Rôles et autorisations

Cloud Asset Inventory utilise la gestion de l'authentification et des accès (IAM) pour le contrôle des accès. Pour chaque méthode de l'API Cloud Asset Inventory, l'appelant doit disposer des autorisations nécessaires.

Rôles

Pour obtenir les autorisations nécessaires pour utiliser les métadonnées des composants, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation, le dossier ou le projet :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser les métadonnées des composants. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour utiliser les métadonnées des composants :

  • Pour afficher les métadonnées d'un composant :
    • cloudasset.assets.*
    • recommender.cloudAssetInsights.get
    • recommender.cloudAssetInsights.list
    • serviceusage.services.use
  • Pour afficher les métadonnées des composants et utiliser les flux :
    • cloudasset.*
    • recommender.cloudAssetInsights.*
    • serviceusage.services.use

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Autorisations

Le tableau suivant répertorie les autorisations dont l'appelant doit disposer pour appeler chaque méthode d'API dans inventaire des éléments cloud ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent inventaire des éléments cloud, tels que la console Google Cloud ou la gcloud CLI.

Les rôles Lecteur d'éléments Cloud (roles/cloudasset.viewer) et Propriétaire d'éléments Cloud (roles/cloudasset.owner) incluent la plupart de ces autorisations. Si l'appelant s'est vu attribuer l'un de ces rôles et le rôle Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer), il dispose peut-être déjà des autorisations dont il a besoin pour utiliser inventaire des éléments cloud.

RPC

Méthode Autorisations requises
Toutes les API
Tous les appels Cloud Asset Inventory

Tous les appels Cloud Asset Inventory nécessitent l'autorisation serviceusage.services.use.

API d'analyse

AnalyzeIamPolicy

AnalyzeIamPolicyLongRunning

BatchGetEffectiveIamPolicies

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get pour analyser les règles avec des rôles personnalisés

Des autorisations supplémentaires sont requises pour utiliser Google Workspace.

AnalyzeMove

 cloudasset.assets.analyzeMove

AnalyzeOrgPolicies

AnalyzeOrgPolicyGovernedContainers

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

AnalyzeOrgPolicyGovernedAssets

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
API de flux

CreateFeed

cloudasset.feeds.create

Vous devez également disposer de l'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

DeleteFeed

 cloudasset.feeds.delete

GetFeed

 cloudasset.feeds.get

ListFeed

 cloudasset.feeds.list

UpdateFeed

cloudasset.feeds.update

Vous devez également disposer de l'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API d'inventaire

BatchGetAssetsHistory

ExportAssets

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportAccessPolicy

    Lorsque vous utilisez le type de contenu ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Lorsque vous utilisez le type de contenu IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Lorsque vous utilisez le type de contenu ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Lorsque vous utilisez le type de contenu OS_INVENTORY.

  • cloudasset.assets.exportResource

    Lorsque vous utilisez les types de contenu RELATIONSHIP ou RESOURCE.

    Limiter l'accès aux ressources

    Si vous accordez l'autorisation cloudasset.assets.exportResource à un utilisateur, il pourra exporter tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut exporter, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.exportComputeDisks seule pour permettre à un utilisateur d'exporter uniquement le type de ressource compute.googleapis.com/Disk.

    Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux types de contenu non spécifiés.

    Consultez la liste des autorisations cloudasset.assets.export* précises.

ListAssets

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Lorsque vous utilisez les types de contenu RELATIONSHIP et RESOURCE.

    Limiter l'accès aux ressources

    Accorder l'autorisation cloudasset.assets.listResource à un utilisateur lui permet de lister tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut lister, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.listComputeDisks seule pour permettre à un utilisateur de lister uniquement le type de ressource compute.googleapis.com/Disk.

    Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux types de contenu non spécifiés.

    Consultez la liste des autorisations cloudasset.assets.list* précises.

QueryAssets

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource pour les types de contenu RELATIONSHIP et RESOURCE.
API Search

SearchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

SearchAllResources

cloudasset.assets.searchAllResources

Vous avez également besoin de cloudasset.assets.searchEnrichmentResourceOwners si vous recherchez l'enrichissement du propriétaire de la ressource.

REST

Méthode Autorisations requises
Toutes les API
Tous les appels Cloud Asset Inventory

Tous les appels Cloud Asset Inventory nécessitent l'autorisation serviceusage.services.use.

API d'analyse

analyzeIamPolicy

analyzeIamPolicyLongRunning

effectiveIamPolicies.batchGet

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get pour analyser les règles avec des rôles personnalisés

Des autorisations supplémentaires sont requises pour utiliser Google Workspace.

analyzeMove

 cloudasset.assets.analyzeMove

analyzeOrgPolicies

analyzeOrgPolicyGovernedContainers

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyzeOrgPolicyGovernedAssets

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
API de flux

feeds.create

cloudasset.feeds.create

Vous devez également disposer de l'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds.delete

 cloudasset.feeds.delete

feeds.get

 cloudasset.feeds.get

feeds.list

 cloudasset.feeds.list

feeds.patch

cloudasset.feeds.update

Vous devez également disposer de l'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API d'inventaire

batchGetAssetsHistory

exportAssets

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportAccessPolicy

    Lorsque vous utilisez le type de contenu ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Lorsque vous utilisez le type de contenu IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Lorsque vous utilisez le type de contenu ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Lorsque vous utilisez le type de contenu OS_INVENTORY.

