Exporter des données pour obtenir des recommandations de rôles

L'outil de recommandation de rôle IAM fournit des recommandations à l'aide de données d'accès IAM agrégées, collectées lors de l'utilisation des services dans Google Cloud. Ces données sont principalement utilisées à des fins de conformité.

Cette page explique comment exporter ces données d'accès vers BigQuery à l'aide du service de transfert de données BigQuery.

Si vous souhaitez exporter un instantané de vos insights et recommandations, consultez la page Exporter des recommandations vers BigQuery.

Avant de commencer

Activer les API IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub.
Activer les API
Consultez la présentation des recommandations de rôles.

Autorisations requises

Pour obtenir les autorisations nécessaires pour créer un transfert de données, demandez à votre administrateur de vous attribuer les rôles IAM suivants:

Administrateur de ressources Contrôles de traitement des données (roles/dataprocessing.admin) pour votre organisation
Administrateur BigQuery (roles/bigquery.admin) pour le projet vers lequel vous allez exporter les données
Pour publier des notifications concernant votre transfert dans un sujet Pub/Sub existant : Lecteur Pub/Sub (roles/pubsub.viewer) sur le projet vers lequel vous allez exporter les données
Pour publier des notifications pour votre sujet dans un nouveau sujet Pub/Sub : Éditeur Pub/Sub (roles/pubsub.editor) sur le projet vers lequel vous allez exporter les données

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Exporter des données d'accès IAM agrégées

Pour exporter l'historique des données d'accès IAM agrégées de vos projets vers BigQuery, configurez un transfert de données à l'aide du centre de contrôle et de transparence :

Dans Google Cloud Console, accédez à la page Confidentialité et sécurité.

Accéder à la page Confidentialité et sécurité
Sélectionnez votre organisation dans la liste déroulante, puis cliquez sur Sélectionner.
Cliquez sur Transparence et contrôle.
Dans le tableau Groupe de traitement des données, cliquez sur IAM.
Dans la section Sources de données de la page, cliquez sur Créer un transfert.
Dans le champ Projet, cliquez sur Parcourir, puis sélectionnez le projet vers lequel vous souhaitez exporter les données. Si l'API du service de transfert de données BigQuery n'est pas activée sur le projet, cliquez sur Activer l'API et attendez que l'API soit activée.
Cliquez sur Suivant.
Configurez le transfert de données :
1. Dans le champ Nom à afficher, saisissez le nom à afficher pour votre transfert de données.
2. Dans la section Options de programmation, choisissez quand démarrer le transfert de données et la fréquence d'exécution.
  - Pour choisir quand démarrer le transfert, vous pouvez conserver la valeur par défaut Démarrer maintenant ou cliquer sur Démarrer à l'heure définie.
  - Dans le champ Périodicité, choisissez l'une des options suivantes pour la fréquence d'exécution du transfert : Si vous choisissez une option autre que "Tous les jours", des options supplémentaires sont disponibles. Par exemple, si vous choisissez Toutes les semaines, une option vous permet de sélectionner le jour de la semaine.
  - Pour Start date and run time (Date de début et heure d'exécution), saisissez la date et l'heure de début du transfert. Cette option est désactivée si vous choisissez Start now (Commencer).
3. Dans le champ ID de l'ensemble de données, choisissez un ensemble de données BigQuery vers lequel exporter les données.
  
  Important : Cet ensemble de données doit avoir l'emplacement États-Unis (US) ou Union européenne (UE). Aucune autre région n'est acceptée.
  
  Vous pouvez exporter des données vers un ensemble de données existant ou en créer un :
  - Pour exporter des données vers un ensemble de données existant, cliquez sur le champ ID de l'ensemble de données, puis sélectionnez un ensemble de données dans la liste déroulante.
  - Pour exporter des données vers un nouvel ensemble de données, cliquez sur le champ ID de l'ensemble de données, puis surCréer un ensemble de données, et remplissez les champs du volet Créer un ensemble de données :
    1. Dans le champ ID de l'ensemble de données, saisissez un ID pour l'ensemble de données. Les lettres, les chiffres et les traits de soulignement sont autorisés.
    2. Dans la liste déroulante Emplacement des données, sélectionnez États-Unis (US) ou Union européenne (UE).
    3. (Facultatif) Activez l'option Expiration de la table en sélectionnant l'option Activer l'expiration de la table.
    4. (Facultatif) Sélectionnez une méthode de chiffrement. La méthode de chiffrement par défaut est la clé de chiffrement gérée par Google. Si vous sélectionnez Clé de chiffrement gérée par le client (CMEK), vous devez également sélectionner une clé gérée par le client.
  Le transfert que vous configurez se trouve dans la même région que l'ensemble de données et ne peut pas être déplacé.
4. Dans le champ project_numbers, saisissez les numéros des projets dont vous souhaitez exporter les données d'accès IAM agrégées. Si vous répertoriez plusieurs numéros de projet, séparez les numéros de projet par une virgule. Vous pouvez exporter les données pour un maximum de 10 projets à la fois.
  
  Pour rechercher le numéro d'un projet, procédez comme suit :
  1. Accédez à la page Paramètres dans Google Cloud Console.
    
    Accéder aux paramètres
  2. Sélectionnez votre projet.
  3. Copiez l'ID du projet à partir du champ Numéro du projet.
5. (Facultatif) Activez les notifications pour votre transfert :
  - Pour activer les notifications pour les exécutions de transfert ayant échoué, cliquez sur le bouton Notifications par e-mail. Lorsque vous activez cette option, l'administrateur de transfert reçoit une notification par e-mail en cas d'échec de l'exécution du transfert.
  - Pour activer les notifications Pub/Sub pour votre transfert, cliquez sur Sélectionner un sujet Pub/Sub, puis sélectionnez ou créez un sujet.
Cliquez sur OK.
Si vous y êtes invité, autorisez l'accès aux transferts d'accès agrégé à l'outil de recommandation IAM à votre compte Google.

Gérer les transferts de données existants

Vous pouvez afficher et gérer vos transferts dans le centre de contrôle et de transparence, ou dans BigQuery :

Pour afficher tous les transferts de données d'accès IAM agrégées pour votre organisation, utilisez le Centre de contrôle et de transparence :
1. Dans Google Cloud Console, accédez à la page Confidentialité et sécurité.
  
  Accéder à la page Confidentialité et sécurité
2. Sélectionnez votre organisation dans la liste déroulante, puis cliquez sur Sélectionner.
3. Cliquez sur Transparence et contrôle.
4. Dans le tableau Groupe de traitement des données, cliquez sur IAM. La section Transferts de données de la page répertorie tous les transferts de données d'accès IAM agrégées pour votre organisation.
5. Pour gérer un transfert individuel, cliquez sur son nom à afficher.
Pour afficher tous les transferts de données d'un projet, y compris les transferts de données d'accès IAM agrégées, utilisez BigQuery :
1. Dans la console Google Cloud, accédez à la page Transferts de données.
  
  Accéder à la page Transferts de données
2. Sélectionnez le projet dans lequel vous avez exporté les données.
3. La page Transferts de données affiche tous les transferts de données de votre projet, y compris les transferts de données d'accès IAM agrégées.
4. Pour gérer un transfert individuel, cliquez sur son nom à afficher.

Étapes suivantes

Découvrez comment exporter un instantané de vos recommandations et de vos insights.
Découvrez les bonnes pratiques d'utilisation des recommandations de rôle.
Découvrez comment examiner et appliquer des recommandations.
Découvrez comment désactiver les recommandations de rôle.