ניהול שאילתות שמורות

gcloud

כדי ליצור שאילתה שמורה של כלי הניתוח למדיניות בפרויקט, בתיקייה או בארגון ברמת ההורה, משתמשים בפקודה gcloud asset saved-queries create.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫SCOPE_RESOURCE_TYPE_PLURAL: סוג המשאב שרוצים לצמצם את החיפוש אליו, בצורת רבים. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. אפשר להשתמש בערך projects,‏ folders או organizations.
• ‫SCOPE_RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש להיקף שלהם. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫FULL_RESOURCE_NAME: אופציונלי. השם המלא של המשאב שרוצים לנתח את הגישה אליו. רשימה של הפורמטים של שמות מלאים של משאבים זמינה במאמר בנושא פורמט השמות של המשאבים.
• ‫PRINCIPAL: אופציונלי. החשבון הראשי שרוצים לנתח את הגישה שלו, בפורמט PRINCIPAL_TYPE:ID – לדוגמה, user:my-user@example.com. רשימה מלאה של סוגי החשבונות הראשיים מופיעה במאמר מזהים של חשבונות משתמשים.
• ‫PERMISSION_1, PERMISSION_2... PERMISSION_N: אופציונלי. הרשאות שרוצים לבדוק – לדוגמה, compute.instances.get. אם תציינו כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש לכם אחת מההרשאות שציינתם.
• ‫QUERY_ID: המזהה שבו יש להשתמש עבור השאילתה השמורה, שחייב להיות ייחודי במשאב האב שצוין (פרויקט, תיקייה או ארגון). אפשר להשתמש באותיות, במספרים ובמקפים במזהה השאילתה.
• ‫RESOURCE_TYPE: סוג המשאב שעבורו רוצים לשמור שאילתה. אפשר להשתמש בערך project, folder או organization.
• ‫RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שרוצים לשמור עבורם שאילתה. מזהי פרויקטים יכולים להיות אלפאנומריים או מספריים. מזהי תיקיות וארגונים מכילים רק ספרות.
• ‫LABEL_KEY וLABEL_VALUE: אופציונליים. רשימה מופרדת בפסיקים של צמדי מפתח/ערך לצירוף לשאילתה, שאפשר להשתמש בהם בפעולות חיפוש ורשימה. אפשר לכלול עד 10 תוויות לכל שאילתה שמורה.
• ‫DESCRIPTION: אופציונלי. מחרוזת שמתארת את השאילתה.

שומרים את התוכן הבא בקובץ בשם request.json:

{
  "IamPolicyAnalysisQuery": {
    "scope": "SCOPE_RESOURCE_TYPE_PLURAL/SCOPE_RESOURCE_ID",
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    }
  }
}

מריצים את הפקודה הבאה:

gcloud asset saved-queries create \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--labels="LABEL_KEY=LABEL_VALUE" \
--description="DESCRIPTION"

gcloud asset saved-queries create `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--labels="LABEL_KEY=LABEL_VALUE" `
--description="DESCRIPTION"

gcloud asset saved-queries create ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--labels="LABEL_KEY=LABEL_VALUE" ^
--description="DESCRIPTION"

התשובה מכילה את השאילתה השמורה. לדוגמה, יכול להיות שהיא תיראה כך:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: '2022-04-18T22:47:25.640783Z'
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: '2022-04-18T22:47:25.640783Z'
name: projects/12345678901/savedQueries/my-query

REST

כדי ליצור שאילתה שמורה של כלי הניתוח למדיניות בפרויקט, בתיקייה או בארגון ברמת ההורה, משתמשים ב-method ‏savedQueries.create של מאגר משאבי ענן API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫RESOURCE_TYPE: סוג המשאב שעבורו רוצים לשמור שאילתה. אפשר להשתמש בערך projects, folders או organizations.
• ‫RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שרוצים לשמור עבורם שאילתה. מזהי פרויקטים יכולים להיות אלפאנומריים או מספריים. מזהי תיקיות וארגונים מכילים רק ספרות.
• ‫QUERY_ID: המזהה שבו יש להשתמש עבור השאילתה השמורה, שחייב להיות ייחודי במשאב האב שצוין (פרויקט, תיקייה או ארגון). אפשר להשתמש באותיות, במספרים ובמקפים במזהה השאילתה.
• ‫SCOPE_RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. אפשר להשתמש בערך projects,‏ folders או organizations.
• ‫SCOPE_RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש להיקף שלהם. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫FULL_RESOURCE_NAME: אופציונלי. השם המלא של המשאב שרוצים לנתח את הגישה אליו. רשימה של הפורמטים של שמות מלאים של משאבים זמינה במאמר בנושא פורמט השמות של המשאבים.
• ‫PRINCIPAL: אופציונלי. החשבון הראשי שרוצים לנתח את הגישה שלו, בפורמט PRINCIPAL_TYPE:ID – לדוגמה, user:my-user@example.com. רשימה מלאה של סוגי החשבונות הראשיים מופיעה במאמר מזהים של חשבונות משתמשים.
• ‫PERMISSION_1, PERMISSION_2... PERMISSION_N: אופציונלי. הרשאות שרוצים לבדוק – לדוגמה, compute.instances.get. אם תציינו כמה הרשאות, כלי הניתוח למדיניות יבדוק אם יש לכם אחת מההרשאות שציינתם.
• ‫LABEL_KEY וLABEL_VALUE: אופציונליים. צמד מפתח/ערך לצירוף לשאילתה, שאפשר להשתמש בו בפעולות חיפוש ורשימה. אפשר לכלול עד 10 תוויות לכל שאילתה שמורה.
• ‫DESCRIPTION: אופציונלי. מחרוזת שמתארת את השאילתה.

ה-method של ה-HTTP וכתובת ה-URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID

תוכן בקשת JSON:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID",
      "resourceSelector": {
        "fullResourceName": "FULL_RESOURCE_NAME"
      },
      "identitySelector": {
        "identity": "PRINCIPAL"
      },
      "accessSelector": {
        "permissions": [
          "PERMISSION_1",
          "PERMISSION_2",
          "PERMISSION_N"
        ]
      }
    }
  },
  "labels": {
    "LABEL_KEY": "LABEL_VALUE"
  },
  "description": "DESCRIPTION"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries?savedQueryId=QUERY_ID" | Select-Object -Expand Content

התשובה מכילה את השאילתה השמורה. לדוגמה, יכול להיות שהיא תיראה כך:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

gcloud

כדי להריץ שאילתת ניתוח שמורה, משתמשים בפקודה gcloud asset analyze-iam-policy.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫SCOPE_RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. אפשר להשתמש בערך project,‏ folder או organization.
• ‫SCOPE_RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש להיקף שלהם. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫RESOURCE_TYPE_PLURAL: סוג המשאב שבו השאילתה נשמרת. אפשר להשתמש בערך projects, folders או organizations.
• ‫RESOURCE_NUM_ID: המזהה המספרי של Google Cloud הפרויקט, התיקייה או הארגון שבהם השאילתה נשמרת. אי אפשר להשתמש במזהה הפרויקט האלפאנומרי כדי לזהות פרויקט – צריך להשתמש במספר הפרויקט.
• ‫QUERY_ID: המזהה של השאילתה השמורה שרוצים להשתמש בה.

מריצים את הפקודה gcloud asset analyze-iam-policy:

gcloud asset analyze-iam-policy \
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID \
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

gcloud asset analyze-iam-policy `
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID `
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

gcloud asset analyze-iam-policy ^
--SCOPE_RESOURCE_TYPE=SCOPE_RESOURCE_ID ^
--saved-analysis-query=RESOURCE_TYPE_PLURAL/RESOURCE_NUM_ID/savedQueries/QUERY_ID

התשובה תכיל את התוצאות של הפעלת השאילתה השמורה במשאב שצוין. דוגמאות לתוצאות של שאילתות מופיעות במאמר ניתוח מדיניות IAM.

REST

כדי להריץ שאילתת ניתוח שנשמרה, משתמשים ב-method‏ analyzeIamPolicy של מאגר משאבי ענן API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫SCOPE_RESOURCE_TYPE: סוג המשאב שרוצים להגביל את החיפוש אליו. רק מדיניות הרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו תנותח. אפשר להשתמש בערך projects,‏ folders או organizations.
• ‫SCOPE_RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שרוצים להגביל את החיפוש להיקף שלהם. המערכת תנתח רק את מדיניות ההרשאות של IAM שמצורפת למשאב הזה ולצאצאים שלו. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתה נשמרת. אפשר להשתמש בערך projects, folders או organizations.
• ‫RESOURCE_NUM_ID: המזהה המספרי של Google Cloud הפרויקט, התיקייה או הארגון שבהם השאילתה נשמרת. אי אפשר להשתמש במזהה הפרויקט האלפאנומרי כדי לזהות פרויקט – צריך להשתמש במספר הפרויקט.
• ‫QUERY_ID: המזהה של השאילתה השמורה שרוצים להשתמש בה.

