O Inventário de recursos do Cloud usa o gerenciamento de identidade e acesso (IAM) para controle
de acesso. Cada método da API do Cloud Asset Inventory exige que o autor da chamada tenha as permissões necessárias.
Papéis
Para receber as permissões necessárias para trabalhar com metadados de recursos,
peça ao administrador para conceder a você os
seguintes papéis do IAM na organização, na pasta ou no projeto:
-
Para ver os metadados do recurso:
-
Para conferir metadados de recursos e trabalhar com feeds:
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm
as permissões necessárias para trabalhar com metadados de recursos. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para trabalhar com metadados de recursos:
-
Para ver os metadados do recurso:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
Para conferir metadados de recursos e trabalhar com feeds:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Permissões
A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada
método na API Inventário de recursos do Cloud ou para executar tarefas usando ferramentas do Google Cloud que
usam o Inventário de recursos do Cloud, como o console do Google Cloud ou a CLI gcloud.
Os papéis Leitor de recursos do Cloud (roles/cloudasset.viewer) e Proprietário de recursos do Cloud (roles/cloudasset.owner) incluem muitas dessas permissões. Se o usuário tiver recebido um desses papéis e o papel de Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer), ele já terá as permissões necessárias para usar o Inventário de recursos do Cloud.
RPC
| Método |
Permissões necessárias |
| Todas as APIs |
| Todas as chamadas do Inventário de recursos do Cloud |
Todas as chamadas do Inventário de recursos do Cloud exigem a permissão serviceusage.services.use.
|
| APIs de análise |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
Todas as seguintes permissões:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analisar políticas com papéis personalizados
Outras permissões são necessárias para trabalhar com o Google Workspace.
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
Todas as seguintes permissões:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
Todas as seguintes permissões:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feed |
CreateFeed
|
cloudasset.feeds.create
Você também precisa de uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
Você também precisa de uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs de inventário |
BatchGetAssetsHistory
ExportAssets
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
-
cloudasset.assets.exportAccessPolicy
Ao usar o tipo de conteúdo ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Ao usar o tipo de conteúdo IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Ao usar o tipo de conteúdo ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Ao usar o tipo de conteúdo OS_INVENTORY.
-
cloudasset.assets.exportResource
Ao usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
Como limitar o acesso a recursos
Ao conceder a permissão
cloudasset.assets.exportResource
a um usuário, ele pode exportar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode exportar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão
cloudasset.assets.exportComputeDisks por si só para permitir que um usuário
exporte apenas o tipo de recurso compute.googleapis.com/Disk.
Essas permissões granulares se aplicam apenas a RESOURCE e a
tipos de conteúdo não especificados.
Confira a lista de permissões granulares do cloudasset.assets.export*.
|
ListAssets
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Ao usar os tipos de conteúdo RELATIONSHIP e RESOURCE.
Como limitar o acesso a recursos
Ao conceder a permissão
cloudasset.assets.listResource
a um usuário, ele pode listar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode listar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão cloudasset.assets.listComputeDisks por si só para permitir que um usuário liste apenas o tipo de recurso compute.googleapis.com/Disk.
Essas permissões granulares se aplicam apenas a RESOURCE e a
tipos de conteúdo não especificados.
Confira a lista de permissões granulares do cloudasset.assets.list*.
|
QueryAssets
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para os tipos de conteúdo RELATIONSHIP e RESOURCE.
|
| APIs da Pesquisa Google |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
Você também precisa de
cloudasset.assets.searchEnrichmentResourceOwners
se
estiver pesquisando o enriquecimento do proprietário do recurso.
|
REST
| Método |
Permissões necessárias |
| Todas as APIs |
| Todas as chamadas do Inventário de recursos do Cloud |
Todas as chamadas do Inventário de recursos do Cloud exigem a permissão serviceusage.services.use.
|
| APIs de análise |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
Todas as seguintes permissões:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analisar políticas com papéis personalizados
Outras permissões são necessárias para trabalhar com o Google Workspace.
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
Todas as seguintes permissões:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
Todas as seguintes permissões:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feed |
feeds.create
|
cloudasset.feeds.create
Você também precisa de uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
Você também precisa de uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs de inventário |
batchGetAssetsHistory
exportAssets
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
-
cloudasset.assets.exportAccessPolicy
Ao usar o tipo de conteúdo ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Ao usar o tipo de conteúdo IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Ao usar o tipo de conteúdo ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Ao usar o tipo de conteúdo OS_INVENTORY.
-
cloudasset.assets.exportResource
Ao usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
Como limitar o acesso a recursos
Ao conceder a permissão
cloudasset.assets.exportResource
a um usuário, ele pode exportar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode exportar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão
cloudasset.assets.exportComputeDisks por si só para permitir que um usuário
exporte apenas o tipo de recurso compute.googleapis.com/Disk.
Essas permissões granulares se aplicam apenas a RESOURCE e a
tipos de conteúdo não especificados.
Confira a lista de permissões granulares do cloudasset.assets.export*.
|
assets.list
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Ao usar os tipos de conteúdo RELATIONSHIP e RESOURCE.
Como limitar o acesso a recursos
Ao conceder a permissão
cloudasset.assets.listResource
a um usuário, ele pode listar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode listar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão cloudasset.assets.listComputeDisks por si só para permitir que um usuário liste apenas o tipo de recurso compute.googleapis.com/Disk.
Essas permissões granulares se aplicam apenas a RESOURCE e a
tipos de conteúdo não especificados.
Confira a lista de permissões granulares do cloudasset.assets.list*.
|
queryAssets
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para os tipos de conteúdo RELATIONSHIP e RESOURCE.
|
| APIs da Pesquisa Google |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
Você também precisa de
cloudasset.assets.searchEnrichmentResourceOwners
se
estiver pesquisando o enriquecimento do proprietário do recurso.
|
gcloud
| Declaração de posicionamento |
Permissões necessárias |
| Todas as APIs |
| Todas as chamadas do Inventário de recursos do Cloud |
Todas as chamadas do Inventário de recursos do Cloud exigem a permissão serviceusage.services.use.
|
| APIs de análise |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
Todas as seguintes permissões:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analisar políticas com papéis personalizados
Outras permissões são necessárias para trabalhar com o Google Workspace.
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
Todas as seguintes permissões:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
Todas as seguintes permissões:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feed |
feeds create
|
cloudasset.feeds.create
Você também precisa de uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
Você também precisa de uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs de inventário |
export
get-history
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
-
cloudasset.assets.exportAccessPolicy
Ao usar o tipo de conteúdo ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Ao usar o tipo de conteúdo IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Ao usar o tipo de conteúdo ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Ao usar o tipo de conteúdo OS_INVENTORY.
-
cloudasset.assets.exportResource
Ao usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
Como limitar o acesso a recursos
Ao conceder a permissão
cloudasset.assets.exportResource
a um usuário, ele pode exportar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode exportar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão
cloudasset.assets.exportComputeDisks por si só para permitir que um usuário
exporte apenas o tipo de recurso compute.googleapis.com/Disk.
Essas permissões granulares se aplicam apenas a RESOURCE e a
tipos de conteúdo não especificados.
Confira a lista de permissões granulares do cloudasset.assets.export*.
|
list
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Ao usar os tipos de conteúdo RELATIONSHIP e RESOURCE.
Como limitar o acesso a recursos
Ao conceder a permissão
cloudasset.assets.listResource
a um usuário, ele pode listar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode listar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão cloudasset.assets.listComputeDisks por si só para permitir que um usuário liste apenas o tipo de recurso compute.googleapis.com/Disk.
Essas permissões granulares se aplicam apenas a RESOURCE e a
tipos de conteúdo não especificados.
Confira a lista de permissões granulares do cloudasset.assets.list*.
|
query
|
Uma das seguintes permissões, dependendo do
tipo de conteúdo:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para os tipos de conteúdo RELATIONSHIP e RESOURCE.
|
| APIs da Pesquisa Google |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
Você também precisa de
cloudasset.assets.searchEnrichmentResourceOwners
se
estiver pesquisando o enriquecimento do proprietário do recurso.
|
Console
O console do Google Cloud usa a API SearchAllResources para
solicitar dados. Para usar o Inventário de recursos do Cloud no console Google Cloud , conceda as seguintes permissões:
cloudasset.assets.searchAllResources
serviceusage.services.use
VPC Service Controls
O VPC Service Controls pode ser usado com o Inventário de recursos do Cloud para
aumentar a segurança dos recursos. Para saber mais sobre
o VPC Service Controls, consulte a
visão geral sobre ele.
Para saber mais sobre as limitações do uso do Inventário de recursos do Cloud com
o VPC Service Controls, consulte os
produtos e limitações com suporte.
