Esta página foi traduzida pela API Cloud Translation.

Analisar políticas de permissão

Nesta página, mostramos como usar a ferramenta Análise de políticas para políticas de permissão e descobrir quais principais (usuários, contas de serviço, grupos e domínios) têm acesso a quais recursos doGoogle Cloud .

Os exemplos nesta página mostram como executar uma consulta de análise de políticas e conferir os resultados imediatamente. Se quiser exportar os resultados para uma análise mais detalhada, use AnalyzeIamPolicyLongrunning para gravar resultados de consultas no BigQuery ou no Cloud Storage.

Antes de começar

Enable the Cloud Asset API.
Enable the API

Ative a API no projeto que você vai usar para enviar a consulta. Não precisa ser o mesmo recurso que você usa para definir o escopo da consulta.
Opcional: entenda como o Analisador de políticas funciona.
Opcional: se você quiser executar mais de 20 consultas de análise de políticas por organização por dia, verifique se tem uma ativação no nível da organização do nível Premium ou Enterprise do Security Command Center. Para mais informações, consulte Perguntas sobre faturamento.

Papéis e permissões necessárias

Os seguintes papéis e permissões são necessários para analisar as políticas de permissão.

Papéis do IAM obrigatórios

Para receber as permissões necessárias para analisar uma política de permissão, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto, na pasta ou na organização em que você vai definir o escopo da sua consulta:

Leitor de recursos do Cloud (roles/cloudasset.viewer)
Para analisar políticas com papéis personalizados do IAM: Leitor de papéis (roles/iam.roleViewer)
Para usar a Google Cloud CLI e analisar políticas: Consumidor de uso do serviço (roles/serviceusage.serviceUsageConsumer)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para analisar uma política de permissão. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para analisar uma política de permissão:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
Para analisar políticas com papéis personalizados do IAM: iam.roles.get
Para usar a Google Cloud CLI e analisar políticas: serviceusage.services.use

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Permissões necessárias do Google Workspace

Se você quiser expandir grupos nos resultados da consulta para ver se um principal tem determinadas funções ou permissões como resultado da participação em um grupo do Google Workspace, você precisa da permissão groups.read do Google Workspace. Essa permissão está incluída no papel de administrador do leitor de grupos e em papéis mais avançados, como administrador de grupos ou superadministrador. Para saber como conceder essas funções, consulte Atribuir funções administrativas específicas.

Determinar quais principais podem acessar um recurso

Use a ferramenta Análise de políticas para verificar quais principais têm determinados papéis ou permissões em um recurso específico no projeto, na pasta ou na organização. Para conseguir essas informações, crie uma consulta que inclua o recurso em que você quer analisar o acesso e um ou mais papéis ou permissões para verificar.

Console

No console Google Cloud , acesse a página Policy Analyzer.

Acessar a página "Policy Analyzer"
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o recurso e o papel ou a permissão a serem verificados:
1. No campo Parâmetro 1, selecione Recurso no menu suspenso.
2. No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Papel ou Permissão.
5. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
6. Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os principais com as permissões e os papéis especificados no recurso especificado.

As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Após um minuto, o console Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para ter mais resultados dessas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome do recurso.
PERMISSIONS: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Observação:se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

Você vai receber uma resposta YAML com os resultados da análise. Cada resultado da análise lista um conjunto de acessos, identidades e recursos relevantes para sua consulta, seguidos da vinculação de papel do IAM relacionada. Se a vinculação de função for condicional, o resultado da análise também vai incluir o resultado da avaliação da condição. Se a condição não puder ser avaliada, o resultado será CONDITIONAL.

Os principais que têm alguma das permissões especificadas no recurso especificado são listados nos campos identities da resposta. O exemplo a seguir mostra um único resultado de análise com o campo identities destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

Se a solicitação atingir o tempo limite antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para ter mais resultados dessas consultas, grave-os no BigQuery ou no Cloud Storage usando a versão de longa duração de analyze-iam-policy. Para instruções, consulte Gravar análise de políticas no BigQuery ou Gravar análise de políticas no Cloud Storage.

