此页面由 Cloud Translation API 翻译。

将政策分析写入 Cloud Storage

本页面介绍如何异步分析 Identity and Access Management (IAM) 政策并将结果写入 Cloud Storage。此功能基本等同于分析 IAM 政策，不同之处在于分析结果会写入 Cloud Storage 存储分区。

准备工作

Enable the Cloud Asset API.

Enable the API

您必须在要用于发送查询的项目或组织中启用该 API。此资源不必与您查询范围内的资源相同。

所需的角色和权限

若要运行政策分析并将结果导出到 Cloud Storage，您需要具备以下角色和权限。

所需 IAM 角色

如需获得分析政策并将结果导出到 BigQuery 所需的权限，请让管理员向您授予您要将查询范围限定到的项目、文件夹或组织的以下 IAM 角色：

Cloud Asset Viewer (roles/cloudasset.viewer)
Storage Object Creator (roles/storage.objectCreator)
如需使用自定义 IAM 角色分析政策，请使用： Role Viewer (roles/iam.roleViewer)
如需使用 Google Cloud CLI 分析政策，请执行以下操作： Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

这些预定义角色包含分析政策并将结果导出到 BigQuery 所需的权限。如需查看所需的确切权限，请展开所需权限部分：

所需权限

如需分析政策并将结果导出到 BigQuery，您需要具备以下权限：

cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllResources
cloudasset.assets.searchAllIamPolicies
storage.objects.create
如需使用自定义 IAM 角色分析政策，请执行以下操作： iam.roles.get
如需使用 Google Cloud CLI 分析政策，请执行以下操作： serviceusage.services.use

您也可以使用自定义角色或其他预定义角色来获取这些权限。

必需的 Google Workspace 权限

如果您想查看某个主账号是否因其属于某个 Google Workspace 群组而拥有特定角色或权限，则需要拥有 groups.read Google Workspace 权限。Groups Reader Admin 角色以及更强大的角色（例如 Groups Admin 或 Super Admin 角色）都包含此权限。如需了解详情，请参阅分配特定管理员角色。

分析政策和导出结果

AnalyzeIamPolicyLongrunning 方法允许您发出分析请求，并在指定的 Cloud Storage 存储桶中获取结果。

gcloud

在使用下面的命令数据之前，请先进行以下替换：

RESOURCE_TYPE：您要将搜索范围限定为的资源类型。系统只会分析附加在此资源及其后代资源的 IAM 允许政策。使用值 project、folder 或 organization。
RESOURCE_ID：要将搜索范围限定为的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加在此资源及其后代资源的 IAM 允许政策。项目 ID 是字母数字字符串，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
PRINCIPAL：您要分析其访问权限的主账号，格式为 PRINCIPAL_TYPE:ID，例如 user:my-user@example.com。如需查看主账号类型的完整列表，请参阅主账号标识符。
PERMISSIONS：您要检查的权限的逗号分隔列表，例如 compute.instances.get,compute.instances.start。如果您列出了多项权限，政策分析器会检查所列的任何权限。
STORAGE_OBJECT_URI：您要将分析结果导出到的 Cloud Storage 对象的唯一资源标识符，格式为 gs://BUCKET_NAME/OBJECT_NAME，例如 gs://my-bucket/analysis.json。

执行 gcloud asset analyze-iam-policy-longrunning 命令：

Linux、macOS 或 Cloud Shell

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (PowerShell)

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --gcs-output-path=STORAGE_OBJECT_URI

Windows (cmd.exe)

注意：如果此命令使用 ' 引用内容，请用英文双引号替换这些单引号。如果引用嵌套，请使用 \" 对内部引号进行转义。

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --gcs-output-path=STORAGE_OBJECT_URI

您应该会收到类似如下所示的响应：

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

如需分析 IAM 允许政策并将结果导出到 Cloud Storage，请使用 Cloud Asset Inventory API 的 analyzeIamPolicyLongrunning 方法。

在使用任何请求数据之前，请先进行以下替换：

RESOURCE_TYPE：您要将搜索范围限定为的资源类型。系统只会分析附加在此资源及其后代资源的 IAM 允许政策。使用值 projects、folders 或 organizations。
RESOURCE_ID：要将搜索范围限定为的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加在此资源及其后代资源的 IAM 允许政策。项目 ID 是字母数字字符串，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
FULL_RESOURCE_NAME：可选。要分析其访问权限的资源的完整资源名称。如需完整的资源名称格式列表，请参阅资源名称格式。
PRINCIPAL：可选。您要分析其访问权限的主账号，格式为 PRINCIPAL_TYPE:ID，例如 user:my-user@example.com。如需查看主账号类型的完整列表，请参阅主账号标识符。
PERMISSION_1、PERMISSION_2... PERMISSION_N：可选。您要检查的权限，例如 compute.instances.get。如果您列出了多个权限，政策分析器会检查列出的任何权限。
STORAGE_OBJECT_URI：您要将分析结果导出到的 Cloud Storage 对象的唯一资源标识符，格式为 gs://BUCKET_NAME/OBJECT_NAME，例如 gs://my-bucket/analysis.json。

HTTP 方法和网址：

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

请求 JSON 正文：

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "outputConfig": {
      "gcsDestination": {
        "uri": "STORAGE_OBJECT_URI"
      }
    }
  }
}

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

APIs Explorer（浏览器）

复制请求正文并打开方法参考页面。APIs Explorer 面板会在页面右侧打开。您可以与此工具进行交互以发送请求。将请求正文粘贴到此工具中，填写任何其他必填字段，然后点击执行。

您应该收到类似以下内容的 JSON 响应：

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}

查看 IAM 政策分析结果

如需查看 IAM 政策分析结果，请执行以下操作：

在 Google Cloud 控制台中，前往存储桶页面。

前往“存储分区”页面
打开分析写入的新文件。

结果列出了 {identity, role(s)/permission(s), resource} 的元组以及生成这些元组的 IAM 政策。