Cette page a été traduite par l'API Cloud Translation.

Gérer les requêtes enregistrées

Cette page vous explique comment créer, gérer et exécuter des requêtes de l'analyseur de règles enregistrées. Vous pouvez créer jusqu'à 200 requêtes enregistrées par élément. Cette limite n'inclut pas les requêtes enregistrées de ses enfants. Par exemple, si vous avez 10 projets dans une organisation, chaque projet peut comporter jusqu'à 200 requêtes enregistrées, et l'organisation peut en enregistrer jusqu'à 200.

Avant de commencer

Enable the Cloud Asset API.
Enable the API

Rôles requis

Pour obtenir les autorisations nécessaires pour créer et gérer des requêtes enregistrées, demandez à votre administrateur de vous accorder le rôle IAM Propriétaire d'éléments Cloud (roles/cloudasset.owner) sur le projet, le dossier ou l'organisation dans lesquels vous allez enregistrer votre requête. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour créer et gérer des requêtes enregistrées. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Vous devez disposer des autorisations suivantes pour créer et gérer des requêtes enregistrées:

cloudasset.savedqueries.create
cloudasset.savedqueries.delete
cloudasset.savedqueries.get
cloudasset.savedqueries.list
cloudasset.savedqueries.update

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créez une requête enregistrée

gcloud

Pour créer une requête d'analyse des règles enregistrée dans un projet, un dossier ou une organisation parent, utilisez la commande gcloud asset saved-queries create.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

SCOPE_RESOURCE_TYPE_PLURAL: type de ressource auquel vous souhaitez limiter votre recherche, au pluriel. Seules les règles d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez limiter votre recherche. Seules les règles d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
FULL_RESOURCE_NAME : facultatif. Nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Pour obtenir la liste des formats de noms de ressources complets, consultez la section Format du nom des ressources.
PRINCIPAL : facultatif. Compte principal dont vous souhaitez analyser l'accès, au format PRINCIPAL_TYPE:ID (par exemple, user:my-user@example.com). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants principaux.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facultatif. Les autorisations que vous souhaitez vérifier (par exemple, compute.instances.get). Si vous listez plusieurs autorisations, l'outil d'analyse des règles vérifie toutes les autorisations listées.
QUERY_ID: ID à utiliser pour la requête enregistrée, qui doit être unique dans la ressource parente spécifiée (projet, dossier ou organisation). Vous pouvez utiliser des lettres, des chiffres et des traits d'union dans l'ID de requête.
RESOURCE_TYPE: type de ressource pour lequel vous souhaitez enregistrer une requête. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez enregistrer une requête. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
LABEL_KEY et LABEL_VALUE : facultatifs. Liste de paires clé/valeur séparées par une virgule à associer à la requête, qui peut être utilisée dans les opérations de recherche et de liste. Vous pouvez inclure jusqu'à 10 libellés pour chaque requête enregistrée.
DESCRIPTION : facultatif. Chaîne décrivant la requête.

Enregistrez le code suivant dans un fichier nommé request.json :

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

La réponse contient la requête enregistrée. Par exemple, il peut ressembler à ceci:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

Pour créer une requête d'analyseur de règles enregistrée dans un projet, un dossier ou une organisation parent, utilisez la méthode savedQueries.create de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource pour lequel vous souhaitez enregistrer une requête. Utilisez la valeur projects, folders ou organizations.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez enregistrer une requête. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
QUERY_ID: ID à utiliser pour la requête enregistrée, qui doit être unique dans la ressource parente spécifiée (projet, dossier ou organisation). Vous pouvez utiliser des lettres, des chiffres et des traits d'union dans l'ID de requête.
SCOPE_RESOURCE_TYPE: type de ressource pour lequel vous souhaitez limiter votre recherche. Seules les règles d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez limiter votre recherche. Seules les règles d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
FULL_RESOURCE_NAME : facultatif. Nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Pour obtenir la liste des formats de noms de ressources complets, consultez la section Format du nom des ressources.
PRINCIPAL : facultatif. Compte principal dont vous souhaitez analyser l'accès, au format PRINCIPAL_TYPE:ID (par exemple, user:my-user@example.com). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants principaux.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facultatif. Les autorisations que vous souhaitez vérifier (par exemple, compute.instances.get). Si vous listez plusieurs autorisations, l'outil d'analyse des règles vérifie toutes les autorisations listées.
LABEL_KEY et LABEL_VALUE : facultatifs. Paire clé/valeur à associer à la requête, qui peut être utilisée dans les opérations de recherche et de liste. Vous pouvez inclure jusqu'à 10 libellés pour chaque requête enregistrée.
DESCRIPTION : facultatif. Chaîne décrivant la requête.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

Corps JSON de la requête :

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Copiez le corps de la requête et ouvrez la page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Collez le corps de la requête dans cet outil, renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

La réponse contient la requête enregistrée. Par exemple, il peut ressembler à ceci:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Exécuter une requête enregistrée

gcloud

Pour exécuter une requête d'analyse enregistrée, utilisez la commande gcloud asset analyze-iam-policy.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

SCOPE_RESOURCE_TYPE: type de ressource pour lequel vous souhaitez limiter votre recherche. Seules les règles d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur project, folder ou organization.
SCOPE_RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez limiter votre recherche. Seules les règles d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
RESOURCE_TYPE_PLURAL: type de ressource dans laquelle la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas utiliser l'ID alphanumérique du projet pour l'identifier. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez utiliser.

Exécutez la commande gcloud asset analyze-iam-policy:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (PowerShell)

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Windows (cmd.exe)

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

La réponse contient les résultats de l'exécution de la requête enregistrée sur la ressource spécifiée. Pour obtenir des exemples de résultats de requête, consultez la section Analyser les stratégies IAM.

REST

Pour exécuter une requête d'analyse enregistrée, utilisez la méthode analyzeIamPolicy de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

SCOPE_RESOURCE_TYPE: type de ressource pour lequel vous souhaitez limiter votre recherche. Seules les règles d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur projects, folders ou organizations.
SCOPE_RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez limiter votre recherche. Seules les règles d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
RESOURCE_TYPE: type de ressource dans laquelle la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Vous ne pouvez pas utiliser l'ID alphanumérique du projet pour l'identifier. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez utiliser.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

Corps JSON de la requête :

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

APIs Explorer (navigateur)

Obtenir une requête enregistrée

gcloud

Pour obtenir une requête d'analyseur de règles enregistrée, utilisez la commande gcloud asset saved-queries get.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

QUERY_ID: ID de la requête enregistrée que vous souhaitez obtenir.
RESOURCE_TYPE: type de ressource dans laquelle la requête est enregistrée. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

La réponse contient la requête enregistrée. Par exemple, il peut ressembler à ceci:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

Pour obtenir une requête Policy Analyzer enregistrée, utilisez la méthode savedQueries.get de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans laquelle la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lesquels la requête est enregistrée. Vous ne pouvez pas utiliser l'ID alphanumérique du projet pour l'identifier. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez obtenir.

Méthode HTTP et URL :

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Ouvrez la page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

La réponse contient la requête enregistrée. Par exemple, il peut ressembler à ceci:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

Répertorier les requêtes enregistrées

gcloud

Pour répertorier toutes les requêtes enregistrées par l'analyseur de règles dans un projet, un dossier ou une organisation, exécutez la commande gcloud asset saved-queries list.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans laquelle les requêtes sont enregistrées. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez répertorier les requêtes enregistrées. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

La réponse contient toutes les requêtes Policy Analyzer enregistrées pour le projet, le dossier ou l'organisation. Par exemple, il peut ressembler à ceci:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

Pour répertorier toutes les requêtes enregistrées par l'outil d'analyse des règles dans un projet, un dossier ou une organisation, utilisez la méthode savedQueries.list de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans laquelle les requêtes sont enregistrées. Utilisez la valeur projects, folders ou organizations.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez répertorier les requêtes enregistrées. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.

