Cette page explique comment analyser les stratégies IAM (Identity and Access Management) de manière asynchrone et écrire les résultats dans BigQuery. Ce processus est semblable à l'analyse des stratégies IAM, sauf que le résultat d'analyse est écrit dans les tables BigQuery.
Avant de commencer
Enable the Cloud Asset API.
Vous devez activer l'API dans le projet ou l'organisation que vous utiliserez pour envoyer la requête. Il ne doit pas nécessairement s'agir de la même ressource que celle à laquelle vous limitez votre requête.
Rôles et autorisations requis
Les rôles et autorisations suivants sont requis pour exécuter une analyse de stratégie et exporter les résultats vers BigQuery.
Rôles IAM requis
Pour obtenir les autorisations nécessaires pour analyser une stratégie et exporter les résultats vers BigQuery, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet, le dossier ou l'organisation auxquels vous limiterez votre requête:
-
Éditeur de données BigQuery (
roles/bigquery.dataEditor
) -
Lecteur d'éléments Cloud (
roles/cloudasset.viewer
) -
Pour analyser les stratégies avec des rôles IAM personnalisés :
Lecteur de rôles (
roles/iam.roleViewer
) -
Pour analyser les règles à l'aide de la Google Cloud CLI :
Consommateur d'utilisation du service (
roles/serviceusage.serviceUsageConsumer
)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour analyser une stratégie et exporter les résultats vers BigQuery. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour analyser une stratégie et exporter les résultats vers BigQuery:
-
bigquery.datasets.create
-
bigquery.jobs.create
-
bigquery.tables.create
-
bigquery.tables.get
-
bigquery.tables.updateData
-
bigquery.tables.update
-
cloudasset.assets.analyzeIamPolicy
-
cloudasset.assets.searchAllResources
-
cloudasset.assets.searchAllIamPolicies
-
Pour analyser les règles avec des rôles IAM personnalisés :
iam.roles.get
-
Pour analyser les règles à l'aide de la Google Cloud CLI :
serviceusage.services.use
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Autorisations Google Workspace requises
Si vous souhaitez savoir si un compte principal dispose de certains rôles ou autorisations en raison de son appartenance à un groupe Google Workspace, vous avez besoin de l'autorisation Google Workspace groups.read
. Cette autorisation est incluse dans le rôle d'administrateur Lecteur de groupes et dans des rôles plus puissants tels que les rôles Administrateur des Groupes ou Super-administrateur. Pour en savoir plus, consultez Attribuer des rôles d'administrateur spécifiques.
Analyser les règles et exporter les résultats
Console
Dans la console Google Cloud, accédez à la page "Analyse des stratégies".
Dans la section Analyser les règles, recherchez le modèle de requête que vous souhaitez utiliser, puis cliquez sur Créer une requête. Si vous souhaitez créer une requête personnalisée, cliquez sur Créer une requête personnalisée.
Dans le champ Sélectionner le champ d'application de la requête, sélectionnez le projet, le dossier ou l'organisation auquel vous souhaitez appliquer la requête. Policy Analyzer analyse l'accès pour ce projet, ce dossier ou cette organisation, ainsi que toutes les ressources de ce projet, ce dossier ou cette organisation.
Assurez-vous que vos paramètres de requête sont définis:
- Si vous utilisez un modèle de requête, vérifiez les paramètres de requête préremplis.
- Si vous créez une requête personnalisée, définissez les ressources, les comptes principaux, les rôles et les autorisations pour lesquels vous souhaitez effectuer une requête.
Pour en savoir plus sur les types de requêtes que vous pouvez créer, consultez la section Analyser les stratégies IAM.
Dans le volet portant le nom de la requête, cliquez sur Analyser > Exporter le résultat uniquement. Le volet Exporter les résultats s'ouvre.
Dans la section Définir la destination d'exportation, saisissez les informations suivantes:
- Project (Projet) : projet dans lequel se trouve votre ensemble de données BigQuery.
- Dataset (Ensemble de données) : ensemble de données BigQuery dans lequel vous souhaitez exporter les résultats.
- Table: préfixe des tables BigQuery dans lesquelles les résultats de l'analyse seront écrits. Si une table avec le préfixe spécifié n'existe pas, BigQuery en crée une.
Cliquez sur Continuer.
(Facultatif) Dans la section Configurer des paramètres supplémentaires, sélectionnez les options de votre choix :
- Partitionnement: indique si la table doit être partitionnée. Pour en savoir plus sur les tables partitionnées, consultez la section Présentation des tables partitionnées.
