导出 Cloud IAM 建议数据

本页面介绍了如何导出 Cloud IAM Recommender 用来生成建议的数据。

有关 Cloud IAM Recommender 的更多信息,请参见 Cloud IAM Recommender 概览

要停用 Cloud IAM Recommender 或任何其他 Recommender,请参见停用建议

导出用于生成建议的数据

Cloud IAM Role Recommender 会使用系统在 Google Cloud 服务使用期间收集的个人元数据来提供建议。您可以针对组织中的每个项目将此个人元数据导出到 BigQuery。

您可以按照以下步骤使用适用于 Recommender 的 BigQuery Data Transfer Service 导出用于提供建议的个人元数据。

适用于 Cloud IAM Role Recommender 的 BigQuery Data Transfer Service 配置

配置 说明
时间表 每 24 小时,不可配置
刷新时段 过去 2 天,不可配置
回填时长上限 过去 30 天

准备工作

在创建建议数据转移作业之前,请先做好以下准备:

  • 确认您已完成启用 BigQuery Data Transfer Service 所需的所有操作。
  • 您必须授予 BigQuery Data Transfer Service 管理您的转移作业的权限。

  • 创建 BigQuery 数据集来存储数据。

    • 目前,系统仅支持美国和欧盟区域的数据集。
    • 您设置的转移作业将使用创建数据集时所在的区域,并且一旦创建了数据集和转移作业便无法修改。

所需权限

如需导出数据,需要具备以下 BigQuery 权限:

  • bigquery.transfers.update:允许创建转移作业
  • bigquery.datasets.update:允许对目标数据集执行更新操作

请务必授予包含这两种权限的 BigQuery Admin 角色 (roles/bigquery.admin),或者创建拥有这些权限的自定义角色

如需导出数据,需要具备以下 Recommender 权限:

  • dataProcessing.iamAccessHistory.exportData:允许导出数据

请务必授予包含此权限的 Data Processing IAM Access History Exporter 角色 (roles/dataprocessing.iamAccessHistoryExporter),或者创建拥有此权限的自定义角色

为用于提供建议的个人元数据创建数据转移作业

  1. 打开 Cloud Console。

    转到 Cloud Console

  2. 首先,注册 IAM Recommender Aggregated Access 数据源

  3. 在导航窗格中,点击 BigQuery

    您还可以在浏览器中输入以下网址,直接打开 BigQuery 网页界面。

    https://console.cloud.google.com/bigquery

    点击下面的按钮后,BigQuery 网页界面即会打开并显示您最近访问的项目。

    转到 BigQuery 网页界面

  4. 点击转移作业

  5. 点击创建转移作业

  6. 点击创建转移作业页面。

  7. 来源类型部分的来源中,选择IAM Recommender Aggregated Access

  8. 转移配置名称部分的显示名中,输入转移作业的名称,例如 My Transfer。转移作业名称可以是任何容易辨识的值,让您以后在需要修改时能够轻松识别:

  9. 时间表选项部分的时间表中,保留默认值(立即开始)或点击在设置的时间开始

    • 重复频率部分中,选择转移作业的运行频率。
    • 如果您选择除“每日一次”以外的选项,则系统还会提供其他选项。 例如,如果您选择每周一次,则系统会显示一个选项,供您选择星期几。
    • 开始日期和运行时间部分,输入转移作业的开始日期和时间。如果您选择的是立即开始,则系统会停用此选项。如果您在时间表中选择立即开始,那么新创建的转移作业将会延迟 1 天启动。

  10. Destination settings 部分的 Destination dataset 中,选择您创建的用来存储数据的数据集。转移作业将在与数据集相同的区域运行。如果您在创建转移作业之后需要修改数据集,则新数据集也必须在同一区域进行设置。

  11. 数据源详细信息部分的项目编号中,以英文逗号分隔的形式输入相应的项目编号。一个转移作业最多可支持 10 个项目。

后续步骤