ניתוח מדיניות ההרשאות

בדף הזה מוסבר איך להשתמש בכלי הניתוח למדיניות כדי לנתח את מדיניות ההרשאות ולגלות לאילו חשבונות משתמשים יש גישה לאילו משאבים Google Cloud .

חשבונות משתמשים יכולים לכלול:

  • משתמשים, קבוצות או דומיינים
  • חשבונות שירות
  • זהויות של נציגים
  • זהויות של עומסי עבודה
  • זהויות של כוח עבודה

בדוגמאות שבדף הזה מוסבר איך להריץ שאילתת ניתוח מדיניות ולראות את התוצאות באופן מיידי. אם רוצים לייצא את התוצאות לניתוח נוסף, אפשר להשתמש ב-AnalyzeIamPolicyLongrunning כדי לכתוב את תוצאות השאילתה ל-BigQuery או ל-Cloud Storage.

לפני שמתחילים

תפקידים והרשאות נדרשים

כדי לנתח מדיניות הרשאה, נדרשים התפקידים וההרשאות הבאים.

התפקידים שצריך ב-IAM

כדי לקבל את ההרשאות שדרושות לניתוח מדיניות הרשאה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט, בתיקייה או בארגון שבהם תגדירו את היקף השאילתה:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לניתוח מדיניות הרשאות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנתח מדיניות הרשאה, נדרשות ההרשאות הבאות:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllResources
  • cloudasset.assets.searchAllIamPolicies
  • כדי לנתח מדיניות עם תפקידים בהתאמה אישית ב-IAM: iam.roles.get
  • כדי להשתמש ב-Google Cloud CLI כדי לנתח מדיניות: serviceusage.services.use

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

ההרשאות הנדרשות ב-Google Workspace

אם רוצים להרחיב קבוצות בתוצאות של שאילתות כדי לראות אם לישות יש תפקידים או הרשאות מסוימים כתוצאה מהחברות שלה בקבוצה ב-Google Workspace, צריך את ההרשאה groups.read ב-Google Workspace. ההרשאה הזו כלולה בתפקיד אדמין עם הרשאת קריאה בקבוצות, ובתפקידים עם הרשאות נרחבות יותר כמו אדמין של קבוצות או סופר-אדמין. במאמר הקצאה של תפקידי אדמין ספציפיים מוסבר איך מקצים את התפקידים האלה.

קביעה של החשבונות שיכולים לגשת למשאב

אפשר להשתמש בכלי הניתוח למדיניות כדי לבדוק לאילו ישויות מורשות יש תפקידים או הרשאות מסוימים במשאב ספציפי בפרויקט, בתיקייה או בארגון. כדי לקבל את המידע הזה, צריך ליצור שאילתה שכוללת את המשאב שרוצים לנתח את הגישה אליו, ותפקיד אחד או יותר או הרשאות שרוצים לבדוק.

המסוף

  1. נכנסים לדף Policy analyzer במסוף Google Cloud .

    מעבר לדף Policy analyzer

  2. בקטע Analyze policies (ניתוח מדיניות), מוצאים את החלונית עם התווית Custom query (שאילתה מותאמת אישית) ולוחצים על Create custom query (יצירת שאילתה מותאמת אישית) בחלונית הזו.

  3. בשדה Select query scope (בחירת היקף השאילתה), בוחרים את הפרויקט, התיקייה או הארגון שרוצים להגדיר כהיקף השאילתה. כלי ניתוח המדיניות ינתח את הגישה לפרויקט, לתיקייה או לארגון, וגם לכל המשאבים בתוך הפרויקט, התיקייה או הארגון.

  4. בוחרים את המשאב שרוצים לבדוק ואת התפקיד או ההרשאה שרוצים לבדוק:

    1. בשדה פרמטר 1, בוחרים באפשרות משאב מהתפריט הנפתח.
    2. בשדה Resource, מזינים את שם המשאב המלא של המשאב שרוצים לנתח את הגישה אליו. אם אתם לא יודעים את השם המלא של המשאב, מתחילים להקליד את השם המוצג של המשאב ואז בוחרים את המשאב מתוך רשימת המשאבים שמופיעה.
    3. לוחצים על Add selector (הוספת בורר).
    4. בשדה פרמטר 2, בוחרים באפשרות תפקיד או הרשאה.
    5. בשדה Select a role או Select a permission, בוחרים את התפקיד או ההרשאה שרוצים לבדוק.
    6. אופציונלי: כדי לבדוק תפקידים והרשאות נוספים, ממשיכים להוסיף את האפשרויות תפקיד והרשאה עד שמופיעים כל התפקידים וההרשאות שרוצים לבדוק.

  5. אופציונלי: לוחצים על המשך ואז בוחרים אפשרויות מתקדמות שרוצים להפעיל בשאילתה הזו.

  6. בחלונית Custom query (שאילתה בהתאמה אישית), לוחצים על Analyze > Run query (ניתוח > הפעלת שאילתה). בדף הדוח מוצגים פרמטרים של שאילתה שהזנתם, וטבלת תוצאות של כל הגורמים עם התפקידים או ההרשאות שצוינו במשאב שצוין.

    הרצת שאילתות של ניתוח מדיניות במסוף Google Cloud יכולה להימשך דקה אחת. אחרי דקה, מסוף Google Cloud מפסיק את השאילתה ומציג את כל התוצאות הזמינות. אם השאילתה לא מסתיימת בזמן הזה, במסוף מוצג באנר שמציין שהתוצאות לא מלאות. Google Cloud כדי לקבל תוצאות נוספות לשאילתות האלה, מייצאים את התוצאות ל-BigQuery.

    כדי ליצור תרשים של השאילתה, לוחצים על Visualize results (הצגת התוצאות בתרשים). מידע נוסף זמין במאמר בנושא הצגת תוצאות בצורה חזותית (גרסת Preview).

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך project,‏ folder או organization.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • FULL_RESOURCE_NAME: שם המשאב המלא של המשאב שרוצים לנתח את הגישה אליו. רשימה של הפורמטים של שמות מלאים של משאבים זמינה במאמר פורמט השמות של המשאבים.
  • PERMISSIONS: רשימה מופרדת בפסיקים של ההרשאות שרוצים לבדוק, לדוגמה: compute.instances.get,compute.instances.start. אם מפרטים כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש הרשאה כלשהי מהרשימה.

מריצים את הפקודה gcloud asset analyze-iam-policy:

‫Linux,‏ macOS או Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS'

‏Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS'

Windows‏ (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS'

מקבלים תגובת YAML עם תוצאות הניתוח. בכל תוצאת ניתוח מפורטים קבוצה של גישות, זהויות ומשאבים שרלוונטיים לשאילתה, ואחריהם הקישור לתפקיד ה-IAM שקשור אליהם. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן להעריך את התנאי, התוצאה היא CONDITIONAL.

