Busca políticas de permisos de IAM

La API de Cloud Asset te permite usar un lenguaje de consulta personalizado para buscar Identity and Access Management (IAM) permite las políticas en un proyecto, carpeta o organización.

Antes de comenzar

Busca políticas de permiso

Console

Para buscar todas las políticas de permisos de IAM, completa los siguientes pasos.

  1. Ve a la página Inventario de activos en la consola de Google Cloud.

    Ir al Inventario de recursos

  2. Para establecer el permiso de tu búsqueda, abre el cuadro de lista Proyectos en la barra de menú y, luego, selecciona la organización, la carpeta o el proyecto que deseas consultar.

  3. Selecciona la pestaña Política de IAM.

  4. Para buscar políticas de permiso, puedes usar una consulta predeterminada o crear una propia.

    • Para usar una consulta predeterminada, selecciona las opciones de Ajustes predeterminados de consulta en el panel Filtrar resultados. Para filtrar los resultados, selecciona las opciones de Filtros.

    • Para compilar tu propia consulta, ingresa el texto de la consulta en la barra Filtros. Selecciona el cuadro de texto y, luego, una lista de campos de búsqueda que se puede mostrar. La búsqueda de políticas admite varios campos. Obtén más información sobre la sintaxis de consultas.

Las políticas de permiso que coinciden con la consulta se enumeran en la tabla Result (Resultado).

Para ver la consulta como un comando de Google Cloud CLI, selecciona Ver consulta.

Para exportar los resultados, selecciona Descargar CSV.

gcloud

Puedes llamar SearchAllIamPolicies usando el gcloud asset search-all-iam-policies . Debes ejecutar la versión 302.0.0 de Google Cloud CLI o una más reciente. Puedes verificar tu versión con el comando gcloud version:

gcloud asset search-all-iam-policies \
    --scope=SCOPE \
    --query="QUERY" \
    --asset-types=ASSET_TYPE_1,ASSET_TYPE_2,... \
    --order-by=ORDER_BY

Ingresa los siguientes valores:

  • SCOPE: Obligatorio. Un permiso puede ser un proyecto, una carpeta o una organización. La búsqueda se limita al Políticas de permisos de IAM en este permiso. El llamador debe tener un Rol que contiene el elemento cloudasset.assets.searchAllIamPolicies permiso en el alcance seleccionado. Si no se especifica, el propiedad de proyecto configurada y control sobre el uso de sus datos.

    Los valores permitidos son los siguientes:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Cómo encontrar un número de proyecto de Google Cloud

      Console

      Para encontrar el número de un proyecto de Google Cloud, completa los siguientes pasos:

      1. Ve a la página Panel en la consola de Google Cloud.

        Ir al panel

      2. Haz clic en el cuadro del selector en la barra de menú.
      3. Selecciona tu organización en el cuadro Seleccionar una opción y, luego, busca tu el nombre del proyecto.
      4. Haz clic en el nombre del proyecto para cambiar a ese proyecto. El número de proyecto se muestra Tarjeta Información del proyecto

      gcloud CLI

      Puedes recuperar un número de proyecto de Google Cloud con el siguiente comando:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Cómo encontrar un ID de carpeta de Google Cloud

      Console

      Para encontrar un ID de carpeta de Google Cloud, completa los siguientes pasos:

      1. Ve a la consola de Google Cloud.

        Ir a la consola de Google Cloud

      2. Haz clic en el cuadro del selector en la barra de menú.
      3. Haz clic en el cuadro Seleccionar una opción y, luego, selecciona tu organización.
      4. Busca el nombre de tu carpeta. El ID de la carpeta se muestra junto al nombre de la carpeta.

      gcloud CLI

      Puedes recuperar un ID de carpeta de Google Cloud que se encuentra a nivel de la organización con el siguiente comando:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Donde TOP_LEVEL_FOLDER_NAME puede ser una coincidencia de cadena completa o parcial. Quita el --format para ver más información sobre las carpetas encontradas.

