GCP：使用 gcloud CLI 列出组织中所有组的成员，输出到 BigQuery

Question

我想使用 gcloud CLI 创建我们组织中 Google IAM 组中所有用户的表，并输出到 BQ 表。

我知道它涉及“gcloud 身份组成员资格列表”，但不清楚如何遍历组并将输出生成为 CSV。

我已经找到了一种遍历项目并获取每个项目的 iam 绑定的方法 - https://rajathithanrajasekar.medium.com/google-cloud-iam-users-extraction-across-all-projects-in-a-gcp-org-2fbe66ddc045 因此我只需要组成员信息，而不需要策略/绑定信息。

更新澄清： 我们的用户被分配到组织级别的 IAM 组 (https://console.cloud.google.com/iam-admin/groups)。我希望在 BigQuery 中生成这些成员的列表，这样我们就不必在它们中寻找可能找到用户的位置。

团队管理权限没有 Google Workspace 管理员按用户查看群组成员资格，因此我们正在寻找提供此信息的方法。

Answer 1

您只能检查在 Google Cloud 中分配的组。您无法从不在 Google Cloud 中的群组获取数据。

您可以使用 Asset Iam 分析器获取一些数据，但不能在组织或文件夹级别执行此操作，您需要对每个项目进行迭代。并执行文件夹和组织级别的专用请求

#For Organization
gcloud asset analyze-iam-policy --expand-groups \
  --output-group-edges --organization=<ORGANIZATION_NUMBER> \
  --show-response \
  --full-resource-name="//cloudresourcemanager.googleapis.com/organizations/<ORGANIZATION_NUMBER>"

#For Folder
gcloud asset analyze-iam-policy --expand-groups \
  --output-group-edges --organization=<ORGANIZATION_NUMBER> \
  --show-response \
  --full-resource-name="//cloudresourcemanager.googleapis.com/folders/<FOLDER_NUMBER>"

#For Project
gcloud asset analyze-iam-policy --expand-groups \
  --output-group-edges --organization=<ORGANIZATION_NUMBER> \
  --show-response \
  --full-resource-name="//cloudresourcemanager.googleapis.com/projects/<PROJECT_ID>" \
  --expand-resources                

更多详情here

Answer 2

看起来我们现在可以使用beta command 搜索组：

gcloud beta identity groups search --organization="<org_id>"  \
  --labels="cloudidentity.googleapis.com/groups.discussion_forum"

还有一大堆group membership 的命令。