REST

Para determinar quais principais têm determinadas permissões em um recurso, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome do recurso.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

Copie o corpo da solicitação e abra a página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Cole o corpo da solicitação nessa ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

Você recebe uma resposta JSON com os resultados da análise. Cada resultado da análise descreve uma vinculação de papel do IAM relevante e lista o recurso, os acessos e os principais nessa vinculação. Se a vinculação de função for condicional, o resultado da análise também vai incluir o resultado da avaliação da condição. Se a condição não puder ser avaliada, o resultado será listado como CONDITIONAL.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se a solicitação atingir o tempo limite antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para ter mais resultados dessas consultas, grave-os no BigQuery ou no Cloud Storage usando a versão de longa duração de analyzeIamPolicy. Para instruções, consulte Gravar análise de políticas no BigQuery ou Gravar análise de políticas no Cloud Storage.

Determinar quais principais têm determinados papéis ou permissões

Use a ferramenta Análise de políticas para verificar quais principais têm papéis ou permissões específicas em qualquer recurso do Google Cloud na sua organização. Para conseguir essas informações, crie uma consulta que inclua um ou mais papéis ou permissões para verificar, mas não especifique um recurso.

Console

No console Google Cloud , acesse a página Policy Analyzer.

Acessar a página "Policy Analyzer"
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
No campo Parâmetro 1, selecione Papel ou Permissão.
No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
Opcional: para verificar papéis e permissões adicionais, faça o seguinte:
1. Clique em Adicionar seletor.
2. No campo Parâmetro 2, selecione Papel ou Permissão.
3. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
4. Continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os principais com as permissões ou os papéis especificados em qualquer recurso no escopo.

As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Após um minuto, o console Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para ter mais resultados dessas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
ROLES: uma lista separada por vírgulas dos papéis que você quer verificar, por exemplo, roles/compute.admin,roles/compute.imageUser. Se você listar várias funções, o Analisador de políticas vai verificar qualquer uma delas.
PERMISSIONS: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Observação:se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

Os principais que têm qualquer um dos papéis ou permissões especificados são listados nos campos identities da resposta. O exemplo a seguir mostra um único resultado de análise com o campo identities destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar quais principais têm determinados papéis ou permissões, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
ROLE_1, ROLE_2... ROLE_N: os papéis que você quer verificar. Por exemplo, roles/compute.admin. Se você listar várias funções, a Análise de políticas vai verificar se alguma delas está presente.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se a solicitação atingir o tempo limite antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para ter mais resultados dessas consultas, grave-os no BigQuery ou no Cloud Storage usando a versão de longa duração de analyzeIamPolicy. Para instruções, consulte Gravar análise de políticas no BigQuery ou Gravar análise de políticas no Cloud Storage.

Determinar o acesso de um principal em um recurso

Use a ferramenta Análise de políticas para verificar quais papéis ou permissões um principal tem em um recurso na sua organização. Para conseguir essas informações, crie uma consulta que inclua o principal em que você quer analisar o acesso e o recurso para o qual você quer verificar as permissões.

Console

No console Google Cloud , acesse a página Policy Analyzer.

Acessar a página "Policy Analyzer"
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o recurso e o principal para verificar:
1. No campo Parâmetro 1, selecione Recurso no menu suspenso.
2. No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Principal no menu suspenso.
5. No campo Principal, comece a digitar o nome de um usuário, conta de serviço ou grupo. Em seguida, selecione o usuário, a conta de serviço ou o grupo com o acesso que você quer analisar na lista de principais fornecida.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados com todos os papéis que o principal especificado tem no recurso definido.

