【发布时间】:2019-03-14 15:54:27
【问题描述】:
我正在尝试了解我在 GCP 中创建报告以识别分配给我的 GCP 资源层次结构中资源(组织、文件夹、项目、计费帐户、VPC)的各个用户帐户的选项。我认为这个问题已经得到解答,但我无法找到任何相关信息。
如果这是提出此类问题的正确论坛,或者我是否需要将此问题放在其他论坛之一,请告诉我。 谢谢
【问题讨论】:
标签: google-cloud-platform google-cloud-iam
【发布时间】:2019-03-14 15:54:27
【问题描述】:
这在 Google Cloud 中实际上很复杂。
您要跟踪两个区域。 IAM 成员和分配给资源的 IAM 成员。
有多种 IAM 成员类型:用户、服务帐号、群组、G Suite 域、Cloud Identity 域。
可以为某些资源分配 IAM 成员。一个例子是模拟或行为。您需要扫描所有支持成员分配的资源。
添加到这里有分配的成员和继承的成员。
然后是组织、文件夹和项目。
如果您的目标只是创建一份审计报告,请购买商业产品或服务。有很多可供选择。
如果您的目标是更深入地了解 Google IAM、资源、角色和权限,请选择您喜欢的语言并深入研究 Google Cloud SDK 和 Google Cloud CLI gcloud。
【讨论】:
-
根据我的研究,这是我的想法。对于我认为简单的事情来说,它过于复杂。我想我有一些编码要做。感谢您的信息
gcloud 命令行工具的The asset command 可用于收集您要查找的数据。在开始之前,ensure that you have the correct IAM permissions to view assets。如果您在一个组织下有多个项目,则此命令可以从该组织以及该组织层次结构中的所有项目收集所有 IAM 策略:
gcloud asset export --content-type iam-policy --organization your-org-id \
--output-path gs://your-secure-bucket/your-policy-audit
政策文件以文本文件的形式保存到 Google Cloud Storage 存储分区。该文件由多个 JSON 对象组成,每行一个。您仍然需要处理 IAM 文件来提取用户。
【讨论】: