Exportar datos para las recomendaciones de Cloud IAM

En esta página, se explica cómo exportar los datos que el recomendador de Cloud IAM usa para generar recomendaciones.

Para obtener más información sobre el recomendador de Cloud IAM, consulta la descripción general del recomendador de Cloud IAM.

Para inhabilitar el recomendador de Cloud IAM o cualquier otro recomendador, consulta Cómo inhabilitar las recomendaciones.

Exporta datos usados para generar recomendaciones

En el recomendador de funciones de Cloud IAM, se usan metadatos personales recopilados durante el uso de los servicios en Google Cloud para proporcionar recomendaciones. Estos metadatos personales se pueden exportar a BigQuery para cada proyecto de una organización.

Puedes usar el Servicio de transferencia de datos de BigQuery para que con el recomendador se puedan exportar los metadatos personales que se usan en las recomendaciones mediante los pasos que se indican a continuación.

Configuración del Servicio de transferencia de datos de BigQuery para el recomendador de funciones de Cloud IAM

Configuración Descripción
Programa Cada 24 horas, no configurable
Período de actualización Últimos 2 días, no configurable
Duración máxima del reabastecimiento Últimos 60 días

Antes de comenzar

Antes de crear una transferencia de datos de recomendaciones, haz lo siguiente:

  • Verifica si completaste todas las acciones necesarias para habilitar el Servicio de transferencia de datos de BigQuery.
  • Debes otorgar permiso al Servicio de transferencia de datos de BigQuery para que administre tu transferencia.

  • Crea un conjunto de datos de BigQuery para almacenar datos.

    • Actualmente, solo se admiten conjuntos de datos en EE.UU. y la UE.
    • En la transferencia que configures, se usará la misma región que la de creación del conjunto de datos, y será inmutable una vez que se creen el conjunto de datos y la transferencia.

Permisos necesarios

Se requieren los siguientes permisos de BigQuery para exportar datos:

  • bigquery.transfers.update: Permite crear la transferencia.
  • bigquery.datasets.update: Permite realizar acciones de actualización en el conjunto de datos de destino.

Asegúrate de otorgar la función Administrador de BigQuery (roles/bigquery.admin), que contiene ambos permisos, o crea una función personalizada que tenga estos permisos.

Se requieren los siguientes permisos de recomendador para exportar datos:

  • dataProcessing.iamAccessHistory.exportData: Permite exportar datos.

Asegúrate de otorgar la función Exportador de procesamiento de datos de historial de acceso de IAM (roles/dataprocessing.iamAccessHistoryExporter), que contiene este permiso, o crea una función personalizada que tenga este permiso.

Crea una transferencia de datos para los metadatos personales que se usan en las recomendaciones

  1. Abre Cloud Console.

    Ir a Cloud Console

  2. En primer lugar, inscríbete en la fuente de datos del acceso agregado del recomendador de IAM.

  3. En el panel de navegación, haz clic en BigQuery.

    También puedes abrir la IU web de BigQuery de forma directa si ingresas la siguiente URL en tu navegador:

    https://console.cloud.google.com/bigquery

    Haz clic en el siguiente botón para abrir la IU web de BigQuery de forma directa con el último proyecto al que accediste.

    Ir a la IU web de BigQuery

  4. Haz clic en Transferencias.

  5. Haz clic en Crear transferencia.

  6. Haz clic en la página Crear transferencia.

  7. En la sección Tipo de fuente (Source type), para Fuente (Source), elige Acceso agregado del recomendador de IAM:

  8. En la sección Nombre de la configuración de transferencia (Transfer config name), en Nombre visible (Display name), ingresa el nombre de la transferencia, como My Transfer. El nombre de la transferencia puede ser cualquier valor que te permita identificarla con facilidad si necesitas modificarla más tarde.

  9. En la sección Opciones de programa (Schedule options), en Programa, deja el valor predeterminado, Comenzar ahora (Start now), o haz clic en Comenzar a una hora determinada (Start at a set time).

    • En Repeats (Repeticiones), selecciona la frecuencia con la que se ejecutará la transferencia.
    • Si eliges una opción que no sea Daily (Diariamente), tendrás opciones adicionales. Por ejemplo, si eliges Semanal, aparece una opción para que selecciones el día.
    • En Fecha de inicio y hora de ejecución (Start date and run time), ingresa la fecha y hora para iniciar la transferencia. Si seleccionas Comenzar ahora (Start now), esta opción se inhabilitará. Si eliges Comenzar ahora (Start now) en la programación, habrá una demora de 1 día antes de que comience la transferencia recién creada.

  10. En la sección Configuración de destino (Destination settings), en Conjunto de datos de destino (Destination dataset), selecciona el conjunto de datos que creaste para almacenar tus datos. La transferencia se ejecutará en la misma región que el conjunto de datos. Si después de crear la transferencia, necesitas editar el conjunto de datos, el conjunto de datos nuevo también tendrá que configurarse en la misma región.

  11. En la sección Detalles de la fuente de datos, para un número de proyecto, ingresa los números de proyecto correspondientes separados por comas. Se puede admitir un máximo de 10 proyectos en una sola transferencia.

Próximos pasos