是否可以获得已授予用户或 GCP 服务帐户的所有权限的列表(具体地或过渡性地),理想情况下是通过资源、通过gcloud或 Web UI 过滤?
问问题
5943 次
3 回答
6
如果我正确理解了您的问题,您可以在“ IAM & admin ”控制台中看到它们。在“ IAM ”选项卡中:
- 使用“查看者:成员”选项,您将能够查看所有成员(用户和服务帐户)的列表以及授予他们的角色。
- 在“查看方式:ROLES ”中有一个所有角色的列表,以及(如果展开的话)具有该角色的所有用户/服务帐户。
如果您想了解有关这些角色的更多信息,请在“角色”选项卡(位于“ IAM 和管理员”内)中单击它们并查看每个角色的确切权限。
目前没有列出所有已授予权限的命令,如此处gcloud所示,因此我代表您提交了公开功能请求。最后,这是命令的文档。gcloud iam
如果您想了解有关 IAM 的更多信息,这些是产品的概述和文档。
于 2018-10-23T09:42:48.720 回答
2
您可以使用资产搜索来查找用户在给定范围(即组织、文件夹或项目)内的各种资源上直接(而不是传递地)授予的所有角色(不是权限)。
这允许您跨项目和资源进行搜索。但是,您必须对范围具有 cloudasset.assets.searchAllIamPolicies 权限。
这是一个示例命令:
gcloud asset search-all-iam-policies --scope=organizations/123 --query="policy:foo@bar.com" | egrep "role:|resource:"
文档:https ://cloud.google.com/asset-inventory/docs/searching-iam-policies
支持的资源类型:https ://cloud.google.com/asset-inventory/docs/supported-asset-types#searchable_asset_types
于 2020-03-20T05:53:27.103 回答
1
您可以使用Cloud Asset Inventory 的Policy Analyzer功能。
在 Web UI 下,有一个名为“我的员工(或离职员工)有什么访问权限? ”的查询模板,这似乎完全符合您的需求。
有关更多信息,请参阅官方“分析 IAM 策略”文档。
于 2021-11-19T11:44:57.717 回答