La API de Cloud Asset te permite usar un lenguaje de consulta personalizado para buscar Identity and Access Management (IAM) permite las políticas en un proyecto, carpeta o organización.
Antes de comenzar
Habilita la API de Cloud DLP para el proyecto.
Asegúrate de que se le haya otorgado una función que contenga el permiso
cloudasset.assets.searchAllIamPolicies
al emisor. Consulta el tema control de acceso para obtener más información.
Busca políticas de permiso
Console
Para buscar todas las políticas de permisos de IAM, completa los siguientes pasos.
Ve a la página Inventario de activos en la consola de Google Cloud.
Para establecer el permiso de tu búsqueda, abre el cuadro de lista Proyectos en la barra de menú y, luego, selecciona la organización, la carpeta o el proyecto que deseas consultar.
Selecciona la pestaña Política de IAM.
Para buscar políticas de permiso, puedes usar una consulta predeterminada o crear una propia.
Para usar una consulta predeterminada, selecciona las opciones de Ajustes predeterminados de consulta en el panel Filtrar resultados. Para filtrar los resultados, selecciona las opciones de Filtros.
Para compilar tu propia consulta, ingresa el texto de la consulta en la barra Filtros. Selecciona el cuadro de texto y, luego, una lista de campos de búsqueda que se puede mostrar. La búsqueda de políticas admite varios campos. Obtén más información sobre la sintaxis de consultas.
Las políticas de permiso que coinciden con la consulta se enumeran en la tabla Result (Resultado).
Para ver la consulta como un comando de Google Cloud CLI, selecciona Ver consulta.
Para exportar los resultados, selecciona Descargar CSV.
gcloud
Puedes llamar
SearchAllIamPolicies
usando el gcloud asset search-all-iam-policies
. Debes ejecutar la versión 302.0.0 de Google Cloud CLI o una más reciente. Puedes verificar tu versión con el comando gcloud version
:
gcloud asset search-all-iam-policies \
--scope=SCOPE \
--query="QUERY" \
--asset-types=ASSET_TYPE_1,ASSET_TYPE_2,... \
--order-by=ORDER_BY
Ingresa los siguientes valores:
SCOPE
: Obligatorio. Un permiso puede ser un proyecto, una carpeta o una organización. La búsqueda se limita al Políticas de permisos de IAM en este permiso. El llamador debe tener un Rol que contiene el elementocloudasset.assets.searchAllIamPolicies
permiso en el alcance seleccionado. Si no se especifica, el propiedad de proyecto configurada y control sobre el uso de sus datos.Los valores permitidos son los siguientes:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Cómo encontrar un número de proyecto de Google Cloud
Console
Para encontrar el número de un proyecto de Google Cloud, completa los siguientes pasos:
-
Ve a la página Panel en la consola de Google Cloud.
- Haz clic en el cuadro del selector en la barra de menú.
- Selecciona tu organización en el cuadro Seleccionar una opción y, luego, busca tu el nombre del proyecto.
- Haz clic en el nombre del proyecto para cambiar a ese proyecto. El número de proyecto se muestra Tarjeta Información del proyecto
gcloud CLI
Puedes recuperar un número de proyecto de Google Cloud con el siguiente comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Cómo encontrar un ID de carpeta de Google Cloud
Console
Para encontrar un ID de carpeta de Google Cloud, completa los siguientes pasos:
-
Ve a la consola de Google Cloud.
- Haz clic en el cuadro del selector en la barra de menú.
- Haz clic en el cuadro Seleccionar una opción y, luego, selecciona tu organización.
- Busca el nombre de tu carpeta. El ID de la carpeta se muestra junto al nombre de la carpeta.
gcloud CLI
Puedes recuperar un ID de carpeta de Google Cloud que se encuentra a nivel de la organización con el siguiente comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Donde TOP_LEVEL_FOLDER_NAME puede ser una coincidencia de cadena completa o parcial. Quita el
--format
para ver más información sobre las carpetas encontradas.Para obtener el ID de una carpeta dentro de otra carpeta, enumera las subcarpetas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Cómo encontrar un ID de organización de Google Cloud
Console
Para encontrar un ID de organización de Google Cloud, completa los siguientes pasos:
-
Ve a la consola de Google Cloud.
