我正在对特定 GCP 项目中的服务帐号进行快速清点,并且我想查找特定服务帐号可以访问的所有资源。这似乎是一个简单的查找,因为 GCP 策略只是一个 Identity,在特定的 resouce 上给出了一个 role,但似乎 gcloud 没有这个特定的查找......除非我错过了什么。我可以通过 IAM 或 gcloud beta asset search-all-iam-policies 找到服务帐户/角色组合,但查询的最后一部分似乎丢失了。
【问题讨论】:
标签: google-cloud-platform gcloud service-accounts
要查找授权给特定帐户的所有资源,使用 Cloud Asset Inventory 是一个很好的工具。
你可以执行这种请求
gcloud beta asset search-all-iam-policies \
--scope=<Where to search>
--query="policy:<who to search>"
范围是您正在寻找的周长。可以
organizations/<OrganisationNumber>folders/<folderNumber>projects/<ProjectNumber or ProjectID>查询就是您搜索的内容。这里是带有特定服务帐户电子邮件的政策。所以,设置它并启动请求。
这是你要找的吗?
【讨论】: