角色和權限
透過集合功能整理內容
你可以依據偏好儲存及分類內容。
Cloud Asset Inventory 會使用 Identity and Access Management (IAM) 來進行存取權控制。呼叫者必須擁有所需權限,才能存取個別 Cloud Asset Inventory API 方法。
角色
如要取得處理資產中繼資料所需的權限,請要求管理員在機構、資料夾或專案中授予下列 IAM 角色:
-
如要查看資產中繼資料,請按照下列步驟操作:
-
如要查看資產中繼資料及使用動態饋給,請按照下列步驟操作:
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這些預先定義角色具備處理資產中繼資料所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要使用資產中繼資料,必須具備下列權限:
-
如要查看資產中繼資料,請按照下列步驟操作:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
如要查看資產中繼資料及使用動態饋給:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
您或許還可透過自訂角色或其他預先定義的角色取得這些權限。
權限
下表列出呼叫者在 Cloud Asset Inventory 中呼叫每個 API 方法時必須具備的權限,或是透過使用 Cloud Asset Inventory 的工具 (例如 Google Cloud 主控台或 gcloud CLI) 執行工作所需的權限。 Google Cloud
Cloud Asset 檢視者 (roles/cloudasset.viewer) 和 Cloud Asset 擁有者 (roles/cloudasset.owner) 角色包含許多這類權限。如果呼叫端已獲授權其中一個角色和「服務使用情形消費者」(roles/serviceusage.serviceUsageConsumer) 角色,可能已具備使用 Cloud Asset Inventory 的必要權限。
RPC
| 方法 |
所需權限 |
| 所有 API |
| 所有 Cloud Asset Inventory 呼叫 |
所有 Cloud Asset Inventory 呼叫都需要 serviceusage.services.use 權限。
|
| 分析 API |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
下列所有權限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
,使用自訂角色分析政策
如要使用 Google Workspace,必須具備其他權限。
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
下列所有權限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
下列所有權限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| 動態饋給 API |
CreateFeed
|
cloudasset.feeds.create
視
內容類型而定,您還需要下列其中一項權限:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
視
內容類型而定,您還需要下列其中一項權限:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
BatchGetAssetsHistory
ExportAssets
|
視
內容類型而定,您需要下列其中一項權限:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 內容類型時。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 內容類型時。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 內容類型時。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 內容類型時。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 內容類型時。
限制資源存取權
授予使用者
cloudasset.assets.exportResource
權限後,他們就能匯出所有資源類型。如要限制使用者可匯出的資源類型,可以改為授予每種資源類型的權限。舉例來說,您可以單獨授予 cloudasset.assets.exportComputeDisks 權限,只允許使用者匯出 compute.googleapis.com/Disk 資源類型。
這些細部權限僅適用於 RESOURCE 和未指定的
內容類型。
查看精細 cloudasset.assets.export* 權限清單。
|
ListAssets
|
視
內容類型而定,您需要下列其中一項權限:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 和 RESOURCE 內容類型時。
限制資源存取權
授予使用者
cloudasset.assets.listResource
權限後,他們就能列出所有資源類型。如要限制使用者可列出的資源類型,可以改為授予每種資源類型的權限。舉例來說,您可以單獨授予 cloudasset.assets.listComputeDisks 權限,只允許使用者列出 compute.googleapis.com/Disk 資源類型。
這些細部權限僅適用於 RESOURCE 和未指定的
內容類型。
查看精細 cloudasset.assets.list* 權限清單。
|
QueryAssets
|
視
內容類型而定,您需要下列其中一項權限:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
和 RESOURCE 內容類型。RELATIONSHIP
|
| Search API |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
如果搜尋資源擁有者擴充功能,也需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
REST
| 方法 |
所需權限 |
| 所有 API |
| 所有 Cloud Asset Inventory 呼叫 |
所有 Cloud Asset Inventory 呼叫都需要 serviceusage.services.use 權限。
|
| 分析 API |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
下列所有權限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
,使用自訂角色分析政策
如要使用 Google Workspace,必須具備其他權限。
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
下列所有權限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
下列所有權限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| 動態饋給 API |
feeds.create
|
cloudasset.feeds.create
視
內容類型而定,您還需要下列其中一項權限:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
視
內容類型而定,您還需要下列其中一項權限:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
batchGetAssetsHistory
exportAssets
|
視