- Haz clic en el cuadro de selector en la barra de menú.
- Haz clic en el cuadro Seleccionar desde y, luego, selecciona tu organización.
- Haz clic en la pestaña Todos. El ID de la organización se muestra junto al nombre de la organización.
gcloud CLI
Puedes recuperar el ID de una organización de Google Cloud con el siguiente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
QUERY
: Opcional La instrucción de la consulta. Consulta Sintaxis de consultas para obtener más información. Si no se especifica o está vacía, buscará todas las políticas de permisos de IAM en elscope
especificado. Ten en cuenta que la cadena de consulta se compara con cada vinculación de política de permiso, incluidos sus principales, roles y las condiciones de IAM. Las políticas de permisos que se muestran solo contienen las vinculaciones que coinciden con tu consulta. Para obtener más información sobre la estructura de políticas de permisos, consulta Comprende las políticas.Ejemplos:
policy:amy@gmail.com
para encontrar vinculaciones de políticas de permisos especifica el usuario "amy@gmail.com".policy:roles/compute.admin
para encontrar vinculaciones de políticas de permisos que especifiquen el rol de administrador de Compute.policy:comp*
para encontrar vinculaciones de políticas de permisos que contengan “comp” como un prefijo de cualquier palabra de la vinculación.policy.role.permissions:storage.buckets.update
para encontrar permite vinculaciones de políticas que especifiquen un rol que contiene "storage.buckets.update" permiso. Ten en cuenta que si el emisor no ha sido se le otorgó un rol que contiene el permisoiam.roles.get
en el rol deseado, se descartan las vinculaciones de políticas que especifican este rol los resultados de la búsqueda.policy.role.permissions:upd*
para encontrar la política de permisos vinculaciones que especifican un rol que contiene “upd” como prefijo de cualquier palabra en la vinculación. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permisoiam.roles.get
en la función deseada, las vinculaciones de políticas de acceso que especifiquen este rol se quitarán de los resultados de la búsqueda.resource:organizations/123456
para encontrar la política de permisos que se establecen en “organizations/123456”.resource=//cloudresourcemanager.googleapis.com/projects/myproject
para encontrar vinculaciones de políticas de permisos que se establecen en el proyecto llamado “myproject”.Important
para encontrar vinculaciones de políticas de permisos que contengan “Importante” como una palabra en cualquiera de los campos de búsqueda (excepto en permisos incluidos).resource:(instance1 OR instance2) policy:amy
para encontrar permitir vinculaciones de políticas que se establezcan en los recursos “instance1” o “instance2” y especificar el usuario "amalia".roles:roles/compute.admin
para encontrar vinculaciones de políticas de permisos que especifiquen el rol de administrador de Compute.memberTypes:user
para encontrar vinculaciones de políticas de permisos contienen la palabra "user" tipo principal.
ASSET_TYPE
: Opcional Una lista de los tipos de recursos que están adjuntas las políticas de permisos de Identity and Access Management. Si está vacío, buscará las políticas de permisos de Identity and Access Management que se adjuntan a todos los tipos de recursos que se pueden buscar. Las expresiones regulares son no es compatible. Si la expresión regular no coincide con ningún tipo de activo compatible, se muestra un errorINVALID_ARGUMENT
.ORDER_BY
: Opcional Una lista separada por comas de campos que especifiquen el orden de clasificación de los resultados. El orden predeterminado es ascendente. AgregaDESC
después del nombre del campo para indicar el orden descendente. Se ignoran los caracteres de espacio redundantes. Ejemplo:"assetType DESC, resource"
. Solo se pueden ordenar los campos primitivos singulares en la respuesta:resource
assetType
project
Todos los demás campos, como los campos repetidos (por ejemplo,
folders
) y los campos no primitivos (por ejemplo,policy
) no son compatibles.