      Para obtener el ID de una carpeta dentro de otra carpeta, enumera las subcarpetas:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Cómo encontrar un ID de organización de Google Cloud

      Console

      Para encontrar un ID de organización de Google Cloud, completa los siguientes pasos:

      1. Ve a la consola de Google Cloud.

        Ir a la consola de Google Cloud

      2. Haz clic en el cuadro de selector en la barra de menú.
      3. Haz clic en el cuadro Seleccionar desde y, luego, selecciona tu organización.
      4. Haz clic en la pestaña Todos. El ID de la organización se muestra junto al nombre de la organización.

      gcloud CLI

      Puedes recuperar el ID de una organización de Google Cloud con el siguiente comando:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • QUERY: Opcional La instrucción de la consulta. Consulta Sintaxis de consultas para obtener más información. Si no se especifica o está vacía, buscará todas las políticas de permisos de IAM en el scope especificado. Ten en cuenta que la cadena de consulta se compara con cada vinculación de política de permiso, incluidos sus principales, roles y las condiciones de IAM. Las políticas de permisos que se muestran solo contienen las vinculaciones que coinciden con tu consulta. Para obtener más información sobre la estructura de políticas de permisos, consulta Comprende las políticas.

    Ejemplos:

    • policy:amy@gmail.com para encontrar vinculaciones de políticas de permisos especifica el usuario "amy@gmail.com".

    • policy:roles/compute.admin para encontrar vinculaciones de políticas de permisos que especifiquen el rol de administrador de Compute.

    • policy:comp* para encontrar vinculaciones de políticas de permisos que contengan “comp” como un prefijo de cualquier palabra de la vinculación.

    • policy.role.permissions:storage.buckets.update para encontrar permite vinculaciones de políticas que especifiquen un rol que contiene "storage.buckets.update" permiso. Ten en cuenta que si el emisor no ha sido se le otorgó un rol que contiene el permiso iam.roles.get en el rol deseado, se descartan las vinculaciones de políticas que especifican este rol los resultados de la búsqueda.

    • policy.role.permissions:upd* para encontrar la política de permisos vinculaciones que especifican un rol que contiene “upd” como prefijo de cualquier palabra en la vinculación. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permiso iam.roles.get en la función deseada, las vinculaciones de políticas de acceso que especifiquen este rol se quitarán de los resultados de la búsqueda.

    • resource:organizations/123456 para encontrar la política de permisos que se establecen en “organizations/123456”.

    • resource=//cloudresourcemanager.googleapis.com/projects/myproject para encontrar vinculaciones de políticas de permisos que se establecen en el proyecto llamado “myproject”.

    • Important para encontrar vinculaciones de políticas de permisos que contengan “Importante” como una palabra en cualquiera de los campos de búsqueda (excepto en permisos incluidos).

    • resource:(instance1 OR instance2) policy:amy para encontrar permitir vinculaciones de políticas que se establezcan en los recursos “instance1” o “instance2” y especificar el usuario "amalia".

    • roles:roles/compute.admin para encontrar vinculaciones de políticas de permisos que especifiquen el rol de administrador de Compute.

    • memberTypes:user para encontrar vinculaciones de políticas de permisos contienen la palabra "user" tipo principal.

  • ASSET_TYPE: Opcional Una lista de los tipos de recursos que están adjuntas las políticas de permisos de Identity and Access Management. Si está vacío, buscará las políticas de permisos de Identity and Access Management que se adjuntan a todos los tipos de recursos que se pueden buscar. Las expresiones regulares son no es compatible. Si la expresión regular no coincide con ningún tipo de activo compatible, se muestra un error INVALID_ARGUMENT.

  • ORDER_BY: Opcional Una lista separada por comas de campos que especifiquen el orden de clasificación de los resultados. El orden predeterminado es ascendente. Agrega DESC después del nombre del campo para indicar el orden descendente. Se ignoran los caracteres de espacio redundantes. Ejemplo: "assetType DESC, resource". Solo se pueden ordenar los campos primitivos singulares en la respuesta:

    • resource

    • assetType

    • project

    Todos los demás campos, como los campos repetidos (por ejemplo, folders) y los campos no primitivos (por ejemplo, policy) no son compatibles.

Los siguientes son comandos de gcloud de ejemplo:

  • Busca todas las vinculaciones de políticas de permiso de IAM en tu organizations/123456. que contengan el dominio mycompany.com:

    gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query="policy:\"domain:mycompany.com\""

  • Busca todas las vinculaciones de políticas de IAM de permiso en tu organizations/123456 en la que se le otorgó la función básica de propietario (roles/owner) a myuser@mycompany.com:

    gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query="policy:(roles/owner myuser@mycompany.com)"

  • Busca todas las vinculaciones de políticas de permiso de IAM en tu organizations/123456. configurados en projects/12345678:

    gcloud asset search-all-iam-policies \
    --scope=organizations/123456 \
    --query="resource:projects/12345678"

REST

Puedes llamar a SearchAllIamPolicies con un token de OAuth válido para un proyecto. Para llamar al método SearchAllIamPolicies desde Cloud Shell o cualquier consola en la que esté disponible el comando gcloud:

  1. Si no configuraste la pantalla de consentimiento de OAuth de tu proyecto, debes hacerlo. Se requiere una dirección de correo electrónico y un nombre del producto para la pantalla de consentimiento de OAuth.

    1. Ve a la pantalla de consentimiento de OAuth de tu proyecto.

      Configura la pantalla de consentimiento

    2. Ingresa el Nombre de la aplicación que deseas mostrar.

    3. En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. Debe ser tu dirección de correo electrónico o una Grupo de Google de tu propiedad.

    4. Agrega otro tipo de información opcional que desees mostrar.

    5. Haz clic en Guardar.

  2. Crea un token de OAuth para tu proyecto. Consulta Configura OAuth 2.0. para obtener más información.

    1. Ve a la página Crear ID de cliente de OAuth.

      Crear cliente de OAuth

    2. Selecciona App de escritorio como el Tipo de aplicación.

    3. Haga clic en Crear.

  3. Descarga el archivo client_secret.json.

    1. Ve a la página Credenciales.

    2. A la derecha de tu nuevo ID de cliente, haz clic en Descarga JSON.

    3. Almacena el archivo de forma segura en una ubicación a la que solo pueda acceder tu app.

  4. Accede mediante el archivo JSON son el siguiente comando.

    gcloud auth application-default login --client-id-file=YOUR_JSON_FILE

    Este comando te solicita abrir un vínculo. Asegúrate de que la página muestre el Nombre de la aplicación que estableciste en la pantalla de consentimiento de OAuth.

  5. Ahora puedes consultar las políticas de permisos de IAM con los comandos de curl.

    curl -X POST \
     -H "X-HTTP-Method-Override: GET" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetTypes": [
            "ASSET_TYPE_1",
            "ASSET_TYPE_2",
            "..."
          ],
          "orderBy": "ORDER_BY",
          "pageSize": PAGE_SIZE,
          "query": "QUERY"
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies

    Proporciona los siguientes detalles:

    • ASSET_TYPE: Opcional Una lista de los tipos de recursos a las que están adjuntas las políticas de permiso de Identity and Access Management. Si está vacía, busca con las políticas de Identity and Access Management de recursos que se pueden buscar. Se admiten expresiones regulares. Si la expresión regular no coincide con ninguna tipo de recurso, se muestra un error INVALID_ARGUMENT.

    • ORDER_BY: Opcional Una lista separada por comas de campos que especifican el orden de clasificación de los resultados. Predeterminado orden ascendente. Agrega DESC después del nombre del campo para indicar orden descendente. Se ignoran los caracteres de espacio redundantes. Ejemplo: "assetType DESC, resource". Solo se pueden ordenar los campos primitivos singulares en la respuesta:

      • resource

      • assetType

      • project

      Todos los demás campos, como los campos repetidos (por ejemplo, folders) y no primitivos (por ejemplo, policy).

    • PAGE_SIZE: Opcional El número de resultados a devolver por página. La cantidad máxima es 2000. Si el valor se establece en 0 o en una un valor negativo, se selecciona un valor predeterminado adecuado. Se muestra un nextPageToken para recuperar los resultados posteriores.

    • QUERY: Opcional La sentencia de consulta. Consulta Sintaxis de consultas para obtener más información información. Si no se especifica o está vacía, busca en todos los Políticas de permisos de IAM en el scope especificado. Ten en cuenta que la cadena de consulta se compara con cada vinculación de política de permisos, incluidos sus principales, roles y condiciones de IAM. Las políticas de permisos que se muestran solo contienen el vinculaciones que coincidan con tu consulta. Para obtener más información sobre el Estructura de políticas de permisos, consulta Información sobre las políticas de permisos.

      Ejemplos:

      • policy:amy@gmail.com para encontrar vinculaciones de políticas de permisos que especifiquen el usuario "amy@gmail.com".

      • policy:roles/compute.admin para encontrar vinculaciones de políticas de permisos que especifiquen el rol de administrador de Compute.

      • policy:comp* para encontrar vinculaciones de políticas de permisos contienen “comp” como prefijo de cualquier palabra de la vinculación.

      • policy.role.permissions:storage.buckets.update para encontrar permite vinculaciones de políticas que especifiquen un rol que contiene el archivo “storage.buckets.update” permiso. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permiso iam.roles.get en la función deseada, las vinculaciones de políticas de acceso que especifiquen esta función se quitarán de los resultados de la búsqueda.

      • policy.role.permissions:upd* para encontrar vinculaciones de políticas de permisos que especifiquen un rol que contenga “upd” como un prefijo de cualquier palabra en el permiso del rol. Ten en cuenta que si el emisor no ha sido se le otorgó un rol que contiene el permiso iam.roles.get en el rol deseado, se descartan las vinculaciones de políticas que especifican este rol de los resultados de la búsqueda.

      • resource:organizations/123456 para encontrar la política de permisos que se establecen en “organizations/123456”.

      • resource=//cloudresourcemanager.googleapis.com/projects/myproject para encontrar vinculaciones de políticas de permisos llamado “myproject”.

      • Important para encontrar vinculaciones de políticas de permisos que contengan “Importante” como una palabra en cualquiera de los campos de búsqueda (excepto en los permisos incluidos).

      • resource:(instance1 OR instance2) policy:amy para encontrar vinculaciones de políticas de permiso que se establecen en los recursos “instance1” o “instance2” y también especificar el usuario “amy”.

      • roles:roles/compute.admin para encontrar la política de permisos vinculaciones que especifiquen el rol de administrador de Compute.

      • memberTypes:user para encontrar vinculaciones de políticas de permisos contienen la palabra "user" tipo principal.

    • SCOPE: Un permiso puede ser un proyecto, una carpeta o en una organización. La búsqueda se limita a la IAM de permisos en este permiso. Se le debe otorgar al emisor un rol que contenga el permiso cloudasset.assets.searchAllIamPolicies en el alcance seleccionado. Si no se especifica, se usa la propiedad del proyecto configurado.

      Los valores permitidos son los siguientes:

      • projects/PROJECT_ID

      • projects/PROJECT_NUMBER

        Cómo encontrar un número de proyecto de Google Cloud

        Console

        Para encontrar el número de un proyecto de Google Cloud, completa los siguientes pasos:

        1. Ve a la página Panel en la consola de Google Cloud.

          Ir al panel

        2. Haz clic en el cuadro de selector en la barra de menú.
        3. Selecciona tu organización en el cuadro Seleccionar una opción y, luego, busca tu el nombre del proyecto.
        4. Haz clic en el nombre del proyecto para cambiar a ese proyecto. El número de proyecto se muestra Tarjeta Información del proyecto

        gcloud CLI

        Puedes recuperar un número de proyecto de Google Cloud con el siguiente comando:

        gcloud projects describe PROJECT_ID --format="value(projectNumber)"

      • folders/FOLDER_ID

        Cómo encontrar un ID de carpeta de Google Cloud

        Console

        Para encontrar un ID de carpeta de Google Cloud, completa los siguientes pasos:

        1. Ve a la consola de Google Cloud.

          Ve a la consola de Google Cloud

        2. Haz clic en el cuadro de selector en la barra de menú.
        3. Haz clic en el cuadro Seleccionar una opción y, luego, selecciona tu organización.
        4. Busca el nombre de tu carpeta. El ID de la carpeta se muestra junto al nombre de la carpeta.

        gcloud CLI

        Puedes recuperar un ID de carpeta de Google Cloud que se encuentra a nivel de la organización con el siguiente comando:

        gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

        Donde TOP_LEVEL_FOLDER_NAME puede ser una coincidencia de cadena completa o parcial. Quita el --format para ver más información sobre las carpetas encontradas.

