Rollen und Berechtigungen

Cloud Asset Inventory verwendet für die Zugriffssteuerung Identity and Access Management (IAM). Zum Aufrufen der Methoden in der Cloud Asset Inventory API werden die erforderlichen Berechtigungen benötigt.

Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Arbeit mit Asset-Metadaten benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Arbeiten mit Asset-Metadaten erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um mit Asset-Metadaten zu arbeiten:

  • So rufen Sie Asset-Metadaten auf:
    • cloudasset.assets.*
    • recommender.cloudAssetInsights.get
    • recommender.cloudAssetInsights.list
    • serviceusage.services.use
  • So rufen Sie Asset-Metadaten auf und arbeiten mit Feeds:
    • cloudasset.*
    • recommender.cloudAssetInsights.*
    • serviceusage.services.use

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer haben muss, um die einzelnen API-Methoden in Cloud Asset Inventory aufzurufen oder Aufgaben mit Google Cloud -Tools auszuführen, die Cloud Asset Inventory verwenden, z. B. die Google Cloud -Konsole oder die gcloud CLI.

Die Rollen „Cloud-Asset-Betrachter“ (roles/cloudasset.viewer) und „Cloud-Asset-Inhaber“ (roles/cloudasset.owner) umfassen viele dieser Berechtigungen. Wenn dem Aufrufer eine dieser Rollen und die Rolle „Service Usage Consumer“ (roles/serviceusage.serviceUsageConsumer) zugewiesen wurde, hat er möglicherweise bereits die Berechtigungen, die er für die Verwendung von Cloud Asset Inventory benötigt.

RPC

Methode Erforderliche Berechtigungen
Alle APIs
Alle Cloud Asset Inventory-Aufrufe

Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung serviceusage.services.use erforderlich.

Analyse-APIs

AnalyzeIamPolicy

AnalyzeIamPolicyLongRunning

BatchGetEffectiveIamPolicies

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

AnalyzeMove

 cloudasset.assets.analyzeMove

AnalyzeOrgPolicies

AnalyzeOrgPolicyGovernedContainers

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

AnalyzeOrgPolicyGovernedAssets

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory APIs

BatchGetAssetsHistory

ExportAssets

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.exportAccessPolicy

    Wenn Sie den Inhaltstyp ACCESS_POLICY verwenden.

  • cloudasset.assets.exportIamPolicy

    Wenn Sie den Inhaltstyp IAM_POLICY verwenden.

  • cloudasset.assets.exportOrgPolicy

    Wenn Sie den Inhaltstyp ORG_POLICY verwenden.

  • cloudasset.assets.exportOSInventories

    Wenn Sie den Inhaltstyp OS_INVENTORY verwenden.

  • cloudasset.assets.exportResource

    Bei Verwendung der Inhaltstypen RELATIONSHIP oder RESOURCE

Wenn Sie Metadaten eines nicht angegebenen oder RESOURCE-Inhaltstyps exportieren, können Sie anstelle der Berechtigung cloudasset.assets.exportResource für ein Konto Berechtigungen für jeden Ressourcentyp verwenden.

ListAssets

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource für die Inhaltstypen RELATIONSHIP und RESOURCE.

QueryAssets

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource für die Inhaltstypen RELATIONSHIP und RESOURCE.
Feed-APIs

CreateFeed

cloudasset.feeds.create

Außerdem benötigen Sie je nach Inhaltstyp eine der folgenden Berechtigungen:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

DeleteFeed

 cloudasset.feeds.delete

GetFeed

 cloudasset.feeds.get

ListFeed

 cloudasset.feeds.list

UpdateFeed

cloudasset.feeds.update

Außerdem benötigen Sie je nach Inhaltstyp eine der folgenden Berechtigungen:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
Search APIs

SearchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

SearchAllResources

cloudasset.assets.searchAllResources

Sie benötigen außerdem cloudasset.assets.searchEnrichmentResourceOwners , wenn Sie nach einer Anreicherung des Ressourceninhabers suchen.

REST

Methode Erforderliche Berechtigungen
Alle APIs
Alle Cloud Asset Inventory-Aufrufe

Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung serviceusage.services.use erforderlich.

