Gestionar consultas guardadas

gcloud

Para crear una consulta de Analizador de políticas guardada en un proyecto, una carpeta o una organización principales, usa el comando gcloud asset saved-queries create.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

• SCOPE_RESOURCE_TYPE_PLURAL: el tipo de recurso al que quieres limitar tu búsqueda, en plural. Solo se analizarán las políticas de permiso de gestión de identidades y accesos vinculadas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
• SCOPE_RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización en los que quieres acotar la búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos vinculadas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
• FULL_RESOURCE_NAME: opcional. Nombre de recurso completo del recurso del que quieres analizar el acceso. Para ver una lista de los formatos de nombre de recurso completo, consulta Formato de nombre de recurso.
• PRINCIPAL: opcional. La principal cuyo acceso quiere analizar, con el formato PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para ver una lista completa de los tipos de principales, consulta Identificadores de principales.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. Los permisos que quieres comprobar (por ejemplo, compute.instances.get). Si incluye varios permisos, Analizador de políticas comprobará si se ha concedido alguno de ellos.
• QUERY_ID: ID que se va a usar en la consulta guardada. Debe ser único en el recurso principal especificado (proyecto, carpeta u organización). Puedes usar letras, números y guiones en el ID de consulta.
• RESOURCE_TYPE: el tipo de recurso para el que quieres guardar una consulta. Usa el valor project, folder o organization.
• RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización para los que quieras guardar una consulta. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de carpetas y organizaciones son numéricos.
• LABEL_KEY y LABEL_VALUE: opcionales. Lista separada por comas de pares clave-valor que se adjuntan a la consulta y que se pueden usar en operaciones de búsqueda y de lista. Puedes incluir hasta 10 etiquetas por cada consulta guardada.
• DESCRIPTION: opcional. Cadena que describe la consulta.

Guarda el siguiente contenido en un archivo llamado request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Ejecuta el siguiente comando:

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

La respuesta contiene la consulta guardada. Por ejemplo, podría tener este aspecto:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Para crear una consulta de Analizador de políticas guardada en un proyecto, una carpeta o una organización principales, usa el método savedQueries.create de la API Cloud Asset Inventory.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

• RESOURCE_TYPE: el tipo de recurso para el que quieres guardar una consulta. Usa el valor projects, folders o organizations.
• RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización para los que quieras guardar una consulta. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de carpetas y organizaciones son numéricos.
• QUERY_ID: ID que se va a usar en la consulta guardada. Debe ser único en el recurso principal especificado (proyecto, carpeta u organización). Puedes usar letras, números y guiones en el ID de consulta.
• SCOPE_RESOURCE_TYPE: el tipo de recurso al que quieres limitar tu búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos vinculadas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
• SCOPE_RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización en los que quieres acotar la búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos vinculadas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
• FULL_RESOURCE_NAME: opcional. Nombre de recurso completo del recurso del que quieres analizar el acceso. Para ver una lista de los formatos de nombre de recurso completo, consulta Formato de nombre de recurso.
• PRINCIPAL: opcional. La principal cuyo acceso quiere analizar, con el formato PRINCIPAL_TYPE:ID, por ejemplo, user:my-user@example.com. Para ver una lista completa de los tipos de principales, consulta Identificadores de principales.
• PERMISSION_1, PERMISSION_2... PERMISSION_N: opcional. Los permisos que quieres comprobar (por ejemplo, compute.instances.get). Si incluye varios permisos, Analizador de políticas comprobará si se ha concedido alguno de ellos.
• LABEL_KEY y LABEL_VALUE: opcionales. Un par clave/valor que se adjunta a la consulta y que se puede usar en las operaciones de búsqueda y de lista. Puedes incluir hasta 10 etiquetas por cada consulta guardada.
• DESCRIPTION: opcional. Cadena que describe la consulta.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Cuerpo JSON de la solicitud:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Para enviar tu solicitud, despliega una de estas opciones:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

La respuesta contiene la consulta guardada. Por ejemplo, podría tener este aspecto:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

gcloud

Para ejecutar una consulta de análisis guardada, usa el comando gcloud asset analyze-iam-policy.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

• SCOPE_RESOURCE_TYPE: el tipo de recurso al que quieres limitar tu búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos vinculadas a este recurso y a sus descendientes. Usa el valor project, folder o organization.
• SCOPE_RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización en los que quieres acotar la búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos vinculadas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
• RESOURCE_TYPE_PLURAL: el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
• RESOURCE_NUM_ID: ID numérico del Google Cloud proyecto, carpeta u organización en el que se guarda la consulta. No puedes usar el ID alfanumérico del proyecto para identificarlo, sino que debes usar el número del proyecto.
• QUERY_ID: el ID de la consulta guardada que quieras usar.