- Préférence d'écriture: spécifie l'action qui se produit si la table ou la partition de destination existe déjà. Par défaut, si la table ou la partition existe déjà, BigQuery ajoute les données à la table ou à la dernière partition.
Cliquez sur Exporter.
L'outil d'analyse des règles exécute votre requête et exporte les résultats vers la table spécifiée.
gcloud
La méthode AnalyzeIamPolicyLongrunning
vous permet d'émettre une requête d'analyse et d'obtenir les résultats dans la destination BigQuery spécifiée.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
RESOURCE_TYPE
: type de ressource pour lequel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeurproject
,folder
ouorganization
.RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
. Les ID de dossier et d'organisation sont numériques, tels que123456789012
.PRINCIPAL
: compte principal dont vous souhaitez analyser l'accès, au formatPRINCIPAL_TYPE:ID
(par exemple,user:my-user@example.com
). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants principaux.PERMISSIONS
: liste des autorisations que vous souhaitez vérifier, séparées par une virgule (par exemple,compute.instances.get,compute.instances.start
). Si vous listez plusieurs autorisations, l'outil d'analyse des règles vérifie toutes les autorisations listées.DATASET
: ensemble de données BigQuery au formatprojects/PROJECT_ID/datasets/DATASET_ID
, oùPROJECT_ID
est l'ID alphanumérique de votre projet Google Cloud etDATASET_ID
est l'ID de votre ensemble de données.TABLE_PREFIX
: préfixe des tables BigQuery dans lesquelles les résultats de l'analyse seront écrits. Si une table avec le préfixe spécifié n'existe pas, BigQuery en crée une.PARTITION_KEY
: facultatif. Clé de partitionnement pour la table partitionnée BigQuery. Policy Analyzer n'est compatible qu'avec les clés de partitionREQUEST_TIME
.WRITE_DISPOSITION
: facultatif. Spécifie l'action qui se produit si la table ou la partition de destination existe déjà. Pour obtenir la liste des valeurs possibles, consultezwriteDisposition
. Par défaut, si la table ou la partition existe déjà, BigQuery ajoute les données à la table ou à la dernière partition.
Exécutez la commande gcloud asset analyze-iam-policy-longrunning:
Linux, macOS ou Cloud Shell
gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \ --full-resource-name=FULL_RESOURCE_NAME \ --identity=PRINCIPAL \ --permissions='PERMISSIONS' \ --bigquery-dataset=DATASET \ --bigquery-table-prefix=TABLE_PREFIX \ --bigquery-partition-key=PARTITION_KEY \ --bigquery-write-disposition=WRITE_DISPOSITION
Windows (PowerShell)
gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ` --full-resource-name=FULL_RESOURCE_NAME ` --identity=PRINCIPAL ` --permissions='PERMISSIONS' ` --bigquery-dataset=DATASET ` --bigquery-table-prefix=TABLE_PREFIX ` --bigquery-partition-key=PARTITION_KEY ` --bigquery-write-disposition=WRITE_DISPOSITION
Windows (cmd.exe)
gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^ --full-resource-name=FULL_RESOURCE_NAME ^ --identity=PRINCIPAL ^ --permissions='PERMISSIONS' ^ --bigquery-dataset=DATASET ^ --bigquery-table-prefix=TABLE_PREFIX ^ --bigquery-partition-key=PARTITION_KEY ^ --bigquery-write-disposition=WRITE_DISPOSITION
Vous devriez obtenir un résultat semblable à celui-ci :
Analyze IAM Policy in progress. Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.
REST
La méthode AnalyzeIamPolicyLongrunning
vous permet d'émettre une requête d'analyse et d'obtenir les résultats dans la destination BigQuery spécifiée.