Analyse-APIs

analyzeIamPolicy

analyzeIamPolicyLongRunning

effectiveIamPolicies.batchGet

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

analyzeMove

 cloudasset.assets.analyzeMove

analyzeOrgPolicies

analyzeOrgPolicyGovernedContainers

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyzeOrgPolicyGovernedAssets

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory APIs

batchGetAssetsHistory

exportAssets

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.exportAccessPolicy

    Wenn Sie den Inhaltstyp ACCESS_POLICY verwenden.

  • cloudasset.assets.exportIamPolicy

    Wenn Sie den Inhaltstyp IAM_POLICY verwenden.

  • cloudasset.assets.exportOrgPolicy

    Wenn Sie den Inhaltstyp ORG_POLICY verwenden.

  • cloudasset.assets.exportOSInventories

    Wenn Sie den Inhaltstyp OS_INVENTORY verwenden.

  • cloudasset.assets.exportResource

    Bei Verwendung der Inhaltstypen RELATIONSHIP oder RESOURCE

Wenn Sie Metadaten eines nicht angegebenen oder RESOURCE-Inhaltstyps exportieren, können Sie anstelle der Berechtigung cloudasset.assets.exportResource für ein Konto Berechtigungen für jeden Ressourcentyp verwenden.

assets.list

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource für die Inhaltstypen RELATIONSHIP und RESOURCE.

queryAssets

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource für die Inhaltstypen RELATIONSHIP und RESOURCE.
Feed-APIs

feeds.create

cloudasset.feeds.create

Außerdem benötigen Sie je nach Inhaltstyp eine der folgenden Berechtigungen:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds.delete

 cloudasset.feeds.delete

feeds.get

 cloudasset.feeds.get

feeds.list

 cloudasset.feeds.list

feeds.patch

cloudasset.feeds.update

Außerdem benötigen Sie je nach Inhaltstyp eine der folgenden Berechtigungen:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
Search APIs

searchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

searchAllResources

cloudasset.assets.searchAllResources

Sie benötigen außerdem cloudasset.assets.searchEnrichmentResourceOwners , wenn Sie nach einer Anreicherung des Ressourceninhabers suchen.

gcloud

Erklärung zur Positionierung Erforderliche Berechtigungen
Alle APIs
Alle Cloud Asset Inventory-Aufrufe

Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung serviceusage.services.use erforderlich.

Analyse-APIs

analyze-iam-policy

analyze-iam-policy-longrunning

get-effective-iam-policy

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

analyze-move

 cloudasset.assets.analyzeMove

analyze-org-policies

analyze-org-policy-governed-containers

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyze-org-policy-governed-assets

Alle der folgenden Berechtigungen:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
Inventory APIs

get-history

export

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.exportAccessPolicy

    Wenn Sie den Inhaltstyp ACCESS_POLICY verwenden.

  • cloudasset.assets.exportIamPolicy

    Wenn Sie den Inhaltstyp IAM_POLICY verwenden.

  • cloudasset.assets.exportOrgPolicy

    Wenn Sie den Inhaltstyp ORG_POLICY verwenden.

  • cloudasset.assets.exportOSInventories

    Wenn Sie den Inhaltstyp OS_INVENTORY verwenden.

  • cloudasset.assets.exportResource

    Bei Verwendung der Inhaltstypen RELATIONSHIP oder RESOURCE

Wenn Sie Metadaten eines nicht angegebenen oder RESOURCE-Inhaltstyps exportieren, können Sie anstelle der Berechtigung cloudasset.assets.exportResource für ein Konto Berechtigungen für jeden Ressourcentyp verwenden.

list

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource für die Inhaltstypen RELATIONSHIP und RESOURCE.

query

Je nach Inhaltstyp ist eine der folgenden Berechtigungen erforderlich:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource für die Inhaltstypen RELATIONSHIP und RESOURCE.
Feed-APIs

feeds create

cloudasset.feeds.create

Außerdem benötigen Sie je nach Inhaltstyp eine der folgenden Berechtigungen:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds delete

 cloudasset.feeds.delete

feeds describe

 cloudasset.feeds.get

feeds list

 cloudasset.feeds.list

feeds update

cloudasset.feeds.update

Außerdem benötigen Sie je nach Inhaltstyp eine der folgenden Berechtigungen:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
Search APIs

search-all-iam-policies

 cloudasset.assets.searchAllIamPolicies

search-all-resources

cloudasset.assets.searchAllResources

Sie benötigen außerdem cloudasset.assets.searchEnrichmentResourceOwners , wenn Sie nach einer Anreicherung des Ressourceninhabers suchen.

