Google uses AI technology to translate content into your preferred language. AI translations can contain errors.
角色与权限
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
Cloud Asset Inventory 使用 Identity and Access Management (IAM) 进行访问权限控制。Cloud Asset Inventory API 的每种方法都要求调用者拥有必要的权限。
角色
如需获得处理资源元数据所需的权限,请让管理员向您授予组织、文件夹或项目的以下 IAM 角色:
-
如需查看资产元数据,请执行以下操作:
-
如需查看素材资源元数据并使用 Feed,请执行以下操作:
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含处理资源元数据所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
您需要具备以下权限才能处理资源元数据:
-
如需查看资产元数据,请执行以下操作:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
如需查看资产元数据并使用 Feed,请执行以下操作:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
您也可以使用自定义角色或其他预定义角色来获取这些权限。
权限
下表列出了调用方在调用 Cloud Asset Inventory 中的每种 API 方法或通过使用 Google Cloud 工具(例如 Google Cloud 控制台或 gcloud CLI)执行任务时必须拥有的权限。
Cloud Asset Viewer (roles/cloudasset.viewer) 和 Cloud Asset Owner (roles/cloudasset.owner) 角色包含许多此类权限。如果调用者已被授予上述任一角色以及 Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) 角色,则他们可能已经拥有使用 Cloud Asset Inventory 所需的权限。
RPC
| 方法 |
所需权限 |
| 所有 API |
| 所有 Cloud Asset Inventory 调用 |
所有 Cloud Asset Inventory 调用都需要 serviceusage.services.use 权限。
|
| 分析 API |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
以下所有权限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
使用自定义角色分析政策
使用 Google Workspace 需要其他权限。
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
CreateFeed
|
cloudasset.feeds.create
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
BatchGetAssetsHistory
ExportAssets
|
以下权限之一,具体取决于
内容类型:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 内容类型时。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 内容类型时。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 内容类型时。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 内容类型时。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.exportResource
权限后,用户便可以导出所有资源类型。如需限制用户可以导出的资源类型,您可以改为为每种资源类型授予权限。例如,您可以单独授予 cloudasset.assets.exportComputeDisks 权限,以允许用户仅导出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.export* 权限列表。
|
ListAssets
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.listResource
权限后,用户可以列出所有资源类型。如需限制用户可列出的资源类型,您可以改为针对每种资源类型授予权限。例如,您可以单独授予 cloudasset.assets.listComputeDisks 权限,以允许用户仅列出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.list* 权限列表。
|
QueryAssets
|
以下权限之一,具体取决于
内容类型:
|
| Search API |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
如果搜索资源所有者扩充,还需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
REST
| 方法 |
所需权限 |
| 所有 API |
| 所有 Cloud Asset Inventory 调用 |
所有 Cloud Asset Inventory 调用都需要 serviceusage.services.use 权限。
|
| 分析 API |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
以下所有权限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
使用自定义角色分析政策
使用 Google Workspace 需要其他权限。
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
feeds.create
|
cloudasset.feeds.create
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
batchGetAssetsHistory
exportAssets
|
以下权限之一,具体取决于
内容类型:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 内容类型时。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 内容类型时。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 内容类型时。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 内容类型时。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.exportResource
权限后,用户便可以导出所有资源类型。如需限制用户可以导出的资源类型,您可以改为为每种资源类型授予权限。例如,您可以单独授予 cloudasset.assets.exportComputeDisks 权限,以允许用户仅导出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.export* 权限列表。
|
assets.list
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.listResource
权限后,用户可以列出所有资源类型。如需限制用户可列出的资源类型,您可以改为针对每种资源类型授予权限。 例如,您可以单独授予 cloudasset.assets.listComputeDisks 权限,以允许用户仅列出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.list* 权限列表。
|
queryAssets
|
以下权限之一,具体取决于
内容类型:
|
| Search API |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
如果搜索资源所有者扩充,还需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
gcloud
| 定位声明 |
所需权限 |
| 所有 API |
| 所有 Cloud Asset Inventory 调用 |
所有 Cloud Asset Inventory 调用都需要 serviceusage.services.use 权限。
|
| 分析 API |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
以下所有权限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
使用自定义角色分析政策
使用 Google Workspace 需要其他权限。
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
feeds create
|
cloudasset.feeds.create
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
export
get-history
|
以下权限之一,具体取决于
内容类型:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 内容类型时。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 内容类型时。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 内容类型时。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 内容类型时。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.exportResource
权限后,用户便可以导出所有资源类型。如需限制用户可以导出的资源类型,您可以改为为每种资源类型授予权限。例如,您可以单独授予 cloudasset.assets.exportComputeDisks 权限,以允许用户仅导出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.export* 权限列表。
|
list
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.listResource
权限后,用户可以列出所有资源类型。如需限制用户可列出的资源类型,您可以改为针对每种资源类型授予权限。 例如,您可以单独授予 cloudasset.assets.listComputeDisks 权限,以允许用户仅列出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.list* 权限列表。
|
query
|
以下权限之一,具体取决于
内容类型:
|
| Search API |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
如果搜索资源所有者扩充,还需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
控制台
Google Cloud 控制台使用 SearchAllResources API 请求数据。如需在 Google Cloud 控制台中使用 Cloud Asset Inventory,请授予以下权限:
cloudasset.assets.searchAllResources
serviceusage.services.use
## VPC Service Controls
VPC Service Controls 可与 Cloud Asset Inventory 搭配使用,为您的资产提供额外的安全保障。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
如需详细了解将 Cloud Asset Inventory 与 VPC Service Controls 结合使用的限制,请参阅支持的产品和限制。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2026-01-14。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2026-01-14。"],[],[]]
