Se usó la API de Cloud Translation para traducir esta página.

Analiza las políticas de permisos

En esta página, se muestra cómo usar el Analizador de políticas para las políticas de permisos y descubrir qué principales (usuarios, cuentas de servicio, grupos y dominios) tienen qué acceso a qué recursos deGoogle Cloud .

En los ejemplos de esta página, se muestra cómo ejecutar una consulta de análisis de políticas y ver los resultados de inmediato. Si quieres exportar los resultados para un análisis más detallado, puedes usar AnalyzeIamPolicyLongrunning para escribir los resultados de la consulta en BigQuery o Cloud Storage.

Antes de comenzar

Enable the Cloud Asset API.
Enable the API

Debes habilitar la API en el proyecto que usarás para enviar la consulta. No tiene que ser el mismo recurso al que limitas el alcance de tu búsqueda.
Opcional: Consulta cómo funciona el Analizador de políticas.
Opcional: Si deseas ejecutar más de 20 consultas de análisis de políticas por organización y por día, asegúrate de tener una activación a nivel de la organización del nivel Premium o Enterprise de Security Command Center. Para obtener más información, consulta Preguntas sobre facturación.

Roles y permisos requeridos

Se requieren los siguientes roles y permisos para analizar las políticas de permisos.

Roles de IAM obligatorios

Para obtener los permisos que necesitas para analizar una política de permiso, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto, la carpeta o la organización en los que definirás el alcance de tu consulta:

Visualizador de recursos de Cloud (roles/cloudasset.viewer)
Para analizar políticas con roles de IAM personalizados: Visualizador de roles (roles/iam.roleViewer)
Para usar Google Cloud CLI y analizar políticas, haz lo siguiente: Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para analizar una política de permiso. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para analizar una política de permiso:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
Para analizar políticas con roles personalizados de IAM, haz lo siguiente: iam.roles.get
Para usar Google Cloud CLI y analizar políticas, haz lo siguiente: serviceusage.services.use

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Permisos obligatorios de Google Workspace

Si deseas expandir los grupos en los resultados de la búsqueda para ver si una principal tiene ciertos roles o permisos como resultado de su membresía en un grupo de Google Workspace, necesitas el permiso de Google Workspace groups.read. Este permiso se incluye en el rol de administrador de lector de grupos y en roles más potentes, como los de administrador de grupos o administrador avanzado. Para obtener información sobre cómo otorgar estos roles, consulta Asigna roles específicos de administrador.

Determina qué principales pueden acceder a un recurso

Puedes usar el Analizador de políticas para verificar qué principales tienen ciertos roles o permisos en un recurso específico de tu proyecto, carpeta u organización. Para obtener esta información, crea una consulta que incluya el recurso cuyo acceso deseas analizar y uno o más roles o permisos que desees comprobar.

Console

En la consola de Google Cloud , ve a la página Analizador de políticas.

Ir a la página de Analizador de políticas
En la sección Analiza las políticas, busca el panel etiquetado como Consulta personalizada y haz clic en Crear consulta personalizada en ese panel.
En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.
Elige el recurso que deseas verificar y la función o el permiso que deseas verificar:
1. En el campo Parámetro 1, selecciona Recurso en el menú desplegable.
2. En el campo Recurso, ingresa el nombre completo del recurso del que deseas analizar el acceso. Si no conoces el nombre completo del recurso, comienza a escribir su nombre visible y, luego, selecciónalo en la lista de recursos proporcionados.
3. Haz clic en Agregar selector.
4. En el campo Parámetro 2, selecciona Función o Permiso.
5. En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
6. Opcional: Para comprobar las funciones y los permisos adicionales, continúa agregando selectores de Función y Permiso hasta que aparezcan todas las funciones y los permisos que deseas verificar.
Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas que deseas habilitar para esta consulta.
En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página de informes muestra los parámetros de búsqueda que ingresaste y una tabla de resultados de todas las principales con las funciones o permisos especificados en el recurso especificado.

Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después de un minuto, la consola Google Cloud detiene la consulta y muestra todos los resultados disponibles. Si la consulta no finalizó en ese tiempo, la consola de Google Cloud muestra un banner que indica que los resultados están incompletos. Para obtener más resultados para estas búsquedas, exporta los resultados a BigQuery.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas limitar tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
FULL_RESOURCE_NAME: Es el nombre completo del recurso para el que deseas analizar el acceso. Para obtener una lista de los formatos de nombres de recursos completos, consulta Formato de nombre de recurso.
PERMISSIONS: Es una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.

Ejecuta el comando gcloud asset analyze-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: Si este comando usa ' para el contenido de comillas, reemplaza estas comillas simples con comillas dobles. Si las comillas están anidadas, usa \" para escapar las comillas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Recibirás una respuesta en formato YAML con los resultados del análisis. Cada resultado del análisis enumera un conjunto de accesos, identidades y recursos que son relevantes para tu consulta, seguido de la vinculación del rol de IAM relacionado. Si la vinculación de rol es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se pudo evaluar la condición, el resultado es CONDITIONAL.

Las principales que tienen cualquiera de los permisos especificados en el recurso especificado se enumeran en los campos identities de la respuesta. En el siguiente ejemplo, se muestra un solo resultado del análisis con el campo identities destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Si la solicitud agota el tiempo de espera antes de que finalice la consulta, recibirás un error DEADLINE_EXCEEDED. Para obtener más resultados para estas consultas, escribe los resultados en BigQuery o Cloud Storage con la versión de larga duración de analyze-iam-policy. Para obtener instrucciones, consulta Escribe análisis de políticas en BigQuery o Escribe análisis de políticas en Cloud Storage.

REST

Para determinar qué principales tienen ciertos permisos en un recurso, usa el método analyzeIamPolicy de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas limitar tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
FULL_RESOURCE_NAME: Es el nombre completo del recurso para el que deseas analizar el acceso. Para obtener una lista de los formatos de nombres de recursos completos, consulta Formato de nombre de recurso.
PERMISSION_1, PERMISSION_2… PERMISSION_N: Son los permisos que deseas verificar, por ejemplo, compute.instances.get. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Copia el cuerpo de la solicitud y abre la página de referencia del método. El panel del Explorador de API se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Pega el cuerpo de la solicitud en esta herramienta, completa cualquier otro campo obligatorio y haz clic en Ejecutar.

Recibirás una respuesta JSON con los resultados del análisis. Cada resultado del análisis describe una vinculación de rol de IAM pertinente y, luego, enumera el recurso, los accesos y las principales en esa vinculación. Si la vinculación del rol es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se pudo evaluar la condición, el resultado se muestra como CONDITIONAL.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si la solicitud agota el tiempo de espera antes de que finalice la consulta, recibirás un error DEADLINE_EXCEEDED. Para obtener más resultados para estas consultas, escribe los resultados en BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribe análisis de políticas en BigQuery o Escribe análisis de políticas en Cloud Storage.

Determina qué principales tienen ciertos roles o permisos

Puedes usar el Analizador de políticas para verificar qué principales tienen roles o permisos específicos en cualquier recurso de Google Cloud de tu organización. Para obtener esta información, crea una consulta que incluya uno o más roles o permisos que se deben verificar, pero que no especifique un recurso.

Console

En la consola de Google Cloud , ve a la página Analizador de políticas.

Ir a la página de Analizador de políticas
En la sección Analiza las políticas, busca el panel etiquetado como Consulta personalizada y haz clic en Crear consulta personalizada en ese panel.
En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.
En el campo Parámetro 1, selecciona Función o Permiso.
En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
Opcional: Para verificar las funciones y los permisos adicionales, haz lo siguiente:
1. Haz clic en Agregar selector.
2. En el campo Parámetro 2, selecciona Función o Permiso.
3. En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
4. Sigue agregando selectores de Función y Permiso hasta que se muestren todas las funciones y los permisos que deseas verificar.
Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas que deseas habilitar para esta consulta.
En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. En la página de informes, se muestran los parámetros de búsqueda que ingresaste y una tabla de resultados de todas las principales con las funciones o permisos especificados en cualquier recurso dentro del alcance.

Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después de un minuto, la consola Google Cloud detiene la consulta y muestra todos los resultados disponibles. Si la consulta no finalizó en ese tiempo, la consola de Google Cloud muestra un banner que indica que los resultados están incompletos. Para obtener más resultados para estas búsquedas, exporta los resultados a BigQuery.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas limitar tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
ROLES: Es una lista separada por comas de los roles que deseas verificar, por ejemplo, roles/compute.admin,roles/compute.imageUser. Si enumeras varios roles, el Analizador de políticas verificará cualquiera de los roles enumerados.
PERMISSIONS: Es una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.

Ejecuta el comando gcloud asset analyze-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: Si este comando usa ' para el contenido de comillas, reemplaza estas comillas simples con comillas dobles. Si las comillas están anidadas, usa \" para escapar las comillas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Recibirás una respuesta JSON con los resultados del análisis. Cada resultado del análisis describe una vinculación de rol de IAM pertinente y, luego, enumera el recurso, los accesos y las principales en esa vinculación. Si la vinculación de rol es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se pudo evaluar la condición, el resultado se muestra como CONDITIONAL.

Las principales que tienen cualquiera de los roles o permisos especificados se enumeran en los campos identities de la respuesta. En el siguiente ejemplo, se muestra un solo resultado del análisis con el campo identities destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar qué principales tienen ciertos roles o permisos, usa el método analyzeIamPolicy de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas definir el alcance de tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
ROLE_1, ROLE_2… ROLE_N: Roles que deseas verificar, por ejemplo, roles/compute.admin. Si enumeras varios roles, el Analizador de políticas verificará cualquiera de los roles enumerados.
PERMISSION_1, PERMISSION_2… PERMISSION_N: Son los permisos que deseas verificar, por ejemplo, compute.instances.get. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Recibirás una respuesta JSON con los resultados del análisis. Cada resultado del análisis describe una vinculación de rol de IAM pertinente y, luego, enumera el recurso, los accesos y las principales en esa vinculación. Si la vinculación de rol es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se pudo evaluar la condición, el resultado se muestra como CONDITIONAL.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si la solicitud agota el tiempo de espera antes de que finalice la consulta, recibirás un error DEADLINE_EXCEEDED. Para obtener más resultados para estas consultas, escribe los resultados en BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribe análisis de políticas en BigQuery o Escribe análisis de políticas en Cloud Storage.

Determina qué acceso tiene un principal en un recurso

Puedes usar el Analizador de políticas para verificar qué roles o permisos tiene una principal en un recurso de tu organización. Para obtener esta información, crea una consulta que incluya la principal cuyo acceso deseas analizar y el recurso para el que deseas analizar el acceso.

Console

En la consola de Google Cloud , ve a la página Analizador de políticas.

Ir a la página de Analizador de políticas
En la sección Analiza las políticas, busca el panel etiquetado como Consulta personalizada y haz clic en Crear consulta personalizada en ese panel.
En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.
Elige el recurso y la principal que deseas verificar:
1. En el campo Parámetro 1, selecciona Recurso en el menú desplegable.
2. En el campo Recurso, ingresa el nombre completo del recurso del que deseas analizar el acceso. Si no conoces el nombre completo del recurso, comienza a escribir su nombre visible y, luego, selecciónalo en la lista de recursos proporcionados.
3. Haz clic en Agregar selector.
4. En el campo Parámetro 2, selecciona Principal en el menú desplegable.
5. En el campo Principal, comienza a escribir el nombre de un usuario, una cuenta de servicio o un grupo. Luego, en la lista de principales que se proporciona, selecciona el usuario, la cuenta de servicio o el grupo cuyo acceso deseas analizar.
Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas que deseas habilitar para esta consulta.
En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página de informes muestra los parámetros de búsqueda que ingresaste y una tabla de resultados de todas las funciones que la principal especificada tiene en el recurso especificado.

Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después de un minuto, la consola Google Cloud detiene la consulta y muestra todos los resultados disponibles. Si la consulta no finalizó en ese tiempo, la consola de Google Cloud muestra un banner que indica que los resultados están incompletos. Para obtener más resultados para estas búsquedas, exporta los resultados a BigQuery.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas definir el alcance de tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
FULL_RESOURCE_NAME: Es el nombre completo del recurso para el que deseas analizar el acceso. Para obtener una lista de los formatos de nombres de recursos completos, consulta Formato de nombre de recurso.
PRINCIPAL: Es la principal cuyo acceso deseas analizar, con el formato PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principal, consulta Identificadores de principal.

