O Cloud Asset Inventory usa o Identity and Access Management (IAM) para o controlo de
acesso. Todos os métodos da API Cloud Asset Inventory requerem que o autor da chamada tenha as autorizações necessárias.
Funções
Para receber as autorizações de que precisa para trabalhar com metadados de recursos, peça ao seu administrador que lhe conceda as seguintes funções da IAM na organização, na pasta ou no projeto:
-
Para ver os metadados do recurso:
-
Para ver os metadados dos recursos e trabalhar com feeds:
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Estas funções predefinidas contêm
as autorizações necessárias para trabalhar com metadados de recursos. Para ver as autorizações exatas que são
necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para trabalhar com metadados de recursos:
-
Para ver os metadados do recurso:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
Para ver os metadados dos recursos e trabalhar com feeds:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
Também pode conseguir
estas autorizações
com funções personalizadas ou
outras funções predefinidas.
Autorizações
A tabela seguinte lista as autorizações que o autor da chamada tem de ter para chamar cada método da API no Cloud Asset Inventory ou para realizar tarefas através de Google Cloud ferramentas que usam o Cloud Asset Inventory, como a Google Cloud consola ou a CLI gcloud.
As funções do visualizador de recursos do Google Cloud (roles/cloudasset.viewer) e proprietário de recursos do Google Cloud (roles/cloudasset.owner) incluem muitas destas autorizações. Se o autor da chamada tiver recebido uma destas funções e a função de consumidor de utilização de serviços (roles/serviceusage.serviceUsageConsumer), pode já ter as autorizações necessárias para usar o Cloud Asset Inventory.
RPC
| Método |
Autorizações necessárias |
| Todas as APIs |
| Todas as chamadas do Cloud Asset Inventory |
Todas as chamadas do Cloud Asset Inventory requerem a autorização serviceusage.services.use.
|
| APIs de análise |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analisar políticas com funções personalizadas
São necessárias autorizações adicionais para trabalhar com o Google Workspace.
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feeds |
CreateFeed
|
cloudasset.feeds.create
Também precisa de uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
Também precisa de uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs Inventory |
BatchGetAssetsHistory
ExportAssets
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
-
cloudasset.assets.exportAccessPolicy
Quando usar o tipo de conteúdo ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Quando usar o tipo de conteúdo IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Quando usar o tipo de conteúdo ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Quando usar o tipo de conteúdo OS_INVENTORY.
-
cloudasset.assets.exportResource
Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
Limitar o acesso aos recursos
A concessão da autorização
cloudasset.assets.exportResource
a um utilizador permite-lhe exportar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode exportar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização
cloudasset.assets.exportComputeDisks por si só para permitir que um utilizador
exporte apenas o tipo de recurso compute.googleapis.com/Disk.
Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo
não especificados.
Veja a lista de cloudasset.assets.export* autorizações detalhadas.
|
ListAssets
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Quando usar os tipos de conteúdo RELATIONSHIP e RESOURCE.
Limitar o acesso aos recursos
A concessão da autorização
cloudasset.assets.listResource
a um utilizador permite-lhe listar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode listar, pode conceder autorizações para cada tipo de recurso. Por
exemplo, pode conceder a autorização cloudasset.assets.listComputeDisks
por si só para permitir que um utilizador liste apenas o compute.googleapis.com/Disk
tipo de recurso.
Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo
não especificados.
Veja a lista de cloudasset.assets.list* autorizações detalhadas.
|
QueryAssets
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para os tipos de conteúdo RELATIONSHIP e RESOURCE.
|
| APIs de pesquisa |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
Também precisa de
cloudasset.assets.searchEnrichmentResourceOwners
se
pesquisar o enriquecimento do proprietário do recurso.
|
REST
| Método |
Autorizações necessárias |
| Todas as APIs |
| Todas as chamadas do Cloud Asset Inventory |
Todas as chamadas do Cloud Asset Inventory requerem a autorização serviceusage.services.use.
|
| APIs de análise |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analisar políticas com funções personalizadas
São necessárias autorizações adicionais para trabalhar com o Google Workspace.
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feeds |
feeds.create
|
cloudasset.feeds.create
Também precisa de uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
Também precisa de uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs Inventory |
batchGetAssetsHistory
exportAssets
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
-
cloudasset.assets.exportAccessPolicy
Quando usar o tipo de conteúdo ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Quando usar o tipo de conteúdo IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Quando usar o tipo de conteúdo ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Quando usar o tipo de conteúdo OS_INVENTORY.
