將政策分析結果寫入 Cloud Storage

gcloud

使用下列任何指令資料之前，請先替換以下項目：

• RESOURCE_TYPE：要將搜尋範圍限定於的資源類型。系統只會分析附加至這個資源及其後代的 IAM 允許政策。請使用 project、folder 或 organization 值。
• RESOURCE_ID：您要將搜尋範圍限定在Google Cloud 專案、資料夾或機構的 ID。系統只會分析附加至這項資源及其後代的 IAM 允許政策。專案 ID 是英數字元字串，例如 my-project。資料夾和機構 ID 為數字，例如 123456789012。
• PRINCIPAL：要分析存取權的主體，格式為 PRINCIPAL_TYPE:ID，例如 user:my-user@example.com。如需主體類型的完整清單，請參閱「主體 ID」。
• PERMISSIONS：以逗號分隔的權限清單，您要檢查這些權限，例如 compute.instances.get,compute.instances.start。如果您列出多項權限，政策分析工具會檢查是否列出任何權限。
• STORAGE_OBJECT_URI：要將分析結果匯出至的 Cloud Storage 物件專屬資源 ID，格式為 gs://BUCKET_NAME/OBJECT_NAME，例如 gs://my-bucket/analysis.json。

執行 gcloud asset analyze-iam-policy-longrunning 指令：

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID \
    --full-resource-name=FULL_RESOURCE_NAME \
    --identity=PRINCIPAL \
    --permissions='PERMISSIONS' \
    --gcs-output-path=STORAGE_OBJECT_URI

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID `
    --full-resource-name=FULL_RESOURCE_NAME `
    --identity=PRINCIPAL `
    --permissions='PERMISSIONS' `
    --gcs-output-path=STORAGE_OBJECT_URI

gcloud asset analyze-iam-policy-longrunning --RESOURCE_TYPE=RESOURCE_ID ^
    --full-resource-name=FULL_RESOURCE_NAME ^
    --identity=PRINCIPAL ^
    --permissions='PERMISSIONS' ^
    --gcs-output-path=STORAGE_OBJECT_URI

您應該會收到類似以下的回應：

Analyze IAM Policy in progress.
Use [gcloud asset operations describe projects/my-project/operations/AnalyzeIamPolicyLongrunning/1195028485971902504711950280359719028666] to check the status of the operation.

REST

如要分析 IAM 允許政策並將結果匯出至 Cloud Storage，請使用 Cloud Asset Inventory API 的 analyzeIamPolicyLongrunning 方法。

使用任何要求資料之前，請先修改下列項目的值：

• RESOURCE_TYPE：要將搜尋範圍限定於的資源類型。系統只會分析附加至這個資源及其後代的 IAM 允許政策。請使用 projects、folders 或 organizations 值。
• RESOURCE_ID：您要將搜尋範圍限定在Google Cloud 專案、資料夾或機構的 ID。系統只會分析附加至這項資源及其後代的 IAM 允許政策。專案 ID 是英數字元字串，例如 my-project。資料夾和機構 ID 為數字，例如 123456789012。
• FULL_RESOURCE_NAME：選用。要分析存取權的資源完整資源名稱。如需完整資源名稱格式清單，請參閱「資源名稱格式」。
• PRINCIPAL：選用。 要分析存取權的主體，格式為 PRINCIPAL_TYPE:ID，例如 user:my-user@example.com。如需主體類型的完整清單，請參閱「主體 ID」。
• PERMISSION_1、 PERMISSION_2... PERMISSION_N：選用。您要檢查的權限，例如 compute.instances.get。如果您列出多項權限，政策分析工具會檢查是否列出任何權限。
• STORAGE_OBJECT_URI：要將分析結果匯出至的 Cloud Storage 物件專屬資源 ID，格式為 gs://BUCKET_NAME/OBJECT_NAME，例如 gs://my-bucket/analysis.json。

HTTP 方法和網址：

POST https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning

JSON 要求主體：

{
  "analysisQuery": {
    "resourceSelector": {
      "fullResourceName": "FULL_RESOURCE_NAME"
    },
    "identitySelector": {
      "identity": "PRINCIPAL"
    },
    "accessSelector": {
      "permissions": [
        "PERMISSION_1",
        "PERMISSION_2",
        "PERMISSION_N"
      ]
    },
    "outputConfig": {
      "gcsDestination": {
        "uri": "STORAGE_OBJECT_URI"
      }
    }
  }
}

請展開以下其中一個選項，以傳送要求：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudasset.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID:analyzeIamPolicyLongrunning" | Select-Object -Expand Content

您應該會收到如下的 JSON 回覆：

{
  "name": "projects/my-project/operations/AnalyzeIamPolicyLongrunning/1206385342502762515812063858425027606003",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.asset.v1.AnalyzeIamPolicyLongrunningMetadata",
    "createTime": "2022-04-12T21:31:10.753173929Z"
  }
}