Google Cloud: как указать предоставленные разрешения для учетной записи пользователя или службы?

Можно ли получить список всех разрешений, которые были предоставлены (специально или временно) пользователю или учетной записи службы GCP, в идеале отфильтрованных по ресурсам, через gcloud или веб-интерфейс?


google-cloud-platform google-iam
person Andreas Jansson    schedule 22.10.2018    source источник

Ответы (2)


arrow_upward
4
arrow_downward

Если я правильно понял ваш вопрос, вы можете увидеть их в консоли «IAM и администратор». На вкладке «IAM»:

  • С помощью опции «Просмотр: ЧЛЕНЫ» вы сможете увидеть список всех участников (учетных записей пользователей и служб) и назначенных им ролей.
  • В «Просмотр: РОЛИ» есть список всех ролей и (если развернут) всех пользователей / учетных записей служб, которые имеют эту роль.

Если вы хотите узнать больше об этих ролях, на вкладке «Роли» (внутри «IAM & admin») вы можете щелкнуть по ним и посмотреть, какие именно разрешения у каждого есть.

В настоящее время нет команды gcloud для перечисления всех предоставленных разрешений, как показано здесь, поэтому Я подал общедоступный запрос функций от вашего имени. Наконец, это документация для gcloud iam команд.

Если вы хотите узнать больше об IAM, это обзор и документация по продукту.

person Iñigo    schedule 23.10.2018
comment
Спасибо, я ищу список разрешений, предоставленных одному конкретному пользователю / учетной записи службы. Насколько я могу судить, на странице IAM и администратора не указаны транзитивные гранты. Например. если я являюсь членом group1, я могу видеть гранты для group1, но я не могу искать по своему имени пользователя и видеть эти гранты. Кроме того, я не могу видеть гранты в других проектах, если у меня нет resourcemanager.projects.getIamPolicy в этом проекте. Обычно мне нужно что-то вроде cloud.google.com/iam/docs/testing-permissions, который проверяет все возможные разрешения, если возможно, через gcloud. - person Andreas Jansson; 23.10.2018
comment
В настоящее время это невозможно, поэтому я отправил запрос функции от вашего имени. Вы можете следить за обновлениями там. Я отредактировал свой ответ, чтобы было понятнее. - person Iñigo; 24.10.2018
comment
благодарю вас! отметив это как ответ на данный момент, будет обновлено, если / когда эта функция станет доступной. - person Andreas Jansson; 24.10.2018
comment
Вообще нет проблем! Если вы чувствуете, что я что-то забыл или хотите добавить, не стесняйтесь добавлять комментарий в FR. - person Iñigo; 24.10.2018

arrow_upward
2
arrow_downward

Вы можете использовать поиск активов, чтобы найти все роли (не разрешения), которые предоставляются пользователю напрямую (а не транзитивно) для различных ресурсов в рамках заданной области (т. Е. Организации, папки или проекта).

Это позволяет выполнять поиск по проектам и ресурсам. Однако у вас должно быть разрешение cloudasset.assets.searchAllIamPolicies для области.

Вот пример команды:

gcloud asset search-all-iam-policies --scope=organizations/123 --query="policy:[email protected]" | egrep "role:|resource:"

Документация: https://cloud.google.com/asset-inventory/docs/searching-iam-policies

Поддерживаемые типы ресурсов: https://cloud.google.com/asset-inventory/docs/supported-asset-types#searchable_asset_types.

Подробнее: Как составить список , находить или искать политики IAM по сервисам (API), типам ресурсов и проектам на облачной платформе Google (GCP)?

person Circy    schedule 20.03.2020