Esportare i dati per i suggerimenti sui ruoli

Il motore per suggerimenti del ruolo IAM utilizza dati di accesso IAM aggregati, raccolti durante l'utilizzo dei servizi in Google Cloud, per fornire suggerimenti. Questi dati vengono utilizzati principalmente per scopi di conformità.

Questa pagina spiega come esportare i dati di accesso in BigQuery utilizzando BigQuery Data Transfer Service.

Se vuoi esportare un'istantanea degli insight e dei suggerimenti, consulta Esportare i suggerimenti in BigQuery.

Prima di iniziare

Abilita le API IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub.
Abilita le API
Scopri i consigli sui ruoli.

Autorizzazioni obbligatorie

Per ottenere le autorizzazioni necessarie per creare un trasferimento di dati, chiedi all'amministratore di concederti i ruoli IAM seguenti:

Amministratore risorse dei controlli di trattamento dati (roles/dataprocessing.admin) nella tua organizzazione
Amministratore BigQuery (roles/bigquery.admin) sul progetto in cui esporterai i dati
Per pubblicare notifiche relative al trasferimento in un argomento Pub/Sub esistente: Visualizzatore Pub/Sub (roles/pubsub.viewer) nel progetto in cui esporterai i dati
Per pubblicare notifiche per il tuo argomento in un nuovo argomento Pub/Sub: Editor Pub/Sub (roles/pubsub.editor) nel progetto in cui esporterai i dati

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Esporta dati di accesso IAM aggregati

Per esportare in BigQuery la cronologia degli accessi IAM aggregata dei tuoi progetti, utilizza il Centro trasparenza e controllo per configurare un trasferimento di dati:

Nella console Google Cloud, vai alla pagina Privacy e sicurezza.

Vai a Privacy e sicurezza
Seleziona la tua organizzazione dall'elenco a discesa, quindi fai clic su Seleziona.
Fai clic su Trasparenza e controllo.
Nella tabella Gruppo di elaborazione dei dati, fai clic su IAM.
Nella sezione Origini dati della pagina, fai clic su Crea trasferimento.
Nel campo Progetto, fai clic su Sfoglia e seleziona il progetto in cui esportare i dati. Se l'API BigQuery Data Transfer Service non è abilitata nel progetto, fai clic su Abilita API e attendi che l'API venga abilitata.
Tocca Avanti.
Configura il trasferimento dei dati:
1. Nel campo Nome visualizzato, inserisci un nome visualizzato per il trasferimento dei dati.
2. Nella sezione Opzioni di pianificazione, scegli quando inizierà il trasferimento dei dati e la frequenza di esecuzione.
  - Per scegliere quando avviare il trasferimento, puoi lasciare invariato il valore predefinito Inizia ora o fare clic su Inizia a un orario prestabilito.
  - Nel campo Si ripete, scegli un'opzione per la frequenza di esecuzione del trasferimento. Se scegli un'opzione diversa da Giornaliero, sono disponibili opzioni aggiuntive. Ad esempio, se scegli Settimanale, viene visualizzata un'opzione che ti consente di selezionare il giorno della settimana.
  - In Data di inizio e ora di esecuzione, inserisci la data e l'ora per avviare il trasferimento. Se scegli Inizia ora, questa opzione viene disattivata.
3. Nel campo ID set di dati, scegli un set di dati BigQuery in cui esportare i dati.
  
  Importante: questo set di dati deve avere una località in Stati Uniti (US) o Unione europea (UE). Non sono supportate altre regioni.
  
  Puoi esportare i dati in un set di dati esistente o crearne uno nuovo:
  - Per esportare i dati in un set di dati esistente, fai clic sul campo ID set di dati, poi seleziona un set di dati dall'elenco a discesa.
  - Per esportare i dati in un nuovo set di dati, fai clic sul campo ID set di dati, poi su Crea nuovo set di dati e compila i campi nel riquadro Crea set di dati:
    1. Nel campo ID set di dati, inserisci un ID per il set di dati. Sono consentiti lettere, numeri e trattini bassi.
    2. Nell'elenco a discesa Località dei dati, seleziona Stati Uniti (USA) o Unione europea (UE).
    3. (Facoltativo) Abilita la scadenza della tabella selezionando Abilita scadenza della tabella.
    4. (Facoltativo) Seleziona un metodo di crittografia. Il metodo di crittografia predefinito è chiave di crittografia gestita da Google. Se selezioni Chiave di crittografia gestita dal cliente (CMEK), devi selezionare anche una chiave gestita dal cliente.
  Il trasferimento che hai configurato si troverà nella stessa regione del set di dati e non può essere spostato.
4. Nel campo project_numbers, inserisci i numeri dei progetti di cui vuoi esportare i dati di accesso IAM aggregati. Se elenchi più numeri di progetto, separali con virgole. Puoi esportare i dati di un massimo di 10 progetti alla volta.
  
  Per trovare il numero di un progetto:
  1. Nella console Google Cloud, vai alla pagina Impostazioni.
    
    Vai alle Impostazioni
  2. Seleziona il progetto.
  3. Copia l'ID progetto dal campo Numero progetto.
5. (Facoltativo) Attiva le notifiche per il trasferimento:
  - Per abilitare le notifiche per le esecuzioni di trasferimenti non riusciti, fai clic sul pulsante di attivazione/disattivazione Notifiche via email. Se abiliti questa opzione, l'amministratore dei trasferimenti riceverà una notifica via email quando l'esecuzione del trasferimento non va a buon fine.
  - Per abilitare le notifiche Pub/Sub per il trasferimento, fai clic su Seleziona un argomento Pub/Sub, quindi seleziona o crea un argomento.
Fai clic su Fine.
Se richiesto, consenti l'accesso ai trasferimenti di accesso aggregati del motore per suggerimenti IAM al tuo Account Google.

Gestisci i trasferimenti di dati esistenti

Puoi visualizzare e gestire i trasferimenti nel Centro trasparenza e controllo o in BigQuery:

Per visualizzare tutti i trasferimenti di dati di accesso IAM aggregati per la tua organizzazione, utilizza il Centro trasparenza e controllo:
1. Nella console Google Cloud, vai alla pagina Privacy e sicurezza.
  
  Vai a Privacy e sicurezza
2. Seleziona la tua organizzazione dall'elenco a discesa, quindi fai clic su Seleziona.
3. Fai clic su Trasparenza e controllo.
4. Nella tabella Gruppo di elaborazione dei dati, fai clic su IAM. La sezione Trasferimenti di dati della pagina elenca tutti i trasferimenti di dati di accesso IAM aggregati per la tua organizzazione.
5. Per gestire un singolo trasferimento, fai clic sul nome visualizzato del trasferimento.
Per visualizzare tutti i trasferimenti di dati in un progetto, inclusi i trasferimenti di dati di accesso IAM aggregati, utilizza BigQuery:
1. Nella console Google Cloud, vai alla pagina Trasferimenti di dati.
  
  Vai a Trasferimenti di dati
2. Seleziona il progetto in cui hai esportato i dati.
3. La pagina Trasferimenti di dati mostra tutti i trasferimenti di dati per il progetto, inclusi i trasferimenti di dati di accesso IAM aggregati.
4. Per gestire un singolo trasferimento, fai clic sul nome visualizzato del trasferimento.

Passaggi successivi

Scopri come esportare uno snapshot dei suggerimenti e degli approfondimenti.
Scopri le best practice per l'utilizzo dei suggerimenti sui ruoli.
Scopri come esaminare e applicare i consigli.
Scopri come disattivare i suggerimenti sui ruoli.