As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Após um minuto, o console Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para ter mais resultados dessas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completo, consulte Formato de nome do recurso.
PRINCIPAL: o principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com. Para uma lista completa dos tipos de principais, consulte Identificadores de principais.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

As funções que o principal tem no recurso especificado são listadas nos campos accesses da resposta. O exemplo a seguir mostra um único resultado de análise com o campo accesses destacado.

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

REST

Para determinar o acesso de um principal em um recurso, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
FULL_RESOURCE_NAME: o nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completos, consulte Formato de nome do recurso.
PRINCIPAL: o principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com. Para uma lista completa dos tipos de principais, consulte Identificadores de principais.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

As funções que o principal tem no recurso especificado são listadas nos campos accesses da resposta. O exemplo a seguir mostra um único resultado de análise com o campo accesses destacado.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se a solicitação atingir o tempo limite antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para ter mais resultados dessas consultas, grave-os no BigQuery ou no Cloud Storage usando a versão de longa duração de analyzeIamPolicy. Para instruções, consulte Gravar análise de políticas no BigQuery ou Gravar análise de políticas no Cloud Storage.

Determinar quais recursos um principal pode acessar

Use a ferramenta Análise de políticas para verificar em quais recursos da organização um principal tem determinados papéis ou permissões. Para conseguir essas informações, crie uma consulta que inclua o principal com o acesso você quer analisar e um ou mais papéis ou permissões para verificar.

Console

No console Google Cloud , acesse a página Policy Analyzer.

Acessar a página "Policy Analyzer"
Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada.
No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.
Escolha o principal a ser verificado e o papel ou a permissão a ser verificada:
1. No campo Parâmetro 1, selecione Principal no menu suspenso.
2. No campo Principal, comece a digitar o nome de um usuário, conta de serviço ou grupo. Em seguida, selecione o usuário, a conta de serviço ou o grupo com o acesso que você quer analisar na lista de principais fornecida.
3. Clique em Adicionar seletor.
4. No campo Parâmetro 2, selecione Papel ou Permissão.
5. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
6. Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.
Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.
No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados com todos os recursos em que o principal especificado tem os papéis ou permissões definidos.

As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Após um minuto, o console Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para ter mais resultados dessas consultas, exporte os resultados para o BigQuery.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
PRINCIPAL: o principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com. Para uma lista completa dos tipos de principais, consulte Identificadores de principais.
PERMISSIONS: uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows (cmd.exe)

Observação:se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

Os recursos em que o principal especificado tem alguma das permissões especificadas são listados nos campos resources da resposta. O exemplo a seguir mostra um único resultado de análise com o campo resources destacado.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar quais recursos um principal pode acessar, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
PRINCIPAL: o principal cujo acesso você quer analisar, no formato PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com. Para uma lista completa dos tipos de principais, consulte Identificadores de principais.
PERMISSION_1, PERMISSION_2... PERMISSION_N: as permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se a solicitação atingir o tempo limite antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para ter mais resultados dessas consultas, grave-os no BigQuery ou no Cloud Storage usando a versão de longa duração de analyzeIamPolicy. Para instruções, consulte Gravar análise de políticas no BigQuery ou Gravar análise de políticas no Cloud Storage.

Determinar o acesso em um horário específico

Se tiver contexto suficiente, a ferramenta Análise de políticas poderá analisar vinculações de papéis condicionais do IAM que concedem acesso apenas em horários específicos. Essas condições são chamadas de condições de data/hora. Para que a ferramenta Análise de políticas analise com precisão as vinculações de papéis com condições de data/hora, é necessário definir o horário de acesso na solicitação.

A ferramenta também pode analisar condições de recursos sem entrada adicional do usuário. Para mais informações sobre como a Análise de políticas funciona com condições, consulte Acesso condicional.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor project, folder ou organization.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
PERMISSIONS: Opcional. Uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completos, consulte Formato de nome de recurso.
PERMISSIONS: Opcional. Uma lista separada por vírgulas das permissões que você quer verificar, por exemplo, compute.instances.get,compute.instances.start. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.
ACCESS_TIME: o período que você quer verificar. Esse horário precisa ser no futuro. Use um carimbo de data/hora no formato RFC 3339, por exemplo, 2099-02-01T00:00:00Z.