Los siguientes son comandos de gcloud
de ejemplo:
Busca todas las vinculaciones de políticas de permiso de IAM en tu
organizations/123456
. que contengan el dominiomycompany.com
:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query="policy:\"domain:mycompany.com\""
Busca todas las vinculaciones de políticas de IAM de permiso en tu
organizations/123456
en la que se le otorgó la función básica de propietario (roles/owner
) amyuser@mycompany.com
:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query="policy:(roles/owner myuser@mycompany.com)"
Busca todas las vinculaciones de políticas de permiso de IAM en tu
organizations/123456
. configurados enprojects/12345678
:gcloud asset search-all-iam-policies \ --scope=organizations/123456 \ --query="resource:projects/12345678"
REST
Puedes llamar a SearchAllIamPolicies
con un token de OAuth válido para un proyecto. Para llamar al método SearchAllIamPolicies
desde Cloud Shell o cualquier consola en la que esté disponible el comando gcloud
:
Si no configuraste la pantalla de consentimiento de OAuth de tu proyecto, debes hacerlo. Se requiere una dirección de correo electrónico y un nombre del producto para la pantalla de consentimiento de OAuth.
Ve a la pantalla de consentimiento de OAuth de tu proyecto.
Ingresa el Nombre de la aplicación que deseas mostrar.
En Correo electrónico de asistencia, selecciona la dirección de correo electrónico que deseas mostrar como contacto público. Debe ser tu dirección de correo electrónico o una Grupo de Google de tu propiedad.
Agrega otro tipo de información opcional que desees mostrar.
Haz clic en Guardar.
Crea un token de OAuth para tu proyecto. Consulta Configura OAuth 2.0. para obtener más información.
Ve a la página Crear ID de cliente de OAuth.
Selecciona App de escritorio como el Tipo de aplicación.
Haga clic en Crear.
Descarga el archivo
client_secret.json
.Ve a la página Credenciales.
A la derecha de tu nuevo ID de cliente, haz clic en
Descarga JSON.Almacena el archivo de forma segura en una ubicación a la que solo pueda acceder tu app.
Accede mediante el archivo JSON son el siguiente comando.
gcloud auth application-default login --client-id-file=YOUR_JSON_FILE
Este comando te solicita abrir un vínculo. Asegúrate de que la página muestre el Nombre de la aplicación que estableciste en la pantalla de consentimiento de OAuth.
Ahora puedes consultar las políticas de permisos de IAM con los comandos de
curl
.curl -X POST \ -H "X-HTTP-Method-Override: GET" \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{ "assetTypes": [ "ASSET_TYPE_1", "ASSET_TYPE_2", "..." ], "orderBy": "ORDER_BY", "pageSize": PAGE_SIZE, "query": "QUERY" }' \ https://cloudasset.googleapis.com/v1/SCOPE:searchAllIamPolicies
Proporciona los siguientes detalles:
ASSET_TYPE
: Opcional Una lista de los tipos de recursos a las que están adjuntas las políticas de permiso de Identity and Access Management. Si está vacía, busca con las políticas de Identity and Access Management de recursos que se pueden buscar. Se admiten expresiones regulares. Si la expresión regular no coincide con ninguna tipo de recurso, se muestra un errorINVALID_ARGUMENT
.ORDER_BY
: Opcional Una lista separada por comas de campos que especifican el orden de clasificación de los resultados. Predeterminado orden ascendente. AgregaDESC
después del nombre del campo para indicar orden descendente. Se ignoran los caracteres de espacio redundantes. Ejemplo:"assetType DESC, resource"
. Solo se pueden ordenar los campos primitivos singulares en la respuesta:resource
assetType
project
Todos los demás campos, como los campos repetidos (por ejemplo,
folders
) y no primitivos (por ejemplo,policy
).PAGE_SIZE
: Opcional El número de resultados a devolver por página. La cantidad máxima es 2000. Si el valor se establece en0
o en una un valor negativo, se selecciona un valor predeterminado adecuado. Se muestra unnextPageToken
para recuperar los resultados posteriores.QUERY
