Esta página contém exemplos de consultas para várias políticas de permissão do IAM
casos de uso de pesquisa. Alguns exemplos nesta página usam comandos como grep
e sed, que estão disponíveis no Cloud Shell e em sistemas operacionais
sistemas.
Listar políticas de permissão do IAM e formatar a saída
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--flatten="policy.bindings[].members[]" \
--format="table(resource, policy.bindings.role, policy.bindings.members)"
Forneça os valores a seguir:
SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel de controle no console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Outras sinalizações:
É possível adicionar
--querypara receber resultados de pesquisa de recursos mais específicos.Adicione
--asset-typespara receber tipos mais específicos de recursos.É possível remover
--flattene--formatse você não quiser formatar o resultados.É possível usar
csvem vez detablepara gerar os resultados no formato CSV.Você pode adicionar
--limitpara receber apenas um subconjunto dos resultados da pesquisa. Sem essa sinalização, o Inventário de recursos do Cloud pagina automaticamente todas as pesquisas resultados.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"pageSize": PAGE_SIZE
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID de organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Outros parâmetros:
Você pode adicionar uma chave
queryao corpo para fazer uma pesquisa de recursos mais específica resultados.É possível adicionar uma chave
assetTypesao corpo para receber tipos mais específicos de do Google Cloud.
Liste os recursos que têm políticas de permissão do IAM com "exemplo" no nome da política
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="resource:example"
Forneça os valores a seguir:
SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel de controle no console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"query": "resource:example"
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Forneça os valores a seguir:
SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Liste as políticas de permissão do IAM que estão definidas nos recursos do projeto, da pasta ou da organização na sua organização
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--asset-types=cloudresourcemanager.*
Forneça os valores a seguir:
ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
É possível mudar a flag --asset-types para
cloudresourcemanager.googleapis.com/Project para definir o escopo da pesquisa para
apenas recursos do projeto ou cloudresourcemanager.googleapis.com/Folder para
recursos de pastas.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.*"
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies
Forneça os valores a seguir:
ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID de organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
É possível alterar o valor assetTypes para
cloudresourcemanager.googleapis.com/Project para definir o escopo da pesquisa apenas
recursos do projeto, ou cloudresourcemanager.googleapis.com/Folder para
recursos da pasta.
Listar os leitores de um projeto, pasta ou organização
Esta chamada retorna os leitores das políticas de permissão do IAM são definidos diretamente no projeto, mas não se estendem à pesquisa das políticas de permissão. herdadas dos recursos pai do projeto.
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="roles:roles/viewer" \
--asset-types=cloudresourcemanager.* \
--flatten="policy.bindings[].members[]" \
--format="table(policy.bindings.members)"
Forneça os valores a seguir:
SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.*",
"pageSize": PAGE_SIZE,
"query": "roles:roles/viewer"
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Listar projetos em que um usuário tem o papel de proprietário
Esta chamada retorna os projetos com políticas de permissão do IAM diretas especificar o usuário e a função de proprietário, mas não se estende à pesquisa da função de permissão de políticas herdadas das políticas do projeto recursos pai.
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="policy:(roles/owner USER_EMAIL_ADDRESS)" \
--asset-types=cloudresourcemanager.googleapis.com/Project \
--format="table(resource)"
Forneça os valores a seguir:
SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
USER_EMAIL_ADDRESS: o endereço de e-mail do do Google Cloud que você está procurando.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.googleapis.com/Project",
"pageSize": PAGE_SIZE,
"query": "policy:(roles/owner USER_EMAIL_ADDRESS)"
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a retorno por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené retornado para recuperar resultados subsequentes.USER_EMAIL_ADDRESS: o endereço de e-mail do do Google Cloud que você está procurando.SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID de organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Listar os papéis de um usuário em um projeto
Essa chamada retorna os papéis das políticas de permissão do IAM diretamente definido no projeto, mas não se estende à pesquisa das políticas de permissão herdadas dos recursos pai do projeto.
gcloud
gcloud asset search-all-iam-policies \
--scope=projects/PROJECT_ID \
--query="policy:USER_EMAIL_ADDRESS" \
--asset-types=cloudresourcemanager.googleapis.com/Project \
--flatten="policy.bindings[]" \
--format="table(policy.bindings.role)"
Forneça os valores a seguir:
PROJECT_ID: o ID do projeto que o usuário tem acesso.USER_EMAIL_ADDRESS: o endereço de e-mail do usuário cujos papéis você está consultando.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.googleapis.com/Project",
"pageSize": PAGE_SIZE,
"query": "policy:USER_EMAIL_ADDRESS"
}' \
https://cloudasset.googleapis.com/v1/projects/PROJECT_ID:searchAllIamPolicies
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.USER_EMAIL_ADDRESS: o endereço de e-mail do usuário cujos papéis você está consultando.PROJECT_ID: o ID do projeto a que o usuário tem acesso.