Exportberechtigungen für jeden Ressourcentyp

Wenn Sie einem Nutzer die Berechtigung cloudasset.assets.exportResource erteilen, kann er alle Ressourcentypen exportieren. Wenn Sie einschränken möchten, welche Ressourcentypen ein Nutzer exportieren kann, können Sie stattdessen Berechtigungen für jeden Ressourcentyp gewähren.

Wenn Sie einem Nutzer beispielsweise cloudasset.assets.exportComputeDisks gewähren, kann er nur den Ressourcentyp compute.googleapis.com/Disk exportieren.

Berechtigungen für den Ressourcenexport gelten nur für RESOURCE und nicht angegebene Inhaltstypen.

Dienst Ressourcentyp Berechtigung zum Exportieren von Ressourcen
App Engine appengine.googleapis.com/Application cloudasset.assets.exportAppengineApplications
appengine.googleapis.com/Service cloudasset.assets.exportAppengineServices
appengine.googleapis.com/Version cloudasset.assets.exportAppengineVersions
BigQuery bigquery.googleapis.com/Dataset cloudasset.assets.exportBigqueryDatasets
bigquery.googleapis.com/Table cloudasset.assets.exportBigqueryTables
Bigtable bigtableadmin.googleapis.com/Cluster cloudasset.assets.exportBigtableCluster
bigtableadmin.googleapis.com/Instance cloudasset.assets.exportBigtableInstance
bigtableadmin.googleapis.com/Table cloudasset.assets.exportBigtableTable
Cloud Billing cloudbilling.googleapis.com/BillingAccount cloudasset.assets.exportCloudbillingBillingAccounts
Cloud DNS dns.googleapis.com/ManagedZone cloudasset.assets.exportDnsManagedZones
dns.googleapis.com/Policy cloudasset.assets.exportDnsPolicies
Cloud Key Management Service cloudkms.googleapis.com/CryptoKey cloudasset.assets.exportCloudkmsCryptoKeys
cloudkms.googleapis.com/CryptoKeyVersion cloudasset.assets.exportCloudkmsCryptoKeyVersions
cloudkms.googleapis.com/ImportJob cloudasset.assets.exportCloudkmsImportJobs
cloudkms.googleapis.com/KeyRing cloudasset.assets.exportCloudkmsKeyRings
Cloud OS Config osconfig.googleapis.com/PatchDeployment cloudasset.assets.exportPatchDeployments
Spanner spanner.googleapis.com/Backup cloudasset.assets.exportSpannerBackups
spanner.googleapis.com/Database cloudasset.assets.exportSpannerDatabases
spanner.googleapis.com/Instance cloudasset.assets.exportSpannerInstances
Cloud SQL sqladmin.googleapis.com/Instance cloudasset.assets.exportSqladminInstances
Cloud Storage storage.googleapis.com/Bucket cloudasset.assets.exportStorageBuckets
Compute Engine compute.googleapis.com/Address cloudasset.assets.exportComputeAddress
compute.googleapis.com/Autoscaler cloudasset.assets.exportComputeAutoscalers
compute.googleapis.com/BackendBucket cloudasset.assets.exportComputeBackendBuckets
compute.googleapis.com/BackendService cloudasset.assets.exportComputeBackendServices
compute.googleapis.com/Disk cloudasset.assets.exportComputeDisks
compute.googleapis.com/Firewall cloudasset.assets.exportComputeFirewalls
compute.googleapis.com/ForwardingRule cloudasset.assets.exportComputeForwardingRules
compute.googleapis.com/GlobalAddress cloudasset.assets.exportComputeGlobalAddress
compute.googleapis.com/HealthCheck cloudasset.assets.exportComputeHealthChecks
compute.googleapis.com/HttpHealthCheck cloudasset.assets.exportComputeHttpHealthChecks
compute.googleapis.com/HttpsHealthCheck cloudasset.assets.exportComputeHttpsHealthChecks
compute.googleapis.com/Image cloudasset.assets.exportComputeImages
compute.googleapis.com/Instance cloudasset.assets.exportComputeInstances
compute.googleapis.com/InstanceGroup cloudasset.assets.exportComputeInstanceGroups