Méthode HTTP et URL :

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

APIs Explorer (navigateur)

La réponse contient toutes les requêtes Policy Analyzer enregistrées pour le projet, le dossier ou l'organisation. Par exemple, il peut ressembler à ceci:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

Mettre à jour une requête enregistrée

gcloud

Pour mettre à jour une requête de l'analyseur de règles enregistrée, utilisez la commande gcloud asset saved-queries update.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

UPDATED_QUERY : facultatif. Requête Policy Analyzer mise à jour que vous souhaitez enregistrer. Pour savoir comment mettre en forme la requête, consultez Créer une requête enregistrée.
RESOURCE_TYPE: type de ressource dans laquelle la requête est enregistrée. Utilisez la valeur project, folder ou organization.
QUERY_ID: ID de la requête enregistrée que vous souhaitez modifier.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud dans lequel la requête est enregistrée. Les ID de projet peuvent être alphanumériques ou numériques. Les ID de dossier et d'organisation sont numériques.
UPDATED_LABELS : facultatif. Les libellés mis à jour que vous souhaitez associer à la requête enregistrée. Vous pouvez également supprimer des libellés avec l'indicateur --remove-labels="KEY_1,KEY_2" ou effacer tous les libellés avec l'indicateur --clear-labels.
UPDATED_DESCRIPTION : facultatif. Description mise à jour de la requête enregistrée.

Enregistrez le code suivant dans un fichier nommé request.json :

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

Windows (PowerShell)

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

Windows (cmd.exe)

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

La réponse contient la requête mise à jour.

REST

Pour mettre à jour une requête Policy Analyzer enregistrée, utilisez la méthode savedQueries.patch de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans laquelle la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lesquels la requête est enregistrée. Vous ne pouvez pas utiliser l'ID alphanumérique du projet pour l'identifier. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez modifier.
UPDATED_FIELDS: liste des champs que vous souhaitez mettre à jour, séparés par une virgule. Par exemple, si vous mettez à jour les champs de contenu, de libellé et de description, vous devez utiliser la valeur content,labels,description.
UPDATED_QUERY : facultatif. Requête Policy Analyzer mise à jour que vous souhaitez enregistrer. Pour savoir comment mettre en forme la requête, consultez Créer une requête enregistrée.
UPDATED_LABELS : facultatif. Les libellés mis à jour que vous souhaitez associer à la requête enregistrée.
UPDATED_DESCRIPTION : facultatif. Description mise à jour de la requête enregistrée.

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

Corps JSON de la requête :

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

APIs Explorer (navigateur)

La réponse contient la requête mise à jour.

Supprimer une requête enregistrée

gcloud

Pour supprimer une requête d'analyseur de règles enregistrée, utilisez la commande gcloud asset saved-queries delete.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

QUERY_ID: ID de la requête enregistrée que vous souhaitez supprimer.
RESOURCE_TYPE: type de ressource dans laquelle la requête est enregistrée. Utilisez la valeur project, folder ou organization.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lesquels la requête est enregistrée. Vous ne pouvez pas utiliser l'ID alphanumérique du projet pour l'identifier. Vous devez utiliser son numéro.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (PowerShell)

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

Windows (cmd.exe)

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

Pour supprimer une requête Policy Analyzer enregistrée, utilisez la méthode savedQueries.delete de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource dans laquelle la requête est enregistrée. Utilisez la valeur projects, folders ou organizations.
RESOURCE_NUM_ID: ID numérique du projet, du dossier ou de l'organisation Google Cloud dans lesquels la requête est enregistrée. Vous ne pouvez pas utiliser l'ID alphanumérique du projet pour l'identifier. Vous devez utiliser son numéro.
QUERY_ID: ID de la requête enregistrée que vous souhaitez supprimer.

Méthode HTTP et URL :

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

APIs Explorer (navigateur)

Si la requête est supprimée, l'API renvoie une réponse vide.