste der bereitgestellten Ressourcen aus.
   3. Klicken Sie auf add Auswahl hinzufügen.
   4. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
   5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
   6. Optional: Um nach zusätzlichen Rollen und Berechtigungen zu suchen, fügen Sie weitere Rollen und Berechtigungen hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten. abgeschlossen.

5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Analysieren > Abfrage ausführen. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Hauptkonten mit den angegebenen Rollen oder Berechtigungen für die angegebene Ressource angezeigt.

   Richtlinienanalyseabfragen in der Google Cloud Konsole werden bis zu einer Minute lang ausgeführt. Nach einer Minute beendet die Google Cloud Konsole die Abfrage und zeigt alle verfügbaren Ergebnisse an. Wenn die Abfrage in diesem Zeitraum nicht abgeschlossen wurde, wird in der Google Cloud Konsole ein Banner angezeigt, das darauf hinweist, dass die Ergebnisse unvollständig sind. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, exportieren Sie die Ergebnisse nach BigQuery.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.

Führen Sie den Befehl gcloud asset analyze-iam-policy aus:

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Sie erhalten eine YAML-Antwort mit Analyseergebnissen. Jedes Analyseergebnis enthält eine Reihe von Zugriffen, Identitäten und Ressourcen, die für Ihre Anfrage relevant sind, gefolgt von der zugehörigen IAM-Rollenbindung. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, ist das Ergebnis CONDITIONAL.

Die Hauptkonten, die eine der angegebenen Berechtigungen für die angegebene Ressource haben, werden in den identities-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis, in dem das Feld identities hervorgehoben ist.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyze-iam-policy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

REST

Mit der Methode analyzeIamPolicy der Cloud Asset Inventory API können Sie ermitteln, welche Hauptkonten bestimmte Berechtigungen für eine Ressource haben.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text anfordern:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Sie erhalten eine JSON-Antwort mit Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, die Zugriffe und die Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Hauptkonten, die eine der angegebenen Berechtigungen für die angegebene Ressource haben, werden in den identities-Feldern in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis, in dem das Feld identities hervorgehoben ist.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyzeIamPolicy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

Console

1. Rufen Sie in der Google Cloud Console die Seite Richtlinienanalyse auf.

   Zur Seite „Richtlinienanalyse“

2. Suchen Sie im Bereich Richtlinien analysieren nach dem Bereich Benutzerdefinierte Abfrage und klicken Sie darin auf Benutzerdefinierte Abfrage erstellen.

3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

4. Wählen Sie im Feld Parameter 1 entweder Rolle oder Berechtigung aus.

5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.

6. Optional: So suchen Sie nach zusätzlichen Rollen und Berechtigungen:

   1. Klicken Sie auf add Auswahl hinzufügen.
   2. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
   3. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
   4. Fügen Sie weitere Rollen- und Berechtigungsauswahl hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten.

7. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

8. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Analysieren > Abfrage ausführen. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Hauptkonten mit den angegebenen Rollen oder Berechtigungen für alle angegebenen Ressourcen angezeigt.

   Richtlinienanalyseabfragen in der Google Cloud Konsole werden bis zu einer Minute lang ausgeführt. Nach einer Minute beendet die Google Cloud Konsole die Abfrage und zeigt alle verfügbaren Ergebnisse an. Wenn die Abfrage in diesem Zeitraum nicht abgeschlossen wurde, wird in der Google Cloud Konsole ein Banner angezeigt, das darauf hinweist, dass die Ergebnisse unvollständig sind. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, exportieren Sie die Ergebnisse nach BigQuery.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• ROLES: Eine durch Kommas getrennte Liste der Rollen, die Sie prüfen möchten, z. B. roles/compute.admin,roles/compute.imageUser. Wenn Sie mehrere Rollen angeben, prüft Policy Analyzer, ob eine der aufgeführten Rollen vorhanden ist.
• PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.

Führen Sie den Befehl gcloud asset analyze-iam-policy aus:

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Sie erhalten eine JSON-Antwort mit Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, die Zugriffe und die Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Hauptkonten mit einer der angegebenen Rollen oder Berechtigungen werden in den Feldern identities in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis, in dem das Feld identities hervorgehoben ist.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyze-iam-policy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

REST

Mit der Methode analyzeIamPolicy der Cloud Asset Inventory API können Sie ermitteln, welche Hauptkonten bestimmte Rollen oder Berechtigungen haben.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• ROLE_1,ROLE_2… ROLE_N: Die Rollen, die Sie prüfen möchten, z. B. roles/compute.admin. Wenn Sie mehrere Rollen angeben, wird im Policy Analyzer nach allen aufgeführten Rollen gesucht.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text anfordern:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Sie erhalten eine JSON-Antwort mit Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, die Zugriffe und die Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Hauptkonten mit einer der angegebenen Rollen oder Berechtigungen werden in den Feldern identities in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis, in dem das Feld identities hervorgehoben ist.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyzeIamPolicy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

Console

1. Rufen Sie in der Google Cloud Console die Seite Richtlinienanalyse auf.

   Zur Seite „Richtlinienanalyse“

2. Suchen Sie im Bereich Richtlinien analysieren nach dem Bereich Benutzerdefinierte Abfrage und klicken Sie darin auf Benutzerdefinierte Abfrage erstellen.

