Funções e permissões

O Cloud Asset Inventory usa a Identity and Access Management (IAM) para o controlo de acesso. Todos os métodos da API Cloud Asset Inventory requerem que o autor da chamada tenha as autorizações necessárias.

Funções

Para receber as autorizações de que precisa para trabalhar com metadados de recursos, peça ao seu administrador que lhe conceda as seguintes funções de IAM na organização, na pasta ou no projeto:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para trabalhar com metadados de recursos. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para trabalhar com metadados de recursos:

  • Para ver os metadados do recurso:
    • cloudasset.assets.*
    • recommender.cloudAssetInsights.get
    • recommender.cloudAssetInsights.list
    • serviceusage.services.use
  • Para ver os metadados dos recursos e trabalhar com feeds:
    • cloudasset.*
    • recommender.cloudAssetInsights.*
    • serviceusage.services.use

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Autorizações

A tabela seguinte lista as autorizações que o autor da chamada tem de ter para chamar cada método da API no Cloud Asset Inventory ou para realizar tarefas através de Google Cloud ferramentas que usam o Cloud Asset Inventory, como a Google Cloud consola ou a CLI gcloud.

As funções do visualizador de recursos do Google Cloud (roles/cloudasset.viewer) e proprietário de recursos do Google Cloud (roles/cloudasset.owner) incluem muitas destas autorizações. Se o autor da chamada tiver recebido uma destas funções e a função de consumidor de utilização de serviços (roles/serviceusage.serviceUsageConsumer), pode já ter as autorizações necessárias para usar o Cloud Asset Inventory.

RPC

Método Autorizações necessárias
Todas as APIs
Todas as chamadas do Cloud Asset Inventory

Todas as chamadas do Cloud Asset Inventory requerem a autorização serviceusage.services.use.

APIs de análise

AnalyzeIamPolicy

AnalyzeIamPolicyLongRunning

BatchGetEffectiveIamPolicies

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get para analisar políticas com funções personalizadas

São necessárias autorizações adicionais para trabalhar com o Google Workspace.

AnalyzeMove

 cloudasset.assets.analyzeMove

AnalyzeOrgPolicies

AnalyzeOrgPolicyGovernedContainers

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

AnalyzeOrgPolicyGovernedAssets

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de feeds

CreateFeed

cloudasset.feeds.create

Também precisa de uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

DeleteFeed

 cloudasset.feeds.delete

GetFeed

 cloudasset.feeds.get

ListFeed

 cloudasset.feeds.list

UpdateFeed

cloudasset.feeds.update

Também precisa de uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
APIs Inventory

BatchGetAssetsHistory

ExportAssets

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportAccessPolicy

    Quando usa o tipo de conteúdo ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Quando usa o tipo de conteúdo IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Quando usa o tipo de conteúdo ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Quando usa o tipo de conteúdo OS_INVENTORY.

  • cloudasset.assets.exportResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.

    Limitar o acesso aos recursos

    A concessão da autorização cloudasset.assets.exportResource a um utilizador permite-lhe exportar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode exportar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização cloudasset.assets.exportComputeDisks por si só para permitir que um utilizador exporte apenas o tipo de recurso compute.googleapis.com/Disk.

    Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo não especificados.

    Veja a lista de cloudasset.assets.export*autorizações detalhadas.

ListAssets

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.

    Limitar o acesso aos recursos

    A concessão da autorização cloudasset.assets.listResource a um utilizador permite-lhe listar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode listar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização cloudasset.assets.listComputeDisks por si só para permitir que um utilizador liste apenas o compute.googleapis.com/Disk tipo de recurso.

    Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo não especificados.

    Veja a lista de cloudasset.assets.list*autorizações detalhadas.

QueryAssets

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories

  • cloudasset.assets.queryResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
APIs de pesquisa

SearchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

SearchAllResources

cloudasset.assets.searchAllResources

Também precisa de cloudasset.assets.searchEnrichmentResourceOwners se pesquisar o enriquecimento do proprietário do recurso.

REST

Método Autorizações necessárias
Todas as APIs
Todas as chamadas do Cloud Asset Inventory

Todas as chamadas do Cloud Asset Inventory requerem a autorização serviceusage.services.use.

APIs de análise

analyzeIamPolicy

analyzeIamPolicyLongRunning

effectiveIamPolicies.batchGet

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get para analisar políticas com funções personalizadas

São necessárias autorizações adicionais para trabalhar com o Google Workspace.

analyzeMove

 cloudasset.assets.analyzeMove

analyzeOrgPolicies

analyzeOrgPolicyGovernedContainers

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyzeOrgPolicyGovernedAssets

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de feeds

feeds.create

cloudasset.feeds.create

Também precisa de uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds.delete

 cloudasset.feeds.delete

feeds.get

 cloudasset.feeds.get

feeds.list

 cloudasset.feeds.list

feeds.patch

cloudasset.feeds.update

Também precisa de uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
APIs Inventory

batchGetAssetsHistory

exportAssets

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportAccessPolicy

    Quando usar o tipo de conteúdo ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Quando usa o tipo de conteúdo IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Quando usa o tipo de conteúdo ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Quando usa o tipo de conteúdo OS_INVENTORY.

