将政策分析写入 Cloud Storage

gcloud

在使用下面的命令数据之前， 请先进行以下替换：

• RESOURCE_TYPE：您要将搜索范围限定到的资源的类型。系统只会分析附加到此资源及其后代的 IAM 允许政策。使用值 project、folder 或 organization。
• RESOURCE_ID：您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。 项目 ID 是字母数字字符串，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
• PRINCIPAL：您要分析其访问权限的正文，格式为PRINCIPAL_TYPE:ID，例如user:my-user@example.com。如需查看主账号类型的完整列表，请参阅 主账号标识符。
• PERMISSIONS：您要检查的权限的英文逗号分隔列表，例如 compute.instances.get,compute.instances.start。如果您列出了多个权限，Policy Analyzer 将检查列出的任何权限。
• STORAGE_OBJECT_URI：您要将分析结果导出到的 Cloud Storage 对象的唯一资源标识符，格式为 gs://BUCKET_NAME/OBJECT_NAME，例如 gs://my-bucket/analysis.json。

执行 gcloud asset analyze-iam-policy-longrunning 命令：

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --gcs-output-path=STORAGE_OBJECT_URI

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --gcs-output-path=STORAGE_OBJECT_URI

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --gcs-output-path=STORAGE_OBJECT_URI

您应该会收到类似如下所示的响应：

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

如需分析 IAM 允许政策并将结果导出到 Cloud Storage，请使用 Cloud Asset Inventory API 的 analyzeIamPolicyLongrunning 方法。

在使用任何请求数据之前， 请先进行以下替换：

• RESOURCE_TYPE：您要将搜索范围限定到的资源的类型。系统只会分析附加到此资源及其后代的 IAM 允许政策。使用值 projects、folders 或 organizations。
• RESOURCE_ID：您要将搜索范围限定到的 Google Cloud 项目、文件夹或组织的 ID。系统只会分析附加到此资源及其后代的 IAM 允许政策。 项目 ID 是字母数字字符串，例如 my-project。文件夹和组织 ID 是数字，例如 123456789012。
• FULL_RESOURCE_NAME：可选。您要分析其访问权限的资源的完整资源名称。如需查看完整资源名称格式的列表，请参阅 资源名称格式。
• PRINCIPAL：可选。 您要分析其访问权限的主账号，格式为 PRINCIPAL_TYPE:ID，例如 user:my-user@example.com。如需查看主账号类型的完整列表，请参阅 主账号标识符。
• PERMISSION_1、PERMISSION_2... PERMISSION_N：可选。您要检查的权限，例如 compute.instances.get。如果您列出了多个权限，Policy Analyzer 将检查列出的任何权限。
• STORAGE_OBJECT_URI：您要将分析结果导出到的 Cloud Storage 对象的唯一资源标识符，格式为 gs://BUCKET_NAME/OBJECT_NAME，例如 gs://my-bucket/analysis.json。

HTTP 方法和网址：

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

请求 JSON 正文：

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "outputConfig": {
      "gcsDestination": {
        "uri": "STORAGE_OBJECT_URI"
      }
    }
  }
}

如需发送您的请求，请展开以下选项之一：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

您应该收到类似以下内容的 JSON 响应：

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}