Cloud Asset Inventory menggunakan Identity and Access Management (IAM) untuk kontrol akses. Setiap metode Cloud Asset Inventory API mengharuskan pemanggil memiliki izin yang diperlukan.
Peran
Untuk mendapatkan izin yang
Anda perlukan untuk menggunakan metadata aset,
minta administrator untuk memberi Anda
peran IAM berikut di organisasi, folder, atau project:
-
Untuk melihat metadata aset:
-
Untuk melihat metadata aset dan menggunakan feed:
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, baca artikel Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi
izin yang diperlukan untuk menggunakan metadata aset. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan metadata aset:
-
Untuk melihat metadata aset:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
Untuk melihat metadata aset dan menggunakan feed:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
Anda mungkin juga bisa mendapatkan
izin ini
dengan peran khusus atau
peran bawaan lainnya.
Izin
Tabel berikut mencantumkan izin yang harus dimiliki pemanggil untuk memanggil setiap metode API di Cloud Asset Inventory, atau untuk melakukan tugas menggunakan alat Google Cloud yang menggunakan Cloud Asset Inventory seperti konsol Google Cloud atau gcloud CLI.
Peran Penampil Aset Cloud (roles/cloudasset.viewer) dan Pemilik Aset Cloud (roles/cloudasset.owner) mencakup banyak izin ini. Jika pemanggil telah diberi salah satu peran ini dan peran
Service Usage Consumer (roles/serviceusage.serviceUsageConsumer), mereka
mungkin sudah memiliki izin yang diperlukan untuk menggunakan Cloud Asset Inventory.
RPC
| Metode |
Izin yang diperlukan |
| Semua API |
| Semua panggilan Inventaris Aset Cloud |
Semua panggilan Inventaris Aset Cloud memerlukan izin serviceusage.services.use.
|
| API Analisis |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
Semua izin berikut:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
untuk menganalisis kebijakan dengan peran khusus
Izin tambahan diperlukan untuk bekerja dengan Google Workspace.
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
Semua izin berikut:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
Semua izin berikut:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
CreateFeed
|
cloudasset.feeds.create
Anda juga memerlukan salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
Anda juga memerlukan salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
BatchGetAssetsHistory
ExportAssets
|
Salah satu izin berikut, bergantung pada
jenis konten:
-
cloudasset.assets.exportAccessPolicy
Saat menggunakan jenis konten ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Saat menggunakan jenis konten IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Saat menggunakan jenis konten ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Saat menggunakan jenis konten OS_INVENTORY.
-
cloudasset.assets.exportResource
Saat menggunakan jenis konten RELATIONSHIP atau RESOURCE.
Membatasi akses resource
Memberikan izin
cloudasset.assets.exportResource
kepada pengguna memungkinkan mereka mengekspor semua jenis resource. Untuk membatasi jenis resource yang dapat diekspor pengguna, Anda dapat memberikan izin untuk setiap jenis resource. Misalnya, Anda dapat memberikan izin
cloudasset.assets.exportComputeDisks dengan sendirinya untuk mengizinkan pengguna
hanya mengekspor jenis resource compute.googleapis.com/Disk.
Izin terperinci ini hanya berlaku untuk jenis konten RESOURCE dan yang tidak ditentukan
.
Melihat daftar izin cloudasset.assets.export* terperinci.
|
ListAssets
|
Salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Saat menggunakan jenis konten RELATIONSHIP dan RESOURCE.
Membatasi akses resource
Memberi pengguna izin
cloudasset.assets.listResource
memungkinkan pengguna tersebut mencantumkan semua jenis resource. Untuk membatasi jenis resource yang dapat dicantumkan pengguna, Anda dapat memberikan izin untuk setiap jenis resource. Misalnya, Anda dapat memberikan izin cloudasset.assets.listComputeDisks dengan sendirinya untuk mengizinkan pengguna hanya mencantumkan jenis resource compute.googleapis.com/Disk.
Izin terperinci ini hanya berlaku untuk jenis konten RESOURCE dan yang tidak ditentukan
.
Melihat daftar izin cloudasset.assets.list* terperinci.
|
QueryAssets
|
Salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
untuk jenis konten
RELATIONSHIP dan RESOURCE.
|
| API Penelusuran |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
Anda juga memerlukan
cloudasset.assets.searchEnrichmentResourceOwners
jika
menelusuri pengayaan pemilik resource.
|
REST
| Metode |
Izin yang diperlukan |
| Semua API |
| Semua panggilan Inventaris Aset Cloud |
Semua panggilan Inventaris Aset Cloud memerlukan izin serviceusage.services.use.
|
| API Analisis |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
Semua izin berikut:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
untuk menganalisis kebijakan dengan peran khusus
Izin tambahan diperlukan untuk bekerja dengan Google Workspace.
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
Semua izin berikut:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
Semua izin berikut:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
feeds.create
|
cloudasset.feeds.create
Anda juga memerlukan salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
Anda juga memerlukan salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
batchGetAssetsHistory
exportAssets
|
Salah satu izin berikut, bergantung pada
jenis konten:
-
cloudasset.assets.exportAccessPolicy
Saat menggunakan jenis konten ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Saat menggunakan jenis konten IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Saat menggunakan jenis konten ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Saat menggunakan jenis konten OS_INVENTORY.
-
cloudasset.assets.exportResource
Saat menggunakan jenis konten RELATIONSHIP atau RESOURCE.