  • cloudasset.assets.exportResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.

    Limitar o acesso aos recursos

    A concessão da autorização cloudasset.assets.exportResource a um utilizador permite-lhe exportar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode exportar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização cloudasset.assets.exportComputeDisks por si só para permitir que um utilizador exporte apenas o tipo de recurso compute.googleapis.com/Disk.

    Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo não especificados.

    Veja a lista de cloudasset.assets.export*autorizações detalhadas.

assets.list

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.

    Limitar o acesso aos recursos

    A concessão da autorização cloudasset.assets.listResource a um utilizador permite-lhe listar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode listar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização cloudasset.assets.listComputeDisks por si só para permitir que um utilizador liste apenas o compute.googleapis.com/Disk tipo de recurso.

    Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo não especificados.

    Veja a lista de cloudasset.assets.list*autorizações detalhadas.

queryAssets

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories

  • cloudasset.assets.queryResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
APIs de pesquisa

searchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

searchAllResources

cloudasset.assets.searchAllResources

Também precisa de cloudasset.assets.searchEnrichmentResourceOwners se pesquisar o enriquecimento do proprietário do recurso.

gcloud

Declaração posicional Autorizações necessárias
Todas as APIs
Todas as chamadas do Cloud Asset Inventory

Todas as chamadas do Cloud Asset Inventory requerem a autorização serviceusage.services.use.

APIs de análise

analyze-iam-policy

analyze-iam-policy-longrunning

get-effective-iam-policy

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get para analisar políticas com funções personalizadas

São necessárias autorizações adicionais para trabalhar com o Google Workspace.

analyze-move

 cloudasset.assets.analyzeMove

analyze-org-policies

analyze-org-policy-governed-containers

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyze-org-policy-governed-assets

Todas as seguintes autorizações:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de feeds

feeds create

cloudasset.feeds.create

Também precisa de uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds delete

 cloudasset.feeds.delete

feeds describe

 cloudasset.feeds.get

feeds list

 cloudasset.feeds.list

feeds update

cloudasset.feeds.update

Também precisa de uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
APIs Inventory

export

get-history

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.exportAccessPolicy

    Quando usa o tipo de conteúdo ACCESS_POLICY.

  • cloudasset.assets.exportIamPolicy

    Quando usa o tipo de conteúdo IAM_POLICY.

  • cloudasset.assets.exportOrgPolicy

    Quando usa o tipo de conteúdo ORG_POLICY.

  • cloudasset.assets.exportOSInventories

    Quando usa o tipo de conteúdo OS_INVENTORY.

  • cloudasset.assets.exportResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.

    Limitar o acesso aos recursos

    A concessão da autorização cloudasset.assets.exportResource a um utilizador permite-lhe exportar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode exportar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização cloudasset.assets.exportComputeDisks por si só para permitir que um utilizador exporte apenas o tipo de recurso compute.googleapis.com/Disk.

    Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo não especificados.

    Veja a lista de cloudasset.assets.export*autorizações detalhadas.

list

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.

    Limitar o acesso aos recursos

    A concessão da autorização cloudasset.assets.listResource a um utilizador permite-lhe listar todos os tipos de recursos. Para restringir os tipos de recursos que um utilizador pode listar, pode conceder autorizações para cada tipo de recurso. Por exemplo, pode conceder a autorização cloudasset.assets.listComputeDisks sozinha para permitir que um utilizador liste apenas o tipo de recurso compute.googleapis.com/Disk.

    Estas autorizações detalhadas aplicam-se apenas a RESOURCE e tipos de conteúdo não especificados.

    Veja a lista de cloudasset.assets.list* autorizações detalhadas.

query

Uma das seguintes autorizações, consoante o tipo de conteúdo:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories

  • cloudasset.assets.queryResource

    Quando usar os tipos de conteúdo RELATIONSHIP ou RESOURCE.
APIs de pesquisa

search-all-iam-policies

 cloudasset.assets.searchAllIamPolicies

search-all-resources

cloudasset.assets.searchAllResources

Também precisa de cloudasset.assets.searchEnrichmentResourceOwners se pesquisar o enriquecimento do proprietário do recurso.

Consola

A Google Cloud consola usa a API SearchAllResources para pedir dados. Para usar o Cloud Asset Inventory na Google Cloud consola, conceda as seguintes autorizações:

  • cloudasset.assets.searchAllResources
  • serviceusage.services.use
## VPC Service Controls

Os VPC Service Controls podem ser usados com o Cloud Asset Inventory para oferecer segurança adicional aos seus recursos. Para saber mais acerca do VPC Service Controls, consulte a vista geral do VPC Service Controls.

Para saber mais sobre as limitações da utilização do Cloud Asset Inventory com os VPC Service Controls, consulte os produtos suportados e as limitações.