Cette page a été traduite par l'API Cloud Translation.

Écrire l'analyse des stratégies dans Cloud Storage

Cette page explique comment analyser les stratégies IAM (Identity and Access Management) de manière asynchrone et écrire les résultats dans Cloud Storage. Cette fonctionnalité est en grande partie équivalente à l'analyse de stratégie IAM, sauf que le résultat d'analyse est écrit dans un bucket Cloud Storage.

Avant de commencer

Enable the Cloud Asset API.

Enable the API

Vous devez activer l'API dans le projet ou l'organisation que vous utiliserez pour envoyer la requête. Il ne doit pas nécessairement s'agir de la même ressource que celle à laquelle vous limitez votre requête.

Rôles et autorisations requis

Les rôles et autorisations suivants sont requis pour exécuter une analyse des stratégies et exporter les résultats vers Cloud Storage.

Rôles IAM requis

Pour obtenir les autorisations nécessaires pour analyser une stratégie et exporter les résultats vers BigQuery, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet, le dossier ou l'organisation auxquels vous limiterez votre requête:

Lecteur d'éléments Cloud (roles/cloudasset.viewer)
Créateur d'objets Storage (roles/storage.objectCreator)
Pour analyser les stratégies avec des rôles IAM personnalisés : Lecteur de rôles (roles/iam.roleViewer)
Pour analyser les règles à l'aide de la Google Cloud CLI : Consommateur d'utilisation du service (roles/serviceusage.serviceUsageConsumer)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour analyser une stratégie et exporter les résultats vers BigQuery. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour analyser une stratégie et exporter les résultats vers BigQuery:

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
storage.objects.create
Pour analyser les règles avec des rôles IAM personnalisés : iam.roles.get
Pour analyser les règles à l'aide de la Google Cloud CLI : serviceusage.services.use

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Autorisations Google Workspace requises

Si vous souhaitez savoir si un compte principal dispose de certains rôles ou autorisations en raison de son appartenance à un groupe Google Workspace, vous avez besoin de l'autorisation Google Workspace groups.read. Cette autorisation est incluse dans le rôle d'administrateur Lecteur de groupes et dans des rôles plus puissants tels que les rôles Administrateur des Groupes ou Super-administrateur. Pour en savoir plus, consultez Attribuer des rôles d'administrateur spécifiques.

Analyser les règles et exporter les résultats

La méthode AnalyzeIamPolicyLongrunning vous permet d'émettre une requête d'analyse et d'obtenir les résultats dans le bucket Cloud Storage spécifié.

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource pour lequel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur project, folder ou organization.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
PRINCIPAL: compte principal dont vous souhaitez analyser l'accès, sous la forme PRINCIPAL_TYPE:ID (par exemple, user:my-user@example.com). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants principaux.
PERMISSIONS: liste des autorisations que vous souhaitez vérifier, séparées par une virgule (par exemple, compute.instances.get,compute.instances.start). Si vous listez plusieurs autorisations, l'outil d'analyse des règles vérifie toutes les autorisations listées.
STORAGE_OBJECT_URI: identifiant de ressource unique de l'objet Cloud Storage vers lequel vous souhaitez exporter les résultats d'analyse, sous la forme gs://BUCKET_NAME/OBJECT_NAME (par exemple, gs://my-bucket/analysis.json).

Exécutez la commande gcloud asset analyze-iam-policy-longrunning:

Linux, macOS ou Cloud Shell

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (PowerShell)

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (cmd.exe)

Remarque:Si cette commande utilise ' pour citer un contenu, remplacez ces guillemets simples par des guillemets doubles. Si les guillemets sont imbriqués, utilisez \" pour échapper les guillemets internes.

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --gcs-output-path=STORAGE_OBJECT_URI

Vous devriez obtenir un résultat semblable à celui-ci :

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

Pour analyser une stratégie d'autorisation IAM et exporter les résultats vers Cloud Storage, utilisez la méthode analyzeIamPolicyLongrunning de l'API Cloud Asset Inventory.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

RESOURCE_TYPE: type de ressource pour lequel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Utilisez la valeur projects, folders ou organizations.
RESOURCE_ID: ID du projet, du dossier ou de l'organisation Google Cloud pour lequel vous souhaitez limiter votre recherche. Seules les stratégies d'autorisation IAM associées à cette ressource et à ses descendants seront analysées. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
FULL_RESOURCE_NAME : facultatif. Nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Pour obtenir la liste des formats de noms de ressources complets, consultez la section Format du nom des ressources.
PRINCIPAL : facultatif. Compte principal dont vous souhaitez analyser l'accès, au format PRINCIPAL_TYPE:ID (par exemple, user:my-user@example.com). Pour obtenir la liste complète des types de comptes principaux, consultez la section Identifiants principaux.
PERMISSION_1, PERMISSION_2... PERMISSION_N: facultatif. Les autorisations que vous souhaitez vérifier (par exemple, compute.instances.get). Si vous listez plusieurs autorisations, l'outil d'analyse des règles vérifie toutes les autorisations listées.
STORAGE_OBJECT_URI: identifiant de ressource unique de l'objet Cloud Storage vers lequel vous souhaitez exporter les résultats d'analyse, sous la forme gs://BUCKET_NAME/OBJECT_NAME (par exemple, gs://my-bucket/analysis.json).

Méthode HTTP et URL :

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

Corps JSON de la requête :

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "outputConfig": {
      "gcsDestination": {
        "uri": "STORAGE_OBJECT_URI"
      }
    }
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

APIs Explorer (navigateur)

Copiez le corps de la requête et ouvrez la page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Collez le corps de la requête dans cet outil, renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

Afficher les résultats d'analyse des stratégies IAM

Pour afficher votre analyse de stratégie IAM, procédez comme suit :

Dans la console Google Cloud, accédez à la page Buckets.

Accéder à "Buckets"
Ouvrez le fichier dans lequel vous avez exporté votre analyse.

Les résultats répertorient les tuples de {identity, role(s)/permission(s), resource} ainsi que les stratégies IAM qui génèrent ces tuples.