חשבונות המשתמשים שיש להם אחת מההרשאות שצוינו במשאב שצוין מפורטים בשדות identities בתשובה. בדוגמה הבאה מוצגת תוצאת ניתוח יחידה עם השדה identities מודגש. 

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyze-iam-policy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

REST

כדי לדעת אילו חשבונות משתמשים קיבלו הרשאות מסוימות במשאב, משתמשים ב-method ‏analyzeIamPolicy של Cloud Asset Inventory API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך projects,‏ folders או organizations.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • FULL_RESOURCE_NAME: שם המשאב המלא של המשאב שרוצים לנתח את הגישה אליו. רשימה של הפורמטים של שמות מלאים של משאבים זמינה במאמר פורמט השמות של המשאבים.
  • PERMISSION_1, ‏PERMISSION_2... PERMISSION_N: ההרשאות שרוצים לבדוק. לדוגמה: compute.instances.get. אם מפרטים כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש הרשאה כלשהי מהרשימה.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

תוכן בקשת JSON: 

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

מקבלים תגובת JSON עם תוצאות הניתוח. בכל תוצאת ניתוח מתואר קישור רלוונטי של תפקיד IAM, ואז מפורטים המשאב, הגישות והגורמים העיקריים בקישור הזה. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן היה להעריך את התנאי, התוצאה מופיעה כ-CONDITIONAL.

חשבונות המשתמשים שיש להם אחת מההרשאות שצוינו במשאב שצוין מפורטים בשדות identities בתשובה. בדוגמה הבאה מוצגת תוצאת ניתוח יחידה עם השדה identities מודגש. 

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyzeIamPolicy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

קביעה של חשבונות משתמשים עם תפקידים או הרשאות מסוימים

אפשר להשתמש בכלי הניתוח למדיניות כדי לבדוק לאילו חשבונות משתמשים יש תפקידים או הרשאות ספציפיות בכל משאב של Google Cloud הארגון. כדי לקבל את המידע הזה, יוצרים שאילתה שכוללת תפקיד אחד או יותר או הרשאות לבדיקה, אבל לא מציינים משאב.

המסוף

  1. נכנסים לדף Policy analyzer במסוף Google Cloud .

    מעבר לדף Policy analyzer

  2. בקטע Analyze policies (ניתוח מדיניות), מוצאים את החלונית עם התווית Custom query (שאילתה מותאמת אישית) ולוחצים על Create custom query (יצירת שאילתה מותאמת אישית) בחלונית הזו.

  3. בשדה Select query scope (בחירת היקף השאילתה), בוחרים את הפרויקט, התיקייה או הארגון שרוצים להגדיר כהיקף השאילתה. כלי ניתוח המדיניות ינתח את הגישה לפרויקט, לתיקייה או לארגון, וגם לכל המשאבים בתוך הפרויקט, התיקייה או הארגון.

  4. בשדה פרמטר 1, בוחרים באפשרות תפקיד או הרשאה.

  5. בשדה Select a role או Select a permission, בוחרים את התפקיד או ההרשאה שרוצים לבדוק.

  6. אופציונלי: כדי לבדוק אם יש תפקידים והרשאות נוספים, מבצעים את הפעולות הבאות:

    1. לוחצים על Add selector (הוספת בורר).
    2. בשדה פרמטר 2, בוחרים באפשרות תפקיד או הרשאה.
    3. בשדה Select a role או Select a permission, בוחרים את התפקיד או ההרשאה שרוצים לבדוק.
    4. ממשיכים להוסיף את האפשרויות תפקיד והרשאה עד שכל התפקידים וההרשאות שרוצים לבדוק מופיעים ברשימה.

  7. אופציונלי: לוחצים על המשך ואז בוחרים אפשרויות מתקדמות שרוצים להפעיל בשאילתה הזו.

  8. בחלונית Custom query (שאילתה בהתאמה אישית), לוחצים על Analyze > Run query (ניתוח > הפעלת שאילתה). בדף הדוח מוצגים פרמטרים של שאילתה שהזנתם, וטבלת תוצאות של כל הישויות המורשות עם התפקידים או ההרשאות שצוינו בכל משאב שכלול בהיקף.

    הרצת שאילתות של ניתוח מדיניות במסוף Google Cloud יכולה להימשך דקה אחת. אחרי דקה, מסוף Google Cloud מפסיק את השאילתה ומציג את כל התוצאות הזמינות. אם השאילתה לא מסתיימת בזמן הזה, במסוף מוצג באנר שמציין שהתוצאות לא מלאות. Google Cloud כדי לקבל תוצאות נוספות לשאילתות האלה, מייצאים את התוצאות ל-BigQuery.

    כדי ליצור תרשים של השאילתה, לוחצים על Visualize results (הצגת התוצאות בתרשים). מידע נוסף זמין במאמר בנושא הצגת תוצאות בצורה חזותית (גרסת Preview).

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך project,‏ folder או organization.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • ROLES: רשימה מופרדת בפסיקים של התפקידים שרוצים לבדוק, לדוגמה, roles/compute.admin,roles/compute.imageUser. אם מציינים כמה תפקידים, הכלי Policy Analyzer יבדוק אם יש תפקידים כלשהם מהרשימה.
  • PERMISSIONS: רשימה מופרדת בפסיקים של ההרשאות שרוצים לבדוק, לדוגמה: compute.instances.get,compute.instances.start. אם מפרטים כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש הרשאה כלשהי מהרשימה.

מריצים את הפקודה gcloud asset analyze-iam-policy:

‫Linux,‏ macOS או Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --roles='ROLES' \
    --permissions='PERMISSIONS'

‏Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --roles='ROLES' `
    --permissions='PERMISSIONS'

Windows‏ (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --roles='ROLES' ^
    --permissions='PERMISSIONS'

מקבלים תגובת JSON עם תוצאות הניתוח. בכל תוצאת ניתוח מתואר קישור רלוונטי של תפקיד IAM, ואז מפורטים המשאב, הגישות והגורמים העיקריים בקישור הזה. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן היה להעריך את התנאי, התוצאה מופיעה כ-CONDITIONAL.

חשבונות המשתמשים שיש להם אחד מהתפקידים או ההרשאות שצוינו מופיעים בשדות identities בתשובה. בדוגמה הבאה מוצגת תוצאת ניתוח יחידה עם השדה identities מודגש. 