: Opcional La sentencia de consulta. Consulta Sintaxis de consultas para obtener más información información. Si no se especifica o está vacía, busca en todos los Políticas de permisos de IAM en elscope
especificado. Ten en cuenta que la cadena de consulta se compara con cada vinculación de política de permisos, incluidos sus principales, roles y condiciones de IAM. Las políticas de permisos que se muestran solo contienen el vinculaciones que coincidan con tu consulta. Para obtener más información sobre el Estructura de políticas de permisos, consulta Información sobre las políticas de permisos.Ejemplos:
policy:amy@gmail.com
para encontrar vinculaciones de políticas de permisos que especifiquen el usuario "amy@gmail.com".policy:roles/compute.admin
para encontrar vinculaciones de políticas de permisos que especifiquen el rol de administrador de Compute.policy:comp*
para encontrar vinculaciones de políticas de permisos contienen “comp” como prefijo de cualquier palabra de la vinculación.policy.role.permissions:storage.buckets.update
para encontrar permite vinculaciones de políticas que especifiquen un rol que contiene el archivo “storage.buckets.update” permiso. Ten en cuenta que, si al emisor no se le otorgó una función que contenga el permisoiam.roles.get
en la función deseada, las vinculaciones de políticas de acceso que especifiquen esta función se quitarán de los resultados de la búsqueda.policy.role.permissions:upd*
para encontrar vinculaciones de políticas de permisos que especifiquen un rol que contenga “upd” como un prefijo de cualquier palabra en el permiso del rol. Ten en cuenta que si el emisor no ha sido se le otorgó un rol que contiene el permisoiam.roles.get
en el rol deseado, se descartan las vinculaciones de políticas que especifican este rol de los resultados de la búsqueda.resource:organizations/123456
para encontrar la política de permisos que se establecen en “organizations/123456”.resource=//cloudresourcemanager.googleapis.com/projects/myproject
para encontrar vinculaciones de políticas de permisos llamado “myproject”.Important
para encontrar vinculaciones de políticas de permisos que contengan “Importante” como una palabra en cualquiera de los campos de búsqueda (excepto en los permisos incluidos).resource:(instance1 OR instance2) policy:amy
para encontrar vinculaciones de políticas de permiso que se establecen en los recursos “instance1” o “instance2” y también especificar el usuario “amy”.roles:roles/compute.admin
para encontrar la política de permisos vinculaciones que especifiquen el rol de administrador de Compute.memberTypes:user
para encontrar vinculaciones de políticas de permisos contienen la palabra "user" tipo principal.
SCOPE
: Un permiso puede ser un proyecto, una carpeta o en una organización. La búsqueda se limita a la IAM de permisos en este permiso. Se le debe otorgar al emisor un rol que contenga el permisocloudasset.assets.searchAllIamPolicies
en el alcance seleccionado. Si no se especifica, se usa la propiedad del proyecto configurado.Los valores permitidos son los siguientes:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Cómo encontrar un número de proyecto de Google Cloud
Console
Para encontrar el número de un proyecto de Google Cloud, completa los siguientes pasos:
-
Ve a la página Panel en la consola de Google Cloud.
- Haz clic en el cuadro de selector en la barra de menú.
- Selecciona tu organización en el cuadro Seleccionar una opción y, luego, busca tu el nombre del proyecto.
- Haz clic en el nombre del proyecto para cambiar a ese proyecto. El número de proyecto se muestra Tarjeta Información del proyecto
gcloud CLI
Puedes recuperar un número de proyecto de Google Cloud con el siguiente comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Cómo encontrar un ID de carpeta de Google Cloud
Console
Para encontrar un ID de carpeta de Google Cloud, completa los siguientes pasos:
-
Ve a la consola de Google Cloud.
- Haz clic en el cuadro de selector en la barra de menú.
- Haz clic en el cuadro Seleccionar una opción y, luego, selecciona tu organización.