3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

4. Wählen Sie die Ressource und das Hauptkonto aus, die überprüft werden sollen:

   1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Ressource aus.
   2. Geben Sie im Feld Ressource den vollständigen Ressourcennamen der Ressource ein, für die Sie den Zugriff analysieren möchten. Wenn Sie den vollständigen Ressourcennamen nicht kennen, beginnen Sie mit der Eingabe des Anzeigenamens der Ressource und wählen Sie die Ressource aus der Liste der bereitgestellten Ressourcen aus.
   3. Klicken Sie auf add Auswahl hinzufügen.
   4. Wählen Sie im Feld Parameter 2 aus dem Drop-down-Menü die Option Hauptkonto aus.
   5. Geben Sie im Feld Hauptkonto den Namen eines Nutzers, eines Dienstkontos oder einer Gruppe ein. Wählen Sie dann den Nutzer, das Dienstkonto oder die Gruppe aus, deren Zugriff Sie in der Liste der bereitgestellten Hauptkonten analysieren möchten.

5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Analysieren > Abfrage ausführen. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle für alle Rollen angezeigt, die im angegebenen Hauptkonto für die angegebene Ressource aufgelistet sind.

   Richtlinienanalyseabfragen in der Google Cloud Konsole werden bis zu einer Minute lang ausgeführt. Nach einer Minute beendet die Google Cloud Konsole die Abfrage und zeigt alle verfügbaren Ergebnisse an. Wenn die Abfrage in diesem Zeitraum nicht abgeschlossen wurde, wird in der Google Cloud Konsole ein Banner angezeigt, das darauf hinweist, dass die Ergebnisse unvollständig sind. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, exportieren Sie die Ergebnisse nach BigQuery.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.

Führen Sie den Befehl gcloud asset analyze-iam-policy aus:

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

Sie erhalten eine YAML-Antwort mit Analyseergebnissen. Jedes Analyseergebnis enthält eine Reihe von Zugriffen, Identitäten und Ressourcen, die für Ihre Anfrage relevant sind, gefolgt von der zugehörigen IAM-Rollenbindung. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, ist das Ergebnis CONDITIONAL.

Die Rollen, die das Hauptkonto für die angegebene Ressource hat, werden in den Feldern accesses in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis, in dem das Feld accesses hervorgehoben ist.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyze-iam-policy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

REST

Wenn Sie ermitteln möchten, welchen Zugriff ein Prinzipal auf eine Ressource hat, verwenden Sie die Methode analyzeIamPolicy der Cloud Asset Inventory API.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Der vollständige Ressourcenname der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text anfordern:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Sie erhalten eine JSON-Antwort mit Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, die Zugriffe und die Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Rollen, die das Hauptkonto für die angegebene Ressource hat, werden in den Feldern accesses in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis, in dem das Feld accesses hervorgehoben ist.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyzeIamPolicy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

Console

1. Rufen Sie in der Google Cloud Console die Seite Richtlinienanalyse auf.

   Zur Seite „Richtlinienanalyse“

2. Suchen Sie im Bereich Richtlinien analysieren nach dem Bereich Benutzerdefinierte Abfrage und klicken Sie darin auf Benutzerdefinierte Abfrage erstellen.

3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

4. Wählen Sie das Hauptkonto aus, das überprüft werden soll, und wählen Sie die Rolle oder Berechtigung aus, die geprüft werden soll:

   1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Hauptkonto aus.
   2. Geben Sie im Feld Hauptkonto den Namen eines Nutzers, eines Dienstkontos oder einer Gruppe ein. Wählen Sie dann den Nutzer, das Dienstkonto oder die Gruppe aus, deren Zugriff Sie in der Liste der bereitgestellten Hauptkonten analysieren möchten.
   3. Klicken Sie auf add Auswahl hinzufügen.
   4. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
   5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
   6. Optional: Um nach zusätzlichen Rollen und Berechtigungen zu suchen, fügen Sie weitere Rollen und Berechtigungen hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten. abgeschlossen.

5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Analysieren > Abfrage ausführen. Auf der Berichtsseite werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle mit allen Ressourcen angezeigt, auf denen das angegebene Hauptkonto die angegebenen Rollen oder Berechtigungen hat.

   Richtlinienanalyseabfragen in der Google Cloud Konsole werden bis zu einer Minute lang ausgeführt. Nach einer Minute beendet die Google Cloud Konsole die Abfrage und zeigt alle verfügbaren Ergebnisse an. Wenn die Abfrage in diesem Zeitraum nicht abgeschlossen wurde, wird in der Google Cloud Konsole ein Banner angezeigt, das darauf hinweist, dass die Ergebnisse unvollständig sind. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, exportieren Sie die Ergebnisse nach BigQuery.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.
• PERMISSIONS: Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.