ה-method של ה-HTTP וכתובת ה-URL:

POST https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy

תוכן בקשת JSON:

{
  "savedAnalysisQuery": "RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/SCOPE_RESOURCE_TYPE/SCOPE_RESOURCE_ID:analyzeIamPolicy" | Select-Object -Expand Content

התשובה תכיל את התוצאות של הפעלת השאילתה השמורה במשאב שצוין. דוגמאות לתוצאות של שאילתות מופיעות במאמר ניתוח מדיניות IAM.

gcloud

כדי לקבל שאילתה שמורה של כלי הניתוח למדיניות, משתמשים בפקודה gcloud asset saved-queries get.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫QUERY_ID: המזהה של השאילתה השמורה שרוצים לקבל.
• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתה נשמרת. אפשר להשתמש בערך project, folder או organization.
• ‫RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שבהם השאילתה נשמרה. מזהי פרויקטים יכולים להיות אלפאנומריים או מספריים. מזהי תיקיות וארגונים מכילים רק ספרות.

מריצים את הפקודה הבאה:

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries describe QUERY_ID --RESOURCE_TYPE=RESOURCE_NUM_ID

התשובה מכילה את השאילתה השמורה. לדוגמה, יכול להיות שהיא תיראה כך:

content:
  iamPolicyAnalysisQuery:
    resourceSelector:
      fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
    identitySelector:
      identity: user:my-user@example.com
    scope: projects/scope-project
createTime: 2022-04-18T22:47:25.640783Z
description: A query checking what permissions my-user@example.com has on my-project
labels:
  user: my-user
lastUpdateTime: 2022-04-18T22:47:25.640783Z
name: projects/12345678901/savedQueries/my-query

REST

כדי לקבל שאילתה שמורה של כלי הניתוח למדיניות, משתמשים ב-method ‏savedQueries.get של Cloud Asset Inventory API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתה נשמרת. אפשר להשתמש בערך projects, folders או organizations.
• ‫RESOURCE_NUM_ID: המזהה המספרי של Google Cloud הפרויקט, התיקייה או הארגון שבהם השאילתה נשמרת. אי אפשר להשתמש במזהה הפרויקט האלפאנומרי כדי לזהות פרויקט – צריך להשתמש במספר הפרויקט.
• ‫QUERY_ID: המזהה של השאילתה השמורה שרוצים לקבל.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

התשובה מכילה את השאילתה השמורה. לדוגמה, יכול להיות שהיא תיראה כך:

{
  "name": "projects/12345678901/savedQueries/my-query",
  "description": "A query checking what permissions my-user@example.com has on my-project",
  "createTime": "2022-04-18T22:47:25.640783Z",
  "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
  "labels": {
    "user": "my-user"
  },
  "content": {
    "iamPolicyAnalysisQuery": {
      "scope": "projects/scope-project",
      "resourceSelector": {
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
      },
      "identitySelector": {
        "identity": "user:my-user@example.com"
      }
    }
  }
}

gcloud

כדי לראות את רשימת כל השאילתות השמורות של כלי ניתוח המדיניות בפרויקט, בתיקייה או בארגון, משתמשים בפקודה gcloud asset saved-queries list.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתות נשמרות. אפשר להשתמש בערך project, folder או organization.
• ‫RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שרוצים לראות את השאילתות השמורות שלהם. מזהי פרויקטים יכולים להיות אלפאנומריים או מספריים. מזהי תיקיות וארגונים מכילים רק ספרות.

