我试图了解我在 GCP 中创建报告的选项,以识别分配给我的 GCP 资源层次结构中资源(组织、文件夹、项目、计费帐户、VPC)的单个用户帐户。我认为这个问题已经得到解答,但我无法找到任何相关信息。
请让我知道这是否是提出此类问题的正确论坛,或者我是否需要将此问题放在其他论坛之一。谢谢
问问题
230 次
2 回答
1
这在 Google Cloud 中实际上很复杂。
您要跟踪两个区域。IAM 成员和分配给资源的 IAM 成员。
IAM 成员类型有多种:用户、服务帐号、群组、G Suite 域、Cloud Identity 域。
可以为某些资源分配 IAM 成员。一个例子是模拟或行为。您将需要扫描支持成员分配的所有资源。
除此之外,还有分配的成员和继承的成员。
然后是组织、文件夹和项目。
如果您的目标只是创建一份审计报告,请购买商业产品或服务。有很多可供选择。
如果您的目标是更深入地了解 Google IAM、资源、角色和权限,请选择您喜欢的语言并深入研究 Google Cloud SDK 和 Google Cloud CLI gcloud。
于 2019-03-14T20:13:51.763 回答
0
asset命令行工具的命令gcloud可用于收集您要查找的数据。在开始之前,请确保您具有查看资产的正确 IAM 权限。如果您在一个组织下有多个项目,则此命令可以从该组织以及该组织层次结构中的所有项目收集所有 IAM 策略:
gcloud asset export --content-type iam-policy --organization your-org-id \
--output-path gs://your-secure-bucket/your-policy-audit
策略文件以文本文件的形式保存到 Google Cloud Storage 存储分区。该文件由多个 JSON 对象组成,每行一个。您仍然需要处理 IAM 文件以提取用户。
于 2020-10-28T20:10:49.337 回答