Como exportar dados para as recomendações do IAM

Nesta página, explicamos como exportar os dados que o recomendador do IAM usa para gerar recomendações.

Para mais informações sobre o recomendador do IAM, consulte a visão geral do recomendador do IAM.

Para desativar o recomendador do IAM ou qualquer outro, consulte Como desativar as recomendações.

Como exportar dados usados para gerar recomendações

O recomendador de papéis do IAM usa metadados pessoais coletados durante o uso de serviços no Google Cloud para fornecer recomendações. É possível exportar esses metadados pessoais para o BigQuery para cada projeto em uma organização.

Use o serviço de transferência de dados do BigQuery para Recomendador se quiser exportar metadados pessoais usados para recomendações. Para isso, siga as etapas abaixo.

Configuração do serviço de transferência de dados do BigQuery para recomendador de papéis do IAM

Configuração Descrição
Programação A cada 24 horas, não configurável
Atualizar janela Últimos dois dias, não configurável
Duração máxima do preenchimento Últimos 60 dias

Antes de começar

Antes de criar uma transferência de dados do Recomendador:

  • Verifique se você realizou todas as ações necessárias para ativar o serviço de transferência de dados do BigQuery.
  • É necessário conceder a permissão do BigQuery Data Transfer Service para gerenciar a transferência.

  • Crie um conjunto de dados do BigQuery para armazenar os dados.

    • Atualmente, apenas conjuntos de dados nos EUA e na UE são compatíveis.
    • A transferência configurada usará a mesma região em que o conjunto de dados é criado e não será possível alterá-la após a criação do conjunto de dados e da transferência.

Permissões exigidas

As seguintes permissões do BigQuery são obrigatórias para exportar dados:

  • bigquery.transfers.update: permite criar a transferência
  • bigquery.datasets.update: permite ações de atualização no conjunto de dados de destino

Certifique-se de conceder o papel Administrador do BigQuery Admin (roles/bigquery.admin), que contém essas duas permissões, ou crie um papel personalizado que inclua essas permissões.

As seguintes permissões do Recommender são obrigatórias para exportar dados:

  • dataProcessing.iamAccessHistory.exportData: permite exportar dados

Certifique-se de conceder o papel Exportador de histórico de acesso do IAM de processamento de dados (roles/dataprocessing.iamAccessHistoryExporter), que contém essa permissão, ou crie um papel personalizado com essa permissão.

Como criar uma transferência de dados para metadados pessoais usados em recomendações

  1. Inscreva a fonte de dados de acesso agregado do Recomendador do IAM.

  2. No Console do Cloud, acesse a página do BigQuery.

    Acessar a página do BigQuery

  3. Clique em Transferências.

  4. Clique em Criar transferência.

  5. Clique na página Criar transferência.

  6. Na seção Tipo de origem, para Origem, escolha Acesso agregado do IAM Recommender:

  7. No campo Nome de exibição da seção Transferir nome da configuração, insira um nome para a transferência, como My Transfer. Ele pode ter qualquer valor que identifique facilmente a transferência, caso seja necessário modificá-la no futuro:

  8. Na seção Opções de programação, para Programação, deixe o valor padrão (Começar agora) ou clique em Começar no horário definido.

    • Para Repetições, escolha uma opção para a frequência de execução da transferência.
    • Se você escolher uma opção diferente de "Diário", outras opções estarão disponíveis. Por exemplo, se você escolher Semanal, será exibida uma opção para selecionar o dia da semana.
    • Para Data e hora de início, insira a data e a hora para iniciar a transferência. Se você escolher Iniciar agora, essa opção ficará desativada. Se você escolher Iniciar agora na programação, haverá um atraso de um dia antes de sua transferência recém-criada começar.

  9. Na seção Configurações de destino, em Conjunto de dados de destino, escolha o conjunto criado para armazenar seus dados. A transferência será executada na mesma região do conjunto de dados. Se depois de criar a transferência você precisar editar o conjunto de dados, o novo conjunto de dados também precisará ser configurado na mesma região.

  10. Na seção Detalhes da origem de dados, para um número de projeto, insira os números de projeto apropriados separados por vírgula. Uma única transferência aceita no máximo 10 projetos.

A seguir