Можно ли получить список всех разрешений, которые были предоставлены (специально или временно) пользователю или учетной записи службы GCP, в идеале отфильтрованных по ресурсам, через gcloud
или веб-интерфейс?
Google Cloud: как указать предоставленные разрешения для учетной записи пользователя или службы?
Ответы (2)
Если я правильно понял ваш вопрос, вы можете увидеть их в консоли «IAM и администратор». На вкладке «IAM»:
- С помощью опции «Просмотр: ЧЛЕНЫ» вы сможете увидеть список всех участников (учетных записей пользователей и служб) и назначенных им ролей.
- В «Просмотр: РОЛИ» есть список всех ролей и (если развернут) всех пользователей / учетных записей служб, которые имеют эту роль.
Если вы хотите узнать больше об этих ролях, на вкладке «Роли» (внутри «IAM & admin») вы можете щелкнуть по ним и посмотреть, какие именно разрешения у каждого есть.
В настоящее время нет команды gcloud
для перечисления всех предоставленных разрешений, как показано здесь, поэтому Я подал общедоступный запрос функций от вашего имени. Наконец, это документация для gcloud iam
команд.
Если вы хотите узнать больше об IAM, это обзор и документация по продукту.
Вы можете использовать поиск активов, чтобы найти все роли (не разрешения), которые предоставляются пользователю напрямую (а не транзитивно) для различных ресурсов в рамках заданной области (т. Е. Организации, папки или проекта).
Это позволяет выполнять поиск по проектам и ресурсам. Однако у вас должно быть разрешение cloudasset.assets.searchAllIamPolicies для области.
Вот пример команды:
gcloud asset search-all-iam-policies --scope=organizations/123 --query="policy:[email protected]" | egrep "role:|resource:"
Документация: https://cloud.google.com/asset-inventory/docs/searching-iam-policies
Поддерживаемые типы ресурсов: https://cloud.google.com/asset-inventory/docs/supported-asset-types#searchable_asset_types.