您可以使用 search-all-iam-policies 跨服务、资源类型、项目、文件夹或组织内的项目搜索所有 IAM 策略。
浏览编号为 123 的项目中的策略(请注意,仅列出的资源类型 https://cloud.google.com/asset-inventory/docs/supported-asset-types#searchable_asset_types支持):
gcloud asset search-all-iam-policies --scope=projects/123
谁在我的组织中担任所有者角色?
gcloud asset search-all-iam-policies --scope=organizations/456 --query="policy:roles/owner"
谁可以更改我的组织中的项目 IAM 政策?
--query='policy.role.permissions:resourcemanager.projects.setIamPolicy'
帐户有哪些角色?
--query="policy:[email protected] /cdn-cgi/l/email-protection"
哪些资源是公开共享的?
--query="policy:(allUsers OR allAuthenticatedUsers)"
政策中是否有已删除的帐户?
--query="policy:deleted"
Does [电子邮件受保护] /cdn-cgi/l/email-protection出现在任何政策中?
--query="policy:[email protected] /cdn-cgi/l/email-protection"
Does [电子邮件受保护] /cdn-cgi/l/email-protection有所有者角色吗?
--query="policy:(roles/owner [email protected] /cdn-cgi/l/email-protection)"
如何查找给定资源类型(例如项目)的所有 IAM 策略?
--query="policy:roles/owner resource://cloudresourcemanager.googleapis.com/projects"
是否有具有所有者角色的 Gmail 帐户?
`--query="policy:(roles/owner *gmail*)"
您可以将范围更改为文件夹或项目。
要使用该命令,您必须:
-
Enable 云资产API https://console.cloud.google.com/apis/library/cloudasset.googleapis.com, and
-
Have cloudasset.assets.searchAllIamPolicies
范围的权限,包含在这些角色中:
- 角色/cloudasset.viewer
- 角色/cloudasset.owner
- 角色/观众
- 角色/编辑
- 角色/所有者
文档:
- 更多 gcloud 示例:https://cloud.google.com/asset-inventory/docs/searching-iam-policies-samples https://cloud.google.com/asset-inventory/docs/searching-iam-policies-samples
- Guide: https://cloud.google.com/asset-inventory/docs/searching-iam-policies https://cloud.google.com/asset-inventory/docs/searching-iam-policies
- API参考:https://cloud.google.com/asset-inventory/docs/reference/rest/v1p1beta1/iamPolicies/searchAll https://cloud.google.com/asset-inventory/docs/reference/rest/v1p1beta1/iamPolicies/searchAll
- 可搜索的资源类型:https://cloud.google.com/asset-inventory/docs/supported-asset-types#searchable_asset_types https://cloud.google.com/asset-inventory/docs/supported-asset-types#searchable_asset_types