מריצים את הפקודה הבאה:

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

gcloud asset saved-queries list --RESOURCE_TYPE=RESOURCE_ID

התשובה מכילה את כל השאילתות השמורות של כלי ניתוח המדיניות עבור הפרויקט, התיקייה או הארגון. לדוגמה, יכול להיות שהיא תיראה כך:

savedQueries:
- content:
    iamPolicyAnalysisQuery:
      resourceSelector:
        fullResourceName: //cloudresourcemanager.googleapis.com/projects/my-project
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-15T21:17:33.777212Z'
  description: A query checking what permissions my-user@example.com has on my-project
  labels:
    missing-info: permissions
  lastUpdateTime: '2022-04-15T21:17:33.777212Z'
  name: projects/12345678901/savedQueries/query-1
- content:
    iamPolicyAnalysisQuery:
      accessSelector:
        permissions:
        - iam.roles.get
        - iam.roles.list
      identitySelector:
        identity: user:my-user@example.com
      scope: projects/scope-project
  createTime: '2022-04-18T22:47:25.640783Z'
  description: A query checking what resources my-user@example.com has permission to view roles on
  labels:
    missing-info: resource
  lastUpdateTime: '2022-04-18T22:47:25.640783Z'
  name: projects/12345678901/savedQueries/query-2

REST

כדי לראות את רשימת כל השאילתות השמורות של Policy Analyzer בפרויקט, בתיקייה או בארגון, משתמשים בשיטה savedQueries.list ב-Cloud Asset Inventory API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתות נשמרות. אפשר להשתמש בערך projects, folders או organizations.
• ‫RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שרוצים לראות את השאילתות השמורות שלהם. מזהי פרויקטים יכולים להיות אלפאנומריים או מספריים. מזהי תיקיות וארגונים מכילים רק ספרות.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/savedQueries" | Select-Object -Expand Content

התשובה מכילה את כל השאילתות השמורות של כלי ניתוח המדיניות עבור הפרויקט, התיקייה או הארגון. לדוגמה, יכול להיות שהיא תיראה כך:

{
  "savedQueries": [
    {
      "name": "projects/12345678901/savedQueries/query-1",
      "description": "A query checking what permissions my-user@example.com has on my-project",
      "createTime": "2022-04-15T21:17:33.777212Z",
      "lastUpdateTime": "2022-04-15T21:17:33.777212Z",
      "labels": {
        "missing-info": "permission"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "resourceSelector": {
            "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project"
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    },
    {
      "name": "projects/12345678901/savedQueries/query-2",
      "description": "A query checking what resources my-user@example.com has permission to view roles on",
      "createTime": "2022-04-18T22:47:25.640783Z",
      "lastUpdateTime": "2022-04-18T22:47:25.640783Z",
      "labels": {
        "missing-info": "resource"
      },
      "content": {
        "iamPolicyAnalysisQuery": {
          "scope": "projects/scope-project",
          "accessSelector": {
            "permissions": [
              "iam.roles.get",
              "iam.roles.list"
            ]
          },
          "identitySelector": {
            "identity": "user:my-user@example.com"
          }
        }
      }
    }
  ]
}

gcloud

כדי לעדכן שאילתה שמורה בכלי הניתוח למדיניות, משתמשים בפקודה gcloud asset saved-queries update.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫UPDATED_QUERY: אופציונלי. שאילתת כלי הניתוח למדיניות המעודכנת שרוצים לשמור. במאמר יצירת שאילתה שמורה מוסבר איך ליצור פורמט מתאים של שאילתות.
• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתה נשמרת. אפשר להשתמש בערך project, folder או organization.
• ‫QUERY_ID: המזהה של השאילתה השמורה שרוצים לערוך.
• ‫RESOURCE_ID: המזהה של Google Cloud הפרויקט, התיקייה או הארגון שבהם השאילתה נשמרה. מזהי פרויקטים יכולים להיות אלפאנומריים או מספריים. מזהי תיקיות וארגונים מכילים רק ספרות.
• ‫UPDATED_LABELS: אופציונלי. התוויות המעודכנות שרוצים לצרף לשאילתה השמורה. אפשר גם להסיר תוויות באמצעות הדגל --remove-labels="KEY_1,KEY_2", או לנקות את כל התוויות באמצעות הדגל --clear-labels.
• ‫UPDATED_DESCRIPTION: אופציונלי. תיאור מעודכן של השאילתה השמורה.

שומרים את התוכן הבא בקובץ בשם request.json:

{
  "IamPolicyAnalysisQuery": {
    UPDATED_QUERY
  }
}

מריצים את הפקודה הבאה:

gcloud asset saved-queries update \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_ID \
--query-file-path=request.json \
--update-labels="UPDATED_LABELS" \
--description="DESCRIPTION"

gcloud asset saved-queries update `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_ID `
--query-file-path=request.json `
--update-labels="UPDATED_LABELS" `
--description="DESCRIPTION"

gcloud asset saved-queries update ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_ID ^
--query-file-path=request.json ^
--update-labels="UPDATED_LABELS" ^
--description="DESCRIPTION"

התשובה מכילה את השאילתה המעודכנת.

REST

כדי לעדכן שאילתה שמורה של כלי הניתוח למדיניות, משתמשים בשיטה savedQueries.patch של מאגר משאבי ענן API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתה נשמרת. אפשר להשתמש בערך projects, folders או organizations.
• ‫RESOURCE_NUM_ID: המזהה המספרי של Google Cloud הפרויקט, התיקייה או הארגון שבהם השאילתה נשמרת. אי אפשר להשתמש במזהה הפרויקט האלפאנומרי כדי לזהות פרויקט – צריך להשתמש במספר הפרויקט.
• ‫QUERY_ID: המזהה של השאילתה השמורה שרוצים לערוך.
• ‫UPDATED_FIELDS: רשימה מופרדת בפסיקים של השדות שרוצים לעדכן. לדוגמה, אם אתם מעדכנים את השדות של התוכן, התוויות והתיאור, תשתמשו בערך content,labels,description.
• ‫UPDATED_QUERY: אופציונלי. שאילתת כלי הניתוח למדיניות המעודכנת שרוצים לשמור. במאמר יצירת שאילתה שמורה מוסבר איך ליצור פורמט מתאים של שאילתות.
• ‫UPDATED_LABELS: אופציונלי. התוויות המעודכנות שרוצים לצרף לשאילתה השמורה.
• ‫UPDATED_DESCRIPTION: אופציונלי. תיאור מעודכן של השאילתה השמורה.

ה-method של ה-HTTP וכתובת ה-URL:

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS

תוכן בקשת JSON:

{
  "content": {
    "iamPolicyAnalysisQuery": {
      UPDATED_QUERY
  },
  "labels": {
    UPDATED_LABELS
  },
  "description": "UPDATED_DESCRIPTION"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID?update_mask=UPDATED_FIELDS" | Select-Object -Expand Content

התשובה מכילה את השאילתה המעודכנת.

gcloud

כדי למחוק שאילתה שמורה בכלי הניתוח למדיניות, משתמשים בפקודה gcloud asset saved-queries delete.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫QUERY_ID: המזהה של השאילתה השמורה שרוצים למחוק.
• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתה נשמרת. אפשר להשתמש בערך project, folder או organization.
• ‫RESOURCE_NUM_ID: המזהה המספרי של Google Cloud הפרויקט, התיקייה או הארגון שבהם השאילתה נשמרת. אי אפשר להשתמש במזהה הפרויקט האלפאנומרי כדי לזהות פרויקט – צריך להשתמש במספר הפרויקט.

מריצים את הפקודה הבאה:

gcloud asset saved-queries delete \
QUERY_ID \
--RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries delete `
QUERY_ID `
--RESOURCE_TYPE=RESOURCE_NUM_ID

gcloud asset saved-queries delete ^
QUERY_ID ^
--RESOURCE_TYPE=RESOURCE_NUM_ID

REST

כדי למחוק שאילתה שמורה של כלי הניתוח למדיניות, משתמשים ב-method‏ savedQueries.delete של מאגר משאבי ענן API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫RESOURCE_TYPE: סוג המשאב שבו השאילתה נשמרת. אפשר להשתמש בערך projects, folders או organizations.
• ‫RESOURCE_NUM_ID: המזהה המספרי של Google Cloud הפרויקט, התיקייה או הארגון שבהם השאילתה נשמרת. אי אפשר להשתמש במזהה הפרויקט האלפאנומרי כדי לזהות פרויקט – צריך להשתמש במספר הפרויקט.
• ‫QUERY_ID: המזהה של השאילתה השמורה שרוצים למחוק.

ה-method של ה-HTTP וכתובת ה-URL:

DELETE https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "X-HTTP-Method-Override: GET" \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "X-HTTP-Method-Override" = "GET" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_NUM_ID/savedQueries/QUERY_ID" | Select-Object -Expand Content

אם השאילתה נמחקת בהצלחה, ה-API מחזיר תגובה ריקה.