Cette page a été traduite par l'API Cloud Translation.

Rôles et autorisations

Cloud Asset Inventory utilise la gestion de l'authentification et des accès (IAM) pour le contrôle des accès. Pour chaque méthode de l'API Cloud Asset Inventory, l'appelant doit disposer des autorisations nécessaires.

Rôles

Pour obtenir les autorisations nécessaires pour utiliser les métadonnées des composants, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation, le dossier ou le projet :

Pour afficher les métadonnées d'un composant :
- Lecteur d'éléments Cloud (roles/cloudasset.viewer)
- Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer)
Pour afficher les métadonnées des composants et utiliser les flux :
- Propriétaire d'éléments Cloud (roles/cloudasset.owner)
- Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser les métadonnées des composants. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour utiliser les métadonnées des composants :

Pour afficher les métadonnées d'un composant :
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
Pour afficher les métadonnées des composants et utiliser les flux :
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Autorisations

Le tableau suivant répertorie les autorisations dont l'appelant doit disposer pour appeler chaque méthode d'API dans inventaire des éléments cloud ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent inventaire des éléments cloud, tels que la console Google Cloud ou la gcloud CLI.

Les rôles Lecteur d'éléments Cloud (roles/cloudasset.viewer) et Propriétaire d'éléments Cloud (roles/cloudasset.owner) incluent la plupart de ces autorisations. Si l'appelant s'est vu attribuer l'un de ces rôles et le rôle Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer), il dispose peut-être déjà des autorisations nécessaires pour utiliser inventaire des éléments cloud.

RPC

Méthode	Autorisations requises
Toutes les API
Tous les appels Cloud Asset Inventory	Tous les appels Cloud Asset Inventory nécessitent l'autorisation `serviceusage.services.use`.
API d'analyse
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
API d'inventaire
`BatchGetAssetsHistory` `ExportAssets`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportAccessPolicy` Lorsque vous utilisez le type de contenu `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Lorsque vous utilisez le type de contenu `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Lorsque vous utilisez le type de contenu `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Lorsque vous utilisez le type de contenu `OS_INVENTORY`. `cloudasset.assets.exportResource` Lorsque vous utilisez les types de contenu `RELATIONSHIP` ou `RESOURCE`. Lorsque vous exportez des métadonnées d'un type de contenu non spécifié ou `RESOURCE`, au lieu d'accorder l'autorisation `cloudasset.assets.exportResource` à un compte, vous pouvez utiliser les autorisations pour chaque type de ressource.
`ListAssets`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` pour les types de contenu `RELATIONSHIP` et `RESOURCE`.
`QueryAssets`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` pour les types de contenu `RELATIONSHIP` et `RESOURCE`.
API de flux
`CreateFeed`	`cloudasset.feeds.create` Vous devez également disposer de l'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` Vous devez également disposer de l'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Search
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` Vous avez également besoin de `cloudasset.assets.searchEnrichmentResourceOwners` si vous recherchez l'enrichissement du propriétaire de la ressource.

REST

Méthode	Autorisations requises
Toutes les API
Tous les appels Cloud Asset Inventory	Tous les appels Cloud Asset Inventory nécessitent l'autorisation `serviceusage.services.use`.
API d'analyse
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
API d'inventaire
`batchGetAssetsHistory` `exportAssets`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportAccessPolicy` Lorsque vous utilisez le type de contenu `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Lorsque vous utilisez le type de contenu `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Lorsque vous utilisez le type de contenu `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Lorsque vous utilisez le type de contenu `OS_INVENTORY`. `cloudasset.assets.exportResource` Lorsque vous utilisez les types de contenu `RELATIONSHIP` ou `RESOURCE`. Lorsque vous exportez des métadonnées d'un type de contenu non spécifié ou `RESOURCE`, au lieu d'accorder l'autorisation `cloudasset.assets.exportResource` à un compte, vous pouvez utiliser les autorisations pour chaque type de ressource.
`assets.list`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` pour les types de contenu `RELATIONSHIP` et `RESOURCE`.
`queryAssets`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` pour les types de contenu `RELATIONSHIP` et `RESOURCE`.
API de flux
`feeds.create`	`cloudasset.feeds.create` Vous devez également disposer de l'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` Vous devez également disposer de l'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Search
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` Vous avez également besoin de `cloudasset.assets.searchEnrichmentResourceOwners` si vous recherchez l'enrichissement du propriétaire de la ressource.

gcloud

Énoncé de positionnement	Autorisations requises
Toutes les API
Tous les appels Cloud Asset Inventory	Tous les appels Cloud Asset Inventory nécessitent l'autorisation `serviceusage.services.use`.
API d'analyse
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Toutes les autorisations suivantes : `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
API d'inventaire
`get-history` `export`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportAccessPolicy` Lorsque vous utilisez le type de contenu `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Lorsque vous utilisez le type de contenu `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Lorsque vous utilisez le type de contenu `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Lorsque vous utilisez le type de contenu `OS_INVENTORY`. `cloudasset.assets.exportResource` Lorsque vous utilisez les types de contenu `RELATIONSHIP` ou `RESOURCE`. Lorsque vous exportez des métadonnées d'un type de contenu non spécifié ou `RESOURCE`, au lieu d'accorder l'autorisation `cloudasset.assets.exportResource` à un compte, vous pouvez utiliser les autorisations pour chaque type de ressource.
`list`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` pour les types de contenu `RELATIONSHIP` et `RESOURCE`.
`query`	L'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` pour les types de contenu `RELATIONSHIP` et `RESOURCE`.
API de flux
`feeds create`	`cloudasset.feeds.create` Vous devez également disposer de l'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` Vous devez également disposer de l'une des autorisations suivantes, en fonction du type de contenu : `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API Search
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` Vous avez également besoin de `cloudasset.assets.searchEnrichmentResourceOwners` si vous recherchez l'enrichissement du propriétaire de la ressource.

Autorisations d'exportation pour chaque type de ressource

Si vous accordez l'autorisation cloudasset.assets.exportResource à un utilisateur, il pourra exporter tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut exporter, vous pouvez accorder des autorisations pour chaque type de ressource.

Par exemple, si vous accordez à un utilisateur l'autorisation cloudasset.assets.exportComputeDisks, il ne pourra exporter que le type de ressource compute.googleapis.com/Disk.

Les autorisations d'exportation de ressources ne s'appliquent qu'aux types de contenu RESOURCE et non spécifiés.

Service	Type de ressource	Autorisation d'exporter des ressources
App Engine	`appengine.googleapis.com/Application`	`cloudasset.assets.exportAppengineApplications`
	`appengine.googleapis.com/Service`	`cloudasset.assets.exportAppengineServices`
	`appengine.googleapis.com/Version`	`cloudasset.assets.exportAppengineVersions`
BigQuery	`bigquery.googleapis.com/Dataset`	`cloudasset.assets.exportBigqueryDatasets`
BigQuery	`bigquery.googleapis.com/Table`	`cloudasset.assets.exportBigqueryTables`
Bigtable	`bigtableadmin.googleapis.com/Cluster`	`cloudasset.assets.exportBigtableCluster`
	`bigtableadmin.googleapis.com/Instance`	`cloudasset.assets.exportBigtableInstance`
	`bigtableadmin.googleapis.com/Table`	`cloudasset.assets.exportBigtableTable`
Cloud Billing	`cloudbilling.googleapis.com/BillingAccount`	`cloudasset.assets.exportCloudbillingBillingAccounts`
Cloud DNS	`dns.googleapis.com/ManagedZone`	`cloudasset.assets.exportDnsManagedZones`
Cloud DNS	`dns.googleapis.com/Policy`	`cloudasset.assets.exportDnsPolicies`
Cloud Key Management Service	`cloudkms.googleapis.com/CryptoKey`	`cloudasset.assets.exportCloudkmsCryptoKeys`
	`cloudkms.googleapis.com/CryptoKeyVersion`	`cloudasset.assets.exportCloudkmsCryptoKeyVersions`
	`cloudkms.googleapis.com/ImportJob`	`cloudasset.assets.exportCloudkmsImportJobs`
	`cloudkms.googleapis.com/KeyRing`	`cloudasset.assets.exportCloudkmsKeyRings`
Cloud OS Config	`osconfig.googleapis.com/PatchDeployment`	`cloudasset.assets.exportPatchDeployments`
Spanner	`spanner.googleapis.com/Backup`	`cloudasset.assets.exportSpannerBackups`
	`spanner.googleapis.com/Database`	`cloudasset.assets.exportSpannerDatabases`
	`spanner.googleapis.com/Instance`	`cloudasset.assets.exportSpannerInstances`
Cloud SQL	`sqladmin.googleapis.com/Instance`	`cloudasset.assets.exportSqladminInstances`
Cloud Storage	`storage.googleapis.com/Bucket`	`cloudasset.assets.exportStorageBuckets`
Compute Engine	`compute.googleapis.com/Address`	`cloudasset.assets.exportComputeAddress`
	`compute.googleapis.com/Autoscaler`	`cloudasset.assets.exportComputeAutoscalers`
	`compute.googleapis.com/BackendBucket`	`cloudasset.assets.exportComputeBackendBuckets`
	`compute.googleapis.com/BackendService`	`cloudasset.assets.exportComputeBackendServices`
	`compute.googleapis.com/Disk`	`cloudasset.assets.exportComputeDisks`
	`compute.googleapis.com/Firewall`	`cloudasset.assets.exportComputeFirewalls`
	`compute.googleapis.com/ForwardingRule`	`cloudasset.assets.exportComputeForwardingRules`
	`compute.googleapis.com/GlobalAddress`	`cloudasset.assets.exportComputeGlobalAddress`
	`compute.googleapis.com/HealthCheck`	`cloudasset.assets.exportComputeHealthChecks`
	`compute.googleapis.com/HttpHealthCheck`	`cloudasset.assets.exportComputeHttpHealthChecks`
	`compute.googleapis.com/HttpsHealthCheck`	`cloudasset.assets.exportComputeHttpsHealthChecks`
	`compute.googleapis.com/Image`	`cloudasset.assets.exportComputeImages`
	`compute.googleapis.com/Instance`	`cloudasset.assets.exportComputeInstances`
	`compute.googleapis.com/InstanceGroup`	`cloudasset.assets.exportComputeInstanceGroups`
	`compute.googleapis.com/InstanceGroupManager`	`cloudasset.assets.exportComputeInstanceGroupManagers`
	`compute.googleapis.com/InstanceTemplate`	`cloudasset.assets.exportComputeInstanceTemplates`
	`compute.googleapis.com/Interconnect`	`cloudasset.assets.exportComputeInterconnect`
	`compute.googleapis.com/InterconnectAttachment`	`cloudasset.assets.exportComputeInterconnectAttachment`
	`compute.googleapis.com/License`	`cloudasset.assets.exportComputeLicenses`
	`compute.googleapis.com/Network`	`cloudasset.assets.exportComputeNetworks`
	`compute.googleapis.com/Project`	`cloudasset.assets.exportComputeProjects`
	`compute.googleapis.com/RegionDisk`	`cloudasset.assets.exportComputeRegionDisk`
	`compute.googleapis.com/Route`	`cloudasset.assets.exportComputeRoutes`
	`compute.googleapis.com/Router`	`cloudasset.assets.exportComputeRouters`
	`compute.googleapis.com/Snapshot`	`cloudasset.assets.exportComputeSnapshots`
	`compute.googleapis.com/SslCertificate`	`cloudasset.assets.exportComputeSslCertificates`
	`compute.googleapis.com/Subnetwork`	`cloudasset.assets.exportComputeSubnetworks`
	`compute.googleapis.com/TargetHttpProxy`	`cloudasset.assets.exportComputeTargetHttpProxies`
	`compute.googleapis.com/TargetHttpsProxy`	`cloudasset.assets.exportComputeTargetHttpsProxies`
	`compute.googleapis.com/TargetInstance`	`cloudasset.assets.exportComputeTargetInstances`
	`compute.googleapis.com/TargetPool`	`cloudasset.assets.exportComputeTargetPools`
	`compute.googleapis.com/TargetTcpProxy`	`cloudasset.assets.exportComputeTargetTcpProxies`
	`compute.googleapis.com/TargetSslProxy`	`cloudasset.assets.exportComputeTargetSslProxies`
	`compute.googleapis.com/TargetVpnGateway`	`cloudasset.assets.exportComputeTargetVpnGateways`
	`compute.googleapis.com/UrlMap`	`cloudasset.assets.exportComputeUrlMaps`
	`compute.googleapis.com/VpnTunnel`	`cloudasset.assets.exportComputeVpnTunnels`
Dataproc	`dataproc.googleapis.com/Cluster`	`cloudasset.assets.exportDataprocClusters`
Dataproc	`dataproc.googleapis.com/Job`	`cloudasset.assets.exportDataprocJobs`
Google Kubernetes Engine	`container.googleapis.com/Cluster`	`cloudasset.assets.exportContainerClusters`
	`container.googleapis.com/NodePool`	`cloudasset.assets.exportContainerNodepool`
	`k8s.io/Namespace`	`cloudasset.assets.exportContainerNamespace`
	`k8s.io/Node`	`cloudasset.assets.exportContainerNode`
	`k8s.io/Pod`	`cloudasset.assets.exportContainerPod`
	`rbac.authorization.k8s.io/ClusterRole`	`cloudasset.assets.exportContainerClusterrole`
	`rbac.authorization.k8s.io/ClusterRoleBinding`	`cloudasset.assets.exportContainerClusterrolebinding`
	`rbac.authorization.k8s.io/Role`	`cloudasset.assets.exportContainerRole`
	`rbac.authorization.k8s.io/RoleBinding`	`cloudasset.assets.exportContainerRolebinding`
IAM	`iam.googleapis.com/Role`	`cloudasset.assets.exportIamRoles`
IAM	`iam.googleapis.com/ServiceAccount`	`cloudasset.assets.exportIamServiceAccounts`
Pub/Sub	`pubsub.googleapis.com/Subscription`	`cloudasset.assets.exportPubsubSubscriptions`
Pub/Sub	`pubsub.googleapis.com/Topic`	`cloudasset.assets.exportPubsubTopics`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder`	`cloudasset.assets.exportCloudresourcemanagerFolders`
	`cloudresourcemanager.googleapis.com/Organization`	`cloudasset.assets.exportCloudresourcemanagerOrganizations`
	`cloudresourcemanager.googleapis.com/Project`	`cloudasset.assets.exportCloudresourcemanagerProjects`

VPC Service Controls

VPC Service Controls peut être utilisé avec Cloud Asset Inventory pour renforcer la sécurité de vos éléments. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Pour en savoir plus sur les limites liées à l'utilisation de Cloud Asset Inventory avec VPC Service Controls, consultez la page Produits compatibles et limites.

Rôles et autorisations Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.