Auf dieser Seite wird erläutert, wie Sie Rollenempfehlungen für Projekte, Ordner und Organisationen aufrufen, verstehen und anwenden. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und so dafür sorgen, dass Hauptkonten nur die Berechtigungen haben, die sie tatsächlich benötigen.
Hinweise
IAM and Recommender APIs aktivieren.
Informieren Sie sich über Rollenempfehlungen.
Sehen Sie sich die Best Practices für Rollenempfehlungen an.
Erforderliche IAM-Rollen
In diesem Abschnitt werden die IAM-Rollen und -Berechtigungen beschrieben, die Sie benötigen, um mit Rollenempfehlungen zu arbeiten.
Empfehlungen ansehen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Ressource zu gewähren, für die Sie Empfehlungen ansehen möchten (Projekt, Ordner oder Organisation), um die Berechtigungen zu erhalten, die Sie zum Ansehen von Rollenempfehlungen benötigen:
-
Rollenbetrachter (
roles/iam.roleViewer
) -
IAM Recommender Viewer (
roles/recommender.iamViewer
) -
So rufen Sie Empfehlungen auf Projektebene in der Google Cloud Console auf:
Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin
) -
So rufen Sie Empfehlungen auf Ordnerebene in der Google Cloud Console auf:
Ordner-IAM-Administrator (
roles/resourcemanager.folderIamAdmin
) -
So rufen Sie Empfehlungen auf Organisationsebene in der Google Cloud Console auf:
Organisationsadministrator (
roles/resourcemanager.organizationAdmin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen von Rollenempfehlungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Rollenempfehlungen anzusehen:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
recommender.iamPolicyLateralMovementInsights.get
-
recommender.iamPolicyLateralMovementInsights.list
-
So rufen Sie Empfehlungen in der Google Cloud Console auf:
resourcemanager.RESOURCE.getIamPolicy
, wobeiRESOURCE
der Ressourcentyp ist, für den Sie Empfehlungen aufrufen möchten (projects
,folders
oderorganizations
)
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Empfehlungen anwenden und ablehnen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Ressource zu gewähren, für die Sie Empfehlungen verwalten möchten (Projekt, Ordner oder Organisation), um die erforderlichen Berechtigungen zum Ansehen, Anwenden und Ablehnen von Rollenempfehlungen zu erhalten:
-
Rollenbetrachter (
roles/iam.roleViewer
) -
IAM Recommender-Administrator (
roles/recommender.iamAdmin
) -
So verwalten Sie Empfehlungen auf Projektebene:
Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin
) -
So verwalten Sie Empfehlungen auf Ordnerebene:
Ordner-IAM-Administrator (
roles/resourcemanager.folderIamAdmin
) -
So verwalten Sie Empfehlungen auf Organisationsebene:
Organisationsadministrator (
roles/resourcemanager.organizationAdmin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen, Anwenden und Ablehnen von Rollenempfehlungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Rollenempfehlungen ansehen, anwenden und ablehnen zu können:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
recommender.iamPolicyLateralMovementInsights.get
-
recommender.iamPolicyLateralMovementInsights.list
-
recommender.iamPolicyRecommendations.update
-
resourcemanager.RESOURCE.getIamPolicy
, wobeiRESOURCE
der Ressourcentyp ist, für den Sie Empfehlungen verwalten möchten (projects
,folders
oderorganizations
). -
resourcemanager.RESOURCE.setIamPolicy
, wobeiRESOURCE
der Ressourcentyp ist, für den Sie Empfehlungen verwalten möchten (projects
,folders
oderorganizations
).
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Empfehlungen prüfen und anwenden
Am einfachsten können Sie Ihre Empfehlungen in der Google Cloud Console prüfen und anwenden. Wenn Sie beim Anwenden einer Empfehlung automatisch eine benutzerdefinierte Rolle erstellen möchten, müssen Sie die Google Cloud Console verwenden.
Sie können Empfehlungen auch mit der Google Cloud CLI und der Recommender API überprüfen und anwenden.
Console
Öffnen Sie in der Google Cloud Console die Seite IAM.
Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
Suchen Sie in der Liste der Hauptkonten, die Zugriff auf Ihr Projekt haben, die Spalte Sicherheitsinformationen.
Für jede Rolle, die einem Hauptkonto zugewiesen wurde, enthält diese Spalte die sicherheitsbezogenen Statistiken. Diese Statistiken zeigen, nach welchem Muster Ihre Hauptkonten auf Ressourcen zugreifen. Beispiel: Einige Statistiken zeigen übermäßige Berechtigungen oder Berechtigungen, die ein Hauptkonto nicht benötigt: Andere Statistiken zeigen Dienstkonten mit "Lateral Movement"-Funktionen:
Wenn für eine Statistik eine Empfehlung verfügbar ist, wird in der Google Cloud Console das Symbol Empfehlung verfügbar angezeigt.