Ejecuta el comando gcloud asset analyze-iam-policy:

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

La respuesta contiene los resultados de ejecutar la consulta guardada en el recurso especificado. Para ver ejemplos de resultados de consultas, consulta Analizar políticas de gestión de identidades y accesos.

REST

Para ejecutar una consulta de análisis guardada, usa el método analyzeIamPolicy de la API Cloud Asset Inventory.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

• SCOPE_RESOURCE_TYPE: el tipo de recurso al que quieres limitar tu búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos vinculadas a este recurso y a sus descendientes. Usa el valor projects, folders o organizations.
• SCOPE_RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización en los que quieres acotar la búsqueda. Solo se analizarán las políticas de permiso de gestión de identidades y accesos vinculadas a este recurso y a sus descendientes. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
• RESOURCE_TYPE: el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
• RESOURCE_NUM_ID: ID numérico del Google Cloud proyecto, carpeta u organización en el que se guarda la consulta. No puedes usar el ID alfanumérico del proyecto para identificarlo, sino que debes usar el número del proyecto.
• QUERY_ID: el ID de la consulta guardada que quieras usar.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Cuerpo JSON de la solicitud:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Para enviar tu solicitud, despliega una de estas opciones:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

La respuesta contiene los resultados de ejecutar la consulta guardada en el recurso especificado. Para ver ejemplos de resultados de consultas, consulta Analizar políticas de gestión de identidades y accesos.

gcloud

Para obtener una consulta guardada de Analizador de políticas, usa el comando gcloud asset saved-queries get.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

• QUERY_ID: el ID de la consulta guardada que quieres obtener.
• RESOURCE_TYPE: el tipo de recurso en el que se guarda la consulta. Usa el valor project, folder o organization.
• RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización en la que se guarda la consulta. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de carpetas y organizaciones son numéricos.

Ejecuta el siguiente comando:

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

La respuesta contiene la consulta guardada. Por ejemplo, podría tener este aspecto:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Para obtener una consulta de Analizador de políticas guardada, usa el método savedQueries.get de la API Cloud Asset Inventory.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

• RESOURCE_TYPE: el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
• RESOURCE_NUM_ID: ID numérico del Google Cloud proyecto, carpeta u organización en el que se guarda la consulta. No puedes usar el ID alfanumérico del proyecto para identificarlo, sino que debes usar el número del proyecto.
• QUERY_ID: el ID de la consulta guardada que quieres obtener.

Método HTTP y URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar tu solicitud, despliega una de estas opciones:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

La respuesta contiene la consulta guardada. Por ejemplo, podría tener este aspecto:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

gcloud

Para mostrar todas las consultas de Analizador de políticas guardadas en un proyecto, una carpeta o una organización, usa el comando gcloud asset saved-queries list.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

• RESOURCE_TYPE: el tipo de recurso en el que se guardan las consultas. Usa el valor project, folder o organization.
• RESOURCE_ID: ID del Google Cloud proyecto, la carpeta o la organización Google Cloud de los que quieras mostrar las consultas guardadas. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de carpetas y organizaciones son numéricos.

Ejecuta el siguiente comando:

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

La respuesta contiene todas las consultas guardadas de Analizador de políticas del proyecto, la carpeta o la organización. Por ejemplo, podría tener este aspecto:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Para enumerar todas las consultas de Analizador de políticas guardadas en un proyecto, una carpeta o una organización, utilice el método savedQueries.list de la API Cloud Asset Inventory.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

• RESOURCE_TYPE: el tipo de recurso en el que se guardan las consultas. Usa el valor projects, folders o organizations.
• RESOURCE_ID: ID del Google Cloud proyecto, la carpeta o la organización Google Cloud de los que quieras mostrar las consultas guardadas. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de carpetas y organizaciones son numéricos.