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  - role: roles/compute.admin
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyze-iam-policy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

REST

כדי לדעת לאילו ישויות מורשות יש תפקידים או הרשאות מסוימות, משתמשים בשיטה analyzeIamPolicy של מאגר משאבי ענן API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך projects,‏ folders או organizations.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • ROLE_1, ‏ROLE_2... ROLE_N: התפקידים שרוצים לבדוק. לדוגמה, roles/compute.admin. אם מפרטים כמה תפקידים, כלי הניתוח למדיניות יבדוק אם יש תפקידים כלשהם מהרשימה.
  • PERMISSION_1, ‏PERMISSION_2... PERMISSION_N: ההרשאות שרוצים לבדוק. לדוגמה: compute.instances.get. אם מפרטים כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש הרשאה כלשהי מהרשימה.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

תוכן בקשת JSON: 

{
  "analysisQuery": {
    "accessSelector": {
      "roles": [
        "ROLE_1",
        "ROLE_2",
        "ROLE_N"
      ],
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

מקבלים תגובת JSON עם תוצאות הניתוח. בכל תוצאת ניתוח מתואר קישור רלוונטי של תפקיד IAM, ואז מפורטים המשאב, הגישות והגורמים העיקריים בקישור הזה. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן היה להעריך את התנאי, התוצאה מופיעה כ-CONDITIONAL.

חשבונות המשתמשים שיש להם אחד מהתפקידים או ההרשאות שצוינו מופיעים בשדות identities בתשובה. בדוגמה הבאה מוצגת תוצאת ניתוח יחידה עם השדה identities מודגש. 

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "role": "roles/compute.admin"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyzeIamPolicy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

איך קובעים איזו גישה יש לחשבון למשאב

אתם יכולים להשתמש בכלי הניתוח למדיניות כדי לבדוק אילו תפקידים או הרשאות יש לחשבון משתמש במשאב בארגון. כדי לקבל את המידע הזה, צריך ליצור שאילתה שכוללת את חשבון המשתמש שרוצים לנתח את הגישה שלו ואת המשאב שרוצים לנתח את הגישה אליו.

המסוף

  1. נכנסים לדף Policy analyzer במסוף Google Cloud .

    מעבר לדף Policy analyzer

  2. בקטע Analyze policies (ניתוח מדיניות), מוצאים את החלונית עם התווית Custom query (שאילתה מותאמת אישית) ולוחצים על Create custom query (יצירת שאילתה מותאמת אישית) בחלונית הזו.

  3. בשדה Select query scope (בחירת היקף השאילתה), בוחרים את הפרויקט, התיקייה או הארגון שרוצים להגדיר כהיקף השאילתה. כלי ניתוח המדיניות ינתח את הגישה לפרויקט, לתיקייה או לארגון, וגם לכל המשאבים בתוך הפרויקט, התיקייה או הארגון.

  4. בוחרים את המשאב ואת הגורם הראשי שרוצים לבדוק:

    1. בשדה פרמטר 1, בוחרים באפשרות משאב מהתפריט הנפתח.
    2. בשדה Resource, מזינים את שם המשאב המלא של המשאב שרוצים לנתח את הגישה אליו. אם אתם לא יודעים את השם המלא של המשאב, מתחילים להקליד את השם המוצג של המשאב ואז בוחרים את המשאב מתוך רשימת המשאבים שמופיעה.
    3. לוחצים על Add selector (הוספת בורר).
    4. בשדה פרמטר 2, בוחרים באפשרות Principal מהתפריט הנפתח.
    5. בשדה Principal, מתחילים להקליד את השם של משתמש, חשבון שירות או קבוצה. לאחר מכן, בוחרים מהרשימה של החשבונות הראשיים את המשתמש, חשבון השירות או הקבוצה שרוצים לנתח את הגישה שלהם.

  5. אופציונלי: לוחצים על המשך ואז בוחרים אפשרויות מתקדמות שרוצים להפעיל בשאילתה הזו.

  6. בחלונית Custom query (שאילתה בהתאמה אישית), לוחצים על Analyze > Run query (ניתוח > הפעלת שאילתה). בדף הדוח מוצגים פרמטרים של השאילתה שהזנתם, וטבלת תוצאות של כל התפקידים שהחשבון הראשי שצוין קיבל במשאב שצוין.

    הרצת שאילתות של ניתוח מדיניות במסוף Google Cloud יכולה להימשך דקה אחת. אחרי דקה, מסוף Google Cloud מפסיק את השאילתה ומציג את כל התוצאות הזמינות. אם השאילתה לא מסתיימת בזמן הזה, במסוף מוצג באנר שמציין שהתוצאות לא מלאות. Google Cloud כדי לקבל תוצאות נוספות לשאילתות האלה, מייצאים את התוצאות ל-BigQuery.

    כדי ליצור תרשים של השאילתה, לוחצים על Visualize results (הצגת התוצאות בתרשים). מידע נוסף זמין במאמר בנושא הצגת תוצאות בצורה חזותית (גרסת Preview).

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך project,‏ folder או organization.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • FULL_RESOURCE_NAME: שם המשאב המלא של המשאב שרוצים לנתח את הגישה אליו. רשימה של הפורמטים של שמות מלאים של משאבים זמינה במאמר פורמט השמות של המשאבים.
  • PRINCIPAL: החשבון הראשי שרוצים לנתח את הגישה שלו, בפורמט PRINCIPAL_TYPE:ID. לדוגמה, user:my-user@example.com. רשימה מלאה של סוגי החשבונות הראשיים מופיעה במאמר מזהים של חשבונות משתמשים.

מריצים את הפקודה gcloud asset analyze-iam-policy:

‫Linux,‏ macOS או Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL

‏Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL

Windows‏ (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL

מקבלים תגובת YAML עם תוצאות הניתוח. בכל תוצאת ניתוח מפורטים קבוצה של גישות, זהויות ומשאבים שרלוונטיים לשאילתה, ואחריהם הקישור לתפקיד ה-IAM שקשור אליהם. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן להעריך את התנאי, התוצאה היא CONDITIONAL.

התפקידים שחשבון המשתמש קיבל במשאב שצוין מפורטים בשדות accesses בתשובה. בדוגמה הבאה מוצגת תוצאת ניתוח יחידה עם השדה accesses מודגש. 