Execute o comando gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows (cmd.exe)

Observação:se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

Quando você inclui o horário de acesso na solicitação, a Análise de políticas pode avaliar condições de data/hora. Se a condição for avaliada como falsa, essa função não será incluída na resposta. Se a condição for avaliada como verdadeira, o resultado da avaliação será listado como TRUE.

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

REST

Para determinar quais principais terão determinadas permissões em um recurso em um momento específico, use o método analyzeIamPolicy da API Cloud Asset Inventory.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso ao qual você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Use o valor projects, folders ou organizations.
RESOURCE_ID: o ID do Google Cloud projeto, pasta ou organização em que você quer restringir sua pesquisa. Somente as políticas de permissão do IAM anexadas a esse recurso e aos descendentes dele serão analisadas. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.
FULL_RESOURCE_NAME: opcional. O nome completo do recurso para o qual você quer analisar o acesso. Para uma lista de formatos de nome de recurso completos, consulte Formato de nome de recurso.
PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. As permissões que você quer verificar, por exemplo, compute.instances.get. Se você listar várias permissões, o Analisador de políticas vai verificar qualquer uma delas.
ACCESS_TIME: o período que você quer verificar. Esse horário precisa ser no futuro. Use um carimbo de data/hora no formato RFC 3339, por exemplo, 2099-02-01T00:00:00Z.

Método HTTP e URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

Corpo JSON da solicitação:

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

Quando você inclui o horário de acesso na solicitação, a Análise de políticas pode avaliar condições de data/hora. Se a condição for avaliada como falsa, essa função não será incluída na resposta. Se a condição for avaliada como verdadeira, o valor de avaliação da condição na resposta da análise será TRUE.

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

Se a solicitação atingir o tempo limite antes da conclusão da consulta, você vai receber um erro DEADLINE_EXCEEDED. Para ter mais resultados dessas consultas, grave-os no BigQuery ou no Cloud Storage usando a versão de longa duração de analyzeIamPolicy. Para instruções, consulte Gravar análise de políticas no BigQuery ou Gravar análise de políticas no Cloud Storage.

Ativar opções

Você pode ativar as seguintes opções para receber resultados de consulta mais detalhados.

Console

Opção	Descrição
Listar recursos nos recursos que correspondem à consulta	Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos descendentes relevantes para qualquer recurso pai (projetos, pastas e organizações) nos resultados da consulta.
Listar usuários individuais nos grupos	Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos em membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só está disponível se você não especificar um principal na consulta.
Listar permissões nos papéis	Se você ativar essa opção, os resultados da consulta vão listar todas as permissões em cada papel, além do próprio papel. Essa opção só está disponível se você não especificar permissões ou papéis na consulta.

Opção

Descrição

Listar recursos nos recursos que correspondem à consulta

Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos descendentes relevantes para qualquer recurso pai (projetos, pastas e organizações) nos resultados da consulta.

Listar usuários individuais nos grupos

Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos em membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo.

Essa opção só está disponível se você não especificar um principal na consulta.

Listar permissões nos papéis

Se você ativar essa opção, os resultados da consulta vão listar todas as permissões em cada papel, além do próprio papel.

Essa opção só está disponível se você não especificar permissões ou papéis na consulta.

gcloud

Esta seção descreve várias flags comuns que podem ser adicionadas ao usar a CLI gcloud para analisar políticas de permissão. Para uma lista completa de opções, consulte Flags opcionais.