Membatasi akses resource
Memberikan izin
cloudasset.assets.exportResource
kepada pengguna memungkinkan mereka mengekspor semua jenis resource. Untuk membatasi jenis resource yang dapat diekspor pengguna, Anda dapat memberikan izin untuk setiap jenis resource. Misalnya, Anda dapat memberikan izin
cloudasset.assets.exportComputeDisks dengan sendirinya untuk mengizinkan pengguna
hanya mengekspor jenis resource compute.googleapis.com/Disk.
Izin terperinci ini hanya berlaku untuk jenis konten RESOURCE dan yang tidak ditentukan
.
Melihat daftar izin cloudasset.assets.export* terperinci.
|
assets.list
|
Salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Saat menggunakan jenis konten RELATIONSHIP dan RESOURCE.
Membatasi akses resource
Memberi pengguna izin
cloudasset.assets.listResource
memungkinkan pengguna tersebut mencantumkan semua jenis resource. Untuk membatasi jenis resource yang dapat dicantumkan pengguna, Anda dapat memberikan izin untuk setiap jenis resource. Misalnya, Anda dapat memberikan izin cloudasset.assets.listComputeDisks dengan sendirinya untuk mengizinkan pengguna hanya mencantumkan jenis resource compute.googleapis.com/Disk.
Izin terperinci ini hanya berlaku untuk jenis konten RESOURCE dan yang tidak ditentukan
.
Melihat daftar izin cloudasset.assets.list* terperinci.
|
queryAssets
|
Salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
untuk jenis konten
RELATIONSHIP dan RESOURCE.
|
| API Penelusuran |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
Anda juga memerlukan
cloudasset.assets.searchEnrichmentResourceOwners
jika
menelusuri pengayaan pemilik resource.
|
gcloud
| Pernyataan posisi |
Izin yang diperlukan |
| Semua API |
| Semua panggilan Inventaris Aset Cloud |
Semua panggilan Inventaris Aset Cloud memerlukan izin serviceusage.services.use.
|
| API Analisis |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
Semua izin berikut:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
untuk menganalisis kebijakan dengan peran khusus
Izin tambahan diperlukan untuk bekerja dengan Google Workspace.
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
Semua izin berikut:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
Semua izin berikut:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
feeds create
|
cloudasset.feeds.create
Anda juga memerlukan salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
Anda juga memerlukan salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
export
get-history
|
Salah satu izin berikut, bergantung pada
jenis konten:
-
cloudasset.assets.exportAccessPolicy
Saat menggunakan jenis konten ACCESS_POLICY.
-
cloudasset.assets.exportIamPolicy
Saat menggunakan jenis konten IAM_POLICY.
-
cloudasset.assets.exportOrgPolicy
Saat menggunakan jenis konten ORG_POLICY.
-
cloudasset.assets.exportOSInventories
Saat menggunakan jenis konten OS_INVENTORY.
-
cloudasset.assets.exportResource
Saat menggunakan jenis konten RELATIONSHIP atau RESOURCE.
Membatasi akses resource
Memberikan izin
cloudasset.assets.exportResource
kepada pengguna memungkinkan mereka mengekspor semua jenis resource. Untuk membatasi jenis resource yang dapat diekspor pengguna, Anda dapat memberikan izin untuk setiap jenis resource. Misalnya, Anda dapat memberikan izin
cloudasset.assets.exportComputeDisks dengan sendirinya untuk mengizinkan pengguna
hanya mengekspor jenis resource compute.googleapis.com/Disk.
Izin terperinci ini hanya berlaku untuk jenis konten RESOURCE dan yang tidak ditentukan
.
Melihat daftar izin cloudasset.assets.export* terperinci.
|
list
|
Salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Saat menggunakan jenis konten RELATIONSHIP dan RESOURCE.
Membatasi akses resource
Memberi pengguna izin
cloudasset.assets.listResource
memungkinkan pengguna tersebut mencantumkan semua jenis resource. Untuk membatasi jenis resource yang dapat dicantumkan pengguna, Anda dapat memberikan izin untuk setiap jenis resource. Misalnya, Anda dapat memberikan izin cloudasset.assets.listComputeDisks dengan sendirinya untuk mengizinkan pengguna hanya mencantumkan jenis resource compute.googleapis.com/Disk.
Izin terperinci ini hanya berlaku untuk jenis konten RESOURCE dan yang tidak ditentukan
.
Melihat daftar izin cloudasset.assets.list* terperinci.
|
query
|
Salah satu izin berikut, bergantung pada
jenis konten:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
untuk jenis konten
RELATIONSHIP dan RESOURCE.
|
| API Penelusuran |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
Anda juga memerlukan
cloudasset.assets.searchEnrichmentResourceOwners
jika
menelusuri pengayaan pemilik resource.
|
Konsol
Konsol Google Cloud menggunakan SearchAllResources API untuk
meminta data. Untuk menggunakan Inventaris Aset Cloud di konsol Google Cloud , berikan izin berikut:
cloudasset.assets.searchAllResources
serviceusage.services.use
Kontrol Layanan VPC
Kontrol Layanan VPC dapat digunakan dengan Cloud Asset Inventory untuk memberikan keamanan tambahan bagi aset Anda. Untuk mempelajari lebih lanjut Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.
Untuk mempelajari batasan dalam menggunakan Inventaris Aset Cloud dengan Kontrol Layanan VPC, lihat produk dan batasan yang didukung.
