我试图了解在GCP中创建报告以识别分配给我的GCP资源层次结构内资源(组织,文件夹,项目,账单帐户,VPC)的各个用户帐户的选项。我认为这个问题已经回答,但是我找不到任何信息。
请让我知道这是否是提出此类问题的正确论坛,或者是否需要在其他论坛之一中提出此问题。 谢谢
答案 0 :(得分:1)
这实际上在Google Cloud中很复杂。
您要跟踪两个区域。 IAM成员和分配给资源的IAM成员。
IAM成员类型很多:用户,服务帐户,组,G Suite域,Cloud Identity域。
可以为某些资源分配IAM成员。例如模仿或ActAs。您将需要扫描所有支持成员分配的资源。
为此,有分配的成员和继承的成员。
然后是组织,文件夹和项目。
如果您的目标只是创建审计报告,请购买商业产品或服务。有很多选择。
如果您的目标是加深对Google IAM,资源,角色和权限的了解,请选择您喜欢的语言,并深入研究Google Cloud SDK和Google Cloud CLI gcloud。
答案 1 :(得分:0)
gcloud命令行工具的 The asset command可用于收集您要查找的数据。开始之前,请ensure that you have the correct IAM permissions to view assets。如果一个组织下有多个项目,此命令可以收集组织中的所有IAM策略以及组织层次结构中的所有项目:
gcloud asset export --content-type iam-policy --organization your-org-id \
--output-path gs://your-secure-bucket/your-policy-audit
该策略文件以文本文件的形式保存到Google Cloud Storage存储桶中。该文件由多个JSON对象组成,每行一个。您仍然需要处理IAM文件以提取用户。