Cloud Asset Inventory verwendet für die Zugriffssteuerung Identity and Access Management (IAM). Zum Aufrufen der Methoden in der Cloud Asset Inventory API werden die erforderlichen Berechtigungen benötigt.
Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Arbeit mit Asset-Metadaten benötigen:
-
So rufen Sie Asset-Metadaten auf:
-
So rufen Sie Asset-Metadaten auf und arbeiten mit Feeds:
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Arbeiten mit Asset-Metadaten erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um mit Asset-Metadaten zu arbeiten:
-
So rufen Sie Asset-Metadaten auf:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
So rufen Sie Asset-Metadaten auf und arbeiten mit Feeds:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Berechtigungen
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer haben muss, um die einzelnen Methoden in Cloud Asset Inventory aufzurufen oder Aufgaben mit Google Cloud -Tools auszuführen, die Cloud Asset Inventory verwenden, z. B. die Google Cloud Console oder die gcloud CLI.
Die Rollen „Cloud-Asset-Betrachter“ (roles/cloudasset.viewer) und „Cloud-Asset-Inhaber“ (roles/cloudasset.owner) umfassen viele dieser Berechtigungen. Wenn dem Aufrufer eine dieser Rollen und die Rolle „Service Usage Consumer“ (roles/serviceusage.serviceUsageConsumer) zugewiesen wurde, hat er möglicherweise bereits die Berechtigungen, die er für die Verwendung von Cloud Asset Inventory benötigt.
RPC
| Methode |
Erforderliche Berechtigungen |
| Alle APIs |
| Alle Cloud Asset Inventory-Aufrufe |
Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung serviceusage.services.use erforderlich.
|
| Analyse-APIs |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
Richtlinien mit benutzerdefinierten Rollen analysieren
Für die Arbeit mit Google Workspace sind zusätzliche Berechtigungen erforderlich.
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed-APIs |
CreateFeed
|
cloudasset.feeds.create
Außerdem benötigen Sie je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
Außerdem benötigen Sie je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory APIs |
BatchGetAssetsHistory
ExportAssets
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
-
cloudasset.assets.exportAccessPolicy
Wenn Sie den Inhaltstyp ACCESS_POLICY verwenden.
-
cloudasset.assets.exportIamPolicy
Wenn Sie den Inhaltstyp IAM_POLICY verwenden.
-
cloudasset.assets.exportOrgPolicy
Wenn Sie den Inhaltstyp ORG_POLICY verwenden.
-
cloudasset.assets.exportOSInventories
Wenn Sie den Inhaltstyp OS_INVENTORY verwenden.
-
cloudasset.assets.exportResource
Bei Verwendung der Inhaltstypen RELATIONSHIP oder RESOURCE.
Ressourcenzugriff einschränken
Wenn Sie einem Nutzer die Berechtigung
cloudasset.assets.exportResource
gewähren, kann er alle Ressourcentypen exportieren. Wenn Sie einschränken möchten, welche Ressourcentypen ein Nutzer exportieren kann, können Sie stattdessen Berechtigungen für jeden Ressourcentyp gewähren. Sie können beispielsweise die Berechtigung cloudasset.assets.exportComputeDisks allein gewähren, damit ein Nutzer nur den Ressourcentyp compute.googleapis.com/Disk exportieren kann.
Diese detaillierten Berechtigungen gelten nur für RESOURCE und nicht angegebene
Inhaltstypen.
Liste der detaillierten cloudasset.assets.export*-Berechtigungen ansehen
|
ListAssets
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Bei Verwendung der Inhaltstypen RELATIONSHIP und RESOURCE.
Ressourcenzugriff einschränken
Wenn Sie einem Nutzer die Berechtigung
cloudasset.assets.listResource
gewähren, kann er alle Ressourcentypen auflisten. Wenn Sie einschränken möchten, welche Ressourcentypen ein Nutzer auflisten kann, können Sie stattdessen Berechtigungen für jeden Ressourcentyp erteilen. Sie können beispielsweise die Berechtigung cloudasset.assets.listComputeDisks allein gewähren, damit ein Nutzer nur den Ressourcentyp compute.googleapis.com/Disk auflisten kann.