Führen Sie den Befehl gcloud asset analyze-iam-policy aus:

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Sie erhalten eine YAML-Antwort mit Analyseergebnissen. Jedes Analyseergebnis enthält eine Reihe von Zugriffen, Identitäten und Ressourcen, die für Ihre Anfrage relevant sind, gefolgt von der zugehörigen IAM-Rollenbindung. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, ist das Ergebnis CONDITIONAL.

Die Ressourcen, für die der angegebene Principal eine der angegebenen Berechtigungen hat, werden in den Feldern resources in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis, in dem das Feld resources hervorgehoben ist.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyze-iam-policy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

REST

Mit der Methode analyzeIamPolicy der Cloud Asset Inventory API können Sie ermitteln, auf welche Ressourcen ein Hauptkonto zugreifen kann.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• PRINCIPAL: Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text anfordern:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Sie erhalten eine JSON-Antwort mit Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, die Zugriffe und die Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Die Ressourcen, für die der angegebene Principal eine der angegebenen Berechtigungen hat, werden in den Feldern resources in der Antwort aufgeführt. Das folgende Beispiel zeigt ein einzelnes Analyseergebnis, in dem das Feld resources hervorgehoben ist.

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyzeIamPolicy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• PERMISSIONS: Optional. Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.
• FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcennamen der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PERMISSIONS: Optional. Eine durch Kommas getrennte Liste der Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get,compute.instances.start. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.
• ACCESS_TIME: Die Zeit, die Sie prüfen möchten. Diese Zeit muss in der Zukunft liegen. Verwenden Sie einen Zeitstempel im RFC 3339-Format, z. B. 2099-02-01T00:00:00Z.

Führen Sie den Befehl gcloud asset analyze-iam-policy aus:

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Sie erhalten eine YAML-Antwort mit Analyseergebnissen. Jedes Analyseergebnis enthält eine Reihe von Zugriffen, Identitäten und Ressourcen, die für Ihre Anfrage relevant sind, gefolgt von der zugehörigen IAM-Rollenbindung. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, ist das Ergebnis CONDITIONAL.

Wenn Sie die Zugriffszeit in die Anfrage einbeziehen, kann Policy Analyzer Datums-/Uhrzeitbedingungen auswerten. Wenn die Bedingung „false“ ergibt, wird diese Rolle nicht in die Antwort aufgenommen. Wenn die Bedingung als „wahr“ ausgewertet wird, wird das Ergebnis der Bedingungsauswertung als TRUE aufgeführt.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyze-iam-policy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

REST

Mit der Methode analyzeIamPolicy der Cloud Asset Inventory API können Sie ermitteln, welche Hauptkonten zu einem bestimmten Zeitpunkt bestimmte Berechtigungen für eine Ressource haben.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Typ der Ressource, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-„allow“-Richtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.
• FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcennamen der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.
• ACCESS_TIME: Die Zeit, die Sie prüfen möchten. Diese Zeit muss in der Zukunft liegen. Verwenden Sie einen Zeitstempel im RFC 3339-Format, z. B. 2099-02-01T00:00:00Z.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

JSON-Text anfordern:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Sie erhalten eine JSON-Antwort mit Analyseergebnissen. Jedes Analyseergebnis beschreibt eine relevante IAM-Rollenbindung und listet dann die Ressource, die Zugriffe und die Hauptkonten in dieser Bindung auf. Wenn die Rollenbindung bedingt ist, enthält das Analyseergebnis auch das Ergebnis der Bedingungsauswertung. Wenn die Bedingung nicht ausgewertet werden konnte, wird das Ergebnis als CONDITIONAL aufgeführt.

Wenn Sie die Zugriffszeit in die Anfrage einbeziehen, kann Policy Analyzer Datums-/Uhrzeitbedingungen auswerten. Wenn die Bedingung „false“ ergibt, wird diese Rolle nicht in die Antwort aufgenommen. Wenn die Bedingung als „wahr“ ausgewertet wird, ist der Wert der Bedingungsauswertung in der Analyseantwort TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Wenn für die Anfrage ein Zeitlimit überschritten wird, bevor die Abfrage abgeschlossen ist, wird der Fehler DEADLINE_EXCEEDED zurückgegeben. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, schreiben Sie die Ergebnisse mit der Langzeitversion von analyzeIamPolicy in BigQuery oder Cloud Storage. Eine Anleitung finden Sie unter Richtlinienanalyse in BigQuery schreiben oder Richtlinienanalyse in Cloud Storage schreiben.

Console

gcloud

In diesem Abschnitt werden einige gängige Flags beschrieben, die Sie hinzufügen können, wenn Sie die gcloud CLI zum Analysieren von Zulassungsrichtlinien verwenden. Eine vollständige Liste der Optionen finden Sie unter Optionale Flags.

REST

Wenn Sie Optionen aktivieren möchten, müssen Sie Ihrer Analyseabfrage zuerst ein options-Feld hinzufügen. Beispiel:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Ersetzen Sie OPTIONS durch die Optionen, die Sie aktivieren möchten, im Format "OPTION": true. In der folgenden Tabelle werden die verfügbaren Optionen beschrieben: