导出数据以生成 IAM 建议

本页面介绍了如何导出 IAM Recommender 用来生成建议的数据。

如需详细了解 IAM Recommender,请参阅 IAM Recommender 概览

如需停用 IAM Recommender 或任何其他 Recommender,请参阅选择停用建议

导出用于生成建议的数据

IAM Role Recommender 会使用系统在 Google Cloud 服务使用期间收集的个人元数据来提供建议。您可以针对组织中的每个项目将此个人元数据导出到 BigQuery 中。

您可以按照以下步骤使用适用于 Recommender 的 BigQuery Data Transfer Service 导出用于生成建议的个人元数据。

适用于 IAM Role Recommender 的 BigQuery Data Transfer Service 配置

配置 说明
时间表 每 24 小时,不可配置
刷新时段 过去 2 天,不可配置
回填时长上限 过去 60 天。

准备工作

在创建 Recommender 数据转移作业之前,请先做好以下准备:

  • 确认您已完成启用 BigQuery Data Transfer Service 所需的所有操作。
  • 您必须授予 BigQuery Data Transfer Service 管理您的转移作业的权限。

  • 创建 BigQuery 数据集来存储数据。

    • 目前,系统仅支持美国和欧盟区域的数据集。
    • 您设置的转移作业将使用创建数据集时所在的区域,并且一旦创建了数据集和转移作业便无法修改。

所需权限

如需导出数据,需要具备以下 BigQuery 权限:

  • bigquery.transfers.update:允许创建转移作业
  • bigquery.datasets.update:允许对目标数据集执行更新操作

请务必授予包含这两种权限的 BigQuery Admin 角色 (roles/bigquery.admin),或者创建拥有这些权限的自定义角色

如需导出数据,需要具备以下 Recommender 权限:

  • dataProcessing.iamAccessHistory.exportData:允许导出数据

请务必授予包含此权限的 Data Processing IAM Access History Exporter 角色 (roles/dataprocessing.iamAccessHistoryExporter),或者创建拥有此权限的自定义角色

为用于生成建议的个人元数据创建数据转移作业

  1. 注册 IAM Recommender Aggregated Access 数据源

  2. 在 Cloud Console 中,转到 BigQuery 页面。

    转到 BigQuery 页面

  3. 点击转移

  4. 点击创建转移作业

  5. 点击创建转移作业页面。

  6. 来源类型部分的来源中,选择 IAM Recommender Aggregated Access

  7. 转移配置名称部分的显示名中,输入转移作业的名称,例如 My Transfer。转移作业名称可以是任何容易辨识的值,方便您以后在需要修改该作业时能够轻松识别:

  8. 时间表选项部分的时间表中,保留默认值(立即开始),或点击在设置的时间开始 (Start at a set time)。

    • 重复频率部分中,选择转移作业的运行频率。
    • 如果您选择除“每日一次”以外的选项,则系统还会提供其他选项。 例如,如果您选择每周一次,则系统会显示用于选择星期几的选项。
    • 开始日期和运行时间部分,输入开始转移作业的日期和时间。如果您选择的是立即开始,则系统会停用此选项。如果您在时间表中选择立即开始,那么新创建的转移作业将会延迟 1 天启动。

  9. 目标设置部分的目标数据集中,选择您创建用来存储数据的数据集。转移作业将在与数据集相同的区域运行。如果您在创建转移作业之后需要修改数据集,则新数据集也必须在同一区域进行设置。

  10. 数据源详细信息部分的项目编号中,以英文逗号分隔的形式输入相应的项目编号。一个转移作业最多可支持 10 个项目。

后续步骤