Exporter des données pour les recommandations Cloud IAM

L'outil de recommandation de rôle Cloud IAM exploite les données d'accès IAM agrégées, collectées lors de l'utilisation des services dans Google Cloud, pour fournir des recommandations. Cette page explique comment exporter ces données d'accès vers BigQuery à l'aide du service de transfert de données BigQuery.

Si vous souhaitez exporter un instantané de vos insights et recommandations, consultez la page Exporter des insights et des recommandations vers BigQuery.

Avant de commencer

Consultez la présentation des recommandations de rôles.

Autorisations requises

Pour créer un transfert de données, vous devez disposer des rôles suivants au sein de votre organisation :

  • Administrateur de ressources de contrôles de traitement des données (roles/dataprocessing.admin)
  • Lecteur d'organisation (roles/resourcemanager.organizationViewer)

Vous devez également disposer du rôle "Administrateur BigQuery" (roles/bigquery.admin) sur le projet vers lequel vous allez exporter des données.

Exporter des données d'accès IAM agrégées

Pour exporter l'historique des données d'accès IAM agrégées de vos projets vers BigQuery, configurez un transfert de données à l'aide du centre de contrôle et de transparence :

  1. Dans Google Cloud Console, accédez à la page Confidentialité et sécurité.

    Accéder à la page Confidentialité et sécurité

  2. Sélectionnez votre organisation dans la liste déroulante, puis cliquez sur Sélectionner.

  3. Cliquez sur Transparence et contrôle.

  4. Dans le tableau Groupe de traitement des données, cliquez sur IAM.

  5. Dans la section Sources de données de la page, cliquez sur Créer un transfert.

  6. Dans le champ Projet, cliquez sur Parcourir, puis sélectionnez le projet vers lequel vous souhaitez exporter les données. Si l'API du service de transfert de données BigQuery n'est pas activée sur le projet, cliquez sur Activer l'API et attendez que l'API soit activée.

  7. Cliquez sur Next (Suivant).

  8. Configurez le transfert de données :

    1. Dans le champ Nom à afficher, saisissez le nom à afficher pour votre transfert de données.
    2. Dans la section Options de programmation, choisissez quand démarrer le transfert de données et la fréquence d'exécution.

      • Pour choisir quand démarrer le transfert, vous pouvez conserver la valeur par défaut Démarrer maintenant ou cliquer sur Démarrer à l'heure définie.
      • Dans le champ Périodicité, choisissez l'une des options suivantes pour la fréquence d'exécution du transfert : Si vous choisissez une option autre que "Tous les jours", des options supplémentaires sont disponibles. Par exemple, si vous choisissez Toutes les semaines, une option vous permet de sélectionner le jour de la semaine.
      • Pour Start date and run time (Date de début et heure d'exécution), saisissez la date et l'heure de début du transfert. Cette option est désactivée si vous choisissez Start now (Commencer).
    3. Dans le champ ID de l'ensemble de données, choisissez un ensemble de données BigQuery vers lequel exporter les données.

      Vous pouvez exporter des données vers un ensemble de données existant ou en créer un :

      • Pour exporter des données vers un ensemble de données existant, cliquez sur le champ ID de l'ensemble de données, puis sélectionnez un ensemble de données dans la liste déroulante.
      • Pour exporter des données vers un nouvel ensemble de données, cliquez sur le champ ID de l'ensemble de données, puis surCréer un ensemble de données, et remplissez les champs du volet Créer un ensemble de données :

        1. Dans le champ ID de l'ensemble de données, saisissez un ID pour l'ensemble de données. Les lettres, les chiffres et les traits de soulignement sont autorisés.
        2. Dans la liste déroulante Emplacement des données, sélectionnez États-Unis (US) ou Union européenne (UE).
        3. (Facultatif) Activez l'option Expiration de la table en sélectionnant l'option Activer l'expiration de la table.
        4. (Facultatif) Sélectionnez une méthode de chiffrement. La méthode de chiffrement par défaut est la clé de chiffrement gérée par Google. Si vous sélectionnez Clé de chiffrement gérée par le client (CMEK), vous devez également sélectionner une clé gérée par le client.

      Le transfert que vous configurez se trouve dans la même région que l'ensemble de données et ne peut pas être déplacé.

    4. Dans le champ project_numbers, saisissez les numéros des projets dont vous souhaitez exporter les données d'accès IAM agrégées. Si vous répertoriez plusieurs numéros de projet, séparez les numéros de projet par une virgule. Vous pouvez exporter les données pour un maximum de 10 projets à la fois.

      Pour rechercher le numéro d'un projet, procédez comme suit :

      1. Accédez à la page Paramètres dans Cloud Console.

        Accéder aux paramètres

      2. Sélectionnez votre projet.

      3. Copiez l'ID du projet à partir du champ Numéro du projet.

    5. (Facultatif) Activez les notifications pour votre transfert :

      • Pour activer les notifications pour les exécutions de transfert ayant échoué, cliquez sur le bouton Notifications par e-mail. Lorsque vous activez cette option, l'administrateur de transfert reçoit une notification par e-mail en cas d'échec de l'exécution du transfert.
      • Pour activer les notifications Pub/Sub pour votre transfert, cliquez sur Sélectionner un sujet Pub/Sub, puis sélectionnez ou créez un sujet.
  9. Cliquez sur OK.

Gérer les transferts de données existants

Vous pouvez afficher et gérer vos transferts dans le centre de contrôle et de transparence, ou dans BigQuery :

  • Pour afficher tous les transferts de données d'accès IAM agrégées pour votre organisation, utilisez le Centre de contrôle et de transparence :

    1. Dans Google Cloud Console, accédez à la page Confidentialité et sécurité.

      Accéder à la page Confidentialité et sécurité

    2. Sélectionnez votre organisation dans la liste déroulante, puis cliquez sur Sélectionner.

    3. Cliquez sur Transparence et contrôle.

    4. Dans le tableau Groupe de traitement des données, cliquez sur IAM. La section Transferts de données de la page répertorie tous les transferts de données d'accès IAM agrégées pour votre organisation.

    5. Pour gérer un transfert individuel, cliquez sur son nom à afficher.

  • Pour afficher tous les transferts de données d'un projet, y compris les transferts de données d'accès IAM agrégées, utilisez BigQuery :

    1. Dans Cloud Console, accédez à la page Transferts de données.

      Accéder à la page Transferts de données

    2. Sélectionnez le projet dans lequel vous avez exporté les données.

    3. La page Transferts de données affiche tous les transferts de données de votre projet, y compris les transferts de données d'accès IAM agrégées.

    4. Pour gérer un transfert individuel, cliquez sur son nom à afficher.

Étape suivante