Método HTTP y URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Para enviar tu solicitud, despliega una de estas opciones:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

La respuesta contiene todas las consultas guardadas de Analizador de políticas del proyecto, la carpeta o la organización. Por ejemplo, podría tener este aspecto:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

gcloud

Para actualizar una consulta guardada de Analizador de políticas, usa el comando gcloud asset saved-queries update.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

• UPDATED_QUERY: opcional. La consulta de Analizador de políticas actualizada que quieras guardar. Para saber cómo dar formato a la consulta, consulta Crear una consulta guardada.
• RESOURCE_TYPE: el tipo de recurso en el que se guarda la consulta. Usa el valor project, folder o organization.
• QUERY_ID: ID de la consulta guardada que quieras editar.
• RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización en la que se guarda la consulta. Los IDs de proyecto pueden ser alfanuméricos o numéricos. Los IDs de carpetas y organizaciones son numéricos.
• UPDATED_LABELS: opcional. Las etiquetas actualizadas que quieras adjuntar a la consulta guardada. También puede quitar etiquetas con la marca --remove-labels="KEY_1,KEY_2" o borrar todas las etiquetas con la marca --clear-labels.
• UPDATED_DESCRIPTION: opcional. Una descripción actualizada de la consulta guardada.

Guarda el siguiente contenido en un archivo llamado request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Ejecuta el siguiente comando:

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

La respuesta contiene la consulta actualizada.

REST

Para actualizar una consulta de Analizador de políticas guardada, usa el método savedQueries.patch de la API Cloud Asset Inventory.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

• RESOURCE_TYPE: el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
• RESOURCE_NUM_ID: ID numérico del Google Cloud proyecto, carpeta u organización en el que se guarda la consulta. No puedes usar el ID alfanumérico del proyecto para identificarlo, sino que debes usar el número del proyecto.
• QUERY_ID: ID de la consulta guardada que quieras editar.
• UPDATED_FIELDS: lista separada por comas de los campos que quieras actualizar. Por ejemplo, si va a actualizar los campos de contenido, etiquetas y descripción, debe usar el valor content,labels,description.
• UPDATED_QUERY: opcional. La consulta de Analizador de políticas actualizada que quieras guardar. Para saber cómo dar formato a la consulta, consulta Crear una consulta guardada.
• UPDATED_LABELS: opcional. Las etiquetas actualizadas que quieras adjuntar a la consulta guardada.
• UPDATED_DESCRIPTION: opcional. Una descripción actualizada de la consulta guardada.

Método HTTP y URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Cuerpo JSON de la solicitud:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Para enviar tu solicitud, despliega una de estas opciones:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

La respuesta contiene la consulta actualizada.

gcloud

Para eliminar una consulta guardada de Analizador de políticas, usa el comando gcloud asset saved-queries delete.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

• QUERY_ID: el ID de la consulta guardada que quieres eliminar.
• RESOURCE_TYPE: el tipo de recurso en el que se guarda la consulta. Usa el valor project, folder o organization.
• RESOURCE_NUM_ID: ID numérico del Google Cloud proyecto, carpeta u organización en el que se guarda la consulta. No puedes usar el ID alfanumérico del proyecto para identificarlo, sino que debes usar el número del proyecto.

Ejecuta el siguiente comando:

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Para eliminar una consulta guardada de Analizador de políticas, usa el método savedQueries.delete de la API Cloud Asset Inventory.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

• RESOURCE_TYPE: el tipo de recurso en el que se guarda la consulta. Usa el valor projects, folders o organizations.
• RESOURCE_NUM_ID: ID numérico del Google Cloud proyecto, carpeta u organización en el que se guarda la consulta. No puedes usar el ID alfanumérico del proyecto para identificarlo, sino que debes usar el número del proyecto.
• QUERY_ID: el ID de la consulta guardada que quieres eliminar.

Método HTTP y URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Para enviar tu solicitud, despliega una de estas opciones:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

Si la consulta se elimina correctamente, la API devuelve una respuesta vacía.