IAM 推奨事項用のデータのエクスポート

このページでは、IAM Recommender で推奨事項の生成に使用されるデータをエクスポートする方法について説明します。

IAM Recommender については、IAM Recommender の概要をご覧ください。

IAM Recommender やその他の推奨機能を無効にするには、おすすめを無効にするをご覧ください。

推奨事項の生成に使用するデータのエクスポート

IAM ロールの推奨機能は、Google Cloud でのサービスの使用中に収集された個人メタデータを使用して、推奨事項を提供します。この個人メタデータは、組織内のプロジェクトごとに BigQuery にエクスポートできます。

BigQuery Data Transfer Service for Recommender を使用して、以下の手順に従い推奨事項で使用する個人メタデータをエクスポートします。

IAM ロール推奨機能向けの BigQuery Data Transfer Service の構成

構成 説明
スケジュール 24 時間ごと、構成不可
ウィンドウの更新 過去 2 日間、構成不可
最大バックフィル期間 過去 60 日間

始める前に

Recommender のデータ転送を作成する前に:

  • BigQuery Data Transfer Service を有効にするために必要なすべての操作が完了していることを確認します。

  • BigQuery Data Transfer Service 権限で転送を管理できるようにする必要があります。

  • データを保存する BigQuery データセットを作成します。

    • 現時点では、US と EU のデータセットのみがサポートされています。
    • 設定した転送では、データセットの作成先と同じリージョンが使用されます。データセットと転送が作成されるとこのリージョンを変更できません。

必要な権限

データをエクスポートするには、次の BigQuery 権限が必要です。

  • bigquery.transfers.update: 転送の作成を許可します
  • bigquery.datasets.update: ターゲット データセットに対する更新アクションを許可します

上記の 2 つの権限が含まれる BigQuery 管理者役割(roles/bigquery.admin)を付与するか、新たにカスタムの役割を作成してこの 2 つの権限を持たせます。

データをエクスポートするには、次の Recommender の権限が必要です。

  • dataProcessing.iamAccessHistory.exportData: データのエクスポートを許可します

この権限が含まれるデータ処理の IAM アクセス履歴のエクスポータ ロール(roles/dataprocessing.iamAccessHistoryExporter)を付与するか、新たにカスタムロールを作成してこの権限を持たせます。

推奨事項で使用する個人メタデータ用データ転送の作成

  1. IAM Recommender の集約アクセス データソースを登録します。

  2. Cloud Console で、[BigQuery] ページに移動します。

    BigQuery ページに移動

  3. [転送] をクリックします。

  4. [転送を作成] をクリックします。

  5. [転送を作成] ページをクリックします。

  6. [ソースタイプ] セクションの [ソース] で [IAM Recommender Aggregated Access] を選択します。

  7. [転送構成名] セクションの [表示名] に、転送名(例: My Transfer)を入力します。転送名には、後で修正が必要になった場合に簡単に識別できる任意の名前を使用できます。

  8. [スケジュール オプション] セクションで、[スケジュール] をデフォルト値([すぐに開始可能])のままにするか、[設定した時間に開始] をクリックします。

    • [繰り返しの頻度] で、転送を実行する頻度のオプションを選択します。
    • [毎日] 以外のオプションを選択した場合は、追加のオプションが利用可能です。たとえば、[毎週] を選択した場合、曜日を選択するためのオプションが表示されます。

    • [開始日と実行時間] に、転送を開始する日付と時刻を入力します。[すぐに開始可能] を選択した場合、このオプションは無効になります。スケジュールで [今すぐ開始] を選択しても、新たに作成された転送が始まるまで 1 日ほどお待ちください。

  9. [転送先の設定] セクションの [宛先データセット] で、データを保存するために作成したデータセットを選択します。転送は、データセットと同じリージョン内で実行されます。転送を作成した後にデータセットを編集する必要がある場合は、新しいデータセットも同じリージョン内に設定する必要があります。

  10. [データソースの詳細] セクションの [プロジェクト番号] に、適切なプロジェクト番号をカンマで区切って入力します。1 回の転送で最大 10 個のプロジェクトをサポートできます。

次のステップ