Ejecuta el comando gcloud asset analyze-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

Los roles que tiene el principal en el recurso especificado se enumeran en los campos accesses de la respuesta. En el siguiente ejemplo, se muestra un solo resultado del análisis con el campo accesses destacado.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

REST

Para determinar qué acceso tiene un principal en un recurso, usa el método analyzeIamPolicy de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas limitar tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
FULL_RESOURCE_NAME: Es el nombre completo del recurso para el que deseas analizar el acceso. Para obtener una lista de los formatos de nombres de recursos completos, consulta Formato de nombre de recurso.
PRINCIPAL: Es la principal cuyo acceso deseas analizar, con el formato PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principal, consulta Identificadores de principal.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Recibirás una respuesta JSON con los resultados del análisis. Cada resultado del análisis describe una vinculación de rol de IAM pertinente y, luego, enumera el recurso, los accesos y las principales en esa vinculación. Si la vinculación de rol es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se pudo evaluar la condición, el resultado se muestra como CONDITIONAL.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si la solicitud agota el tiempo de espera antes de que finalice la consulta, recibirás un error DEADLINE_EXCEEDED. Para obtener más resultados para estas consultas, escribe los resultados en BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribe análisis de políticas en BigQuery o Escribe análisis de políticas en Cloud Storage.

Determina a qué recursos puede acceder un principal

Puedes usar el Analizador de políticas para verificar qué recursos de tu organización tienen funciones o permisos una principal. Para obtener esta información, crea una consulta que incluya la principal cuyo acceso deseas analizar y uno o más permisos o funciones que desees comprobar.

Console

En la consola de Google Cloud , ve a la página Analizador de políticas.

Ir a la página de Analizador de políticas
En la sección Analiza las políticas, busca el panel etiquetado como Consulta personalizada y haz clic en Crear consulta personalizada en ese panel.
En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como cualquier recurso dentro de ese proyecto, organización o carpeta.
Elige la principal que deseas verificar y la función o el permiso que deseas comprobar:
1. En el campo Parámetro 1, selecciona Principal en el menú desplegable.
2. En el campo Principal, comienza a escribir el nombre de un usuario, una cuenta de servicio o un grupo. Luego, en la lista de principales que se proporciona, selecciona el usuario, la cuenta de servicio o el grupo cuyo acceso deseas analizar.
3. Haz clic en Agregar selector.
4. En el campo Parámetro 2, selecciona Función o Permiso.
5. En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
6. Opcional: Para comprobar las funciones y los permisos adicionales, continúa agregando selectores de Función y Permiso hasta que aparezcan todas las funciones y los permisos que deseas verificar.
Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas que deseas habilitar para esta consulta.
En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página de informes muestra los parámetros de búsqueda que ingresaste y una tabla de resultados de todos los recursos en los que la principal especificada tiene las funciones o los permisos indicados.

Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después de un minuto, la consola Google Cloud detiene la consulta y muestra todos los resultados disponibles. Si la consulta no finalizó en ese tiempo, la consola de Google Cloud muestra un banner que indica que los resultados están incompletos. Para obtener más resultados para estas búsquedas, exporta los resultados a BigQuery.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas definir el alcance de tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
PRINCIPAL: Es la principal cuyo acceso deseas analizar, con el formato PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principal, consulta Identificadores de principal.
PERMISSIONS: Es una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.

Ejecuta el comando gcloud asset analyze-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Nota: Si este comando usa ' para el contenido de comillas, reemplaza estas comillas simples con comillas dobles. Si las comillas están anidadas, usa \" para escapar las comillas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Los recursos en los que el principal especificado tiene cualquiera de los permisos especificados se enumeran en los campos resources de la respuesta. En el siguiente ejemplo, se muestra un solo resultado del análisis con el campo resources destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar a qué recursos puede acceder una principal, usa el método analyzeIamPolicy de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas definir el alcance de tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
PRINCIPAL: Es la principal cuyo acceso deseas analizar, con el formato PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para obtener una lista completa de los tipos de principal, consulta Identificadores de principal.
PERMISSION_1, PERMISSION_2… PERMISSION_N: Son los permisos que deseas verificar, por ejemplo, compute.instances.get. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Recibirás una respuesta JSON con los resultados del análisis. Cada resultado del análisis describe una vinculación de rol de IAM pertinente y, luego, enumera el recurso, los accesos y las principales en esa vinculación. Si la vinculación de rol es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se pudo evaluar la condición, el resultado se muestra como CONDITIONAL.

