Questo argomento illustra come configurare le autorizzazioni e le credenziali richiesto per chiamare l'API Cloud Asset Inventory.
Autenticazione
Prima di poter chiamare l'API Cloud Asset Inventory, devi eseguire l'autenticazione come utente finale o come account di servizio. Per ulteriori informazioni per l'autenticazione, consulta Panoramica dell'autenticazione.
Concessione delle autorizzazioni richieste per l'interfaccia a riga di comando gcloud
Per utilizzare gcloud CLI per accedere all'API Cloud Asset Inventory, devi
concedere le autorizzazioni necessarie all'elemento padre della risorsa di destinazione, che possono essere
un'organizzazione, un progetto o una cartella. Devi specificare questo elemento padre nel
Campo parent delle tue richieste API.
Se il tuo account dispone del ruolo di Proprietario di asset cloud (roles/cloudasset.owner) o
Il ruolo di base Proprietario (roles/owner) nell'elemento padre della risorsa dispone di un numero sufficiente di
autorizzazioni per chiamare l'API Cloud Asset Inventory e puoi passare
Download delle credenziali. Per ulteriori informazioni
Ruoli di Cloud Asset Inventory, consulta Ruoli.
Concessione dei ruoli in corso…
Per concedere un ruolo a un account, completa i seguenti passaggi con la Google Cloud CLI. Impara come installare e inizializzare gcloud CLI.
Account utente
Per concedere i ruoli necessari a un account utente, completa i seguenti passaggi.
Per accedere con il tuo account utente, esegui questo comando:
gcloud auth login USER_ACCOUNT_EMAILConcedi al tuo account utente il ruolo Visualizzatore di asset cloud (
roles/cloudasset.viewer) o il ruolo Proprietario asset cloud (roles/cloudasset.owner) nella risorsa principale (padre). Questo progetto può il progetto in cui è abilitata l'API Cloud Asset Inventory.Per concedere al tuo account utente il ruolo Visualizzatore di asset cloud, esegui questo comando: .
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member user:USER_ACCOUNT_EMAIL \ --role roles/cloudasset.viewerPuoi aggiungere il flag
--billing-projectal comandogcloud assetper specificare il progetto di fatturazione in cui è abilitata l'API Cloud Asset Inventory.--billing-project PROJECT_IDSe specifichi questo flag, il tuo account deve avere Autorizzazione
serviceusage.services.useper il progettoPROJECT_ID. Consulta la sezione Informazioni sui ruoli. per un elenco di ruoli predefiniti che includono questa autorizzazione.
Service account
Per concedere i ruoli necessari a un account di servizio, completa i seguenti passaggi passaggi. Per ulteriori informazioni sugli account di servizio, vedi Creazione e gestione degli account di servizio.
Per creare un nuovo account di servizio, esegui questo comando. Se hai già un account di servizio in un progetto in cui è attivata l'API Cloud Asset Inventory, puoi saltare questo passaggio.
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"Concedi al tuo account di servizio il ruolo Visualizzatore di asset cloud (
roles/cloudasset.viewer) o il ruolo Proprietario asset cloud (roles/cloudasset.owner) nella risorsa principale (padre). Questo progetto può Corrispondere al progetto in cui è abilitata l'API Cloud Asset Inventory.Per concedere al tuo account di servizio il ruolo Visualizzatore di asset cloud, esegui .
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudasset.viewer