In diesem Thema wird beschrieben, wie Sie die Berechtigungen und Anmeldedaten konfigurieren, die zum Aufrufen der Cloud Asset Inventory API erforderlich sind.
Authentifizierung
Bevor Sie die Cloud Asset Inventory API aufrufen können, müssen Sie sich entweder als Endnutzer oder als Dienstkonto authentifizieren. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung.
Erforderliche Berechtigungen für die gcloud CLI gewähren
Wenn Sie die gcloud CLI für den Zugriff auf die Cloud Asset Inventory API verwenden möchten, müssen Sie die erforderlichen Berechtigungen für das übergeordnete Element der Zielressource erteilen, das entweder eine Organisation, ein Projekt oder ein Ordner sein kann. Dieses übergeordnete Element müssen Sie im Feld parent
Ihrer API-Anfragen angeben.
Wenn Ihr Konto die Cloud-Asset-Inhaberrolle (roles/cloudasset.owner
) oder die einfache Inhaberrolle (roles/owner
) für das übergeordnete Element der Ressource hat, verfügt es über ausreichende Berechtigungen, um die Cloud Asset Inventory-API aufzurufen, und Sie können zum Herunterladen der Anmeldeinformationen übergehen. Weitere Informationen zu Cloud Asset Inventory-Rollen finden Sie unter Rollen.
Rollen werden gewährt
Führen Sie die folgenden Schritte mit der Google Cloud CLI aus, um einem Konto eine Rolle zuzuweisen. gcloud CLI installieren und initialisieren
Nutzerkonto
Führen Sie die folgenden Schritte aus, um einem Nutzerkonto die erforderlichen Rollen zuzuweisen.
Führen Sie den folgenden Befehl aus, um sich mit Ihrem Nutzerkonto anzumelden.
gcloud auth login USER_ACCOUNT_EMAIL
Weisen Sie Ihrem Nutzerkonto die Rolle „Cloud-Asset-Betrachter“ (
roles/cloudasset.viewer
) oder die Rolle „Cloud-Asset-Inhaber“ (roles/cloudasset.owner
) für die Stammressource (übergeordnete Ressource) zu. Dies kann das Projekt sein, in dem die Cloud Asset Inventory API aktiviert ist.Führen Sie den folgenden Befehl aus, um Ihrem Nutzerkonto die Rolle „Cloud-Asset-Betrachter” zuzuweisen.
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member user:USER_ACCOUNT_EMAIL \ --role roles/cloudasset.viewer
Sie können dem Befehl
gcloud asset
das Flag--billing-project
hinzufügen, um das Abrechnungsprojekt anzugeben, in dem die Cloud Asset Inventory API aktiviert ist.--billing-project PROJECT_ID
Wenn Sie dieses Flag angeben, benötigt Ihr Konto die Berechtigung
serviceusage.services.use
für das ProjektPROJECT_ID
. Unter Informationen zu Rollen finden Sie eine Liste der vordefinierten Rollen, die diese Berechtigung enthalten.
Dienstkonto
Führen Sie die folgenden Schritte aus, um einem Dienstkonto die erforderlichen Rollen zuzuweisen. Weitere Informationen zu Dienstkonten finden Sie unter Dienstkonten erstellen und verwalten.
Führen Sie den folgenden Befehl aus, um ein neues Dienstkonto zu erstellen. Wenn Sie bereits ein Dienstkonto in einem Projekt haben, in dem die Cloud Asset Inventory API aktiviert ist, können Sie diesen Schritt überspringen.
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"
Gewähren Sie Ihrem Dienstkonto die Rolle „Cloud-Asset-Betrachter” (
roles/cloudasset.viewer
) oder die Rolle „Cloud-Asset-Inhaber” (roles/cloudasset.owner
) für die Stammressource (übergeordnet). Dieses Projekt kann mit dem Projekt identisch sein, in dem die Cloud Asset Inventory API aktiviert ist.Führen Sie den folgenden Befehl aus, um Ihrem Dienstkonto die Rolle „Cloud Asset Viewer“ zu gewähren.
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudasset.viewer