导出数据以生成 IAM 建议

本页面介绍了如何导出 IAM Recommender 用来生成建议的数据。 您一次最多可以导出 10 个项目的数据。

如需详细了解 IAM Recommender,请参阅 IAM Recommender 概览

如需停用 IAM Recommender 或任何其他 Recommender,请参阅选择停用建议

导出用于生成建议的数据

IAM Role Recommender 会使用系统在 Google Cloud 服务使用期间收集的个人元数据来提供建议。您可以针对组织中的每个项目将此个人元数据导出到 BigQuery 中。

您可以按照以下步骤使用适用于 Recommender 的 BigQuery Data Transfer Service 导出用于生成建议的个人元数据。

适用于 IAM Role Recommender 的 BigQuery Data Transfer Service 配置

配置 说明
时间表 每 24 小时,不可配置
刷新时段 过去 2 天,不可配置
回填时长上限 过去 60 天。

准备工作

在创建 Recommender 数据转移作业之前,请先做好以下准备:

  • 确认您已完成启用 BigQuery Data Transfer Service 所需的所有操作。
  • 您必须授予 BigQuery Data Transfer Service 管理您的转移作业的权限。

  • 创建 BigQuery 数据集来存储数据。

    • 目前,系统仅支持美国和欧盟区域的数据集。
    • 您设置的转移作业将使用创建数据集时所在的区域,并且一旦创建了数据集和转移作业便无法修改。

所需权限

如需导出数据,需要具备以下 BigQuery 权限:

  • bigquery.transfers.update:允许创建转移作业
  • bigquery.datasets.update:允许对目标数据集执行更新操作

请务必授予包含这两种权限的 BigQuery Admin 角色 (roles/bigquery.admin),或者创建拥有这些权限的自定义角色

如需导出数据,需要具备以下 Recommender 权限:

  • dataProcessing.iamAccessHistory.exportData:允许导出数据

请务必授予包含此权限的 Data Processing IAM Access History Exporter 角色 (roles/dataprocessing.iamAccessHistoryExporter),或者创建拥有此权限的自定义角色

为用于提供建议的个人元数据创建数据转移作业

  1. 注册 IAM Recommender Aggregated Access 数据源

  2. 在 Cloud Console 中,转到 BigQuery 页面。

    转到 BigQuery 页面

  3. 点击转移

  4. 点击创建转移作业

  5. 点击创建转移作业页面。

  6. 来源类型部分的来源中,选择 IAM Recommender Aggregated Access

  7. 转移配置名称部分的显示名中,输入转移作业的名称,例如 My Transfer。转移作业名称可以是任何容易辨识的值,方便您以后在需要修改该作业时能够轻松识别:

  8. 时间表选项部分的时间表中,保留默认值(立即开始),或点击在设置的时间开始 (Start at a set time)。

    • 重复频率部分中,选择转移作业的运行频率。
    • 如果您选择除“每日一次”以外的选项,则系统还会提供其他选项。 例如,如果您选择每周一次,则系统会显示用于选择星期几的选项。
    • 开始日期和运行时间部分,输入开始转移作业的日期和时间。如果您选择的是立即开始,则系统会停用此选项。如果您在时间表中选择立即开始,那么新创建的转移作业将会延迟 1 天启动。

  9. 目标设置部分的目标数据集中,选择您创建用来存储数据的数据集。转移作业将在与数据集相同的区域运行。如果您在创建转移作业之后需要修改数据集,则新数据集也必须在同一区域进行设置。

  10. 数据源详细信息部分的项目编号中,以英文逗号分隔的形式输入相应的项目编号。一个转移作业最多可支持 10 个项目。

后续步骤