IAM-Richtlinienstatistiken verwalten

Neben Empfehlungen liefert Recommender mithilfe von maschinellem Lernen (ML) detaillierte Statistiken. Statistiken sind Erkenntnisse, die auf beachtenswerte Muster in der Ressourcennutzung hinweisen. Sie können z. B. zusätzliche Informationen zur Berechtigungsnutzung in Ihrem Projekt erfassen oder nicht verwendete Dienstkonten identifizieren. Einige Statistiken sind auch mit Empfehlungen verknüpft, weil sie Informationen bereitstellen, mit denen sich die Empfehlungen belegen lassen.

IAM bietet verschiedene Arten von Statistiken. Auf dieser Seite wird gezeigt, wie Sie Richtlinienstatistiken (google.iam.policy.Insight) verwalten. Dies sind ML-basierte Ergebnisse zur Berechtigungsnutzung innerhalb Ihres Projekts, Ordners oder Ihrer Organisation.

Hinweis

Erforderliche Berechtigungen

Die erforderlichen Berechtigungen zur Verwendung von Richtlinienstatistiken hängen davon ab, was Sie tun möchten.

Berechtigungen zum Aufrufen von Statistiken

Zum Aufrufen von Richtlinienstatistiken benötigen Sie eine Rolle mit folgenden Berechtigungen:

  • recommender.iamPolicyInsights.get
  • recommender.iamPolicyInsights.list

Damit Sie diese Berechtigungen erhalten und gleichzeitig das Prinzip der geringsten Berechtigung anwenden, bitten Sie Ihren Administrator, Ihnen eine der folgenden Rollen zu gewähren:

  • Betrachter für IAM Recommender (roles/recommender.iamViewer)
  • IAM > Sicherheitsprüfer (roles/iam.securityReviewer)

Alternativ kann Ihr Administrator Ihnen eine andere Rolle mit den erforderlichen Berechtigungen zuweisen, z. B. eine benutzerdefinierte Rolle oder eine vordefinierte Rolle mit mehr Berechtigungen.

Berechtigungen zum Ändern von Statistiken

Zum Ändern von Richtlinienstatistiken benötigen Sie eine Rolle mit folgenden Berechtigungen:

  • recommender.iamPolicyInsights.get
  • recommender.iamPolicyInsights.list
  • recommender.iamPolicyInsights.update

Bitten Sie Ihren Administrator, Ihnen die Rolle „IAM Recommender-Administrator“ (roles/recommender.iamAdmin) zuzuweisen, damit Sie diese Berechtigungen erhalten und dabei dem Prinzip der geringsten Berechtigung folgen.

Alternativ kann Ihr Administrator Ihnen eine andere Rolle mit den erforderlichen Berechtigungen zuweisen, z. B. eine benutzerdefinierte Rolle oder eine vordefinierte Rolle mit mehr Berechtigungen.

Richtlinienstatistiken auflisten

Verwenden Sie eine der folgenden Methoden, um alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten:

Console

  1. Rufen Sie in der Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie ein Projekt aus.
  3. In der Spalte Sicherheitsstatistiken werden alle sicherheitsrelevanten Informationen für Ihr Projekt angezeigt, einschließlich der Richtlinienstatistiken.

gcloud

Verwenden Sie den Befehl gcloud recommender insights list, um alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzurufen.

Ersetzen Sie vor dem Ausführen des Befehls die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Informationen auflisten möchten. Verwenden Sie den Wert project, folder, oder organization.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

Die Ausgabe listet alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf. Beispiel:

INSIGHT_ID                            LOCATION  INSIGHT_TYPE               CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME
07841f74-02ce-4de8-bbe6-fc4eabb68568  global    google.iam.policy.Insight  SECURITY  ACCEPTED       2020-07-12T07:00:00Z
0d3ce433-f067-4e78-b6ae-03d7d1f6f040  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z
0e2cc488-38fb-4b9b-942c-cfe06a0ab88f  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z
12b557be-d48f-49cf-a0b0-b3b73a178edf  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z
279ef748-408f-44db-9a4a-1ff8865b9839  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z
29a4553d-9ffb-4508-9f13-77f40fc4e8b6  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z
2a00a91a-3e37-4dca-81f7-fb607d18053f  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z
2baea818-df89-4ab3-8a48-0e752459d816  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z
4a59da9d-cde8-46cc-9c68-6980487175fb  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z
78fee8d9-c25c-4070-9f1b-ae5e4a4a164b  global    google.iam.policy.Insight  SECURITY  ACTIVE         2020-07-13T07:00:00Z

