GCP：使用 gcloud CLI 列出組織中所有組的成員，輸出到 BigQuery

Question

我想使用 gcloud CLI 創建我們組織中 Google IAM 組中所有用戶的表，並輸出到 BQ 表。

我知道它涉及“gcloud 身份組成員資格列表”，但不清楚如何遍歷組並將輸出生成為 CSV。

我已經找到了一種遍歷項目並獲取每個項目的 iam 綁定的方法 - https://rajathithanrajasekar.medium.com/google-cloud-iam-users-extraction-across-all-projects-in-a-gcp -org-2fbe66ddc045因此我只需要組成員信息，而不是策略/綁定信息。

更新澄清：我們的用戶被分配到組織級別的 IAM 組 ( https://console.cloud.google.com/iam-admin/groups )。 我希望在 BigQuery 中生成這些成員資格的列表，這樣我們就不必通過它們尋找可能找到用戶的位置。

管理權限的團隊沒有 Google Workspace 管理員來按用戶查看群組成員資格，因此我們正在尋找一種方法來提供此信息。

Answer 1

您只能檢查在 GCP 中分配的組。 您無法從不在 Google Cloud 中的群組獲取數據。

您可以使用 Asset Iam 分析器來獲取一些數據，但您不能在組織或文件夾級別執行此操作，您需要對每個項目進行迭代。 並執行文件夾和組織級別的專用請求

#For Organization
gcloud asset analyze-iam-policy --expand-groups \
  --output-group-edges --organization=<ORGANIZATION_NUMBER> \
  --show-response \
  --full-resource-name="//cloudresourcemanager.googleapis.com/organizations/<ORGANIZATION_NUMBER>"

#For Folder
gcloud asset analyze-iam-policy --expand-groups \
  --output-group-edges --organization=<ORGANIZATION_NUMBER> \
  --show-response \
  --full-resource-name="//cloudresourcemanager.googleapis.com/folders/<FOLDER_NUMBER>"

#For Project
gcloud asset analyze-iam-policy --expand-groups \
  --output-group-edges --organization=<ORGANIZATION_NUMBER> \
  --show-response \
  --full-resource-name="//cloudresourcemanager.googleapis.com/projects/<PROJECT_ID>" \
  --expand-resources                

更多細節在這里

Answer 2

看起來我們現在可以使用beta 命令搜索組：

gcloud beta identity groups search --organization="<org_id>"  \
  --labels="cloudidentity.googleapis.com/groups.discussion_forum"

並且有大量用於組成員身份的命令。