        Para obtener el ID de una carpeta dentro de otra carpeta, enumera las subcarpetas:

        gcloud resource-manager folders list --folder=FOLDER_ID

      • organizations/ORGANIZATION_ID

        Cómo encontrar un ID de organización de Google Cloud

        Console

        Para encontrar un ID de organización de Google Cloud, completa los siguientes pasos:

        1. Ve a la consola de Google Cloud.

          Ir a la consola de Google Cloud

        2. Haz clic en el cuadro de selector en la barra de menú.
        3. Haz clic en el cuadro Seleccionar desde y, luego, selecciona tu organización.
        4. Haz clic en la pestaña Todos. El ID de la organización se muestra junto al nombre de la organización.

        gcloud CLI

        Puedes recuperar el ID de una organización de Google Cloud con el siguiente comando:

        gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Referencia de la API y biblioteca cliente

Construye una consulta

Revisa Sintaxis de consultas para obtener más información sobre el lenguaje de consulta.

Consulta Busca muestras de políticas de permiso de IAM. para obtener más información sobre las consultas de muestra para varios casos de uso reales.

Consultar las políticas de permisos de IAM mediante la vinculación de información

Para buscar políticas de permisos de IAM, una expresión de consulta se encuentra en el siguiente formato:

policy:QUERY

También puedes buscar tipos o funciones principales de forma exclusiva con los siguientes formatos:

  • Concordancia exacta:

    • memberTypes=QUERY

    • roles=QUERY

  • Coincidencia parcial:

    • memberTypes:QUERY

    • roles:QUERY

Principal

Compatibilidad con vinculaciones de políticas de permiso de IAM cinco tipos de principales:

  1. Cuentas de Google, como user:user@gmail.com

  2. Grupos de Google, como group:devs@googlegroups.com

  3. Dominios de Cloud Identity y G Suite, como domain:google.com

  4. Cuentas de servicio, como serviceAccount:my-other-app@appspot.gserviceaccount.com

  5. Identificadores especiales, como allUsers y allAuthenticatedUsers

Puedes limitar tu consulta para permitir políticas relacionadas con un usuario específico usando el siguiente sintaxis:

policy:"user:amy@mycompany.com"

Ten en cuenta que user:amy@mycompany.com debe estar entre comillas dobles, ya que contiene el carácter especial :. Puedes omitir el prefijo user: o group: en una cadena de consulta, si el valor de la consulta es lo suficientemente único o si deseas buscar la dirección de correo electrónico sin importar el tipo de principal. Por ejemplo, es probable que la siguiente consulta solo coincida con un usuario:

policy:amy@mycompany.com

También puedes limitar tu consulta a las políticas relacionadas con un tipo principal específico mediante la siguiente sintaxis:

policy:user
memberTypes:user
memberTypes=user

Es posible que policy:user coincida con un tipo de principal diferente. Por ejemplo: group:test-user@mycompany.com. Usa memberTypes para limitar la búsqueda a tipos de principales específicos.

Ejemplos: Consulta por principal

  • Busca todas las vinculaciones de políticas de permiso de IAM que especifiquen el usuario Amy:

    policy:amy

  • Buscar todas las vinculaciones de políticas de permiso de IAM que especifiquen el dominio mydomain.com:

    policy:mydomain.com

  • Busca todas las vinculaciones de políticas de permisos de IAM que especifiquen el usuario Amy y John:

    policy:(amy john)

  • Busca todas las vinculaciones de políticas de permiso de IAM que especifiquen el usuario Amy o John:

    policy:(amy OR john)

  • Buscar todas las vinculaciones de políticas de permisos de IAM en tu organización que contengan amy@mycompany.com:

    policy:amy@mycompany.com

  • Buscar todas las vinculaciones de políticas de permisos de IAM en tu organización que contengan el dominio mycompany.com:

    policy:"domain:mycompany.com"

  • Busca todas las vinculaciones de políticas de permisos de IAM que asignan roles al Cuenta de servicio mycompany.gserviceaccount.com:

    policy:"serviceAccount:mycompany.gserviceaccount.com"

  • Busca todas las vinculaciones de políticas de permisos de IAM que asignan roles a admins grupo:

    policy:"group:admins"

  • Busca todas las vinculaciones de políticas de permisos de IAM que asignan funciones a todos los usuarios:

    memberTypes:allUsers

  • Buscar todas las vinculaciones de políticas de permisos de IAM que asignan roles a todos usuarios autenticados:

    memberTypes:allAuthenticatedUsers

  • Buscar todas las vinculaciones de políticas de permisos de IAM que asignan roles a amy@mycompany.com o al dominio mycompany.com:

    policy:(amy@mycompany.com OR "domain:mycompany.com")

Rol

Las vinculaciones de políticas de IAM admiten diferentes tipos de roles. Todos los nombres de los roles de IAM comienzan con el prefijo roles/.

  1. Roles básicos: Existen tres roles que existían antes de la introducción a IAM: propietario (roles/owner), editor (roles/editor) y Visualizador (roles/viewer).

  2. Roles predefinidos: IAM proporciona roles predefinidos roles que otorgan acceso detallado a diferentes recursos. Consulta todas las roles predefinidos.

  3. Funciones personalizadas: Funciones de IAM definidas por el usuario que contienen una lista seleccionada de permisos.

Puedes limitar tu consulta para permitir políticas relacionadas con un rol específico con el siguiente sintaxis:

policy:roles/role-name
roles:roles/role-name
roles=roles/role-name

Ten en cuenta que puedes omitir el prefijo roles/ en una string de consulta si el valor de la consulta es lo suficientemente único. Por ejemplo, es probable que la siguiente consulta solo coincida con el rol roles/cloudasset.owner:

policy:cloudasset.owner
roles:cloudasset.owner

Es posible que policy:cloudasset.owner tenga una función diferente. Por ejemplo, cuando se otorga un rol al principal user:cloudasset.owner@mycompany.com. Usa roles para limitar la búsqueda a las funciones.

Ejemplos: Consulta por función

  • Busca todas las vinculaciones de políticas de permisos de IAM que especifiquen la función owner.

    policy:roles/owner
roles:roles/owner
roles=roles/owner

  • Buscar todas las vinculaciones de políticas de permisos de IAM que asignan amy@mycompany.com el rol de propietario:

    policy:(roles/owner amy@mycompany.com)

  • Busca todas las vinculaciones de políticas de permisos de IAM que asignan el compute.admin. para las principales cuyas direcciones de correo electrónico contengan la palabra john:

    policy:(roles/compute.admin john)

  • Busca todas las vinculaciones de políticas de permisos de IAM que otorguen el rol viewer a usuarios que tienen palabras clave o "sde" como prefijo.

    policy:(roles/viewer (swe* OR sde*))

Condiciones de IAM

Las vinculaciones de políticas de permisos de IAM pueden contener un objeto condition, que te permite definir y aplicar el control de acceso condicional basado en atributos para recursos de Google Cloud. Consulta la Descripción general de las condiciones de IAM. para obtener más información.

Para limitar tu consulta y permitir políticas relacionadas con una condición específica, usa la siguiente sintaxis:

policy:condition_information
Ejemplos: Consulta por condición

  • Busca todas las vinculaciones de políticas de permisos de IAM que especifiquen una condición, El título o la descripción contienen la palabra “myCondition”:

    policy:myCondition

  • Busca todas las vinculaciones de políticas de permisos de IAM que especifiquen una condición, contiene el atributo "request.time":

    policy:"request.time"

Consulta las políticas de permisos de IAM según los permisos incluidos

Los roles de una política de permisos pueden incluir una lista de permisos. Consulta Referencia de permisos de IAM para más detalles. Puedes limitar tu consulta para permitir políticas que contengan un permiso. Una expresión de consulta tiene los siguientes formatos:

  • Concordancia exacta: policy.role.permissions=QUERY
  • Coincidencia parcial: policy.role.permissions:QUERY
Ejemplos: Consulta por permisos

  • Busca todas las vinculaciones de políticas de permisos de IAM que contengan el permiso compute.instances.create:

    policy.role.permissions:compute.instances.create
policy.role.permissions=compute.instances.create

