GCP IAM:在 IAM 中,访问资源的权限不会直接授予最终用户。相反,权限被分组到角色中,并且角色被授予经过身份验证的成员。IAM 策略定义并强制执行哪些角色被授予哪些成员,并且此策略附加到资源参考:https ://cloud.google.com/iam/docs/overview
所以基本上,谷歌云资源的访问控制是由 IAM 策略管理的。IAM 策略附加到资源。
使用云资源管理器 API,我们可以检索策略并检查分配给用户的权限,但它是以资源为中心的。可以检索组织、文件夹、项目等的策略。示例:https ://cloud.google.com/resource-manager/reference/rest/v1/organizations/getIamPolicy
云资产清单:有一个 API 来搜索所有 iam 策略。使用查询参数,它有一个用户过滤器,但它支持可以为 iam polciy 分配 API 的资源子集: https ://cloud.google.com/asset-inventory/docs/reference/rest/v1/TopLevel/ searchAllIamPolicies 参考:
- https://cloud.google.com/asset-inventory/docs/supported-asset-types
- https://cloud.google.com/iam/docs/resource-types-with-policies
问题: 有没有办法在所有 GCP 资源中获取授予身份的所有权限,而不是检查每个资源的 IAM 政策?
基本上是在 GCP 中寻找授予身份的所有权限的综合视图。问题是为了理解分配给单个资源上的用户的权限,使用 API,我们必须获取所有资源策略并检查它们的绑定