Cloud Asset Inventory utilise la gestion de l'authentification et des accès (IAM) pour le contrôle des accès. Pour chaque méthode de l'API Cloud Asset Inventory, l'appelant doit disposer des autorisations nécessaires.
Rôles
Pour obtenir les autorisations nécessaires pour utiliser les métadonnées des composants, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation, le dossier ou le projet :
-
Pour afficher les métadonnées d'un composant :
-
Pour afficher les métadonnées des composants et utiliser les flux :
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour utiliser les métadonnées des composants. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour utiliser les métadonnées des composants :
-
Pour afficher les métadonnées d'un composant :
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
Pour afficher les métadonnées des composants et utiliser les flux :
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Autorisations
Le tableau suivant répertorie les autorisations dont l'appelant doit disposer pour appeler chaque méthode d'API dans inventaire des éléments cloud ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent inventaire des éléments cloud, tels que la console Google Cloud ou la gcloud CLI.
Les rôles Lecteur d'éléments Cloud (roles/cloudasset.viewer) et Propriétaire d'éléments Cloud (roles/cloudasset.owner) incluent la plupart de ces autorisations. Si l'appelant s'est vu attribuer l'un de ces rôles et le rôle Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer), il dispose peut-être déjà des autorisations dont il a besoin pour utiliser inventaire des éléments cloud.
RPC
| Méthode |
Autorisations requises |
| Toutes les API |
| Tous les appels Cloud Asset Inventory |
Tous les appels Cloud Asset Inventory nécessitent l'autorisation serviceusage.services.use.
|
| API d'analyse |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
pour analyser les règles avec des rôles personnalisés
Des autorisations supplémentaires sont requises pour utiliser Google Workspace.
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| API de flux |
CreateFeed
|
cloudasset.feeds.create
Vous devez également disposer de l'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
Vous devez également disposer de l'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| API d'inventaire |
BatchGetAssetsHistory
ExportAssets
|
L'une des autorisations suivantes, selon le
type de contenu :
-
cloudasset.assets.exportAccessPolicy
Lorsque vous utilisez le type de contenu ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Lorsque vous utilisez le type de contenu IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Lorsque vous utilisez le type de contenu ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Lorsque vous utilisez le type de contenu OS_INVENTORY.
-
cloudasset.assets.exportResource
Lorsque vous utilisez les types de contenu RELATIONSHIP ou RESOURCE.
Limiter l'accès aux ressources
Si vous accordez l'autorisation
cloudasset.assets.exportResource
à un utilisateur, il pourra exporter tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut exporter, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.exportComputeDisks seule pour permettre à un utilisateur d'exporter uniquement le type de ressource compute.googleapis.com/Disk.
Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux
types de contenu non spécifiés.
Consultez la liste des autorisations cloudasset.assets.export* précises.
|
ListAssets
|
L'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Lorsque vous utilisez les types de contenu RELATIONSHIP et RESOURCE.
Limiter l'accès aux ressources
Accorder l'autorisation
cloudasset.assets.listResource
à un utilisateur lui permet de lister tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut lister, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.listComputeDisks seule pour permettre à un utilisateur de lister uniquement le type de ressource compute.googleapis.com/Disk.
Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux
types de contenu non spécifiés.
Consultez la liste des autorisations cloudasset.assets.list* précises.
|
QueryAssets
|
L'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
pour les types de contenu RELATIONSHIP et RESOURCE.
|
| API Search |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
Vous avez également besoin de
cloudasset.assets.searchEnrichmentResourceOwners
si vous recherchez l'enrichissement du propriétaire de la ressource.
|
REST
| Méthode |
Autorisations requises |
| Toutes les API |
| Tous les appels Cloud Asset Inventory |
Tous les appels Cloud Asset Inventory nécessitent l'autorisation serviceusage.services.use.
|
| API d'analyse |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
pour analyser les règles avec des rôles personnalisés
Des autorisations supplémentaires sont requises pour utiliser Google Workspace.
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| API de flux |
feeds.create
|
cloudasset.feeds.create
Vous devez également disposer de l'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
Vous devez également disposer de l'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| API d'inventaire |
batchGetAssetsHistory
exportAssets
|
L'une des autorisations suivantes, selon le
type de contenu :
-
cloudasset.assets.exportAccessPolicy
Lorsque vous utilisez le type de contenu ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Lorsque vous utilisez le type de contenu IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Lorsque vous utilisez le type de contenu ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Lorsque vous utilisez le type de contenu OS_INVENTORY.
-
cloudasset.assets.exportResource
Lorsque vous utilisez les types de contenu RELATIONSHIP ou RESOURCE.
Limiter l'accès aux ressources
Si vous accordez l'autorisation
cloudasset.assets.exportResource
à un utilisateur, il pourra exporter tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut exporter, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.exportComputeDisks seule pour permettre à un utilisateur d'exporter uniquement le type de ressource compute.googleapis.com/Disk.
Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux
types de contenu non spécifiés.
Consultez la liste des autorisations cloudasset.assets.export* précises.
|
assets.list
|
L'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Lorsque vous utilisez les types de contenu RELATIONSHIP et RESOURCE.
Limiter l'accès aux ressources
Accorder l'autorisation
cloudasset.assets.listResource
à un utilisateur lui permet de lister tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut lister, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.listComputeDisks seule pour permettre à un utilisateur de lister uniquement le type de ressource compute.googleapis.com/Disk.
Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux
types de contenu non spécifiés.
Consultez la liste des autorisations cloudasset.assets.list* précises.
|
queryAssets
|
L'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
pour les types de contenu RELATIONSHIP et RESOURCE.
|
| API Search |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
Vous avez également besoin de
cloudasset.assets.searchEnrichmentResourceOwners
si vous recherchez l'enrichissement du propriétaire de la ressource.
|
gcloud
| Énoncé de positionnement |
Autorisations requises |
| Toutes les API |
| Tous les appels Cloud Asset Inventory |
Tous les appels Cloud Asset Inventory nécessitent l'autorisation serviceusage.services.use.
|
| API d'analyse |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
pour analyser les règles avec des rôles personnalisés
Des autorisations supplémentaires sont requises pour utiliser Google Workspace.
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
Toutes les autorisations suivantes :
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| API de flux |
feeds create
|
cloudasset.feeds.create
Vous devez également disposer de l'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
Vous devez également disposer de l'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| API d'inventaire |
export
get-history
|
L'une des autorisations suivantes, selon le
type de contenu :
-
cloudasset.assets.exportAccessPolicy
Lorsque vous utilisez le type de contenu ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Lorsque vous utilisez le type de contenu IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Lorsque vous utilisez le type de contenu ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Lorsque vous utilisez le type de contenu OS_INVENTORY.
-
cloudasset.assets.exportResource
Lorsque vous utilisez les types de contenu RELATIONSHIP ou RESOURCE.
Limiter l'accès aux ressources
Si vous accordez l'autorisation
cloudasset.assets.exportResource
à un utilisateur, il pourra exporter tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut exporter, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.exportComputeDisks seule pour permettre à un utilisateur d'exporter uniquement le type de ressource compute.googleapis.com/Disk.
Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux
types de contenu non spécifiés.
Consultez la liste des autorisations cloudasset.assets.export* précises.
|
list
|
L'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Lorsque vous utilisez les types de contenu RELATIONSHIP et RESOURCE.
Limiter l'accès aux ressources
Accorder l'autorisation
cloudasset.assets.listResource
à un utilisateur lui permet de lister tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut lister, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.listComputeDisks seule pour permettre à un utilisateur de lister uniquement le type de ressource compute.googleapis.com/Disk.
Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux
types de contenu non spécifiés.
Consultez la liste des autorisations cloudasset.assets.list* précises.
|
query
|
L'une des autorisations suivantes, selon le
type de contenu :
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
pour les types de contenu RELATIONSHIP et RESOURCE.
|
| API Search |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
Vous avez également besoin de
cloudasset.assets.searchEnrichmentResourceOwners
si vous recherchez l'enrichissement du propriétaire de la ressource.
|
Console
La console Google Cloud utilise l'API SearchAllResources pour demander des données. Pour utiliser l'inventaire des éléments Cloud dans la console Google Cloud , accordez les autorisations suivantes :
cloudasset.assets.searchAllResources
serviceusage.services.use
VPC Service Controls
VPC Service Controls peut être utilisé avec Cloud Asset Inventory pour renforcer la sécurité de vos éléments. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.
Pour en savoir plus sur les limites liées à l'utilisation de Cloud Asset Inventory avec VPC Service Controls, consultez la page Produits compatibles et limites.