Sinalização	Descrição
`--analyze-service-account-impersonation`	Se essa opção estiver ativada, o Analisador de políticas vai executar outras consultas de análise para determinar quem pode personificar as contas de serviço que têm o acesso especificado aos recursos especificados. A ferramenta Análise de políticas executa uma consulta para cada conta de serviço nos resultados da consulta. Essas consultas analisam quem tem alguma das seguintes permissões na conta de serviço: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Essa é uma operação muito cara, porque executa automaticamente muitas consultas. Recomendamos que você exporte para o BigQuery ou exporte para o Cloud Storage usando `analyze-iam-policy-longrunning` em vez de `analyze-iam-policy`.
`--expand-groups`	Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos em membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só é eficaz se você não especificar um principal na consulta.
`--expand-resources`	Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos descendentes relevantes para qualquer recurso pai (projetos, pastas e organizações) nos resultados da consulta.
`--expand-roles`	Se você ativar essa opção, os resultados da consulta vão listar todas as permissões em cada papel, além do próprio papel. Essa opção só está disponível se você não especificar permissões ou papéis na consulta.
`--output-group-edges`	Se você ativar essa opção, os resultados da consulta vão mostrar as relações de associação relevantes entre os grupos.
`--output-resource-edges`	Se você ativar essa opção, os resultados da consulta vão mostrar os relacionamentos principal/secundário relevantes entre os recursos.

REST

Para ativar qualquer opção, primeiro adicione um campo options à consulta de análise. Exemplo:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

Substitua OPTIONS pelas opções que você quer ativar, no formato "OPTION": true. A tabela a seguir descreve as opções disponíveis:

Opção	Descrição
`analyzeServiceAccountImpersonation`	Se essa opção estiver ativada, o Analisador de políticas vai executar outras consultas de análise para determinar quem pode personificar as contas de serviço que têm o acesso especificado aos recursos especificados. A ferramenta Análise de políticas executa uma consulta para cada conta de serviço nos resultados da consulta. Essas consultas analisam quem tem alguma das seguintes permissões na conta de serviço: `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` Essa é uma operação muito cara, porque executa automaticamente muitas consultas. Recomendamos que você exporte para o BigQuery ou exporte para o Cloud Storage usando `AnalyzeIamPolicyLongrunning` em vez de `AnalyzeIamPolicy`.
`expandGroups`	Se você ativar essa opção, todos os grupos nos resultados da consulta serão expandidos em membros individuais. Se você tiver permissões de grupo suficientes, os grupos aninhados também serão expandidos. Essa expansão é limitada a 1.000 membros por grupo. Essa opção só é eficaz se você não especificar um principal na consulta.
`expandResources`	Se você ativar essa opção, os resultados da consulta vão listar até 1.000 recursos descendentes relevantes para qualquer recurso pai (projetos, pastas e organizações) nos resultados da consulta.
`expandRoles`	Se você ativar essa opção, os resultados da consulta vão listar todas as permissões em cada papel, além do próprio papel. Essa opção só está disponível se você não especificar permissões ou papéis na consulta.
`outputGroupEdges`	Se você ativar essa opção, os resultados da consulta vão mostrar as relações de associação relevantes entre os grupos.
`outputResourceEdges`	Se você ativar essa opção, os resultados da consulta vão mostrar os relacionamentos principal/secundário relevantes entre os recursos.

A seguir

Saiba como usar AnalyzeIamPolicyLongrunning para gravar no BigQuery ou gravar no Cloud Storage.
Saiba como usar a API REST para salvar consultas da Análise de políticas.
Conheça as ferramentas de solução de problemas de acesso disponíveis, que podem ser usadas para descobrir por que um principal não tem um determinado tipo de acesso.

Analisar políticas de permissão Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Papéis e permissões necessárias

Papéis do IAM obrigatórios

Permissões necessárias

Permissões necessárias do Google Workspace

Determinar quais principais podem acessar um recurso

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

Determinar quais principais têm determinados papéis ou permissões

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

Determinar o acesso de um principal em um recurso

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

Determinar quais recursos um principal pode acessar

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

Determinar o acesso em um horário específico

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

Ativar opções

Console

gcloud

REST

A seguir

Analisar políticas de permissão