  • cloudasset.assets.exportResource

    Lorsque vous utilisez les types de contenu RELATIONSHIP ou RESOURCE.

    Limiter l'accès aux ressources

    Si vous accordez l'autorisation cloudasset.assets.exportResource à un utilisateur, il pourra exporter tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut exporter, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.exportComputeDisks seule pour permettre à un utilisateur d'exporter uniquement le type de ressource compute.googleapis.com/Disk.

    Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux types de contenu non spécifiés.

    Consultez la liste des autorisations cloudasset.assets.export* précises.

assets.list

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Lorsque vous utilisez les types de contenu RELATIONSHIP et RESOURCE.

    Limiter l'accès aux ressources

    Accorder l'autorisation cloudasset.assets.listResource à un utilisateur lui permet de lister tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut lister, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.listComputeDisks seule pour permettre à un utilisateur de lister uniquement le type de ressource compute.googleapis.com/Disk.

    Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux types de contenu non spécifiés.

    Consultez la liste des autorisations cloudasset.assets.list* précises.

queryAssets

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource pour les types de contenu RELATIONSHIP et RESOURCE.
API Search

searchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

searchAllResources

cloudasset.assets.searchAllResources

Vous avez également besoin de cloudasset.assets.searchEnrichmentResourceOwners si vous recherchez l'enrichissement du propriétaire de la ressource.

gcloud

Énoncé de positionnement Autorisations requises
Toutes les API
Tous les appels Cloud Asset Inventory

Tous les appels Cloud Asset Inventory nécessitent l'autorisation serviceusage.services.use.

API d'analyse

analyze-iam-policy

analyze-iam-policy-longrunning

get-effective-iam-policy

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get pour analyser les règles avec des rôles personnalisés

Des autorisations supplémentaires sont requises pour utiliser Google Workspace.

analyze-move

 cloudasset.assets.analyzeMove

analyze-org-policies

analyze-org-policy-governed-containers

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyze-org-policy-governed-assets

Toutes les autorisations suivantes :

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
API de flux

feeds create

cloudasset.feeds.create

Vous devez également disposer de l'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds delete

 cloudasset.feeds.delete

feeds describe

 cloudasset.feeds.get

feeds list

 cloudasset.feeds.list

feeds update

cloudasset.feeds.update

Vous devez également disposer de l'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API d'inventaire

export

get-history

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.exportAccessPolicy

    Lorsque vous utilisez le type de contenu ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Lorsque vous utilisez le type de contenu IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Lorsque vous utilisez le type de contenu ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Lorsque vous utilisez le type de contenu OS_INVENTORY.

  • cloudasset.assets.exportResource

    Lorsque vous utilisez les types de contenu RELATIONSHIP ou RESOURCE.

    Limiter l'accès aux ressources

    Si vous accordez l'autorisation cloudasset.assets.exportResource à un utilisateur, il pourra exporter tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut exporter, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.exportComputeDisks seule pour permettre à un utilisateur d'exporter uniquement le type de ressource compute.googleapis.com/Disk.

    Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux types de contenu non spécifiés.

    Consultez la liste des autorisations cloudasset.assets.export* précises.

list

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Lorsque vous utilisez les types de contenu RELATIONSHIP et RESOURCE.

    Limiter l'accès aux ressources

    Accorder l'autorisation cloudasset.assets.listResource à un utilisateur lui permet de lister tous les types de ressources. Pour limiter les types de ressources qu'un utilisateur peut lister, vous pouvez accorder des autorisations pour chaque type de ressource. Par exemple, vous pouvez accorder l'autorisation cloudasset.assets.listComputeDisks seule pour permettre à un utilisateur de lister uniquement le type de ressource compute.googleapis.com/Disk.

    Ces autorisations précises ne s'appliquent qu'à RESOURCE et aux types de contenu non spécifiés.

    Consultez la liste des autorisations cloudasset.assets.list* précises.

query

L'une des autorisations suivantes, selon le type de contenu :

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource pour les types de contenu RELATIONSHIP et RESOURCE.
API Search

search-all-iam-policies

 cloudasset.assets.searchAllIamPolicies

search-all-resources

cloudasset.assets.searchAllResources

Vous avez également besoin de cloudasset.assets.searchEnrichmentResourceOwners si vous recherchez l'enrichissement du propriétaire de la ressource.

Console

La console Google Cloud utilise l'API SearchAllResources pour demander des données. Pour utiliser l'inventaire des éléments Cloud dans la console Google Cloud , accordez les autorisations suivantes :

  • cloudasset.assets.searchAllResources
  • serviceusage.services.use

VPC Service Controls

VPC Service Controls peut être utilisé avec Cloud Asset Inventory pour renforcer la sécurité de vos éléments. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Pour en savoir plus sur les limites liées à l'utilisation de Cloud Asset Inventory avec VPC Service Controls, consultez la page Produits compatibles et limites.