角色与权限
Cloud Asset Inventory 使用 Identity and Access Management (IAM) 进行访问权限控制。Cloud Asset Inventory API 的每种方法都要求调用者拥有必要的权限。
角色
如需获得处理媒体资源元数据所需的权限,请让管理员向您授予组织、文件夹或项目的以下 IAM 角色:
-
如需查看资产元数据,请执行以下操作:
-
如需查看素材资源元数据并使用 Feed,请执行以下操作:
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含处理资源元数据所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
您需要具备以下权限才能处理资源元数据:
-
如需查看资产元数据,请执行以下操作:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
如需查看资产元数据并使用 Feed,请执行以下操作:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
您也可以使用自定义角色或其他预定义角色来获取这些权限。
权限
下表列出了调用方在调用 Cloud Asset Inventory 中的每种 API 方法或通过使用 Google Cloud 工具(例如 Google Cloud 控制台或 gcloud CLI)执行任务时必须拥有的权限。
Cloud Asset Viewer (roles/cloudasset.viewer) 和 Cloud Asset Owner (roles/cloudasset.owner) 角色包含许多此类权限。如果调用者已被授予以下某个角色以及 Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) 角色,则他们可能已经拥有使用 Cloud Asset Inventory 所需的权限。
RPC
| 方法 |
所需权限 |
| 所有 API |
| 所有 Cloud Asset Inventory 调用 |
所有 Cloud Asset Inventory 调用都需要 serviceusage.services.use 权限。
|
| 分析 API |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
以下所有权限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
使用自定义角色分析政策
使用 Google Workspace 需要其他权限。
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
CreateFeed
|
cloudasset.feeds.create
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
BatchGetAssetsHistory
ExportAssets
|
以下权限之一,具体取决于
内容类型:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 内容类型时。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 内容类型时。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 内容类型时。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 内容类型时。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.exportResource
权限后,用户便可以导出所有资源类型。如需限制用户可以导出的资源类型,您可以改为为每种资源类型授予权限。例如,您可以单独授予 cloudasset.assets.exportComputeDisks 权限,以允许用户仅导出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.export* 权限列表。
|
ListAssets
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 和 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.listResource
权限后,用户可以列出所有资源类型。如需限制用户可列出的资源类型,您可以改为针对每种资源类型授予权限。 例如,您可以单独授予 cloudasset.assets.listComputeDisks 权限,以允许用户仅列出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.list* 权限列表。
|
QueryAssets
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
,适用于 RELATIONSHIP 和 RESOURCE 这两种内容类型。
|
| Search API |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
如果搜索资源所有者扩充,还需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
REST
| 方法 |
所需权限 |
| 所有 API |
| 所有 Cloud Asset Inventory 调用 |
所有 Cloud Asset Inventory 调用都需要 serviceusage.services.use 权限。
|
| 分析 API |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
以下所有权限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
使用自定义角色分析政策
使用 Google Workspace 需要其他权限。
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
feeds.create
|
cloudasset.feeds.create
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
batchGetAssetsHistory
exportAssets
|
以下权限之一,具体取决于
内容类型:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 内容类型时。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 内容类型时。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 内容类型时。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 内容类型时。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.exportResource
权限后,用户便可以导出所有资源类型。如需限制用户可以导出的资源类型,您可以改为为每种资源类型授予权限。例如,您可以单独授予 cloudasset.assets.exportComputeDisks 权限,以允许用户仅导出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.export* 权限列表。
|
assets.list
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 和 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.listResource
权限后,用户可以列出所有资源类型。如需限制用户可列出的资源类型,您可以改为针对每种资源类型授予权限。 例如,您可以单独授予 cloudasset.assets.listComputeDisks 权限,以允许用户仅列出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.list* 权限列表。
|
queryAssets
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
,适用于 RELATIONSHIP 和 RESOURCE 这两种内容类型。
|
| Search API |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
如果搜索资源所有者扩充,还需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
gcloud
| 定位声明 |
所需权限 |
| 所有 API |
| 所有 Cloud Asset Inventory 调用 |
所有 Cloud Asset Inventory 调用都需要 serviceusage.services.use 权限。
|
| 分析 API |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
以下所有权限:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
使用自定义角色分析政策
使用 Google Workspace 需要其他权限。
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
以下所有权限:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| Feed API |
feeds create
|
cloudasset.feeds.create
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
您还需要以下权限之一,具体取决于
内容类型:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| Inventory API |
export
get-history
|
以下权限之一,具体取决于
内容类型:
-
cloudasset.assets.exportAccessPolicy
使用 ACCESS_POLICY 内容类型时。
-
cloudasset.assets.exportIamPolicy
使用 IAM_POLICY 内容类型时。
-
cloudasset.assets.exportOrgPolicy
使用 ORG_POLICY 内容类型时。
-
cloudasset.assets.exportOSInventories
使用 OS_INVENTORY 内容类型时。
-
cloudasset.assets.exportResource
使用 RELATIONSHIP 或 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.exportResource
权限后,用户便可以导出所有资源类型。如需限制用户可以导出的资源类型,您可以改为为每种资源类型授予权限。例如,您可以单独授予 cloudasset.assets.exportComputeDisks 权限,以允许用户仅导出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.export* 权限列表。
|
list
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
使用 RELATIONSHIP 和 RESOURCE 内容类型时。
限制资源访问权限
向用户授予
cloudasset.assets.listResource
权限后,用户可以列出所有资源类型。如需限制用户可列出的资源类型,您可以改为针对每种资源类型授予权限。 例如,您可以单独授予 cloudasset.assets.listComputeDisks 权限,以允许用户仅列出 compute.googleapis.com/Disk 资源类型。
这些精细权限仅适用于 RESOURCE 和未指定的
内容类型。
查看细化的 cloudasset.assets.list* 权限列表。
|
query
|
以下权限之一,具体取决于
内容类型:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
,适用于 RELATIONSHIP 和 RESOURCE 这两种内容类型。
|
| Search API |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
如果搜索资源所有者扩充,还需要
cloudasset.assets.searchEnrichmentResourceOwners
。
|
控制台
Google Cloud 控制台使用 SearchAllResources API 来请求数据。如需在 Google Cloud 控制台中使用 Cloud Asset Inventory,请授予以下权限:
cloudasset.assets.searchAllResources
serviceusage.services.use
VPC Service Controls
VPC Service Controls 可与 Cloud Asset Inventory 搭配使用,为您的资产提供额外的安全保障。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
如需详细了解将 Cloud Asset Inventory 与 VPC Service Controls 结合使用的限制,请参阅支持的产品和限制。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-10-21。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2025-10-21。"],[],[]]