- Busca el nombre de tu carpeta. El ID de la carpeta se muestra junto al nombre de la carpeta.
gcloud CLI
Puedes recuperar un ID de carpeta de Google Cloud que se encuentra a nivel de la organización con el siguiente comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Donde TOP_LEVEL_FOLDER_NAME puede ser una coincidencia de cadena completa o parcial. Quita el
--format
para ver más información sobre las carpetas encontradas.Para obtener el ID de una carpeta dentro de otra carpeta, enumera las subcarpetas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Cómo encontrar un ID de organización de Google Cloud
Console
Para encontrar un ID de organización de Google Cloud, completa los siguientes pasos:
-
Ve a la consola de Google Cloud.
- Haz clic en el cuadro de selector en la barra de menú.
- Haz clic en el cuadro Seleccionar desde y, luego, selecciona tu organización.
- Haz clic en la pestaña Todos. El ID de la organización se muestra junto al nombre de la organización.
gcloud CLI
Puedes recuperar el ID de una organización de Google Cloud con el siguiente comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Referencia de la API y biblioteca cliente
SearchAllIamPolicies
:
Construye una consulta
Revisa Sintaxis de consultas para obtener más información sobre el lenguaje de consulta.
Consulta Busca muestras de políticas de permiso de IAM. para obtener más información sobre las consultas de muestra para varios casos de uso reales.
Consultar las políticas de permisos de IAM mediante la vinculación de información
Para buscar políticas de permisos de IAM, una expresión de consulta se encuentra en el siguiente formato:
policy:QUERY
También puedes buscar tipos o funciones principales de forma exclusiva con los siguientes formatos:
Concordancia exacta:
memberTypes=QUERY
roles=QUERY
Coincidencia parcial:
memberTypes:QUERY
roles:QUERY
Principal
Compatibilidad con vinculaciones de políticas de permiso de IAM cinco tipos de principales:
Cuentas de Google, como
user:user@gmail.com
Grupos de Google, como
group:devs@googlegroups.com
Dominios de Cloud Identity y G Suite, como
domain:google.com
Cuentas de servicio, como
serviceAccount:my-other-app@appspot.gserviceaccount.com
Identificadores especiales, como
allUsers
yallAuthenticatedUsers
Puedes limitar tu consulta para permitir políticas relacionadas con un usuario específico usando el siguiente sintaxis:
policy:"user:amy@mycompany.com"
Ten en cuenta que user:amy@mycompany.com
debe estar entre comillas dobles, ya que contiene el carácter especial :
. Puedes omitir el prefijo user:
o group:
en una cadena de consulta, si el valor de la consulta es lo suficientemente único o si deseas buscar la dirección de correo electrónico sin importar el tipo de principal. Por ejemplo, es probable que la siguiente consulta solo coincida con un usuario:
policy:amy@mycompany.com
También puedes limitar tu consulta a las políticas relacionadas con un tipo principal específico mediante la siguiente sintaxis:
policy:user
memberTypes:user
memberTypes=user
Es posible que policy:user
coincida con un tipo de principal diferente. Por ejemplo: group:test-user@mycompany.com
. Usa memberTypes
para limitar la búsqueda a tipos de principales específicos.
Ejemplos: Consulta por principal
Busca todas las vinculaciones de políticas de permiso de IAM que especifiquen el usuario
Amy
:policy:amy
Buscar todas las vinculaciones de políticas de permiso de IAM que especifiquen el dominio
mydomain.com
:policy:mydomain.com
Busca todas las vinculaciones de políticas de permisos de IAM que especifiquen el usuario
Amy
yJohn
:policy:(amy john)
Busca todas las vinculaciones de políticas de permiso de IAM que especifiquen el usuario
Amy
oJohn
:policy:(amy OR john)
Buscar todas las vinculaciones de políticas de permisos de IAM en tu organización que contengan
amy@mycompany.com
:policy:amy@mycompany.com
Buscar todas las vinculaciones de políticas de permisos de IAM en tu organización que contengan el dominio
mycompany.com
:policy:"domain:mycompany.com"
Busca todas las vinculaciones de políticas de permisos de IAM que asignan roles al Cuenta de servicio
mycompany.gserviceaccount.com
:policy:"serviceAccount:mycompany.gserviceaccount.com"
Busca todas las vinculaciones de políticas de permisos de IAM que asignan roles a
admins
grupo:policy:"group:admins"
Busca todas las vinculaciones de políticas de permisos de IAM que asignan funciones a todos los usuarios:
memberTypes:allUsers
Buscar todas las vinculaciones de políticas de permisos de IAM que asignan roles a todos usuarios autenticados:
memberTypes:allAuthenticatedUsers
Buscar todas las vinculaciones de políticas de permisos de IAM que asignan roles a
amy@mycompany.com
o al dominiomycompany.com
:policy:(amy@mycompany.com OR "domain:mycompany.com")
Rol
Las vinculaciones de políticas de IAM admiten diferentes tipos de roles.
Todos los nombres de los roles de IAM comienzan con el prefijo roles/
.
Roles básicos: Existen tres roles que existían antes de la introducción a IAM: propietario (
roles/owner
), editor (roles/editor
) y Visualizador (roles/viewer
).Roles predefinidos: IAM proporciona roles predefinidos roles que otorgan acceso detallado a diferentes recursos. Consulta todas las roles predefinidos.
Funciones personalizadas: Funciones de IAM definidas por el usuario que contienen una lista seleccionada de permisos.
Puedes limitar tu consulta para permitir políticas relacionadas con un rol específico con el siguiente sintaxis:
policy:roles/role-name
roles:roles/role-name
roles=roles/role-name
Ten en cuenta que puedes omitir el prefijo roles/
en una string de consulta si el valor de la consulta es lo suficientemente único. Por ejemplo, es probable que la siguiente consulta solo coincida con el rol
roles/cloudasset.owner
:
policy:cloudasset.owner
roles:cloudasset.owner
Es posible que policy:cloudasset.owner
tenga una función diferente. Por ejemplo, cuando se otorga un rol al principal user:cloudasset.owner@mycompany.com
. Usa roles
para limitar la búsqueda a las funciones.
Ejemplos: Consulta por función
Busca todas las vinculaciones de políticas de permisos de IAM que especifiquen la función
owner
.policy:roles/owner roles:roles/owner roles=roles/owner
Buscar todas las vinculaciones de políticas de permisos de IAM que asignan
amy@mycompany.com
el rol de propietario:policy:(roles/owner amy@mycompany.com)
Busca todas las vinculaciones de políticas de permisos de IAM que asignan el
compute.admin
. para las principales cuyas direcciones de correo electrónico contengan la palabrajohn
:policy:(roles/compute.admin john)
Busca todas las vinculaciones de políticas de permisos de IAM que otorguen el rol
viewer
a usuarios que tienen palabras clave o "sde" como prefijo.policy:(roles/viewer (swe* OR sde*))
Condiciones de IAM
Las vinculaciones de políticas de permisos de IAM pueden contener un objeto condition
, que
te permite definir y aplicar el control de acceso condicional basado en atributos para
recursos de Google Cloud. Consulta la Descripción general de las condiciones de IAM.
para obtener más información.
Para limitar tu consulta y permitir políticas relacionadas con una condición específica, usa la siguiente sintaxis:
policy:condition_information
Ejemplos: Consulta por condición
Busca todas las vinculaciones de políticas de permisos de IAM que especifiquen una condición, El título o la descripción contienen la palabra “myCondition”:
policy:myCondition
Busca todas las vinculaciones de políticas de permisos de IAM que especifiquen una condición, contiene el atributo "request.time":
policy:"request.time"
Consulta las políticas de permisos de IAM según los permisos incluidos
Los roles de una política de permisos pueden incluir una lista de permisos. Consulta Referencia de permisos de IAM para más detalles. Puedes limitar tu consulta para permitir políticas que contengan un permiso. Una expresión de consulta tiene los siguientes formatos:
- Concordancia exacta:
policy.role.permissions=QUERY
- Coincidencia parcial:
policy.role.permissions:QUERY
Ejemplos: Consulta por permisos
Busca todas las vinculaciones de políticas de permisos de IAM que contengan el permiso
compute.instances.create
:policy.role.permissions:compute.instances.create policy.role.permissions=compute.instances.create
Busca todas las vinculaciones de políticas de permisos de IAM que contengan el Permisos relacionados con
compute.instances
:policy.role.permissions:compute.instances
Buscar todas las vinculaciones de políticas de permisos de IAM que contengan permisos
cloudasset.assets.export...