Falls Empfehlungen zum Prüfen vorhanden sind, klicken Sie auf ein Empfehlung verfügbar-Symbol , um sich Details zur Empfehlung anzusehen.
Wenn die Empfehlung darin besteht, die Rolle zu ersetzen, schlägt der Rollen-Recommender immer eine Reihe von vordefinierten Rollen vor, die Sie anwenden können.
In einigen Fällen schlägt die Rollenempfehlung auch vor, eine neue benutzerdefinierte Rolle auf Projektebene zu erstellen. Wenn eine Empfehlung für benutzerdefinierte Rollen verfügbar ist, wird sie in der Google Cloud Console standardmäßig angezeigt. Wenn Sie sich wieder ansehen möchten, welche vordefinierte Rolle empfohlen wurde, klicken Sie auf Empfohlene vordefinierte Rollen ansehen.
Prüfen Sie die Empfehlung eingehend und machen Sie sich klar, wie sich dadurch der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Abgesehen von den Empfehlungen für von Google verwaltete Dienstkonten erhöht eine Empfehlung nie die Zugriffsebene eines Hauptkontos. Weitere Informationen finden Sie unter Rollenempfehlungen generieren.
Informationen zum Abrufen von Empfehlungen in der Konsole finden Sie auf dieser Seite unter Empfehlungen prüfen.
Optional: Wenn die Empfehlung lautet, eine benutzerdefinierte Rolle zu erstellen, aktualisieren Sie, falls nötig, den Titel, die Beschreibung, die ID und die Phase der Rollenerstellung.
Wenn Sie der benutzerdefinierten Rolle Berechtigungen hinzufügen möchten, klicken Sie auf Berechtigungen hinzufügen.
Wenn Sie aus der benutzerdefinierten Rolle Berechtigungen entfernen möchten, entfernen Sie für jede Berechtigung, die Sie entfernen möchten, das Häkchen aus dem entsprechenden Kästchen.
Setzen Sie die Empfehlung um.
Um die Empfehlung anzuwenden, klicken Sie auf Anwenden oder Erstellen und anwenden. Wenn Sie Ihre Meinung innerhalb der nächsten 90 Tage ändern, verwenden Sie den Empfehlungsverlauf, um Ihre Entscheidung rückgängig zu machen.
Wenn Sie die Empfehlung verwerfen möchten, klicken Sie auf Verwerfen und bestätigen dann Ihre Auswahl. Sie können eine verworfene Empfehlung wiederherstellen, solange die Empfehlung noch gültig ist.
Wiederholen Sie die vorherigen Schritte, bis Sie alle Empfehlungen geprüft haben.
gcloud
Empfehlungen prüfen
Führen Sie den gcloud recommender recommendations list
-Befehl aus, um Ihre Empfehlungen aufzulisten:
gcloud recommender recommendations list \
--location=global \
--recommender=google.iam.policy.Recommender \
--RESOURCE_TYPE=RESOURCE_ID \
--format=json
Ersetzen Sie die folgenden Werte:
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Empfehlungen auflisten möchten. Verwenden Sie den Wertproject
,folder
oderorganization
.RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.
Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel hat ein Dienstkonto in den letzten 90 Tagen keine Berechtigungen der Rolle "Compute-Administrator" (roles/compute.admin
) verwendet. Daher schlägt die Rollenempfehlung vor, dass Sie die Rolle widerrufen:
[
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilter": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
"/iamPolicy/bindings/*/role": "roles/compute.admin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
]
},
"description": "This role has not been used during the observation window.",
"recommenderSubtype": "REMOVE_ROLE",
"etag": "\"770237e2c0decf40\"",
"lastRefreshTime": "2020-01-09T06:06:17Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 708
}
}
},
"priority": "P4",
"stateInfo": {
"state": "ACTIVE"
}
}
]
Prüfen Sie jede Empfehlung sorgfältig und überlegen Sie, wie sich durch die empfohlenen Änderungen der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Informationen zum Prüfen von Empfehlungen mit der gcloud CLI finden Sie auf dieser Seite unter Empfehlungen prüfen.
