Exporta datos para recomendaciones de IAM

En esta página, se explica cómo exportar los datos que usa el recomendador de IAM para generar recomendaciones.

Para obtener más información sobre el recomendador de IAM, consulta Descripción general del recomendador de IAM.

Para inhabilitar el recomendador de IAM o cualquier otro recomendador, consulta Inhabilita las recomendaciones.

Exporta datos usados para generar recomendaciones

En el recomendador de funciones de IAM, se usan metadatos personales recopilados durante el uso de los servicios en Google Cloud para proporcionar recomendaciones. Estos metadatos personales se pueden exportar a BigQuery para cada proyecto de una organización.

Puedes usar el Servicio de transferencia de datos de BigQuery para que se puedan exportar con el recomendador los metadatos personales que usas en las recomendaciones mediante los pasos que se indican a continuación.

Configuración del Servicio de transferencia de datos de BigQuery para el recomendador de funciones de IAM

Configuración Descripción
Programa Cada 24 horas, no configurable
Período de actualización Últimos 2 días, no configurable
Duración máxima del reabastecimiento Últimos 60 días

Antes de comenzar

Antes de crear una transferencia de datos del recomendador, haz lo siguiente:

  • Verifica si completaste todas las acciones necesarias para habilitar el Servicio de transferencia de datos de BigQuery.
  • Debes otorgar permiso al Servicio de transferencia de datos de BigQuery para que se controle tu transferencia.

  • Crea un conjunto de datos de BigQuery para almacenar datos.

    • Actualmente, solo se admiten conjuntos de datos en EE.UU. y la UE.
    • En la transferencia que configures, se usará la misma región que aquella en la que se crea el conjunto de datos, y será inmutable una vez que se creen el conjunto de datos y la transferencia.

Permisos necesarios

Se requieren los siguientes permisos de BigQuery para exportar datos:

  • bigquery.transfers.update: Permite crear la transferencia.
  • bigquery.datasets.update: Permite realizar acciones de actualización en el conjunto de datos de destino.

Asegúrate de otorgar la función Administrador de BigQuery (roles/bigquery.admin), que contiene ambos permisos, o crea una función personalizada que tenga estos permisos.

Se requieren los siguientes permisos de recomendador para exportar datos:

  • dataProcessing.iamAccessHistory.exportData: Permite exportar datos.

Asegúrate de otorgar la función exportador del procesamiento de datos de historial de acceso de IAM (roles/dataprocessing.iamAccessHistoryExporter), que contiene este permiso, o crea una función personalizada que tenga este permiso.

Crea una transferencia de datos para los metadatos personales que se usan en las recomendaciones

  1. Inscribe la fuente de datos de acceso combinado del recomendador de IAM.

  2. En Cloud Console, ve a la página de BigQuery.

    Ir a la página de BigQuery

  3. Haz clic en Transferencias.

  4. Haz clic en Crear transferencia.

  5. Haz clic en la página Crear transferencia.

  6. En la sección Source type (Tipo de origen), para Source (Origen), elige IAM Recommender Aggregated Access:

  7. En la sección Transfer config name (Nombre de la configuración de transferencia), en Display name (Nombre visible), ingresa un nombre para la transferencia, como My Transfer. El nombre de la transferencia puede ser cualquier valor que te permita identificarla con facilidad si es necesario hacerle modificaciones más tarde:

  8. En la sección Schedule options (Opciones de programación), en Programar, deja el valor predeterminado Start now (Comenzar ahora) o haz clic en Start at a set time (Comenzar a una hora determinada).

    • En Repeats (Repeticiones), selecciona la frecuencia con la que se ejecutará la transferencia.
    • Si eliges una opción que no sea Daily (Diariamente), tendrás opciones adicionales. Por ejemplo, si eliges Semanalmente, aparece una opción para que selecciones el día.
    • En Start date and run time (Fecha de inicio y hora de ejecución), ingresa la fecha y hora para iniciar la transferencia. Si seleccionas Start now (Comenzar ahora), esta opción se inhabilitará. Si eliges Start now (Comenzar ahora) en la programación, habrá una demora de 1 día antes de que comience la transferencia recién creada.

  9. En la sección Destination settings (Configuración de destino), en Destination dataset (Conjunto de datos de destino), selecciona el conjunto de datos que creaste para almacenar tus datos. La transferencia se ejecutará en la misma región que el conjunto de datos. Si después de crear la transferencia, necesitas editar el conjunto de datos, el conjunto de datos nuevo también tendrá que configurarse en la misma región.

  10. En la sección Detalles de la fuente de datos, para un número de proyecto, ingresa los números de proyecto correspondientes separados por comas. Se puede admitir un máximo de 10 proyectos en una sola transferencia.

Próximos pasos