Diese detaillierten Berechtigungen gelten nur für RESOURCE und nicht angegebene
Inhaltstypen.
Liste der detaillierten cloudasset.assets.list*-Berechtigungen ansehen
|
QueryAssets
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
für die Inhaltstypen RELATIONSHIP und RESOURCE.
|
| Search APIs |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
Sie benötigen außerdem
cloudasset.assets.searchEnrichmentResourceOwners
, wenn Sie nach einer Anreicherung des Ressourceninhabers suchen.
|
REST
| Methode |
Erforderliche Berechtigungen |
| Alle APIs |
| Alle Cloud Asset Inventory-Aufrufe |
Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung serviceusage.services.use erforderlich.
|
| Analyse-APIs |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
Richtlinien mit benutzerdefinierten Rollen analysieren
Für die Arbeit mit Google Workspace sind zusätzliche Berechtigungen erforderlich.
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed-APIs |
feeds.create
|
cloudasset.feeds.create
Außerdem benötigen Sie je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
Außerdem benötigen Sie je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory APIs |
batchGetAssetsHistory
exportAssets
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
-
cloudasset.assets.exportAccessPolicy
Wenn Sie den Inhaltstyp ACCESS_POLICY verwenden.
-
cloudasset.assets.exportIamPolicy
Wenn Sie den Inhaltstyp IAM_POLICY verwenden.
-
cloudasset.assets.exportOrgPolicy
Wenn Sie den Inhaltstyp ORG_POLICY verwenden.
-
cloudasset.assets.exportOSInventories
Wenn Sie den Inhaltstyp OS_INVENTORY verwenden.
-
cloudasset.assets.exportResource
Bei Verwendung der Inhaltstypen RELATIONSHIP oder RESOURCE.
Ressourcenzugriff einschränken
Wenn Sie einem Nutzer die Berechtigung
cloudasset.assets.exportResource
gewähren, kann er alle Ressourcentypen exportieren. Wenn Sie einschränken möchten, welche Ressourcentypen ein Nutzer exportieren kann, können Sie stattdessen Berechtigungen für jeden Ressourcentyp gewähren. Sie können beispielsweise die Berechtigung cloudasset.assets.exportComputeDisks allein gewähren, damit ein Nutzer nur den Ressourcentyp compute.googleapis.com/Disk exportieren kann.
Diese detaillierten Berechtigungen gelten nur für RESOURCE und nicht angegebene
Inhaltstypen.
Liste der detaillierten cloudasset.assets.export*-Berechtigungen ansehen
|
assets.list
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Bei Verwendung der Inhaltstypen RELATIONSHIP und RESOURCE.
Ressourcenzugriff einschränken
Wenn Sie einem Nutzer die Berechtigung
cloudasset.assets.listResource
gewähren, kann er alle Ressourcentypen auflisten. Wenn Sie einschränken möchten, welche Ressourcentypen ein Nutzer auflisten kann, können Sie stattdessen Berechtigungen für jeden Ressourcentyp erteilen. Sie können beispielsweise die Berechtigung cloudasset.assets.listComputeDisks allein gewähren, damit ein Nutzer nur den Ressourcentyp compute.googleapis.com/Disk auflisten kann.
Diese detaillierten Berechtigungen gelten nur für RESOURCE und nicht angegebene
Inhaltstypen.
Liste der detaillierten cloudasset.assets.list*-Berechtigungen ansehen
|
queryAssets
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
für die Inhaltstypen RELATIONSHIP und RESOURCE.
|
| Search APIs |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
Sie benötigen außerdem
cloudasset.assets.searchEnrichmentResourceOwners
, wenn Sie nach einer Anreicherung des Ressourceninhabers suchen.
|
gcloud
| Erklärung zur Positionierung |
Erforderliche Berechtigungen |
| Alle APIs |
| Alle Cloud Asset Inventory-Aufrufe |
Für alle Cloud Asset Inventory-Aufrufe ist die Berechtigung serviceusage.services.use erforderlich.
|
| Analyse-APIs |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
Richtlinien mit benutzerdefinierten Rollen analysieren
Für die Arbeit mit Google Workspace sind zusätzliche Berechtigungen erforderlich.