(por ejemplo,cloudasset.assets.exportAssets
ycloudasset.assets.exportIamPolicyAnalysis
):policy.role.permissions:cloudasset.assets.export*
Busca todas las vinculaciones de políticas de permisos de IAM que otorguen a alguien permisos para cambiar las políticas de permisos de IAM:
policy.role.permissions:setIamPolicy
Busca todas las vinculaciones de políticas de permisos de IAM con un rol que contenga ambos Permisos
compute.instances.create
ycompute.disks.create
:policy.role.permissions:(compute.instances.create compute.disks.create)
Busca todas las vinculaciones de políticas de permisos de IAM que contengan el
compute.instances.create
y especifica el usuarioamy
:policy.role.permissions:compute.instances.create policy:amy policy.role.permissions=compute.instances.create policy:amy
Consulta políticas de permisos de IAM por recurso asociado
Cuando realizas una búsqueda, puedes especificar un nombre de recurso completo. para buscar solo las políticas de permisos que se establecen directamente en el recurso. También puedes especificar un proyecto, una carpeta o una organización para buscar solo las políticas de permiso que se establecen en los recursos ubicados en el proyecto, la carpeta o la organización determinados. R la expresión de consulta está en los siguientes formatos:
Concordancia exacta:
resource=QUERY
project=QUERY
folders=QUERY
organization=QUERY
Coincidencia parcial:
resource:QUERY
project:QUERY
folders:QUERY
organization:QUERY
Ejemplos: Consulta por recurso asociado
Busca todas las vinculaciones de políticas de permisos de IAM que se establecen directamente en un recurso cuyo nombre de recurso completo es exactamente igual a
//cloudresourcemanager.googleapis.com/projects/myproject
:resource=//cloudresourcemanager.googleapis.com/projects/myproject
Busca todas las vinculaciones de políticas de permisos de IAM que se configuran directamente en los recursos cuyo nombre de recurso completo contenga la palabra
myproject
:resource:myproject
Busca todas las vinculaciones de políticas de permisos de IAM que se configuran directamente en los recursos cuyo nombre de recurso completo contiene una palabra con prefijo
myproj
:resource:myproj*
Busca todas las vinculaciones de políticas de permisos de IAM que se configuran directamente en los recursos de un tipo de servicio determinado:
resource:cloudresourcemanager
Busca todas las vinculaciones de políticas de permiso de IAM que se establecieron en
myproject
omyfolder
:resource:(myproject OR myfolder)
Buscar todas las vinculaciones de políticas de permisos de IAM que se establecieron en
cloudresourcemanager
de recursos y asigna el rol de propietario agmail.com
usuarios:resource:cloudresourcemanager policy:(roles/owner gmail.com)
Busca todas las vinculaciones de políticas de permisos de IAM que se establecieron en recursos cuyo
project
tiene el número123
:project:123
Busca todas las vinculaciones de políticas de permisos de IAM que se establecieron en los recursos contenido en
folder
con el número123
:folders:123
Busca todas las vinculaciones de políticas de permisos de IAM que se establecieron en recursos cuyo
organization
tiene el número123
:organization:123
Consulta las políticas de permisos de IAM por texto libre
También puedes usar una consulta de texto libre sin especificar un campo. La respuesta de muestra políticas de permiso siempre que haya un campo que se pueda buscar (por ejemplo, permitir política campos de vinculación o de recursos) que coincidan con la consulta.
Ejemplos: Consulta por texto libre
Busca todas las vinculaciones de políticas de IAM que permitan en tu
scope
cuyos campos de metadatos (por ejemplo, vinculaciones de políticas de permisos o campos de recursos) contenganImportant
como una palabra:Important
Busca todas las vinculaciones de políticas de IAM de permiso en tu
scope
cuyos campos de metadatos (por ejemplo, vinculaciones de políticas de permiso o campos de recursos) contenganimport
como un prefijo de cualquier palabra:import*