compute.googleapis.com/InstanceGroupManager cloudasset.assets.exportComputeInstanceGroupManagers
compute.googleapis.com/InstanceTemplate cloudasset.assets.exportComputeInstanceTemplates
compute.googleapis.com/Interconnect cloudasset.assets.exportComputeInterconnect
compute.googleapis.com/InterconnectAttachment cloudasset.assets.exportComputeInterconnectAttachment
compute.googleapis.com/License cloudasset.assets.exportComputeLicenses
compute.googleapis.com/Network cloudasset.assets.exportComputeNetworks
compute.googleapis.com/Project cloudasset.assets.exportComputeProjects
compute.googleapis.com/RegionDisk cloudasset.assets.exportComputeRegionDisk
compute.googleapis.com/Route cloudasset.assets.exportComputeRoutes
compute.googleapis.com/Router cloudasset.assets.exportComputeRouters
compute.googleapis.com/Snapshot cloudasset.assets.exportComputeSnapshots
compute.googleapis.com/SslCertificate cloudasset.assets.exportComputeSslCertificates
compute.googleapis.com/Subnetwork cloudasset.assets.exportComputeSubnetworks
compute.googleapis.com/TargetHttpProxy cloudasset.assets.exportComputeTargetHttpProxies
compute.googleapis.com/TargetHttpsProxy cloudasset.assets.exportComputeTargetHttpsProxies
compute.googleapis.com/TargetInstance cloudasset.assets.exportComputeTargetInstances
compute.googleapis.com/TargetPool cloudasset.assets.exportComputeTargetPools
compute.googleapis.com/TargetTcpProxy cloudasset.assets.exportComputeTargetTcpProxies
compute.googleapis.com/TargetSslProxy cloudasset.assets.exportComputeTargetSslProxies
compute.googleapis.com/TargetVpnGateway cloudasset.assets.exportComputeTargetVpnGateways
compute.googleapis.com/UrlMap cloudasset.assets.exportComputeUrlMaps
compute.googleapis.com/VpnTunnel cloudasset.assets.exportComputeVpnTunnels
Dataproc dataproc.googleapis.com/Cluster cloudasset.assets.exportDataprocClusters
dataproc.googleapis.com/Job cloudasset.assets.exportDataprocJobs
Google Kubernetes Engine container.googleapis.com/Cluster cloudasset.assets.exportContainerClusters
container.googleapis.com/NodePool cloudasset.assets.exportContainerNodepool
k8s.io/Namespace cloudasset.assets.exportContainerNamespace
k8s.io/Node cloudasset.assets.exportContainerNode
k8s.io/Pod cloudasset.assets.exportContainerPod
rbac.authorization.k8s.io/ClusterRole cloudasset.assets.exportContainerClusterrole
rbac.authorization.k8s.io/ClusterRoleBinding cloudasset.assets.exportContainerClusterrolebinding
rbac.authorization.k8s.io/Role cloudasset.assets.exportContainerRole
rbac.authorization.k8s.io/RoleBinding cloudasset.assets.exportContainerRolebinding
IAM iam.googleapis.com/Role cloudasset.assets.exportIamRoles
iam.googleapis.com/ServiceAccount cloudasset.assets.exportIamServiceAccounts
Pub/Sub pubsub.googleapis.com/Subscription cloudasset.assets.exportPubsubSubscriptions
pubsub.googleapis.com/Topic cloudasset.assets.exportPubsubTopics
Resource Manager cloudresourcemanager.googleapis.com/Folder cloudasset.assets.exportCloudresourcemanagerFolders
cloudresourcemanager.googleapis.com/Organization cloudasset.assets.exportCloudresourcemanagerOrganizations
cloudresourcemanager.googleapis.com/Project cloudasset.assets.exportCloudresourcemanagerProjects

VPC Service Controls

VPC Service Controls kann mit Cloud Asset Inventory verwendet werden, um die Sicherheit Ihrer Assets zu erhöhen. Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.

Welche Einschränkungen sich bei Verwendung von Cloud Asset Inventory mit VPC Service Controls ergeben, erfahren Sie unter Unterstützte Produkte und Einschränkungen.