Pour analyser une stratégie d'autorisation IAM et exporter les résultats vers BigQuery, utilisez la méthode analyzeIamPolicyLongrunning
de l'API Cloud Asset Inventory.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
RESOURCE_TYPE
: type de ressource pour lequel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeurprojects
,folders
ouorganizations
.RESOURCE_ID
: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
. Les ID de dossier et d'organisation sont numériques, tels que123456789012
.-
FULL_RESOURCE_NAME
: facultatif. Nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Pour obtenir la liste des formats de noms de ressources complets, consultez la section Format du nom des ressources. PRINCIPAL
: facultatif. Compte principal dont vous souhaitez analyser l'accès, au formatPRINCIPAL_TYPE:ID
(par exemple,user:my-user@example.com
). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants principaux.PERMISSION_1
,PERMISSION_2
...PERMISSION_N
: facultatif. Les autorisations que vous souhaitez vérifier (par exemple,compute.instances.get
). Si vous listez plusieurs autorisations, l'outil d'analyse des règles vérifie toutes les autorisations listées.DATASET
: ensemble de données BigQuery au formatprojects/PROJECT_ID/datasets/DATASET_ID
, oùPROJECT_ID
est l'ID alphanumérique de votre projet Google Cloud etDATASET_ID
est l'ID de votre ensemble de données.TABLE_PREFIX
: préfixe des tables BigQuery dans lesquelles les résultats de l'analyse seront écrits. Si une table avec le préfixe spécifié n'existe pas, BigQuery en crée une.PARTITION_KEY
: facultatif. Clé de partitionnement pour la table partitionnée BigQuery. Policy Analyzer n'est compatible qu'avec les clés de partitionREQUEST_TIME
.WRITE_DISPOSITION
: facultatif. Spécifie l'action qui se produit si la table ou la partition de destination existe déjà. Pour obtenir la liste des valeurs possibles, consultezwriteDisposition
. Par défaut, si la table ou la partition existe déjà, BigQuery ajoute les données à la table ou à la dernière partition.
Méthode HTTP et URL :
POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning
Corps JSON de la requête :
{ "analysisQuery": { "resourceSelector": { "fullResourceName": "FULL_RESOURCE_NAME" }, "identitySelector": { "identity": "PRINCIPAL" }, "accessSelector": { "permissions": [ "PERMISSION_1", "PERMISSION_2", "PERMISSION_N" ] } }, "outputConfig": { "bigqueryDestination": { "dataset": "DATASET", "tablePrefix": "TABLE_PREFIX", "partitionKey": "PARTITION_KEY", "writeDisposition": "WRITE_DISPOSITION" } } }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003", "metadata": { "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata", "createTime": "2022-04-12T21:31:10.753173929Z" } }
Afficher les résultats d'analyse des stratégies IAM
Pour afficher votre analyse de stratégie IAM, procédez comme suit :
Console
Dans la console Google Cloud, accédez à la page BigQuery.
Pour afficher les tables et les vues de l'ensemble de données, ouvrez le panneau de navigation. Dans la section Explorer, sélectionnez votre projet pour le développer, puis sélectionnez un ensemble de données.
Dans la liste, sélectionnez les tables avec votre préfixe. La table avec un suffixe
analysis
contient la requête et les métadonnées (par exemple, le nom de l'opération, l'heure de la requête et les erreurs non critiques). La table avec le suffixeanalysis_result
est le résultat qui répertorie les tuples de{identity, role(s)/permission(s), resource}
ainsi que les stratégies IAM qui génèrent ces tuples.Pour afficher un exemple d'ensemble de données, sélectionnez l'onglet Aperçu.
API
Pour parcourir les données d'une table, appelez tabledata.list
.
Dans le paramètre tableId
, spécifiez le nom de la table.
Vous pouvez configurer les paramètres facultatifs suivants pour contrôler la sortie.
maxResults
est le nombre maximal de résultats à renvoyer.selectedFields
est une liste de colonnes à renvoyer, séparées par une virgule. Si ce paramètre n'est pas spécifié, toutes les colonnes sont renvoyées.startIndex
est l'index basé sur zéro de la première ligne à lire.
Les valeurs renvoyées sont encapsulées dans un objet JSON que vous devez analyser, comme décrit dans la documentation de référence de tabledata.list
.
Interroger BigQuery
Cette section fournit des exemples de requêtes SQL qui vous montrent comment utiliser les tables BigQuery écrites par AnalyzeIamPolicyLongrunning
. Pour en savoir plus sur la syntaxe BigQuery, consultez la section
Syntaxe des requêtes en SQL standard.
OP_ID est nécessaire pour la plupart des requêtes, vous pouvez l'obtenir à partir de la réponse AnalyzeIamPolicyLongrunning
. Par exemple, dans gcloud, vous trouverez OP_ID dans 123456
sous "Utiliser [gcloud asset operations describe organizations/123456789/operations/AnalyzeIamPolicyLongrunning/123456]
pour vérifier l'état de l'opération".
Répertorier les opérations
La table peut stocker les résultats de plusieurs opérations AnalyzeIamPolicyLongrunning
. Vous pouvez utiliser la requête suivante pour les répertorier :
SELECT DISTINCT requestTime, opName FROM `BQ_PROJECT_ID.BQ_DATASET_NAME.BQ_TABLE_PREFIX_analysis` ORDER BY 1 DESC ;
Répertorier les analyses dans une opération
Dans une opération AnalyzeIamPolicyLongrunning
, plusieurs enregistrements d'analyse peuvent être générés. Par exemple, lorsque vous activez l'option analyze_service_account_impersonation
dans votre requête, le résultat peut contenir une analyse principale (avec analysisId 0) et plusieurs analyses d'usurpation d'identité du compte de service.
Vous pouvez utiliser la requête suivante pour rechercher toutes les analyses en leur attribuant un nom d'opération.
DECLARE _opName STRING DEFAULT "organizations/ORG_ID/operations/AnalyzeIamPolicyLongrunning/OP_ID"; SELECT analysisId, requestTime, TO_JSON_STRING(analysis.analysisQuery, true) as analysisQuery, analysis.fullyExplored, TO_JSON_STRING(analysis.nonCriticalErrors, true) as nonCriticalErrors FROM `BQ_PROJECT_ID.BQ_DATASET_NAME.BQ_TABLE_PREFIX_analysis` WHERE opName=_opName ORDER BY 1 ;
Répertorier les ACE (entrées de contrôle des accès) dans une analyse
Une ACE est une entrée de contrôle d'accès {identity, role(s)/permission(s), resource}
.
Vous pouvez utiliser la requête suivante pour afficher une entrée ACE dans une analyse.
DECLARE _opName STRING DEFAULT "organizations/ORG_ID/operations/AnalyzeIamPolicyLongrunning/OP_ID"; SELECT DISTINCT ids.name AS identity, resources.fullResourceName AS resource, accesses.role AS role, accesses.permission AS permission FROM `BQ_PROJECT_ID.BQ_DATASET_NAME.BQ_TABLE_PREFIX_analysis_result`, UNNEST(analysisResult.identityList.identities) AS ids, UNNEST(analysisResult.accessControlLists) AS acls, UNNEST(acls.accesses) AS accesses, UNNEST(acls.resources) AS resources WHERE opName=_opName AND analysisId = 0 ORDER BY 1,2,3,4 ;
Répertorier les ACE (entrées de contrôle des accès) avec une liaison de stratégie IAM dans une analyse
Dans cette requête, nous répertorions à la fois l'entrée ACE et la liaison de stratégie IAM qui génère cette ACE pour une analyse.
DECLARE _opName STRING DEFAULT "organizations/ORG_ID/operations/AnalyzeIamPolicyLongrunning/OP_ID"; SELECT ids.name AS identity, resources.fullResourceName AS resource, accesses.role AS role, accesses.permission AS permission, analysisResult.attachedResourceFullName as iam_policy_attached_resource, TO_JSON_STRING(analysisResult.iamBinding, true) as iam_policy_binding FROM `BQ_PROJECT_ID.BQ_DATASET_NAME.BQ_TABLE_PREFIX_analysis_result`, UNNEST(analysisResult.identityList.identities) AS ids, UNNEST(analysisResult.accessControlLists) AS acls, UNNEST(acls.accesses) AS accesses, UNNEST(acls.resources) AS resources WHERE opName=_opName AND analysisId = 0 ORDER BY 1,2,3,4 ;
Répertorier les liaisons de stratégie IAM dans une analyse
Dans cette requête, nous répertorions les liaisons de stratégie IAM dans une analyse.
DECLARE _opName STRING DEFAULT "organizations/ORG_ID/operations/AnalyzeIamPolicyLongrunning/OP_ID"; SELECT DISTINCT analysisResult.attachedResourceFullName as iam_policy_attached_resource, TO_JSON_STRING(analysisResult.iamBinding, true) as iam_policy_binding FROM `BQ_PROJECT_ID.BQ_DATASET_NAME.BQ_TABLE_PREFIX_analysis_result` WHERE opName=_opName AND analysisId = 0 ORDER BY 1, 2 ;
Répertorier les liaisons de stratégie IAM avec ACE (entrées de contrôle des accès) dans une analyse
Dans cette requête, nous répertorions les liaisons de stratégies IAM avec leurs entrées ACE dérivées dans une seule analyse.
DECLARE _opName STRING DEFAULT "organizations/ORG_ID/operations/AnalyzeIamPolicyLongrunning/OP_ID"; SELECT analysisResult.attachedResourceFullName as iam_policy_attached_resource, TO_JSON_STRING(analysisResult.iamBinding, true) as iam_policy_binding, TO_JSON_STRING(analysisResult.identityList.identities, true) as identities, TO_JSON_STRING(acls.accesses, true) as accesses, TO_JSON_STRING(acls.resources, true) as resources FROM `BQ_PROJECT_ID.BQ_DATASET_NAME.BQ_TABLE_PREFIX_analysis_result`, UNNEST(analysisResult.accessControlLists) AS acls WHERE opName=_opName AND analysisId = 0 ORDER BY 1,2 ;