Gespeicherte Abfragen verwalten

gcloud

Wenn Sie eine gespeicherte Policy Analyzer-Abfrage in einem übergeordneten Projekt, Ordner oder einer übergeordneten Organisation erstellen möchten, verwenden Sie den Befehl gcloud asset saved-queries create.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• SCOPE_RESOURCE_TYPE_PLURAL: Der Ressourcentyp, auf den Sie Ihre Suche eingrenzen möchten, in der Pluralform. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert projects, folders oder organizations.
• SCOPE_RESOURCE_ID: Die ID des Google Cloud Projekts, des Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcennamen der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.
• QUERY_ID: Die ID, die für die gespeicherte Abfrage verwendet werden soll. Sie muss in der angegebenen übergeordneten Ressource (Projekt, Ordner oder Organisation) eindeutig sein. Sie können Buchstaben, Zahlen und Bindestriche verwenden.
• RESOURCE_TYPE: Der Ressourcentyp, für den Sie eine Abfrage speichern möchten. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID des Google Cloud Projekts, -Ordners oder der -Organisation, für die Sie eine Abfrage speichern möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
• LABEL_KEY und LABEL_VALUE: Optional. Eine durch Kommas getrennte Liste von Schlüssel/Wert-Paaren, die an die Abfrage angehängt werden und in Such- und Listenvorgängen verwendet werden können. Sie können für jede gespeicherte Abfrage bis zu 10 Labels hinzufügen.
• DESCRIPTION: Optional. Ein String, der die Abfrage beschreibt.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Führen Sie folgenden Befehl aus:

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

Die Antwort enthält die gespeicherte Abfrage. Das könnte beispielsweise so aussehen:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Wenn Sie eine gespeicherte Policy Analyzer-Abfrage in einem übergeordneten Projekt, Ordner oder einer übergeordneten Organisation erstellen möchten, verwenden Sie die Methode savedQueries.create der Cloud Asset Inventory API.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, für den Sie eine Abfrage speichern möchten. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID des Google Cloud Projekts, -Ordners oder der -Organisation, für die Sie eine Abfrage speichern möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
• QUERY_ID: Die ID, die für die gespeicherte Abfrage verwendet werden soll. Sie muss in der angegebenen übergeordneten Ressource (Projekt, Ordner oder Organisation) eindeutig sein. Sie können Buchstaben, Zahlen und Bindestriche in der Abfrage-ID verwenden.
• SCOPE_RESOURCE_TYPE: Der Ressourcentyp, auf den Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert projects, folders oder organizations.
• SCOPE_RESOURCE_ID: Die ID des Google Cloud Projekts, des Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• FULL_RESOURCE_NAME: Optional. Der vollständige Ressourcennamen der Ressource, für die Sie den Zugriff analysieren möchten. Eine Liste der Formate für vollständige Ressourcennamen finden Sie unter Format der Ressourcennamen.
• PRINCIPAL: Optional. Das Hauptkonto, dessen Zugriff Sie analysieren möchten, im Format PRINCIPAL_TYPE:ID, z. B. user:my-user@example.com. Eine vollständige Liste der Hauptkontotypen finden Sie unter Hauptkonto-Kennungen.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: Optional. Die Berechtigungen, die Sie prüfen möchten, z. B. compute.instances.get. Wenn Sie mehrere Berechtigungen auflisten, prüft Policy Analyzer, ob eine der aufgeführten Berechtigungen vorhanden ist.
• LABEL_KEY und LABEL_VALUE: Optional. Ein Schlüssel/Wert-Paar, das an die Abfrage angehängt wird und in Such- und Listenvorgängen verwendet werden kann. Sie können für jede gespeicherte Abfrage bis zu 10 Labels hinzufügen.
• DESCRIPTION: Optional. Ein String, der die Abfrage beschreibt.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

JSON-Text anfordern:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

Die Antwort enthält die gespeicherte Abfrage. Das könnte beispielsweise so aussehen:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

gcloud

Verwenden Sie den Befehl gcloud asset analyze-iam-policy, um eine gespeicherte Analyseabfrage auszuführen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• SCOPE_RESOURCE_TYPE: Der Ressourcentyp, auf den Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert project, folder oder organization.
• SCOPE_RESOURCE_ID: Die ID des Google Cloud Projekts, des Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• RESOURCE_TYPE_PLURAL: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_NUM_ID: Die numerische ID des Google Cloud Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht verwenden, um ein Projekt zu identifizieren. Sie müssen die Projektnummer verwenden.
• QUERY_ID: Die ID der gespeicherten Abfrage, die Sie verwenden möchten.