Los recursos sobre los que el principal especificado tiene cualquiera de los permisos especificados se enumeran en los campos resources de la respuesta. En el siguiente ejemplo, se muestra un solo resultado del análisis con el campo resources destacado.

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si la solicitud agota el tiempo de espera antes de que finalice la consulta, recibirás un error DEADLINE_EXCEEDED. Para obtener más resultados para estas consultas, escribe los resultados en BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribe análisis de políticas en BigQuery o Escribe análisis de políticas en Cloud Storage.

Cómo determinar el acceso en un momento específico

Si se le proporciona suficiente contexto, el Analizador de políticas puede analizar las vinculaciones de funciones condicionales de IAM que solo otorgan acceso en momentos específicos. Estas condiciones se denominan condiciones de fecha y hora. Para que el Analizador de políticas analice con precisión las vinculaciones de roles con condiciones de fecha y hora, debes definir la hora de acceso en la solicitud.

El Analizador de políticas también puede analizar las condiciones de recursos sin necesidad de que el usuario ingrese información adicional. Para obtener más información sobre cómo funciona el Analizador de políticas con las condiciones, consulta Acceso condicional.

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor project, folder o organization.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas limitar tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
PERMISSIONS: Opcional. Es una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.
FULL_RESOURCE_NAME: Opcional Es el nombre completo del recurso del que deseas analizar el acceso. Para obtener una lista de los formatos de nombres de recursos completos, consulta Formato de nombre de recurso.
PERMISSIONS: Opcional. Es una lista separada por comas de los permisos que deseas verificar, por ejemplo, compute.instances.get,compute.instances.start. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.
ACCESS_TIME: Es la fecha y hora que deseas verificar. Esta hora debe ser posterior a la actual. Usa una marca de tiempo en formato RFC 3339, por ejemplo, 2099-02-01T00:00:00Z.

Ejecuta el comando gcloud asset analyze-iam-policy:

Linux, macOS o Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

Nota: Si este comando usa ' para el contenido de comillas, reemplaza estas comillas simples con comillas dobles. Si las comillas están anidadas, usa \" para escapar las comillas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Cuando incluyes la hora de acceso en la solicitud, el Analizador de políticas puede evaluar las condiciones de fecha y hora. Si la condición se evalúa como falsa, ese rol no se incluye en la respuesta. Si la condición se evalúa como verdadera, el resultado de la evaluación de la condición se muestra como TRUE.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar qué principales tendrán ciertos permisos en un recurso en un momento específico, usa el método analyzeIamPolicy de la API de Cloud Asset Inventory.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso en el que deseas limitar tu búsqueda. Solo se analizarán las políticas de permisos de IAM adjuntas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
RESOURCE_ID: Es el ID delGoogle Cloud proyecto, la carpeta o la organización en los que deseas limitar tu búsqueda. Solo se analizarán las políticas de IAM de permisos adjuntas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
PERMISSION_1, PERMISSION_2… PERMISSION_N: Opcional. Son los permisos que deseas verificar, por ejemplo, compute.instances.get. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.
FULL_RESOURCE_NAME: Opcional Es el nombre completo del recurso del que deseas analizar el acceso. Para obtener una lista de los formatos de nombres de recursos completos, consulta Formato de nombre de recurso.
PERMISSION_1, PERMISSION_2… PERMISSION_N: Opcional. Son los permisos que deseas verificar, por ejemplo, compute.instances.get. Si enumeras varios permisos, el Analizador de políticas verificará si se otorga alguno de ellos.
ACCESS_TIME: Es la fecha y hora que deseas verificar. Esta hora debe ser posterior a la actual. Usa una marca de tiempo en formato RFC 3339, por ejemplo, 2099-02-01T00:00:00Z.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Explorador de APIs (navegador)

Recibirás una respuesta JSON con los resultados del análisis. Cada resultado del análisis describe una vinculación de rol de IAM pertinente y, luego, enumera el recurso, los accesos y las principales en esa vinculación. Si la vinculación de rol es condicional, el resultado del análisis también incluye el resultado de la evaluación de la condición. Si no se pudo evaluar la condición, el resultado se muestra como CONDITIONAL.

Cuando incluyes la hora de acceso en la solicitud, el Analizador de políticas puede evaluar las condiciones de fecha y hora. Si la condición se evalúa como falsa, ese rol no se incluye en la respuesta. Si la condición se evalúa como verdadera, el valor de evaluación de la condición en la respuesta del análisis es TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Si la solicitud agota el tiempo de espera antes de que finalice la consulta, recibirás un error DEADLINE_EXCEEDED. Para obtener más resultados para estas consultas, escribe los resultados en BigQuery o Cloud Storage con la versión de larga duración de analyzeIamPolicy. Para obtener instrucciones, consulta Escribe análisis de políticas en BigQuery o Escribe análisis de políticas en Cloud Storage.

Habilitar opciones

Puedes habilitar las siguientes opciones para recibir resultados de búsqueda más detallados.

Console

Opción	Descripción
Enumerar los recursos dentro de los recursos que coinciden con tu consulta	Si habilitas esta opción, la lista de resultados de la búsqueda incluirá hasta 1,000 recursos descendientes relevantes para cualquier recurso principal (proyectos, carpetas y organizaciones) en los resultados de la búsqueda.
Permite enumerar los usuarios individuales dentro de los grupos	Si habilitas esta opción, todos los grupos en los resultados de la búsqueda se expandirán en miembros individuales. Si tienes suficientes permisos de grupo, también se expandirán los grupos anidados. Esta expansión tiene un límite de 1,000 miembros por grupo. Esta opción solo está disponible si no especificas un principal en tu consulta.
Permite enumerar los permisos dentro de las funciones	Si habilitas esta opción, en la lista de resultados de la búsqueda se mostrarán todos los permisos dentro de cada rol, además del rol en sí. Esta opción solo está disponible si no especificas ningún permiso o rol en tu búsqueda.

Opción

Descripción

Enumerar los recursos dentro de los recursos que coinciden con tu consulta

Si habilitas esta opción, la lista de resultados de la búsqueda incluirá hasta 1,000 recursos descendientes relevantes para cualquier recurso principal (proyectos, carpetas y organizaciones) en los resultados de la búsqueda.

Permite enumerar los usuarios individuales dentro de los grupos

Si habilitas esta opción, todos los grupos en los resultados de la búsqueda se expandirán en miembros individuales. Si tienes suficientes permisos de grupo, también se expandirán los grupos anidados. Esta expansión tiene un límite de 1,000 miembros por grupo.

Esta opción solo está disponible si no especificas un principal en tu consulta.

Permite enumerar los permisos dentro de las funciones

Si habilitas esta opción, en la lista de resultados de la búsqueda se mostrarán todos los permisos dentro de cada rol, además del rol en sí.

Esta opción solo está disponible si no especificas ningún permiso o rol en tu búsqueda.

gcloud

En esta sección, se describen varias marcas comunes que puedes agregar cuando usas gcloud CLI para analizar las políticas de permisos. Para obtener una lista completa de las opciones, consulta Marcas opcionales.

Marcar	Descripción
`--analyze-service-account-impersonation`	Si se habilita esta opción, el Analizador de políticas ejecuta consultas de análisis adicionales para determinar quién puede suplantar las cuentas de servicio que tienen el acceso especificado a los recursos especificados. El Analizador de políticas ejecuta una consulta para cada cuenta de servicio en los resultados de la consulta. Estas consultas analizan quién tiene alguno de los siguientes permisos en la cuenta de servicio: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Esta es una operación muy costosa, ya que ejecuta automáticamente muchas consultas. Te recomendamos que exportes a BigQuery o exportes a Cloud Storage con `analyze-iam-policy-longrunning` en lugar de `analyze-iam-policy`.
`--expand-groups`	Si habilitas esta opción, todos los grupos en los resultados de la búsqueda se expandirán en miembros individuales. Si tienes suficientes permisos de grupo, también se expandirán los grupos anidados. Esta expansión tiene un límite de 1,000 miembros por grupo. Esta opción solo es efectiva si no especificas un principal en tu consulta.
`--expand-resources`	Si habilitas esta opción, la lista de resultados de la búsqueda incluirá hasta 1,000 recursos descendientes relevantes para cualquier recurso principal (proyectos, carpetas y organizaciones) en los resultados de la búsqueda.
`--expand-roles`	Si habilitas esta opción, en la lista de resultados de la búsqueda se mostrarán todos los permisos dentro de cada rol, además del rol en sí. Esta opción solo está disponible si no especificas ningún permiso o rol en tu búsqueda.
`--output-group-edges`	Si habilitas esta opción, los resultados de la búsqueda mostrarán las relaciones de membresía pertinentes entre los grupos.
`--output-resource-edges`	Si habilitas esta opción, los resultados de la búsqueda mostrarán las relaciones pertinentes entre recursos principales y secundarios.

REST

Para habilitar cualquier opción, primero agrega un campo options a tu consulta de análisis. Por ejemplo:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Reemplaza OPTIONS por las opciones que deseas habilitar, en el formato "OPTION": true. En la siguiente tabla, se describen las opciones disponibles:

Opción	Descripción
`analyzeServiceAccountImpersonation`	Si se habilita esta opción, el Analizador de políticas ejecuta consultas de análisis adicionales para determinar quién puede suplantar las cuentas de servicio que tienen el acceso especificado a los recursos especificados. El Analizador de políticas ejecuta una consulta para cada cuenta de servicio en los resultados de la consulta. Estas consultas analizan quién tiene alguno de los siguientes permisos en la cuenta de servicio: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Esta es una operación muy costosa, ya que ejecuta automáticamente muchas consultas. Te recomendamos que exportes a BigQuery o exportes a Cloud Storage con `AnalyzeIamPolicyLongrunning` en lugar de `AnalyzeIamPolicy`.
`expandGroups`	Si habilitas esta opción, todos los grupos en los resultados de la búsqueda se expandirán en miembros individuales. Si tienes suficientes permisos de grupo, también se expandirán los grupos anidados. Esta expansión tiene un límite de 1,000 miembros por grupo. Esta opción solo es efectiva si no especificas un principal en tu consulta.
`expandResources`	Si habilitas esta opción, la lista de resultados de la búsqueda incluirá hasta 1,000 recursos descendientes relevantes para cualquier recurso principal (proyectos, carpetas y organizaciones) en los resultados de la búsqueda.
`expandRoles`	Si habilitas esta opción, en la lista de resultados de la búsqueda se mostrarán todos los permisos dentro de cada rol, además del rol en sí. Esta opción solo está disponible si no especificas ningún permiso o rol en tu búsqueda.
`outputGroupEdges`	Si habilitas esta opción, los resultados de la búsqueda mostrarán las relaciones de membresía pertinentes entre los grupos.
`outputResourceEdges`	Si habilitas esta opción, los resultados de la búsqueda mostrarán las relaciones pertinentes entre recursos principales y secundarios.

¿Qué sigue?

Aprende a usar AnalyzeIamPolicyLongrunning para escribir en BigQuery o escribir en Cloud Storage.
Consulta cómo puedes usar la API de REST para guardar consultas de Análisis de políticas.
Explora las herramientas de solución de problemas de acceso disponibles, que puedes usar para averiguar por qué una principal no tiene un determinado tipo de acceso.

Analiza las políticas de permisos Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Roles y permisos requeridos

Roles de IAM obligatorios

Permisos necesarios

Permisos obligatorios de Google Workspace

Determina qué principales pueden acceder a un recurso

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Determina qué principales tienen ciertos roles o permisos

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Determina qué acceso tiene un principal en un recurso

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Determina a qué recursos puede acceder un principal

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Cómo determinar el acceso en un momento específico

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorador de APIs (navegador)

Habilitar opciones

Console

gcloud

REST

¿Qué sigue?

Analiza las políticas de permisos