REST

Die Methode insights.list der Recommender API listet alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken auflisten möchten. Verwenden Sie den Wert projects, folders, oder organizations.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

In der Antwort werden alle Richtlinienstatistiken in Ihrem Projekt, Ordner oder Ihrer Organisation aufgelistet. Beispiel:

{
  "insights": [
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
      "description": "0 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/viewer",
        "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [],
        "inferredPermissions": []
      },
      "lastRefreshTime": "2020-07-12T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "PERMISSIONS_USAGE",
      "etag": "\"b153ab487e4ae100\"",
      "severity": "HIGH"
    },
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/f4292f55-105b-4744-9dc3-fcacf59685bb",
      "description": "4 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/owner",
        "member": "serviceAccount:my-service-account2@my-project.iam.gserviceaccount.com",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "iam.roles.create"
          },
          {
            "permission": "iam.roles.delete"
          },
          {
            "permission": "iam.roles.list"
          },
          {
            "permission": "iam.roles.update"
          }
        ],
        "inferredPermissions": []
      },
      "lastRefreshTime": "2020-07-12T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/6ab16c1d-edce-45e5-8d82-570fdd49892a"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "PERMISSIONS_USAGE",
      "etag": "\"49bb705553338fc3\"",
      "severity": "HIGH"
    }
  ]
}

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.

Einzelne Richtlinienstatistik abrufen

Wenn Sie weitere Informationen zu einer einzelnen Statistik abrufen möchten, einschließlich der Beschreibung, des Status und aller mit ihr verknüpften Empfehlungen, verwenden Sie eine der folgenden Methoden:

Console

  1. Rufen Sie in der Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie ein Projekt aus.
  3. Klicken Sie in der Spalte Sicherheitsstatistiken auf eine Richtlinienstatistik.

    Richtlinienstatistiken haben das Format excess/total excess permissions, wobei excess die Anzahl der Berechtigungen in der Rolle ist, die das Mitglied nicht benötigt, und total die Gesamtzahl der Berechtigungen in der Rolle ist.

  4. In der Cloud Console wird ein Feld mit den Details der Statistik geöffnet.

gcloud

Verwenden Sie den Befehl gcloud recommender insights describe mit Ihrer Statistik-ID, um Informationen zu einer einzelnen Statistik aufzurufen.

  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.
  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert project, folder, oder organization.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

In der Ausgabe sehen Sie die Statistik im Detail. Die folgende Statistik zeigt beispielsweise, dass my-service-account@my-project.iam.gserviceaccount.com innerhalb der letzten 90 Tage keine Berechtigungen der Rolle „Betrachter“ (roles/viewer) verwendet hat:

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  exercisedPermissions: []
  inferredPermissions: []
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/viewer
description: 0 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012
severity: HIGH

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.

REST

Die Methode insights.get der Recommender API ruft eine einzelne Statistik ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert projects, folders, oder organizations.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID der Statistik nicht kennen, können Sie sie durch Auflisten der Statistik in Ihrem Projekt, Ordner oder Ihrer Organisation finden. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Statistik. Die folgende Statistik zeigt beispielsweise, dass my-service-account@my-project.iam.gserviceaccount.com innerhalb der letzten 90 Tage keine Berechtigungen der Rolle „Betrachter“ (roles/viewer) verwendet hat:

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "0 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/viewer",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [],
    "inferredPermissions": []
  },
  "lastRefreshTime": "2020-07-12T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"d3cdec23cc712bd0\"",
  "severity": "HIGH"
}

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.

Richtlinienstatistiken prüfen

Nachdem Sie eine einzelne Statistik erhalten haben, können Sie deren Inhalt prüfen, um das durch sie hervorgehobene Muster der Ressourcennutzung zu verstehen.

Console

Wenn Sie in der Cloud Console auf eine Richtlinienstatistik klicken, wird in der Cloud Console ein Feld mit den Details der Statistik geöffnet. Die Darstellung dieser Details hängt davon ab, ob die Statistik mit einer Empfehlung verknüpft ist.

Wenn die Statistik nicht mit einer Empfehlung verknüpft ist, wird im Bereich eine Liste aller Berechtigungen in der Rolle angezeigt. Die vom Mitglied verwendeten Berechtigungen werden ganz oben in der Liste angezeigt, gefolgt von den nicht erforderlichen Berechtigungen.

Wenn die Statistik mit einer Empfehlung verknüpft ist, werden in dem Steuerfeld die Details der Empfehlung angezeigt.

gcloud

Der Inhalt einer Statistik wird durch die Untertypen bestimmt. Richtlinienstatistiken (google.iam.policy.Insight) unterstützen Statistiken mit dem Untertyp PERMISSION_USAGE.

PERMISSION_USAGE-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
  • category: Die Kategorie für IAM-Statistiken ist immer SECURITY.
  • content: Berichtet über die Berechtigungsnutzung eines Mitglieds für eine bestimmte Rolle. Dieses Feld enthält die folgenden Komponenten:

    • condition: Alle Bedingungen, die mit einer Bindung verknüpft sind, durch die dem Mitglied die Rolle zugewiesen wird. Wenn keine Bedingungen vorhanden sind, enthält dieses Feld eine leere Bedingung.
    • exercisedPermissions: Die Berechtigungen der Rolle, die das Mitglied während des Beobachtungszeitraums verwendet hat.
    • inferredPermissions: Die Berechtigungen der Rolle, die das Mitglied gemäß der ML-basierten Analyse durch den IAM Recommender und basierend auf den vom Mitglied verwendeten Berechtigungen wahrscheinlich benötigt.
    • member: Das Mitglied, dessen Nutzung von Berechtigungen analysiert wurde.
    • role: Die Rolle, für die die Nutzung von Berechtigungen analysiert wurde.
  • description: Eine menschenlesbare Zusammenfassung der Statistik.
  • etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

    Zum Ändern des Status einer Statistik müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.

  • insightSubtype: Der Statistikuntertyp.
  • lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.
  • name: Der Name der Statistik im folgenden Format:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Die Platzhalter haben folgende Werte:

    • RESOURCE_TYPE: Der Ressourcentyp, für den der Insight generiert wurde.
    • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, in der der Insight generiert wurde.
    • INSIGHT_ID: Eine eindeutige ID für die Statistik.
  • observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.
  • severity: Der Schweregrad der Statistik. Statistiken für grundlegende Rollen (Inhaber, Bearbeiter oder Betrachter) haben den Schweregrad HIGH. Alle anderen Statistiken haben den Schweregrad LOW.
  • stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:

    • ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
    • ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
  • targetResources: Der vollständige Ressourcenname des Projekts, des Ordners oder der Organisation, für die die Statistik bestimmt ist. Beispiel: //cloudresourcemanager.googleapis.com/projects/1234567890

REST

Der Inhalt einer Statistik wird durch die Untertypen bestimmt. Richtlinienstatistiken (google.iam.policy.Insight) unterstützen Statistiken mit dem Untertyp PERMISSION_USAGE.

PERMISSION_USAGE-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
  • category: Die Kategorie für IAM-Statistiken ist immer SECURITY.
  • content: Berichtet über die Berechtigungsnutzung eines Mitglieds für eine bestimmte Rolle. Dieses Feld enthält die folgenden Komponenten:

    • condition: Alle Bedingungen, die mit einer Bindung verknüpft sind, durch die dem Mitglied die Rolle zugewiesen wird. Wenn keine Bedingungen vorhanden sind, enthält dieses Feld eine leere Bedingung.
    • exercisedPermissions: Die Berechtigungen der Rolle, die das Mitglied während des Beobachtungszeitraums verwendet hat.
    • inferredPermissions: Die Berechtigungen der Rolle, die das Mitglied gemäß der ML-basierten Analyse durch den IAM Recommender und basierend auf den vom Mitglied verwendeten Berechtigungen wahrscheinlich benötigt.
    • member: Das Mitglied, dessen Nutzung von Berechtigungen analysiert wurde.
    • role: Die Rolle, für die die Nutzung von Berechtigungen analysiert wurde.
  • description: Eine menschenlesbare Zusammenfassung der Statistik.
  • etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

    Zum Ändern des Status einer Statistik müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.

  • insightSubtype: Der Statistikuntertyp.
  • lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.
  • name: Der Name der Statistik im folgenden Format:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Die Platzhalter haben folgende Werte:

    • RESOURCE_TYPE: Der Ressourcentyp, für den der Insight generiert wurde.
    • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, in der der Insight generiert wurde.
    • INSIGHT_ID: Eine eindeutige ID für die Statistik.
  • observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.
  • severity: Der Schweregrad der Statistik. Statistiken für grundlegende Rollen (Inhaber, Bearbeiter oder Betrachter) haben den Schweregrad HIGH. Alle anderen Statistiken haben den Schweregrad LOW.
  • stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:

    • ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
    • ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
  • targetResources: Der vollständige Ressourcenname des Projekts, des Ordners oder der Organisation, für die die Statistik bestimmt ist. Beispiel: //cloudresourcemanager.googleapis.com/projects/1234567890

Richtlinienstatistiken als ACCEPTED markieren

Wenn Sie eine Aktion gemäß einer aktiven Statistik durchführen, können Sie diese Statistik als ACCEPTED markieren. Durch den Status ACCEPTED wird der Recommender API mitgeteilt, dass Sie gemäß dieser Statistik Aktionen durchgeführt haben, wodurch sich die Empfehlungen optimieren lassen.

Akzeptierte Statistiken werden 90 Tage lang aufbewahrt, nachdem sie als ACCEPTED markiert wurden.

Console

Wenn eine Statistik mit einer Empfehlung verknüpft ist, wird durch Anwenden der Empfehlung der Status der Statistik in ACCEPTED geändert.

Wenn Sie eine Statistik als ACCEPTED markieren möchten, ohne eine Empfehlung anzuwenden, verwenden Sie das gcloud-Tool oder die REST API.

gcloud

Verwenden Sie den Befehl gcloud recommender insights mark-accepted mit Ihrer Statistik-ID, um eine Statistik als ACCEPTED zu markieren.

  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.
  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert project, folder, oder organization.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
  • ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:

    1. Rufen Sie die Statistik mit dem Befehl gcloud recommender insights describe ab.
    2. Suchen Sie in der Ausgabe den etag-Wert und kopieren Sie ihn einschließlich der Anführungszeichen. Beispiel: "d3cdec23cc712bd0".
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --etag=ETAG

Die Ausgabe enthält jetzt die Statistik mit dem Status ACCEPTED:

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  exercisedPermissions: []
  inferredPermissions: []
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/viewer
description: 0 of the permissions in this role binding were used in the past 90 days.
etag: '"b153ab487e4ae100"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
stateInfo:
  state: ACCEPTED
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012
severity: HIGH

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.

REST

Die Methode insights.markAccepted der Recommender API markiert eine Statistik als ACCEPTED.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert projects, folders, oder organizations.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.
  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID der Statistik nicht kennen, können Sie sie durch Auflisten der Statistik in Ihrem Projekt, Ordner oder Ihrer Organisation finden. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.
  • ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:
    1. Rufen Sie die Statistik mit der Methode insights.get ab.
    2. Suchen und kopieren Sie den etag-Wert aus der Antwort.

HTTP-Methode und URL:

POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

JSON-Text anfordern:

{
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält jetzt die Statistik mit dem Status ACCEPTED:

{
  "name": "projects/1234567890/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "0 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/viewer",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [],
    "inferredPermissions": []
  },
  "lastRefreshTime": "2020-07-12T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACCEPTED"
    },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/1234567890/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"b153ab487e4ae100\"",
  "severity": "HIGH"
}

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.

Nächste Schritte