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
Alle der folgenden Berechtigungen:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed-APIs |
feeds create
|
cloudasset.feeds.create
Außerdem benötigen Sie je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
Außerdem benötigen Sie je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory APIs |
export
get-history
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
-
cloudasset.assets.exportAccessPolicy
Wenn Sie den Inhaltstyp ACCESS_POLICY verwenden.
-
cloudasset.assets.exportIamPolicy
Wenn Sie den Inhaltstyp IAM_POLICY verwenden.
-
cloudasset.assets.exportOrgPolicy
Wenn Sie den Inhaltstyp ORG_POLICY verwenden.
-
cloudasset.assets.exportOSInventories
Wenn Sie den Inhaltstyp OS_INVENTORY verwenden.
-
cloudasset.assets.exportResource
Bei Verwendung der Inhaltstypen RELATIONSHIP oder RESOURCE.
Ressourcenzugriff einschränken
Wenn Sie einem Nutzer die Berechtigung
cloudasset.assets.exportResource
gewähren, kann er alle Ressourcentypen exportieren. Wenn Sie einschränken möchten, welche Ressourcentypen ein Nutzer exportieren kann, können Sie stattdessen Berechtigungen für jeden Ressourcentyp gewähren. Sie können beispielsweise die Berechtigung cloudasset.assets.exportComputeDisks allein gewähren, damit ein Nutzer nur den Ressourcentyp compute.googleapis.com/Disk exportieren kann.
Diese detaillierten Berechtigungen gelten nur für RESOURCE und nicht angegebene
Inhaltstypen.
Liste der detaillierten cloudasset.assets.export*-Berechtigungen ansehen
|
list
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Bei Verwendung der Inhaltstypen RELATIONSHIP und RESOURCE.
Ressourcenzugriff einschränken
Wenn Sie einem Nutzer die Berechtigung
cloudasset.assets.listResource
gewähren, kann er alle Ressourcentypen auflisten. Wenn Sie einschränken möchten, welche Ressourcentypen ein Nutzer auflisten kann, können Sie stattdessen Berechtigungen für jeden Ressourcentyp erteilen. Sie können beispielsweise die Berechtigung cloudasset.assets.listComputeDisks allein gewähren, damit ein Nutzer nur den Ressourcentyp compute.googleapis.com/Disk auflisten kann.
Diese detaillierten Berechtigungen gelten nur für RESOURCE und nicht angegebene
Inhaltstypen.
Liste der detaillierten cloudasset.assets.list*-Berechtigungen ansehen
|
query
|
Je nach
Inhaltstyp eine der folgenden Berechtigungen:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
für die Inhaltstypen RELATIONSHIP und RESOURCE.
|
| Search APIs |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
Sie benötigen außerdem
cloudasset.assets.searchEnrichmentResourceOwners
, wenn Sie nach einer Anreicherung des Ressourceninhabers suchen.
|
Console
Die Google Cloud Console verwendet die SearchAllResources API, um Daten anzufordern. Wenn Sie Cloud Asset Inventory in der Google Cloud Console verwenden möchten, müssen Sie die folgenden Berechtigungen gewähren:
cloudasset.assets.searchAllResources
serviceusage.services.use
VPC Service Controls
VPC Service Controls kann mit Cloud Asset Inventory verwendet werden, um die Sicherheit Ihrer Assets zu erhöhen. Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.
Welche Einschränkungen sich bei Verwendung von Cloud Asset Inventory mit VPC Service Controls ergeben, erfahren Sie unter Unterstützte Produkte und Einschränkungen.