內容類型而定,您需要下列其中一項權限:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 內容類型時。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 內容類型時。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 內容類型時。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 內容類型時。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 內容類型時。
限制資源存取權
授予使用者
cloudasset.assets.exportResource
權限後,他們就能匯出所有資源類型。如要限制使用者可匯出的資源類型,可以改為授予每種資源類型的權限。舉例來說,您可以單獨授予 cloudasset.assets.exportComputeDisks 權限,只允許使用者匯出 compute.googleapis.com/Disk 資源類型。
這些細部權限僅適用於 RESOURCE 和未指定的
內容類型。
查看精細 cloudasset.assets.export* 權限清單。
|
assets.list
|
視
內容類型而定,您需要下列其中一項權限:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 和 RESOURCE 內容類型時。
限制資源存取權
授予使用者
cloudasset.assets.listResource
權限後,他們就能列出所有資源類型。如要限制使用者可列出的資源類型,可以改為授予每種資源類型的權限。舉例來說,您可以單獨授予 cloudasset.assets.listComputeDisks 權限,只允許使用者列出 compute.googleapis.com/Disk 資源類型。
這些細部權限僅適用於 RESOURCE 和未指定的
內容類型。
查看精細 cloudasset.assets.list* 權限清單。
|
queryAssets
|
視
內容類型而定,您需要下列其中一項權限:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
和 RESOURCE 內容類型。RELATIONSHIP
|
| Search API |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
如果搜尋資源擁有者擴充功能,也需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
gcloud
| 定位聲明 |
所需權限 |
| 所有 API |
| 所有 Cloud Asset Inventory 呼叫 |
所有 Cloud Asset Inventory 呼叫都需要 serviceusage.services.use 權限。
|
| 分析 API |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
下列所有權限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
,使用自訂角色分析政策
如要使用 Google Workspace,必須具備其他權限。
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
下列所有權限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
下列所有權限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| 動態饋給 API |
feeds create
|
cloudasset.feeds.create
視
內容類型而定,您還需要下列其中一項權限:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
視
內容類型而定,您還需要下列其中一項權限:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
export
get-history
|
視
內容類型而定,您需要下列其中一項權限:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 內容類型時。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 內容類型時。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 內容類型時。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 內容類型時。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 內容類型時。
限制資源存取權
授予使用者
cloudasset.assets.exportResource
權限後,他們就能匯出所有資源類型。如要限制使用者可匯出的資源類型,可以改為授予每種資源類型的權限。舉例來說,您可以單獨授予 cloudasset.assets.exportComputeDisks 權限,只允許使用者匯出 compute.googleapis.com/Disk 資源類型。
這些細部權限僅適用於 RESOURCE 和未指定的
內容類型。
查看精細 cloudasset.assets.export* 權限清單。
|
list
|
視
內容類型而定,您需要下列其中一項權限:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 和 RESOURCE 內容類型時。
限制資源存取權
授予使用者
cloudasset.assets.listResource
權限後,他們就能列出所有資源類型。如要限制使用者可列出的資源類型,可以改為授予每種資源類型的權限。舉例來說,您可以單獨授予 cloudasset.assets.listComputeDisks 權限,只允許使用者列出 compute.googleapis.com/Disk 資源類型。
這些細部權限僅適用於 RESOURCE 和未指定的
內容類型。
查看精細 cloudasset.assets.list* 權限清單。
|
query
|
視
內容類型而定,您需要下列其中一項權限:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
和 RESOURCE 內容類型。RELATIONSHIP
|
| Search API |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
如果搜尋資源擁有者擴充功能,也需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
主控台
Google Cloud 控制台會使用 SearchAllResources API 要求資料。如要在 Google Cloud 控制台中使用 Cloud Asset Inventory,請授予下列權限:
cloudasset.assets.searchAllResources
serviceusage.services.use
VPC Service Controls
VPC Service Controls 可與 Cloud Asset Inventory 搭配使用,為資產提供多一層的安全保護。如要進一步瞭解 VPC Service Controls,請參閱 VPC Service Controls 總覽。
如要瞭解搭配 Cloud Asset Inventory 使用 VPC Service Controls 的限制,請參閱支援的產品和限制一文。
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-10-21 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-10-21 (世界標準時間)。"],[],[]]
