Exporta datos para obtener recomendaciones de roles

El recomendador de funciones de IAM usa datos de acceso de IAM agregados, recopilados durante el uso de los servicios en Google Cloud, para proporcionar recomendaciones. Estos datos se usan, principalmente, con fines de cumplimiento.

En esta página, se explica cómo exportar esos datos de acceso a BigQuery mediante el Servicio de transferencia de datos de BigQuery.

Si quieres exportar una instantánea de las estadísticas y recomendaciones, consulta Exporta recomendaciones a BigQuery.

Antes de comenzar

Habilita las API de IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub.
Habilita las API
Lee sobre las recomendaciones de roles.

Permisos necesarios

A fin de obtener los permisos necesarios para crear una transferencia de datos, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Administrador de recursos de controles de procesamiento de datos (roles/dataprocessing.admin) en tu organización
Administrador de BigQuery (roles/bigquery.admin) en el proyecto al que exportarás los datos
Para publicar notificaciones de tu transferencia a un tema de Pub/Sub existente, haz lo siguiente: Visualizador de Pub/Sub (roles/pubsub.viewer) en el proyecto al que exportarás los datos
Para publicar notificaciones de tu tema en un tema de Pub/Sub nuevo, sigue estos pasos: Editor de Pub/Sub (roles/pubsub.editor) en el proyecto al que exportarás los datos

Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios mediante funciones personalizadas, o bien otras funciones predefinidas.

Exporta los datos de acceso de IAM agregados

Si deseas exportar el historial de acceso de IAM agregado de tus proyectos a BigQuery, usa el Centro de transparencia y control para configurar una transferencia de datos:

En la consola de Google Cloud, ve a la página Privacidad y seguridad.

Ir a Privacidad y seguridad
Selecciona tu organización en la lista desplegable y, luego, haz clic en Seleccionar.
Haz clic en Transparencia y control.
En la tabla Grupo de procesamiento de datos, haz clic en IAM.
En la sección Fuentes de datos de la página, haz clic en Crear transferencia.
En el campo Proyecto, haz clic en Explorar y, luego, selecciona el proyecto al que deseas exportar los datos. Si el proyecto no tiene habilitada la API del Servicio de transferencia de datos de BigQuery, haz clic en Habilitar API y espera a que se habilite.
Haz clic en Siguiente.
Configurar la transferencia de datos:
1. En el campo Nombre visible, ingresa un nombre visible para tu transferencia de datos.
2. En la sección Opciones de programa, elige cuándo comenzará la transferencia de datos y con qué frecuencia se ejecutará.
  - Para elegir cuándo iniciar la transferencia, puedes dejar el valor predeterminado de Comenzar ahora o hacer clic en Comenzar a una hora determinada.
  - En el campo Repeticiones, elige una opción para la frecuencia con la que se ejecutará la transferencia. Si eliges una opción que no sea Diariamente, tendrás opciones adicionales. Por ejemplo, si eliges Semanalmente, aparecerá una opción para que selecciones el día.
  - En Start date and run time (Fecha de inicio y hora de ejecución), ingresa la fecha y hora para iniciar la transferencia. Si seleccionas Start now (Comenzar ahora), esta opción se inhabilitará.
3. En el campo ID de conjunto de datos, elige un conjunto de datos de BigQuery donde exportar los datos.
  
  Importante: Este conjunto de datos debe tener una ubicación de Estados Unidos (EE.UU.) o Unión Europea (UE). No se admiten otras regiones.
  
  Puedes exportar datos a un conjunto de datos existente o crear un conjunto de datos nuevo:
  - Para exportar datos a un conjunto de datos existente, haz clic en el campo ID del conjunto de datos y, luego, selecciona un conjunto de datos de la lista desplegable.
  - Para exportar datos a un conjunto de datos nuevo, haz clic en el campo ID del conjunto de datos, haz clic en Crear nuevo conjunto de datos y completa los campos en el panel Crea un conjunto de datos:
    1. En el campo ID del conjunto de datos, ingresa un ID para el conjunto de datos. Se permiten letras, números y guiones bajos.
    2. En la lista desplegable Ubicación de datos, selecciona Estados Unidos (EE.UU.) o Unión Europea (UE).
    3. Para habilitar el vencimiento de la tabla, selecciona Habilitar vencimiento de la tabla (opcional).
    4. Selecciona un método de encriptación (opcional). El método de encriptación predeterminado es clave de encriptación administrada por Google. Si seleccionas Clave de encriptación administrada por el cliente (CMEK), también debes seleccionar una clave administrada por el cliente.
  La transferencia que configuraste estará en la misma región que el conjunto de datos y no se puede mover.
4. En el campo project_numbers, ingresa los números de los proyectos cuyos datos de acceso de IAM agregados deseas exportar. Si enumeras varios números de proyectos, sepáralos con comas. Puedes exportar datos para hasta 10 proyectos simultáneamente.
  
  Para encontrar el número de un proyecto, haz lo siguiente:
  1. En la consola de Google Cloud, ve a la página Configuración.
    
    Ir a la configuración
  2. Selecciona tu proyecto.
  3. Copia el ID del proyecto desde el campo Número del proyecto.
5. Habilita las notificaciones para la transferencia (opcional):
  - Para habilitar las notificaciones de ejecuciones de transferencias fallidas, haz clic en el botón de activar o desactivar Notificaciones por correo electrónico. Si habilitas esta opción, el administrador de transferencias recibirá una notificación por correo electrónico cuando falle la ejecución de una transferencia.
  - A fin de habilitar las notificaciones de Pub/Sub para tu transferencia, haz clic en Seleccionar un tema de Pub/Sub y, luego, selecciona o crea un tema.
Haz clic en Listo.
Si se te solicita, permite el acceso de las transferencias de acceso agregadas del recomendador de IAM a tu Cuenta de Google.

Administra las transferencias de datos existentes

Puedes ver y administrar las transferencias en el Centro de control y transparencia, o en BigQuery:

Si deseas ver todas las transferencias agregadas de datos de acceso de IAM para tu organización, usa el Centro de transparencia y control:
1. En la consola de Google Cloud, ve a la página Privacidad y seguridad.
  
  Ir a Privacidad y seguridad
2. Selecciona tu organización en la lista desplegable y, luego, haz clic en Seleccionar.
3. Haz clic en Transparencia y control.
4. En la tabla Grupo de procesamiento de datos, haz clic en IAM. En la sección Transferencias de datos de la página, se enumeran todas las transferencias de datos de acceso de IAM agregadas para la organización.
5. Para administrar una transferencia individual, haz clic en el nombre de la transferencia.
Para ver todas las transferencias de datos en un proyecto, incluidas las transferencias de datos de acceso de IAM agregadas, usa BigQuery:
1. En la consola de Google Cloud, ve a la página Transferencias de datos.
  
  Ir a Transferencias de datos
2. Selecciona el proyecto al que exportaste los datos.
3. En la página Transferencias de datos, se muestran todas las transferencias de datos del proyecto, incluidas las transferencias agregadas de datos de acceso de IAM.
4. Para administrar una transferencia individual, haz clic en el nombre de la transferencia.

¿Qué sigue?

Obtén información para exportar una instantánea de las recomendaciones y estadísticas.
Descubre las prácticas recomendadas para usar las recomendaciones de funciones.
Descubre cómo revisar y aplicar las recomendaciones.
Learn how to disable role recommendations.