-
cloudasset.assets.exportResource
Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
Limitar o acesso aos recursos
A concessão da autorização
cloudasset.assets.exportResource
a um utilizador permite-lhe exportar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode exportar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização
cloudasset.assets.exportComputeDisks por si só para permitir que um utilizador
exporte apenas o tipo de recurso compute.googleapis.com/Disk.
Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo
não especificados.
Veja a lista de cloudasset.assets.export* autorizações detalhadas.
|
assets.list
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Quando usar os tipos de conteúdo RELATIONSHIP e RESOURCE.
Limitar o acesso aos recursos
A concessão da autorização
cloudasset.assets.listResource
a um utilizador permite-lhe listar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode listar, pode conceder autorizações para cada tipo de recurso. Por
exemplo, pode conceder a autorização cloudasset.assets.listComputeDisks
por si só para permitir que um utilizador liste apenas o compute.googleapis.com/Disk
tipo de recurso.
Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo
não especificados.
Veja a lista de cloudasset.assets.list* autorizações detalhadas.
|
queryAssets
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para os tipos de conteúdo RELATIONSHIP e RESOURCE.
|
| APIs de pesquisa |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
Também precisa de
cloudasset.assets.searchEnrichmentResourceOwners
se
pesquisar o enriquecimento do proprietário do recurso.
|
gcloud
| Declaração posicional |
Autorizações necessárias |
| Todas as APIs |
| Todas as chamadas do Cloud Asset Inventory |
Todas as chamadas do Cloud Asset Inventory requerem a autorização serviceusage.services.use.
|
| APIs de análise |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analisar políticas com funções personalizadas
São necessárias autorizações adicionais para trabalhar com o Google Workspace.
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
Todas as seguintes autorizações:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feeds |
feeds create
|
cloudasset.feeds.create
Também precisa de uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
Também precisa de uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs Inventory |
export
get-history
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
-
cloudasset.assets.exportAccessPolicy
Quando usar o tipo de conteúdo ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Quando usar o tipo de conteúdo IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Quando usar o tipo de conteúdo ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Quando usar o tipo de conteúdo OS_INVENTORY.
-
cloudasset.assets.exportResource
Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
Limitar o acesso aos recursos
A concessão da autorização
cloudasset.assets.exportResource
a um utilizador permite-lhe exportar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode exportar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização
cloudasset.assets.exportComputeDisks por si só para permitir que um utilizador
exporte apenas o tipo de recurso compute.googleapis.com/Disk.
Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo
não especificados.
Veja a lista de cloudasset.assets.export* autorizações detalhadas.
|
list
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Quando usar os tipos de conteúdo RELATIONSHIP e RESOURCE.
Limitar o acesso aos recursos
A concessão da autorização
cloudasset.assets.listResource
a um utilizador permite-lhe listar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode listar, pode conceder autorizações para cada tipo de recurso. Por
exemplo, pode conceder a autorização cloudasset.assets.listComputeDisks
por si só para permitir que um utilizador liste apenas o compute.googleapis.com/Disk
tipo de recurso.
Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo
não especificados.
Veja a lista de cloudasset.assets.list* autorizações detalhadas.
|
query
|
Uma das seguintes autorizações, consoante o
tipo de conteúdo:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para os tipos de conteúdo RELATIONSHIP e RESOURCE.
|
| APIs de pesquisa |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
Também precisa de
cloudasset.assets.searchEnrichmentResourceOwners
se
pesquisar o enriquecimento do proprietário do recurso.
|
Consola
A Google Cloud consola usa a API SearchAllResources para
pedir dados. Para usar o Cloud Asset Inventory na Google Cloud consola, conceda as seguintes autorizações:
cloudasset.assets.searchAllResources
serviceusage.services.use
VPC Service Controls
Os VPC Service Controls podem ser usados com o Cloud Asset Inventory para oferecer
segurança adicional aos seus recursos. Para saber mais acerca do
VPC Service Controls, consulte a
vista geral do VPC Service Controls.
Para saber mais sobre as limitações da utilização do Cloud Asset Inventory com os VPC Service Controls, consulte os produtos suportados e as limitações.