...
---
ACLs:
- accesses:
  - roles/iam.serviceAccountUser
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    members:
    - user: my-user@example.com
    role: roles/iam.serviceAccountUser
---
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyze-iam-policy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

REST

כדי לדעת איזו גישה יש לישות למשאב, משתמשים בשיטה analyzeIamPolicy של Cloud Asset Inventory API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך projects,‏ folders או organizations.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • FULL_RESOURCE_NAME: שם המשאב המלא של המשאב שרוצים לנתח את הגישה אליו. רשימה של הפורמטים של שמות מלאים של משאבים זמינה במאמר פורמט השמות של המשאבים.
  • PRINCIPAL: החשבון הראשי שרוצים לנתח את הגישה שלו, בפורמט PRINCIPAL_TYPE:ID. לדוגמה, user:my-user@example.com. רשימה מלאה של סוגי החשבונות הראשיים מופיעה במאמר מזהים של חשבונות משתמשים.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

תוכן בקשת JSON: 

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    }
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

מקבלים תגובת JSON עם תוצאות הניתוח. בכל תוצאת ניתוח מתואר קישור רלוונטי של תפקיד IAM, ואז מפורטים המשאב, הגישות והגורמים העיקריים בקישור הזה. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן היה להעריך את התנאי, התוצאה מופיעה כ-CONDITIONAL.

התפקידים שחשבון המשתמש קיבל במשאב שצוין מפורטים בשדות accesses בתשובה. בדוגמה הבאה מוצגת תוצאת ניתוח יחידה עם השדה accesses מודגש. 

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/iam.serviceAccountUser",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "roles": "iam.serviceAccountUser"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyzeIamPolicy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

קביעה של המשאבים שאליהם יש לחשבון גישה

אתם יכולים להשתמש בכלי לניתוח מדיניות כדי לבדוק באילו משאבים בארגון יש לחשבון משתמש תפקידים או הרשאות מסוימים. כדי לקבל את המידע הזה, צריך ליצור שאילתה שכוללת את חשבון המשתמש שרוצים לנתח את הגישה שלו, והרשאה אחת או יותר או תפקידים שרוצים לבדוק.

המסוף

  1. נכנסים לדף Policy analyzer במסוף Google Cloud .

    מעבר לדף Policy analyzer

  2. בקטע Analyze policies (ניתוח מדיניות), מוצאים את החלונית עם התווית Custom query (שאילתה מותאמת אישית) ולוחצים על Create custom query (יצירת שאילתה מותאמת אישית) בחלונית הזו.

  3. בשדה Select query scope (בחירת היקף השאילתה), בוחרים את הפרויקט, התיקייה או הארגון שרוצים להגדיר כהיקף השאילתה. כלי ניתוח המדיניות ינתח את הגישה לפרויקט, לתיקייה או לארגון, וגם לכל המשאבים בתוך הפרויקט, התיקייה או הארגון.

  4. בוחרים את החשבון הראשי שרוצים לבדוק ואת התפקיד או ההרשאה שרוצים לבדוק:

    1. בשדה פרמטר 1, בוחרים באפשרות Principal מהתפריט הנפתח.
    2. בשדה Principal, מתחילים להקליד את השם של משתמש, חשבון שירות או קבוצה. לאחר מכן, בוחרים מהרשימה של החשבונות הראשיים את המשתמש, חשבון השירות או הקבוצה שרוצים לנתח את הגישה שלהם.
    3. לוחצים על Add selector (הוספת בורר).
    4. בשדה פרמטר 2, בוחרים באפשרות תפקיד או הרשאה.
    5. בשדה Select a role או Select a permission, בוחרים את התפקיד או ההרשאה שרוצים לבדוק.
    6. אופציונלי: כדי לבדוק תפקידים והרשאות נוספים, ממשיכים להוסיף בוררי תפקידים והרשאות עד שמופיעים כל התפקידים וההרשאות שרוצים לבדוק.

  5. אופציונלי: לוחצים על המשך ואז בוחרים אפשרויות מתקדמות שרוצים להפעיל בשאילתה הזו.

  6. בחלונית Custom query (שאילתה בהתאמה אישית), לוחצים על Analyze > Run query (ניתוח > הפעלת שאילתה). בדף הדוח מוצגים פרמטרים של שאילתות שהזנתם, וטבלת תוצאות של כל המשאבים שבהם לחשבון המשתמש שצוין יש את התפקידים או ההרשאות שצוינו.

    הרצת שאילתות של ניתוח מדיניות במסוף Google Cloud יכולה להימשך דקה אחת. אחרי דקה, מסוף Google Cloud מפסיק את השאילתה ומציג את כל התוצאות הזמינות. אם השאילתה לא מסתיימת בזמן הזה, במסוף מוצג באנר שמציין שהתוצאות לא מלאות. Google Cloud כדי לקבל תוצאות נוספות לשאילתות האלה, מייצאים את התוצאות ל-BigQuery.

    כדי ליצור תרשים של השאילתה, לוחצים על Visualize results (הצגת התוצאות בתרשים). מידע נוסף זמין במאמר בנושא הצגת תוצאות בצורה חזותית (גרסת Preview).

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך project,‏ folder או organization.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • PRINCIPAL: החשבון הראשי שרוצים לנתח את הגישה שלו, בפורמט PRINCIPAL_TYPE:ID. לדוגמה, user:my-user@example.com. רשימה מלאה של סוגי החשבונות הראשיים מופיעה במאמר מזהים של חשבונות משתמשים.
  • PERMISSIONS: רשימה מופרדת בפסיקים של ההרשאות שרוצים לבדוק, לדוגמה: compute.instances.get,compute.instances.start. אם מפרטים כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש הרשאה כלשהי מהרשימה.

מריצים את הפקודה gcloud asset analyze-iam-policy:

‫Linux,‏ macOS או Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS'

‏Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS'

Windows‏ (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS'

מקבלים תגובת YAML עם תוצאות הניתוח. בכל תוצאת ניתוח מפורטים קבוצה של גישות, זהויות ומשאבים שרלוונטיים לשאילתה, ואחריהם הקישור לתפקיד ה-IAM שקשור אליהם. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן להעריך את התנאי, התוצאה היא CONDITIONAL.

המשאבים שלגביהם לחשבון המשתמש שצוין יש את אחת ההרשאות שצוינו מפורטים בשדות resources בתשובה. בדוגמה הבאה מוצגת תוצאת ניתוח יחידה עם השדה resources מודגש. 

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //compute.googleapis.com/projects/my-project/global/images/my-image
policy:
  attachedResource: //compute.googleapis.com/projects/my-project/global/images/my-image
  binding:
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyze-iam-policy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

REST

כדי לקבוע לאילו משאבים יש לחשבון משתמש גישה, משתמשים ב-method ‏analyzeIamPolicy של Cloud Asset Inventory API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך projects,‏ folders או organizations.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • PRINCIPAL: החשבון הראשי שרוצים לנתח את הגישה שלו, בפורמט PRINCIPAL_TYPE:ID. לדוגמה, user:my-user@example.com. רשימה מלאה של סוגי החשבונות הראשיים מופיעה במאמר מזהים של חשבונות משתמשים.
  • PERMISSION_1, ‏PERMISSION_2... PERMISSION_N: ההרשאות שרוצים לבדוק. לדוגמה: compute.instances.get. אם מפרטים כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש הרשאה כלשהי מהרשימה.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

תוכן בקשת JSON: 

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

מקבלים תגובת JSON עם תוצאות הניתוח. בכל תוצאת ניתוח מתואר קישור רלוונטי של תפקיד IAM, ואז מפורטים המשאב, הגישות והגורמים העיקריים בקישור הזה. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן היה להעריך את התנאי, התוצאה מופיעה כ-CONDITIONAL.

המשאבים שלגביהם לחשבון המשתמש שצוין יש את אחת ההרשאות שצוינו מפורטים בשדות resources בתשובה. בדוגמה הבאה מוצגת תוצאת ניתוח יחידה עם השדה resources מודגש. 

...
{
  "attachedResourceFullName": "//compute.googleapis.com/projects/my-project/global/images/my-image",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ]
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//compute.googleapis.com/projects/my-project/global/images/my-image"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ]
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyzeIamPolicy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

קביעת הגישה בשעה מסוימת

אם מספקים מספיק הקשר, כלי הניתוח למדיניות יכול לנתח קישורי תפקידים מותנים ב-IAM שמעניקים גישה רק בזמנים ספציפיים. התנאים האלה נקראים תנאי תאריך ושעה. כדי שמנתח המדיניות יוכל לנתח בצורה מדויקת קישורי תפקידים עם תנאים של תאריך ושעה, צריך להגדיר את זמן הגישה בבקשה.

כלי הניתוח למדיניות יכול גם לנתח תנאים של משאבים בלי קלט של משתמשים נוסף. מידע נוסף על אופן הפעולה של כלי הניתוח למדיניות עם תנאים

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך project,‏ folder או organization.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • PERMISSIONS: אופציונלי. רשימה מופרדת בפסיקים של ההרשאות שרוצים לבדוק, למשל, compute.instances.get,compute.instances.start. אם מפרטים כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש הרשאה כלשהי מהרשימה.
  • FULL_RESOURCE_NAME: אופציונלי. השם המלא של המשאב שרוצים לנתח את הגישה אליו. רשימה של הפורמטים של שמות מלאים של משאבים זמינה במאמר בנושא פורמט השמות של המשאבים.
  • PERMISSIONS: אופציונלי. רשימה מופרדת בפסיקים של ההרשאות שרוצים לבדוק, למשל, compute.instances.get,compute.instances.start. אם מפרטים כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש הרשאה כלשהי מהרשימה.
  • ACCESS_TIME: השעה שרוצים לבדוק. השעה הזו צריכה להיות בעתיד. משתמשים בחותמת זמן בפורמט RFC 3339 – לדוגמה, 2099-02-01T00:00:00Z.

מריצים את הפקודה gcloud asset analyze-iam-policy:

‫Linux,‏ macOS או Cloud Shell

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID \
    --identity=PRINCIPAL \
    --full-resource-name=FULL_RESOURCE_NAME \
    --permissions='PERMISSIONS' \
    --access-time=ACCESS_TIME

‏Windows (PowerShell)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID `
    --identity=PRINCIPAL `
    --full-resource-name=FULL_RESOURCE_NAME `
    --permissions='PERMISSIONS' `
    --access-time=ACCESS_TIME

Windows‏ (cmd.exe)

gcloud asset analyze-iam-policy --RESOURCE_TYPE=RESOURCE_ID ^
    --identity=PRINCIPAL ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --permissions='PERMISSIONS' ^
    --access-time=ACCESS_TIME

מקבלים תגובת YAML עם תוצאות הניתוח. בכל תוצאת ניתוח מפורטים קבוצה של גישות, זהויות ומשאבים שרלוונטיים לשאילתה, ואחריהם הקישור לתפקיד ה-IAM שקשור אליהם. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן להעריך את התנאי, התוצאה היא CONDITIONAL.

אם כוללים את זמן הגישה בבקשה, כלי הניתוח למדיניות יכול להעריך תנאים של תאריך ושעה. אם התנאי מקבל את הערך False, התפקיד הזה לא נכלל בתשובה. אם התנאי מקבל את הערך True, התוצאה של הערכת התנאי היא TRUE. 

...
---
ACLs:
- accesses:
  - permission: compute.instances.get
  - permission: compute.instances.start
  conditionEvaluationValue: 'TRUE'
  identities:
  - name: user:my-user@example.com
  resources:
  - fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
policy:
  attachedResource: //cloudresourcemanager.googleapis.com/projects/my-project
  binding:
    condition:
      expression: request.time.getHours("America/Los_Angeles") >= 5
      title: No access before 5am PST
    members:
    - user: my-user@example.com
    role: roles/compute.admin
---
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyze-iam-policy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

REST

כדי לדעת אילו ישויות מורשות יקבלו הרשאות מסוימות במשאב בזמן מסוים, משתמשים בשיטה analyzeIamPolicy של מאגר משאבי ענן API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. אפשר להשתמש בערך projects,‏ folders או organizations.
  • RESOURCE_ID: המזהה שלGoogle Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש אליהם. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: אופציונלי. הרשאות שרוצים לבדוק – לדוגמה, compute.instances.get. אם תציינו כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש לכם אחת מההרשאות שציינתם.
  • FULL_RESOURCE_NAME: אופציונלי. השם המלא של המשאב שרוצים לנתח את הגישה אליו. רשימה של הפורמטים של שמות מלאים של משאבים זמינה במאמר בנושא פורמט השמות של המשאבים.
  • PERMISSION_1, PERMISSION_2... PERMISSION_N: אופציונלי. הרשאות שרוצים לבדוק – לדוגמה, compute.instances.get. אם תציינו כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש לכם אחת מההרשאות שציינתם.
  • ACCESS_TIME: השעה שרוצים לבדוק. השעה הזו צריכה להיות בעתיד. משתמשים בחותמת זמן בפורמט RFC 3339 – לדוגמה, 2099-02-01T00:00:00Z.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicy

תוכן בקשת JSON: 

{
  "analysisQuery": {
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "conditionContext": {
      "accessTime": "ACCESS_TIME"
    }
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

מקבלים תגובת JSON עם תוצאות הניתוח. בכל תוצאת ניתוח מתואר קישור רלוונטי של תפקיד IAM, ואז מפורטים המשאב, הגישות והגורמים העיקריים בקישור הזה. אם קישור התפקיד הוא מותנה, תוצאת הניתוח כוללת גם את תוצאת הערכת התנאי. אם לא ניתן היה להעריך את התנאי, התוצאה מופיעה כ-CONDITIONAL.

