问为单个用户的Google Cloud平台创建报表

EN

这实际上在Google Cloud中是很复杂的。

您需要跟踪两个区域。IAM成员和分配给资源的IAM成员。

有许多IAM成员类型:用户、服务帐户、组、G Suite域、云身份域。

可以为某些资源分配IAM成员。一个例子是模拟或ActAs。您将需要扫描支持成员分配的每个资源。

除此之外，还有分配的成员和继承的成员。

然后是组织、文件夹和项目。

如果您的目标只是创建一个审计报告，那么可以购买一个商业产品或服务。有很多可供选择的。

如果您的目标是更深入地了解Google IAM、资源、角色和权限，请选择您最喜欢的语言并深入研究Google Cloud SDK和Google Cloud CLI gcloud。

可以使用gcloud命令行工具的The asset command来收集您正在查找的数据。在开始之前，ensure that you have the correct IAM permissions to view assets。如果一个组织下有多个项目，则此命令可以收集该组织的所有IAM策略以及该组织层次结构中的所有项目：

gcloud asset export --content-type iam-policy --organization your-org-id \
--output-path gs://your-secure-bucket/your-policy-audit

策略文件作为文本文件保存到Google Cloud Storage存储桶中。该文件由多个JSON对象组成，每行一个。您仍然需要处理IAM文件来提取用户。