Führen Sie den Befehl gcloud asset analyze-iam-policy aus:

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Die Antwort enthält die Ergebnisse der Ausführung der gespeicherten Abfrage für die angegebene Ressource. Beispiele für Abfrageergebnisse finden Sie unter IAM-Richtlinien analysieren.

REST

Verwenden Sie die Methode analyzeIamPolicy der Cloud Asset Inventory API, um eine gespeicherte Analyseabfrage auszuführen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• SCOPE_RESOURCE_TYPE: Der Ressourcentyp, auf den Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Verwenden Sie den Wert projects, folders oder organizations.
• SCOPE_RESOURCE_ID: Die ID des Google Cloud Projekts, des Ordners oder der Organisation, auf die Sie Ihre Suche eingrenzen möchten. Es werden nur IAM-Zulassungsrichtlinien analysiert, die an diese Ressource und ihre untergeordneten Elemente angehängt sind. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_NUM_ID: Die numerische ID des Google Cloud Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht verwenden, um ein Projekt zu identifizieren. Sie müssen die Projektnummer verwenden.
• QUERY_ID: Die ID der gespeicherten Abfrage, die Sie verwenden möchten.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

JSON-Text anfordern:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

Die Antwort enthält die Ergebnisse der Ausführung der gespeicherten Abfrage für die angegebene Ressource. Beispiele für Abfrageergebnisse finden Sie unter IAM-Richtlinien analysieren.

gcloud

Verwenden Sie zum Abrufen einer gespeicherten Policy Analyzer-Abfrage den Befehl gcloud asset saved-queries get.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• QUERY_ID: Die ID der gespeicherten Abfrage, die Sie abrufen möchten.
• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID des Google Cloud Projekts, Ordners oder der Organisation, in der die Abfrage gespeichert ist. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.

Führen Sie folgenden Befehl aus:

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Die Antwort enthält die gespeicherte Abfrage. Das könnte beispielsweise so aussehen:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Verwenden Sie die Methode savedQueries.get der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage abzurufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_NUM_ID: Die numerische ID des Google Cloud Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht verwenden, um ein Projekt zu identifizieren. Sie müssen die Projektnummer verwenden.
• QUERY_ID: Die ID der gespeicherten Abfrage, die Sie abrufen möchten.

HTTP-Methode und URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Die Antwort enthält die gespeicherte Abfrage. Das könnte beispielsweise so aussehen:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

gcloud

Verwenden Sie den Befehl gcloud asset saved-queries list , um alle gespeicherten Policy Analyzer-Abfragen in einem Projekt, Ordner oder einer Organisation aufzulisten.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfragen gespeichert werden. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_ID: Die ID des Google Cloud Projekts, des Ordners oder der Organisation, für die Sie gespeicherte Abfragen auflisten möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.

Führen Sie folgenden Befehl aus:

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Die Antwort enthält alle gespeicherten Policy Analyzer-Abfragen für das Projekt, den Ordner oder die Organisation. Das könnte beispielsweise so aussehen:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Verwenden Sie die Methode savedQueries.list der Cloud Asset Inventory API, um alle gespeicherten Policy Analyzer-Abfragen in einem Projekt, Ordner oder einer Organisation aufzulisten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfragen gespeichert werden. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_ID: Die ID des Google Cloud Projekts, des Ordners oder der Organisation, für die Sie gespeicherte Abfragen auflisten möchten. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.

HTTP-Methode und URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

Die Antwort enthält alle gespeicherten Policy Analyzer-Abfragen für das Projekt, den Ordner oder die Organisation. Das könnte beispielsweise so aussehen:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

gcloud

Verwenden Sie den Befehl gcloud asset saved-queries update, um eine gespeicherte Policy Analyzer-Abfrage zu aktualisieren.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• UPDATED_QUERY: Optional. Die aktualisierte Policy Analyzer-Abfrage, die Sie speichern möchten. Informationen zum Formatieren der Abfrage finden Sie unter Gespeicherte Abfrage erstellen.
• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wert project, folder oder organization.
• QUERY_ID: Die ID der gespeicherten Abfrage, die Sie bearbeiten möchten.
• RESOURCE_ID: Die ID des Google Cloud Projekts, Ordners oder der Organisation, in der die Abfrage gespeichert ist. Projekt-IDs können alphanumerisch oder numerisch sein. Ordner- und Organisations-IDs sind numerisch.
• UPDATED_LABELS: Optional. Die aktualisierten Labels, die Sie an die gespeicherte Abfrage anhängen möchten. Sie können Labels auch mit dem Flag --remove-labels="KEY_1,KEY_2" entfernen oder alle Labels mit dem Flag --clear-labels löschen.
• UPDATED_DESCRIPTION: Optional. Eine aktualisierte Beschreibung für die gespeicherte Abfrage.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Führen Sie folgenden Befehl aus:

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

Die Antwort enthält die aktualisierte Anfrage.

REST

Verwenden Sie die Methode savedQueries.patch der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage zu aktualisieren.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_NUM_ID: Die numerische ID des Google Cloud Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht verwenden, um ein Projekt zu identifizieren. Sie müssen die Projektnummer verwenden.
• QUERY_ID: Die ID der gespeicherten Abfrage, die Sie bearbeiten möchten.
• UPDATED_FIELDS: Eine durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Wenn Sie beispielsweise die Felder „Inhalt“, „Labels“ und „Beschreibung“ aktualisieren, verwenden Sie den Wert content,labels,description.
• UPDATED_QUERY: Optional. Die aktualisierte Policy Analyzer-Abfrage, die Sie speichern möchten. Informationen zum Formatieren der Abfrage finden Sie unter Gespeicherte Abfrage erstellen.
• UPDATED_LABELS: Optional. Die aktualisierten Labels, die Sie an die gespeicherte Abfrage anhängen möchten.
• UPDATED_DESCRIPTION: Optional. Eine aktualisierte Beschreibung für die gespeicherte Abfrage.

HTTP-Methode und URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

JSON-Text anfordern:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

Die Antwort enthält die aktualisierte Anfrage.

gcloud

Verwenden Sie zum Löschen einer gespeicherten Policy Analyzer-Abfrage den Befehl gcloud asset saved-queries delete.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

• QUERY_ID: Die ID der gespeicherten Abfrage, die Sie löschen möchten.
• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wert project, folder oder organization.
• RESOURCE_NUM_ID: Die numerische ID des Google Cloud Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht verwenden, um ein Projekt zu identifizieren. Sie müssen die Projektnummer verwenden.

Führen Sie folgenden Befehl aus:

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Verwenden Sie die Methode savedQueries.delete der Cloud Asset Inventory API, um eine gespeicherte Policy Analyzer-Abfrage zu löschen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

• RESOURCE_TYPE: Der Ressourcentyp, in dem die Abfrage gespeichert ist. Verwenden Sie den Wert projects, folders oder organizations.
• RESOURCE_NUM_ID: Die numerische ID des Google Cloud Projekts, des Ordners oder der Organisation, in dem die Abfrage gespeichert ist. Sie können die alphanumerische Projekt-ID nicht verwenden, um ein Projekt zu identifizieren. Sie müssen die Projektnummer verwenden.
• QUERY_ID: Die ID der gespeicherten Abfrage, die Sie löschen möchten.

HTTP-Methode und URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Wenn die Abfrage erfolgreich gelöscht wurde, gibt die API eine leere Antwort zurück.