我正在尝试了解在GCP中创建报告的选项,以确定分配给我的GCP资源层次结构内的资源(组织、文件夹、项目、计费帐户、VPC)的各个用户帐户。我假设这个问题已经得到回答,但我找不到任何有关这方面的资料。
请让我知道这是否是提出这类问题的正确论坛,或者我是否需要将这个问题放在其他论坛中。谢谢
发布于 2019-03-15 04:13:52
这实际上在Google Cloud中是很复杂的。
您需要跟踪两个区域。IAM成员和分配给资源的IAM成员。
有许多IAM成员类型:用户、服务帐户、组、G Suite域、云身份域。
可以为某些资源分配IAM成员。一个例子是模拟或ActAs。您将需要扫描支持成员分配的每个资源。
除此之外,还有分配的成员和继承的成员。
然后是组织、文件夹和项目。
如果您的目标只是创建一个审计报告,那么可以购买一个商业产品或服务。有很多可供选择的。
如果您的目标是更深入地了解Google IAM、资源、角色和权限,请选择您最喜欢的语言并深入研究Google Cloud SDK和Google Cloud CLI gcloud
。
发布于 2020-10-29 04:10:49
可以使用gcloud
命令行工具的The asset
command来收集您正在查找的数据。在开始之前,ensure that you have the correct IAM permissions to view assets。如果一个组织下有多个项目,则此命令可以收集该组织的所有IAM策略以及该组织层次结构中的所有项目:
gcloud asset export --content-type iam-policy --organization your-org-id \
--output-path gs://your-secure-bucket/your-policy-audit
策略文件作为文本文件保存到Google Cloud Storage存储桶中。该文件由多个JSON对象组成,每行一个。您仍然需要处理IAM文件来提取用户。
https://stackoverflow.com/questions/55166914
复制相似问题