Exporta datos para recomendaciones de IAM

En el recomendador de funciones de IAM, se usan datos de acceso de IAM agregados, recopilados durante el uso de los servicios en Google Cloud, para proporcionar recomendaciones. En esta página, se explica cómo exportar esos datos de acceso a BigQuery mediante el Servicio de transferencia de datos de BigQuery.

Si deseas exportar una instantánea de tus estadísticas y recomendaciones, consulta Exporta estadísticas y recomendaciones a BigQuery.

Antes de comenzar

Lee sobre las recomendaciones de funciones.

Permisos necesarios

Para crear una transferencia de datos, necesitas las siguientes funciones en la organización:

  • Administrador de recursos de controles de procesamiento de datos (roles/dataprocessing.admin)
  • Lector de la organización (roles/resourcemanager.organizationViewer)

También necesitas la función de administrador de BigQuery (roles/bigquery.admin) en el proyecto al que exportarás los datos.

Exporta los datos de acceso de IAM agregados

Si deseas exportar el historial de acceso de IAM agregado de tus proyectos a BigQuery, usa el Centro de transparencia y control para configurar una transferencia de datos:

  1. En Google Cloud Console, ve a la página Privacidad y seguridad.

    Ir a Privacidad y seguridad

  2. Selecciona tu organización en la lista desplegable y, luego, haz clic en Seleccionar.

  3. Haz clic en Transparencia y control.

  4. En la tabla Grupo de procesamiento de datos, haz clic en IAM.

  5. En la sección Fuentes de datos de la página, haz clic en Crear transferencia.

  6. En el campo Proyecto, haz clic en Explorar y, luego, selecciona el proyecto al que deseas exportar los datos. Si el proyecto no tiene habilitada la API del Servicio de transferencia de datos de BigQuery, haz clic en Habilitar API y espera a que se habilite.

  7. Haga clic en Next.

  8. Configurar la transferencia de datos:

    1. En el campo Nombre visible, ingresa un nombre visible para tu transferencia de datos.
    2. En la sección Opciones de programa, elige cuándo comenzará la transferencia de datos y con qué frecuencia se ejecutará.

      • Para elegir cuándo iniciar la transferencia, puedes dejar el valor predeterminado de Comenzar ahora o hacer clic en Comenzar a una hora determinada.
      • En el campo Repeticiones, elige una opción para la frecuencia con la que se ejecutará la transferencia. Si eliges una opción que no sea Diariamente, tendrás opciones adicionales. Por ejemplo, si eliges Semanalmente, aparecerá una opción para que selecciones el día.
      • En Start date and run time (Fecha de inicio y hora de ejecución), ingresa la fecha y hora para iniciar la transferencia. Si seleccionas Start now (Comenzar ahora), esta opción se inhabilitará.
    3. En el campo ID de conjunto de datos, elige un conjunto de datos de BigQuery donde exportar los datos.

      Puedes exportar datos a un conjunto de datos existente o crear un conjunto de datos nuevo:

      • Para exportar datos a un conjunto de datos existente, haz clic en el campo ID del conjunto de datos y, luego, selecciona un conjunto de datos de la lista desplegable.
      • Para exportar datos a un conjunto de datos nuevo, haz clic en el campo ID del conjunto de datos, haz clic en Crear nuevo conjunto de datos y completa los campos en el panel Crea un conjunto de datos:

        1. En el campo ID del conjunto de datos, ingresa un ID para el conjunto de datos. Se permiten letras, números y guiones bajos.
        2. En la lista desplegable Ubicación de datos, selecciona Estados Unidos (EE.UU.) o Unión Europea (UE).
        3. Para habilitar el vencimiento de la tabla, selecciona Habilitar vencimiento de la tabla (opcional).
        4. Selecciona un método de encriptación (opcional). El método de encriptación predeterminado es clave de encriptación administrada por Google. Si seleccionas Clave de encriptación administrada por el cliente (CMEK), también debes seleccionar una clave administrada por el cliente.

      La transferencia que configuraste estará en la misma región que el conjunto de datos y no se puede mover.

    4. En el campo project_numbers, ingresa los números de los proyectos cuyos datos de acceso de IAM agregados deseas exportar. Si enumeras varios números de proyectos, sepáralos con comas. Puedes exportar datos para hasta 10 proyectos simultáneamente.

      Para encontrar el número de un proyecto, haz lo siguiente:

      1. En Cloud Console, ve a la página Configuración.

        Ir a la configuración

      2. Selecciona tu proyecto.

      3. Copia el ID del proyecto desde el campo Número del proyecto.

    5. Habilita las notificaciones para la transferencia (opcional):

      • Para habilitar las notificaciones de ejecuciones de transferencias fallidas, haz clic en el botón de activar o desactivar Notificaciones por correo electrónico. Si habilitas esta opción, el administrador de transferencias recibirá una notificación por correo electrónico cuando falle la ejecución de una transferencia.
      • A fin de habilitar las notificaciones de Pub/Sub para tu transferencia, haz clic en Seleccionar un tema de Pub/Sub y, luego, selecciona o crea un tema.
  9. Haga clic en Listo.

Administra las transferencias de datos existentes

Puedes ver y administrar las transferencias en el Centro de control y transparencia, o en BigQuery:

  • Si deseas ver todas las transferencias agregadas de datos de acceso de IAM para tu organización, usa el Centro de transparencia y control:

    1. En Google Cloud Console, ve a la página Privacidad y seguridad.

      Ir a Privacidad y seguridad

    2. Selecciona tu organización en la lista desplegable y, luego, haz clic en Seleccionar.

    3. Haz clic en Transparencia y control.

    4. En la tabla Grupo de procesamiento de datos, haz clic en IAM. En la sección Transferencias de datos de la página, se enumeran todas las transferencias de datos de acceso de IAM agregadas para la organización.

    5. Para administrar una transferencia individual, haz clic en el nombre de la transferencia.

  • Para ver todas las transferencias de datos en un proyecto, incluidas las transferencias de datos de acceso de IAM agregadas, usa BigQuery:

    1. En Cloud Console, ve a la página Transferencia de datos.

      Ir a Transferencias de datos

    2. Selecciona el proyecto al que exportaste los datos.

    3. En la página Transferencias de datos, se muestran todas las transferencias de datos del proyecto, incluidas las transferencias agregadas de datos de acceso de IAM.

    4. Para administrar una transferencia individual, haz clic en el nombre de la transferencia.

¿Qué sigue?