אם כוללים את זמן הגישה בבקשה, כלי הניתוח למדיניות יכול להעריך תנאים של תאריך ושעה. אם התנאי מקבל את הערך False, התפקיד הזה לא נכלל בתשובה. אם התנאי מחזיר את הערך true, ערך הערכת התנאי בתשובת הניתוח הוא TRUE. 

...
{
  "attachedResourceFullName": "//cloudresourcemanager.googleapis.com/projects/my-project",
  "iamBinding": {
    "role": "roles/compute.admin",
    "members": [
      "user:my-user@example.com"
    ],
    "condition": {
      "expression": "request.time.getHours(\"America/Los_Angeles\") \u003e= 5",
      "title": "No access before 5am PST"
    }
  },
  "accessControlLists": [
    {
      "resources": [
        {
          "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
        }
      ],
      "accesses": [
        {
          "permission": "compute.instances.get"
        },
        {
          "permission": "compute.instances.start"
        }
      ],
      "conditionEvaluation": {
        "evaluationValue": "TRUE"
      }
    }
  ],
  "identityList": {
    "identities": [
      {
        "name": "user:my-user@example.com"
      }
    ]
  },
  "fullyExplored": true
},
...

אם הבקשה פגה לפני שהשאילתה מסתיימת, מוצגת שגיאת DEADLINE_EXCEEDED. כדי לקבל יותר תוצאות לשאילתות האלה, צריך לכתוב את התוצאות ב-BigQuery או ב-Cloud Storage באמצעות הגרסה של analyzeIamPolicy שפועלת לאורך זמן. הוראות מפורטות זמינות במאמרים כתיבת ניתוח מדיניות ל-BigQuery או כתיבת ניתוח מדיניות ל-Cloud Storage.

הפעלת אפשרויות

כדי לקבל תוצאות מפורטות יותר של שאילתות, אפשר להפעיל את האפשרויות הבאות.

המסוף

אפשרות תיאור
רשימת משאבים בתוך משאבים שתואמים לשאילתה אם מפעילים את האפשרות הזו, ברשימת תוצאות השאילתה מוצגים עד 1,000 משאבי צאצא רלוונטיים לכל משאבי ההורה (פרויקטים, תיקיות וארגונים) בתוצאות השאילתה.
רשימת משתמשים פרטיים בתוך קבוצות

אם מפעילים את האפשרות הזו, כל הקבוצות בתוצאות השאילתה מורחבות למשתמשים ספציפיים. אם יש לכם הרשאות מספיקות בקבוצה, גם תתי-קבוצות יורחבו. ההרחבה הזו מוגבלת ל-1,000 חברים בכל קבוצה.

האפשרות הזו זמינה רק אם לא מציינים גורם מרכזי בשאילתה.

רשימת ההרשאות בתוך התפקידים

אם מפעילים את האפשרות הזו, ברשימת תוצאות השאילתה מופיעות כל ההרשאות בכל תפקיד, בנוסף לתפקיד עצמו.

האפשרות הזו זמינה רק אם לא מציינים הרשאות או תפקידים בשאילתה.

gcloud

בקטע הזה מתוארים כמה דגלים נפוצים שאפשר להוסיף כשמשתמשים ב-CLI של gcloud כדי לנתח מדיניות הרשאות. רשימה מלאה של האפשרויות מופיעה במאמר בנושא דגלים אופציונליים.

דגל תיאור
--analyze-service-account-impersonation

אם האפשרות הזו מופעלת, כלי הניתוח למדיניות מריץ שאילתות ניתוח נוספות כדי לקבוע למי יש אפשרות להתחזות לחשבונות השירות שיש להם גישה ספציפית למשאבים ספציפיים. כלי ניתוח המדיניות מריץ שאילתה אחת לכל חשבון שירות בתוצאות השאילתה. השאילתות האלה מנתחות למי יש את אחת מההרשאות הבאות בחשבון השירות:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

זו פעולה יקרה מאוד, כי היא מריצה הרבה שאילתות באופן אוטומטי. מומלץ מאוד לייצא ל-BigQuery או לייצא ל-Cloud Storage באמצעות analyze-iam-policy-longrunning במקום להשתמש ב-analyze-iam-policy.

--expand-groups

אם מפעילים את האפשרות הזו, כל הקבוצות בתוצאות השאילתה מורחבות למשתמשים ספציפיים. אם יש לכם הרשאות מספיקות בקבוצה, גם תתי-קבוצות יורחבו. ההרחבה הזו מוגבלת ל-1,000 חברים בכל קבוצה.

האפשרות הזו רלוונטית רק אם לא מציינים ישות בשאילתה.

--expand-resources אם מפעילים את האפשרות הזו, ברשימת תוצאות השאילתה מוצגים עד 1,000 משאבי צאצא רלוונטיים לכל משאבי ההורה (פרויקטים, תיקיות וארגונים) בתוצאות השאילתה.
--expand-roles

אם מפעילים את האפשרות הזו, ברשימת תוצאות השאילתה מופיעות כל ההרשאות בכל תפקיד, בנוסף לתפקיד עצמו.

האפשרות הזו זמינה רק אם לא מציינים הרשאות או תפקידים בשאילתה.

--output-group-edges אם מפעילים את האפשרות הזו, תוצאות השאילתה יציגו את קשרי החברות הרלוונטיים בין הקבוצות.
--output-resource-edges אם מפעילים את האפשרות הזו, תוצאות השאילתה כוללות את קשרי ההורה/הצאצא הרלוונטיים בין המשאבים.

