Como exportar dados para as recomendações do IAM

O recomendador de papéis do IAM usa dados de acesso agregado do IAM, coletados durante o uso de serviços no Google Cloud, para fornecer recomendações. Nesta página, explicamos como exportar esses dados de acesso para o BigQuery usando o Serviço de transferência de dados do BigQuery.

Se você quiser exportar um snapshot dos seus insights e recomendações, consulte Como exportar insights e recomendações para o BigQuery.

Antes de começar

Leia sobre as recomendações de papéis.

Permissões necessárias

Para criar uma transferência de dados, você precisa dos seguintes papéis na organização:

  • Administrador de recursos de controles de processamento de dados (roles/dataprocessing.admin)
  • Leitor da organização (roles/resourcemanager.organizationViewer)

Você também precisa do papel de administrador do BigQuery (roles/bigquery.admin) no projeto para onde os dados serão exportados.

Exportar dados de acesso agregado do IAM

Para exportar o histórico de acesso agregado do IAM dos seus projetos para o BigQuery, use a Central de transparência e controle para configurar uma transferência de dados:

  1. No Console do Google Cloud, acesse a página Privacidade e segurança.

    Acesse Privacidade e segurança

  2. Selecione a organização na lista suspensa e clique em Selecionar.

  3. Clique em Transparência e controle.

  4. Na tabela Grupo de processamento de dados, clique em IAM.

  5. Na seção Fontes de dados da página, clique em Criar transferência.

  6. No campo Projeto, clique em Procurar e selecione o projeto para o qual você quer exportar dados. Se o projeto não tiver a API BigQuery Data Transfer Service ativada, clique em Ativar API e aguarde até que a API esteja ativada.

  7. Clique em Next.

  8. Configurar a transferência de dados

    1. No campo Nome de exibição, insira um nome de exibição para sua transferência de dados.
    2. Na seção Opções de programação, escolha quando a transferência de dados será iniciada e com que frequência ela será executada.

      • Para escolher quando iniciar a transferência, use o valor padrão Começar agora ou clique em Começar no horário definido.
      • No campo Repetições, escolha uma opção de frequência de execução da transferência. Se você escolher uma opção diferente de "Diário", outras opções estarão disponíveis. Por exemplo, se você escolher "Semanal", aparecerá uma opção para selecionar o dia da semana.
      • Para Data e hora de início, insira a data e a hora para iniciar a transferência. Se você escolher Iniciar agora, essa opção ficará desativada.
    3. No campo ID do conjunto de dados, escolha um conjunto de dados do BigQuery para onde os dados serão exportados.

      Você pode exportar dados para um conjunto de dados existente ou criar um novo conjunto de dados:

      • Para exportar dados para um conjunto de dados existente, clique no campo ID do conjunto de dados e selecione um conjunto de dados na lista suspensa.
      • Para exportar dados para um novo conjunto de dados, clique no campo ID do conjunto de dados, clique em Criar novo conjunto de dados e preencha os campos no painel Criar conjunto de dados:

        1. No campo ID do conjunto de dados, insira um ID para o conjunto de dados. Letras, números e sublinhados são permitidos.
        2. Na lista suspensa Local dos dados, selecione Estados Unidos (EUA) ou União Europeia (UE).
        3. Opcional: ative a validade da tabela selecionando Ativar expiração da tabela.
        4. Opcional: selecione um método de criptografia. O método de criptografia padrão é a Chave de criptografia gerenciada pelo Google. Se você selecionar a chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês), também será necessário selecionar uma chave gerenciada pelo cliente.

      A transferência configurada ficará na mesma região do conjunto de dados e não poderá ser movida.

    4. No campo project_numbers, insira os números dos projetos cujos dados de acesso agregado do IAM você quer exportar. Para listar vários números de projeto, separe-os com vírgulas. É possível exportar dados de até 10 projetos por vez.

      Para encontrar o número de um projeto, faça o seguinte:

      1. No Console do Cloud, acesse a página Configurações.

        Acessar Configurações

      2. Selecione o projeto.

      3. Copie o ID do projeto no campo Número do projeto.

    5. Opcional: ative as notificações para sua transferência:

      • Para ativar notificações para execuções de transferência com falha, clique no botão Notificações por e-mail. Quando essa opção está ativada, o administrador de transferência recebe uma notificação por e-mail quando uma execução de transferência falha.
      • Para ativar as notificações do Pub/Sub para sua transferência, clique em Selecionar um tópico do Pub/Sub e selecione ou crie um tópico.
  9. Clique em Concluído.

Gerenciar transferências de dados existentes

É possível ver e gerenciar transferências na Central de transparência e controle ou no BigQuery:

  • Para visualizar todas as transferências de dados de acesso agregado do IAM para a organização, use a Central de transparência e controle:

    1. No Console do Google Cloud, acesse a página Privacidade e segurança.

      Acesse Privacidade e segurança

    2. Selecione a organização na lista suspensa e clique em Selecionar.

    3. Clique em Transparência e controle.

    4. Na tabela Grupo de processamento de dados, clique em IAM. A seção Transferências de dados da página lista todas as transferências de dados de acesso do IAM agregadas para sua organização.

    5. Para gerenciar uma transferência individual, clique no nome de exibição dela.

  • Para visualizar todas as transferências de dados em um projeto, incluindo transferências de dados de acesso agregado do IAM, use o BigQuery:

    1. No Console do Cloud, acesse a página de Transferência de dados.

      Acesse Transferências de dados

    2. Selecione o projeto para onde você exportou dados.

    3. A página Transferências de dados mostrará todas as transferências de dados do seu projeto, incluindo transferências de dados de acesso agregado do IAM.

    4. Para gerenciar uma transferência individual, clique no nome de exibição dela.

A seguir