Listar permissões que um usuário tem em um projeto
Essa chamada retorna as permissões do usuário recebidas do IAM permitir políticas definidas diretamente no projeto, mas não se estende à pesquisa do permitir políticas herdadas dos recursos pai do projeto.
gcloud
gcloud asset search-all-iam-policies \
--scope=projects/PROJECT_ID \
--query="policy:USER_EMAIL_ADDRESS policy.role.permissions:\"\"" \
--asset-types=cloudresourcemanager.* \
--format="default(explanation.matchedPermissions)"
Forneça os valores a seguir:
PROJECT_ID: o ID do projeto que o usuário tem acesso.USER_EMAIL_ADDRESS: o endereço de e-mail do usuário cujas permissões você está consultando.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.*",
"pageSize": PAGE_SIZE,
"query": "policy:USER_EMAIL_ADDRESS policy.role.permissions:\"\""
}' \
https://cloudasset.googleapis.com/v1/projects/PROJECT_ID:searchAllIamPolicies
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.USER_EMAIL_ADDRESS: o endereço de e-mail do usuário quais permissões você está consultando.PROJECT_ID: o ID do projeto que o usuário tem acesso.
Listar usuários que podem acessar um bucket do Cloud Storage
gcloud
gcloud asset search-all-iam-policies \
--scope=projects/PROJECT_ID \
--query="policy.role.permissions:storage.buckets" \
--asset-types=cloudresourcemanager.* \
--flatten="policy.bindings[].members[]" \
--format="table(policy.bindings.members)"
Forneça os valores a seguir:
PROJECT_ID: o ID do projeto que o usuário tem acesso.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": "cloudresourcemanager.*",
"pageSize": PAGE_SIZE,
"query": "policy.role.permissions:storage.buckets"
}' \
https://cloudasset.googleapis.com/v1/projects/PROJECT_ID:searchAllIamPolicies
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a retorno por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.PROJECT_ID: o ID do projeto que o usuário tem acesso.
Liste as contas de serviço que têm papel de proprietário para detectar configurações arriscadas da política de permissão.
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--query="policy:(roles/owner serviceAccount)" \
--flatten="policy.bindings[].members[]" \
--format="table(resource.segment(3):label=RESOURCE_TYPE, resource.basename():label=RESOURCE, policy.bindings.members)" |
grep serviceAccount
Forneça os valores a seguir:
ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "policy:(roles/owner serviceAccount)"
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies |
sed 's/^\s*//' | grep serviceAccount
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID de organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Listar os recursos que podem ser acessados pelos usuários do Gmail
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--query="policy:gmail.com" \
--flatten="policy.bindings[].members[]" \
--format="csv(resource, policy.bindings.role, policy.bindings.members)" |
grep @gmail.com
Forneça os valores a seguir:
ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "policy:gmail.com"
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies |
sed 's/^\s*//' | grep @gmail.com
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Listar recursos que têm papéis concedidos ao domínio inteiro
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--query="policy:\"domain:DOMAIN_NAME\"" \
--flatten="policy.bindings[]" \
--format="table(resource, policy.bindings.role)"
Forneça os valores a seguir:
ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
DOMAIN_NAME: o nome de domínio associado à organização.
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "policy:\"domain:DOMAIN_NAME\""
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.DOMAIN_NAME: o nome de domínio associado à organização.ORGANIZATION_ID: o ID da organização para a qual você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Listar recursos com papéis concedidos ao público
gcloud
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="memberTypes:(allUsers OR allAuthenticatedUsers)" \
--format="table(resource)"
Forneça os valores a seguir:
SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "memberTypes:(allUsers OR allAuthenticatedUsers)"
}' \
https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies |
sed 's/^\s*//' | grep \"resource\":
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.SCOPE: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_IDprojects/PROJECT_NUMBERComo encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel de controle no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha sua organização na caixa Selecionar de e pesquise as nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_IDComo encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Pesquise o nome da sua pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova o A opção
--formatpara mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_IDComo encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Listar usuários/grupos que podem alterar as políticas de permissão do IAM em um projeto, pasta ou organização
gcloud
gcloud asset search-all-iam-policies \
--scope=organizations/ORGANIZATION_ID \
--query="policy.role.permissions:(resourcemanager.organizations.setIamPolicy OR resourcemanager.folders.setIamPolicy OR resourcemanager.projects.setIamPolicy)" \
--format="json(resource, policy.bindings, explanation.matchedPermissions)"
Forneça os valores a seguir:
ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
REST
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-s \
-d '{
"pageSize": PAGE_SIZE,
"query": "policy.role.permissions:(resourcemanager.organizations.setIamPolicy OR resourcemanager.folders.setIamPolicy OR resourcemanager.projects.setIamPolicy)"
}' \
https://cloudasset.googleapis.com/v1/organizations/ORGANIZATION_ID:searchAllIamPolicies
Forneça os valores a seguir:
PAGE_SIZE: opcional. O número de resultados a serem retornados por página. O valor máximo é 2000. Se o valor for definido como0ou uma negativo, um padrão apropriado será selecionado. UmnextPageTokené para recuperar resultados subsequentes.ORGANIZATION_ID: o ID da organização você está listando as políticas de permissão.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-