REST

כדי להפעיל אפשרויות, קודם צריך להוסיף options שדה לשאילתת הניתוח. לדוגמה:

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
    },
    "accessSelector": {
      "permissions": [
        "iam.roles.get",
        "iam.roles.list"
      ]
   },
   "options": {
     OPTIONS
   }
  }
}

מחליפים את OPTIONS באפשרויות שרוצים להפעיל, בפורמט "OPTION": true. בטבלה הבאה מפורטות האפשרויות הזמינות:

אפשרות תיאור
analyzeServiceAccountImpersonation

אם האפשרות הזו מופעלת, כלי הניתוח למדיניות מריץ שאילתות ניתוח נוספות כדי לקבוע למי יש אפשרות להתחזות לחשבונות השירות שיש להם גישה ספציפית למשאבים ספציפיים. כלי ניתוח המדיניות מריץ שאילתה אחת לכל חשבון שירות בתוצאות השאילתה. השאילתות האלה מנתחות למי יש את אחת מההרשאות הבאות בחשבון השירות:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.getAccessToken
  • iam.serviceAccounts.getOpenIdToken
  • iam.serviceAccounts.implicitDelegation
  • iam.serviceAccounts.signBlob
  • iam.serviceAccounts.signJwt

זו פעולה יקרה מאוד, כי היא מריצה הרבה שאילתות באופן אוטומטי. מומלץ מאוד לייצא ל-BigQuery או לייצא ל-Cloud Storage באמצעות AnalyzeIamPolicyLongrunning במקום להשתמש ב-AnalyzeIamPolicy.

expandGroups

אם מפעילים את האפשרות הזו, כל הקבוצות בתוצאות השאילתה מורחבות למשתמשים ספציפיים. אם יש לכם הרשאות מספיקות בקבוצה, גם תתי-קבוצות יורחבו. ההרחבה הזו מוגבלת ל-1,000 חברים בכל קבוצה.

האפשרות הזו רלוונטית רק אם לא מציינים ישות בשאילתה.

expandResources אם מפעילים את האפשרות הזו, ברשימת תוצאות השאילתה מוצגים עד 1,000 משאבי צאצא רלוונטיים לכל משאבי ההורה (פרויקטים, תיקיות וארגונים) בתוצאות השאילתה.
expandRoles

אם מפעילים את האפשרות הזו, ברשימת תוצאות השאילתה מופיעות כל ההרשאות בכל תפקיד, בנוסף לתפקיד עצמו.

האפשרות הזו זמינה רק אם לא מציינים הרשאות או תפקידים בשאילתה.

outputGroupEdges אם מפעילים את האפשרות הזו, תוצאות השאילתה יציגו את קשרי החברות הרלוונטיים בין הקבוצות.
outputResourceEdges אם מפעילים את האפשרות הזו, תוצאות השאילתה כוללות את קשרי ההורה/הצאצא הרלוונטיים בין המשאבים.

הצגה חזותית של התוצאות

אפשר להשתמש בכלי הניתוח למדיניות כדי להציג באופן חזותי שאילתה של מדיניות הרשאה. ההיררכיה הזו יכולה לעזור לכם להבין את הקשר בין זהויות, תפקידים, הרשאות ומשאבים בהיררכיית המשאבים. אפשר גם להשתמש בהדמיות האלה כדי להעריך אילו הרשאות לא נמצאות בשימוש או מוגזמות עבור חשבונות המשתמשים.

כלי ניתוח המדיניות ממחיש את הקשרים על סמך התפקידים שמעניקים הרשאות. בשאילתות שמצומצמות להרשאה ספציפית מוצגים קישורי מדיניות ההרשאות לתפקיד שמספק את ההרשאה הזו.

אם לא מציינים משאב בשאילתה, שאילתות בהיקף של משאב תיקייה או ארגון מציגות את הקשרים של מדיניות ההרשאות בהיקף שצוין. כדי לראות את הקשרים של מדיניות ההרשאות למשאבים בתוך פרויקטים כשהשאילתה מוגבלת לארגון או לתיקייה, צריך לציין משאב בשאילתה ולבחור באפשרות הצגת הקשרים במסגרת ההיקף.

שאילתות שמצומצמות למשאב פרויקט מציגות כברירת מחדל את קישורי מדיניות ההרשאה במשאבי הפרויקט ובמשאבים בתוך הפרויקטים. כדי לראות רק את הקישורים של מדיניות ההרשאות למשאבים בפרויקט, מבטלים את הסימון של הצגת קישורים בהיקף.

המספר שליד משאב בפרויקט מציין לכמה משאבים בפרויקט הזה יש גישה באמצעות התפקיד שהוענק. לוחצים על Expand (הרחבה) במשאב של פרויקט עם מספר כדי לראות את המשאבים שאפשר לגשת אליהם באמצעות התפקיד שהוענק בפרויקט הזה, שמקובצים לפי שירות. לדוגמה, טבלאות ומערכי נתונים של BigQuery נאספים בקטע BigQuery.

הקשרים הישירים של הגורם המורשה מוצגים קודם. לאחר מכן נטענים קישורים מקוננים מחברות בקבוצות. אם הגישה ניתנת דרך קבוצה מוטמעת, הקישור לקבוצה הספציפית עם הקישור מוצג אם יש לכם את ההרשאות הנדרשות. כדי לראות עוד חברויות בקבוצות, לוחצים על טעינת עוד.

בדוגמה הבאה מוצג תרשים של שאילתה שנועדה לקבוע אילו חשבונות משתמשים יכולים לגשת למשאב, אבל אפשר ליצור תרשימים גם לסוגים אחרים של שאילתות באמצעות אותו תהליך.

  1. נכנסים לדף Policy analyzer במסוף Google Cloud .

    מעבר לדף Policy analyzer

  2. בקטע Analyze policies (ניתוח מדיניות), מוצאים את החלונית עם התווית Custom query (שאילתה מותאמת אישית) ולוחצים על Create custom query (יצירת שאילתה מותאמת אישית) בחלונית הזו.

  3. בשדה Select query scope (בחירת היקף השאילתה), בוחרים את הפרויקט, התיקייה או הארגון שרוצים להגדיר כהיקף השאילתה. כלי ניתוח המדיניות ינתח את הגישה לפרויקט, לתיקייה או לארגון, וגם לכל המשאבים בתוך הפרויקט, התיקייה או הארגון.

  4. בוחרים את החשבון הראשי שרוצים לבדוק ואת התפקיד או ההרשאה שרוצים לבדוק:

    1. בשדה פרמטר 1, בוחרים באפשרות Principal מהתפריט הנפתח.
    2. בשדה Principal, מתחילים להזין את השם של חשבון משתמש, חשבון שירות או קבוצה. לאחר מכן, בוחרים מתוך רשימת חשבונות המשתמשים את חשבון המשתמש, חשבון השירות או הקבוצה שרוצים לנתח את הגישה שלהם.
    3. לוחצים על Add selector (הוספת בורר).
    4. בשדה פרמטר 2, בוחרים באפשרות תפקיד או הרשאה.
    5. בשדה Select a role או Select a permission, בוחרים את התפקיד או ההרשאה שרוצים לבדוק.
    6. אופציונלי: כדי לבדוק תפקידים והרשאות נוספים, ממשיכים להוסיף את האפשרויות תפקיד והרשאה עד שמופיעים כל התפקידים וההרשאות שרוצים לבדוק. אפשר לבחור עד 10 תפקידים והרשאות.

