Como exportar dados para as recomendações do Cloud IAM

Esta página explica como exportar os dados que o recomendador do Cloud IAM usa para gerar recomendações.

Para mais informações sobre o recomendador do Cloud IAM, consulte a Visão geral do recomendador do Cloud IAM.

Para desativar o recomendador do Cloud IAM ou qualquer outro recomendador, consulte Como desativar recomendações.

Como exportar dados usados para gerar recomendações

O recomendador de papéis do Cloud IAM usa metadados pessoais coletados durante o uso de serviços no Google Cloud para fornecer recomendações. É possível exportar esses metadados pessoais para o BigQuery para cada projeto em uma organização.

Use o serviço de transferência de dados do BigQuery para Recommender se quiser exportar metadados pessoais usados para recomendações. Para isso, siga as etapas abaixo.

Configuração do serviço de transferência de dados do BigQuery para o recomendador de papéis do Cloud IAM

Configuração Descrição
Programação A cada 24 horas, não configurável
Atualizar janela Últimos dois dias, não configurável
Duração máxima do preenchimento Últimos 60 dias

Antes de começar

Antes de criar uma transferência de dados de recomendações:

  • Verifique se você realizou todas as ações necessárias para ativar o serviço de transferência de dados do BigQuery.
  • É necessário conceder a permissão do BigQuery Data Transfer Service para gerenciar a transferência.

  • Crie um conjunto de dados do BigQuery para armazenar os dados.

    • Atualmente, apenas conjuntos de dados nos EUA e na UE são compatíveis.
    • A transferência configurada usará a mesma região em que o conjunto de dados é criado e não será possível alterá-la após a criação do conjunto de dados e da transferência.

Permissões exigidas

As seguintes permissões do BigQuery são obrigatórias para exportar dados:

  • bigquery.transfers.update: permite criar a transferência
  • bigquery.datasets.update: permite ações de atualização no conjunto de dados de destino

Certifique-se de conceder o papel Administrador do BigQuery (roles/bigquery.admin), que contém essas duas permissões, ou crie um papel personalizado que inclua essas permissões.

As seguintes permissões do Recommender são obrigatórias para exportar dados:

  • dataProcessing.iamAccessHistory.exportData: permite exportar dados

Certifique-se de conceder o papel Exportador de histórico de acesso do IAM de processamento de dados (roles/dataprocessing.iamAccessHistoryExporter), que contém essa permissão, ou crie um papel personalizado com essa permissão.

Como criar uma transferência de dados para metadados pessoais usados em recomendações

  1. Abra o Console do Cloud.

    Acessar Console do Cloud

  2. Primeiro, inscreva a origem de dados de acesso agregado do recomendador do IAM.

  3. No painel de navegação, clique em BigQuery.

    Também é possível abrir a IU da Web do BigQuery digitando o URL a seguir no seu navegador.

    https://console.cloud.google.com/bigquery

    Ao clicar no botão abaixo, você abre a IU da Web do BigQuery para seu projeto mais recente.

    Acesse a IU da Web do BigQuery

  4. Clique em Transferências.

  5. Clique em Criar transferência.

  6. Clique na página Criar transferência.

  7. Na seção Tipo de origem, para Origem, escolha Acesso agregado do recomendador do IAM:

  8. No campo Nome da configuração de transferência da seção Nome de exibição, insira um nome para a transferência, como My Transfer. Ele pode ter qualquer valor que identifique facilmente a transferência, caso seja necessário modificá-la no futuro;

  9. Na seção Opções de programação, para Programação, deixe o valor padrão (Começar agora) ou clique em Começar no horário definido.

    • Em Repetições, escolha uma opção para a frequência de execução da transferência.
    • Se você escolher uma opção diferente de "Diário", outras opções estarão disponíveis. Por exemplo, se você escolher Semanal, aparecerá uma opção para selecionar o dia da semana.
    • Em Data e hora de início, insira a data e a hora para iniciar a transferência. Se você escolher Iniciar agora, essa opção ficará desativada. Se você escolher Iniciar agora na programação, haverá um atraso de um dia antes de sua transferência recém-criada começar.

  10. Na seção Configurações de destino, em Conjunto de dados de destino, escolha o conjunto criado para armazenar seus dados. A transferência será executada na mesma região do conjunto de dados. Se depois de criar a transferência você precisar editar o conjunto de dados, o novo conjunto de dados também precisará ser configurado na mesma região.

  11. Na seção Detalhes da origem de dados, para um número de projeto, insira os números de projeto apropriados separados por vírgula. Uma única transferência aceita no máximo 10 projetos.

A seguir