Вы можете использовать search-all-iam-policies для поиска всех политик IAM по службам, типам ресурсов, проектам в рамках проекта, папки или организации.
Чтобы просмотреть политики в проекте с номером 123 (обратите внимание, что только политики для поддерживаются перечисленные типы ресурсов):
gcloud asset search-all-iam-policies --scope=projects/123
Кто играет роль Владелец в моей организации?
gcloud asset search-all-iam-policies --scope=organizations/456 --query="policy:roles/owner"
Кто может изменять политику IAM проекта в моей организации?
--query='policy.role.permissions:resourcemanager.projects.setIamPolicy'
Какие роли есть у учетной записи?
--query="policy:[email protected]"
Какие ресурсы являются общедоступными?
--query="policy:(allUsers OR allAuthenticatedUsers)"
Есть ли в политиках удаленные аккаунты?
--query="policy:deleted"
Указывается ли [email protected] в какой-либо политике?
--query="policy:[email protected]"
Имеет ли [email protected] роль владельца?
--query="policy:(roles/owner [email protected])"
Как найти все политики IAM для данного типа ресурса (например, проектов)?
--query="policy:roles/owner resource://cloudresourcemanager.googleapis.com/projects"
Есть ли какая-либо учетная запись Gmail с ролью Владелец?
`--query="policy:(roles/owner *gmail*)"
Вы можете изменить область действия на папку или проект.
Чтобы использовать команду, вы должны:
Включите Cloud Asset API и
Иметь cloudasset.assets.searchAllIamPolicies
разрешение на область, которая включена в эти роли:
- roles/cloudasset.viewer
- роли / cloudasset.owner
- роли / зритель
- роли / редактор
- роли / владелец
Документация:
person
Circy
schedule
01.03.2020