  5. בחלונית Custom query (שאילתה בהתאמה אישית), לוחצים על Analyze > Run query (ניתוח > הפעלת שאילתה). בדף הדוח מוצגים פרמטרים של שאילתה שהזנתם, וטבלת תוצאות של כל המשאבים שהישות המורשית שצוינה קיבלה לגביהם את התפקידים או ההרשאות שצוינו.

    הרצת שאילתות של ניתוח מדיניות במסוף Google Cloud יכולה להימשך דקה אחת. אחרי דקה, מסוף Google Cloud מפסיק את השאילתה ומציג את כל התוצאות הזמינות. אם השאילתה לא מסתיימת בזמן הזה, במסוף מוצג באנר שמציין שהתוצאות לא מלאות. Google Cloud כדי לקבל תוצאות נוספות לשאילתות האלה, מייצאים את התוצאות ל-BigQuery.

  6. בדף הדוח, לוחצים על הצגת התוצאות בתרשים.

    התרשים מאורגן משמאל לימין בעד ארבע עמודות. הקווים בתצוגה החזותית מחברים בין חשבונות משתמש לקבוצות, בין חשבונות משתמש או קבוצות לתפקיד ובין תפקיד למשאב.

    1. בצד ימין מופיעים העקרונות שמוחזרים על ידי השאילתה.
    2. אם לחשבון המשתמש יש תפקיד כי התפקיד הזה הוענק לקבוצה, קו עם התווית 'חבר ב' מחבר את חשבון המשתמש לקבוצה. אם התפקיד הוענק לישות הבסיסית ישירות, העמודה הזו לא תופיע.
    3. שורה עם התווית 'has' מקשרת כל חשבון משתמש או קבוצה לתפקיד.
    4. שורה עם התווית 'עם גישה אל' מחברת כל תפקיד למשאב שבו הוא מוענק.
    5. מספר המשאבים שמושפעים מהתפקיד שניתן מוצג כמספר לצד המשאב.
    6. אם יש המלצה לתפקיד או תובנה לגבי מדיניות, התפקיד מוקף בעיגול ומוצג לידו סמל של נורת ליבון . אפשר ללחוץ על התפקיד כדי לקבל מידע נוסף על ההמלצה, ולהשתמש בקישור כדי לבדוק אותה ולהחיל אותה.

  7. כדי לשנות את השאילתה, לוחצים על החלפת החלונית 'הצגת התוצאות'.

    1. בשדה היקף, לוחצים על עיון כדי לשנות את הפרויקט, התיקייה או הארגון שרוצים להגדיר את היקף השאילתה שלהם.
    2. בשדה Principal, מתחילים להקליד את השם של חשבון ראשי, חשבון שירות או קבוצה. לאחר מכן, בוחרים את חשבון המשתמש, חשבון השירות או הקבוצה שרוצים לנתח את הגישה שלהם מתוך רשימת חשבונות המשתמשים שמוצגת.
    3. כדי לשנות את התפקיד של השאילתה, בשדה Select a role או Permission, בוחרים את התפקיד או ההרשאה שרוצים לבדוק.
    4. כדי לשנות את המשאב של השאילתה, בשדה Resource מזינים את שם המשאב המלא של המשאב שרוצים לנתח את הגישה אליו. אם אתם לא יודעים את השם המלא של המשאב, מתחילים להקליד את השם המוצג של המשאב ואז בוחרים את המשאב מתוך רשימת המשאבים שמוצגת.
    5. לוחצים על חיפוש כדי לעדכן את ההדמיה.

מגבלות

יש לכלי הניתוח למדיניות את המגבלות הבאות כשמנתחים גישה לסוגים ספציפיים של חשבונות משתמשים:

  • חשבונות ראשיים של סוכנים: כשמחפשים אילו תפקידים ומשאבים זהות של סוכן יכולה לגשת אליהם, תוצאות החיפוש מוגבלות לקשרים ישירים לזהויות של סוכנים ולסדרות החשבונות הראשיים הבאות:

    • כל הזהויות של הסוכנים בדומיין מהימן, בפורמט principalSet://<var>TRUST_DOMAIN</var>/*. לדוגמה, principalSet://agents.global.org-123456789012.system.id.goog/*.

    • כל הזהויות של הסוכנים עם המאפיין platformContainer, בפורמט principalSet://<var>TRUST_DOMAIN</var>/attribute.platformContainer/aiplatform/projects/<var>PROJECT_NUMBER</var>. לדוגמה, principalSet://agents.global.org-123456789012.system.id.goog/attribute.platformContainer/aiplatform/projects/9876543210.

    • כל הזהויות של הסוכנים עם המאפיין platform, בפורמט principalSet://<var>TRUST_DOMAIN</var>/attribute.platform/aiplatform. לדוגמה, principalSet://agents.global.org-123456789012.system.id.goog/attribute.platform/aiplatform.

    • כל הזהויות של הסוכנים עם המאפיין container, בפורמט principalSet://<var>TRUST_DOMAIN</var>/attribute.container/projects/<var>PROJECT_NUMBER</var>. לדוגמה, principalSet://agents.global.org-123456789012.system.id.goog/attribute.container/projects/9876543210.

  • זהויות של כוח עבודה או חשבונות ראשיים של כוח עבודה: כשמחפשים את התפקידים והמשאבים שזהות יחידה במאגר של כוח עבודה יכולה לגשת אליהם, תוצאות החיפוש מוגבלות לקבוצות החשבונות הראשיים הבאות:

    • כל הזהויות במאגר הזהויות של עומסי העבודה המתאים, בפורמט principalSet://iam.googleapis.com/projects/<var>PROJECT_NUMBER</var>/locations/global/workloadIdentityPools/<var>POOL_ID</var>/*. לדוגמה, principalSet://iam.googleapis.com/projects/9876543210/locations/global/workloadIdentityPools/altostrat-contractors/*

    • כל הזהויות במאגר כוח העבודה המתאים, בפורמט principalSet://iam.googleapis.com/locations/global/workforcePools/<var>POOL_ID</var>/*. לדוגמה, principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/*.

יש מגבלות על הוויזואליזציות של כלי ניתוח המדיניות:

  • כשיוצרים שאילתה, יכול להיות שהבחירות שנעשו באפשרויות מתקדמות לא יבואו לידי ביטוי בהדמיה.

  • אם תוצאות השאילתה יוצרות תרשים גדול מדי או מורכב מדי מכדי להציג אותו בצורה יעילה, מוצגת הודעת אזהרה. כדי לפתור את הבעיה, צריך לשנות את הפרמטרים של השאילתה כדי לצמצם את קבוצת התוצאות שמוצגות.

  • אפשר להציג עד 1,000 קבוצות בתצוגה חזותית.

המאמרים הבאים