  • Busca todas las vinculaciones de políticas de permisos de IAM que contengan el Permisos relacionados con compute.instances:

    policy.role.permissions:compute.instances

  • Buscar todas las vinculaciones de políticas de permisos de IAM que contengan permisos cloudasset.assets.export... (por ejemplo, cloudasset.assets.exportAssets y cloudasset.assets.exportIamPolicyAnalysis):

    policy.role.permissions:cloudasset.assets.export*

  • Busca todas las vinculaciones de políticas de permisos de IAM que otorguen a alguien permisos para cambiar las políticas de permisos de IAM:

    policy.role.permissions:setIamPolicy

  • Busca todas las vinculaciones de políticas de permisos de IAM con un rol que contenga ambos Permisos compute.instances.create y compute.disks.create:

    policy.role.permissions:(compute.instances.create compute.disks.create)

  • Busca todas las vinculaciones de políticas de permisos de IAM que contengan el compute.instances.create y especifica el usuario amy:

    policy.role.permissions:compute.instances.create policy:amy
policy.role.permissions=compute.instances.create policy:amy

Consulta políticas de permisos de IAM por recurso asociado

Cuando realizas una búsqueda, puedes especificar un nombre de recurso completo. para buscar solo las políticas de permisos que se establecen directamente en el recurso. También puedes especificar un proyecto, una carpeta o una organización para buscar solo las políticas de permiso que se establecen en los recursos ubicados en el proyecto, la carpeta o la organización determinados. R la expresión de consulta está en los siguientes formatos:

  • Concordancia exacta:

    • resource=QUERY

    • project=QUERY

    • folders=QUERY

    • organization=QUERY

  • Coincidencia parcial:

    • resource:QUERY

    • project:QUERY

    • folders:QUERY

    • organization:QUERY

Ejemplos: Consulta por recurso asociado

  • Busca todas las vinculaciones de políticas de permisos de IAM que se establecen directamente en un recurso cuyo nombre de recurso completo es exactamente igual a //cloudresourcemanager.googleapis.com/projects/myproject:

    resource=//cloudresourcemanager.googleapis.com/projects/myproject

  • Busca todas las vinculaciones de políticas de permisos de IAM que se configuran directamente en los recursos cuyo nombre de recurso completo contenga la palabra myproject:

    resource:myproject

  • Busca todas las vinculaciones de políticas de permisos de IAM que se configuran directamente en los recursos cuyo nombre de recurso completo contiene una palabra con prefijo myproj:

    resource:myproj*

  • Busca todas las vinculaciones de políticas de permisos de IAM que se configuran directamente en los recursos de un tipo de servicio determinado:

    resource:cloudresourcemanager

  • Busca todas las vinculaciones de políticas de permiso de IAM que se establecieron en myproject o myfolder:

    resource:(myproject OR myfolder)

  • Buscar todas las vinculaciones de políticas de permisos de IAM que se establecieron en cloudresourcemanager de recursos y asigna el rol de propietario a gmail.com usuarios:

    resource:cloudresourcemanager policy:(roles/owner gmail.com)

  • Busca todas las vinculaciones de políticas de permisos de IAM que se establecieron en recursos cuyo project tiene el número 123:

    project:123

  • Busca todas las vinculaciones de políticas de permisos de IAM que se establecieron en los recursos contenido en folder con el número 123:

    folders:123

  • Busca todas las vinculaciones de políticas de permisos de IAM que se establecieron en recursos cuyo organization tiene el número 123:

    organization:123

Consulta las políticas de permisos de IAM por texto libre

También puedes usar una consulta de texto libre sin especificar un campo. La respuesta de muestra políticas de permiso siempre que haya un campo que se pueda buscar (por ejemplo, permitir política campos de vinculación o de recursos) que coincidan con la consulta.

Ejemplos: Consulta por texto libre

  • Busca todas las vinculaciones de políticas de IAM que permitan en tu scope cuyos campos de metadatos (por ejemplo, vinculaciones de políticas de permisos o campos de recursos) contengan Important como una palabra:

    Important

  • Busca todas las vinculaciones de políticas de IAM de permiso en tu scope cuyos campos de metadatos (por ejemplo, vinculaciones de políticas de permiso o campos de recursos) contengan import como un prefijo de cualquier palabra:

    import*