So wenden Sie eine Empfehlung an:
Verwenden Sie den Befehl
gcloud recommender recommendations mark-claimed
, um den Status der Empfehlung inCLAIMED,
zu ändern. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden:gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=global \ --recommender=google.iam.policy.Recommender \ --RESOURCE_TYPE=RESOURCE_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Ersetzen Sie die folgenden Werte:
-
RECOMMENDATION_ID
: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Im oben gezeigten Beispiel lautet die IDfb927dc1-9695-4436-0000-f0f285007c0f
. -
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
. -
FORMAT
: das Format der Antwort. Verwenden Siejson
oderyaml
. -
ETAG
: der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann. -
STATE_METADATA
: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel:--state-metadata=reviewedBy=alice,priority=high
. Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.
Wenn der Befehl erfolgreich ausgeführt wurde, wird die Empfehlung in der Antwort im
CLAIMED
-Status aufgeführt, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden im Beispiel die meisten Felder weggelassen:[ { "description": "This role has not been used during the observation window.", "recommenderSubtype": "REMOVE_ROLE", "etag": "\"df7308cca9719dcc\"", "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "stateInfo": { "state": "CLAIMED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } } } ]
-
Rufen Sie die Zulassungsrichtlinie für das Projekt ab und ändern und legen Sie die Zulassungsrichtlinie so fest, dass sie der Empfehlung entspricht.
Aktualisieren Sie den Empfehlungsstatus auf
SUCCEEDED
, falls Sie die Empfehlung anwenden konnten, oder aufFAILED
, falls Sie die Empfehlung nicht anwenden konnten:gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=global \ --recommender=google.iam.policy.Recommender \ --RESOURCE_TYPE=RESOURCE_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Ersetzen Sie die folgenden Werte:
-
COMMAND
: Verwenden Siemark-succeeded
, wenn Sie die Empfehlung anwenden konnten, odermark-failed
, wenn Sie die Empfehlung nicht anwenden konnten. -
RECOMMENDATION_ID
: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Im oben gezeigten Beispiel lautet die IDfb927dc1-9695-4436-0000-f0f285007c0f
. -
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
. -
FORMAT
: das Format der Antwort. Verwenden Siejson
oderyaml
. -
ETAG
: der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann. -
STATE_METADATA
: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel:--state-metadata=reviewedBy=alice,priority=high
. Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.
Wenn Sie beispielsweise die Empfehlung als erfolgreich angewendet markiert haben, wird die Empfehlung in der Antwort im
SUCCEEDED
-Status angezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:[ { "description": "This role has not been used during the observation window.", "recommenderSubtype": "REMOVE_ROLE", "etag": "\"dd0686e7136a4cbb\"", "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } } } ]
-
REST
Hinweis: Bei dieser Anleitung wird davon ausgegangen, dass Sie die Authentifizierung vorgenommen und die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS
festgelegt haben.
Empfehlungen prüfen
Verwenden Sie die Methode recommendations.list
der Recommender API, um alle verfügbaren Empfehlungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
RESOURCE_TYPE
: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wertprojects
,folders
oderorganizations
.RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.-
PAGE_SIZE
: Optional. Die maximale Anzahl von Ergebnissen, die von dieser Anfrage zurückgegeben werden sollen. Wenn nicht angegeben, bestimmt der Server die Anzahl der zurückzugebenden Ergebnisse. Wenn die Anzahl der Empfehlungen die Seitengröße überschreitet, enthält die Antwort ein Seitenumbruchtoken, mit dem Sie die nächste Ergebnisseite abrufen können. -
PAGE_TOKEN
: Optional. Das Seitenumbruchtoken, das in einer früheren Antwort von dieser Methode zurückgegeben wurde. Wenn dieser Wert angegeben wird, beginnt die Liste der Empfehlungen dort, wo die vorherige Anfrage endet. -
FILTER
: Optional. Ein Filterausdruck, mit dem sich die zurückgegebenen Empfehlungen einschränken lassen. Sie können Empfehlungen anhand des FeldesstateInfo.state
filtern. Beispiel:stateInfo.state:"DISMISSED"
oderstateInfo.state:"FAILED"
. PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel hat ein Dienstkonto im Projekt example-project
in den letzten 90 Tagen keine Berechtigungen der Compute-Admin-Rolle (roles/compute.admin
) verwendet. Daher schlägt Recommender vor, dass Sie die Rolle widerrufen:
{ "recommendations": [ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "description": "This role has not been used during the observation window.", "lastRefreshTime": "2020-01-09T06:06:17Z", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 708 } } }, "priority": "P4", "content": { "operationGroups": [ { "operations": [ { "action": "remove", "path": "/iamPolicy/bindings/*/members/*", "pathFilter": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com", "/iamPolicy/bindings/*/role": "roles/compute.admin" }, "resource": "//cloudresourcemanager.googleapis.com/projects/example-project", "resourceType": "cloudresourcemanager.googleapis.com/Project" } ] } ] }, "stateInfo": { "state": "ACTIVE" } "etag": "\"770237e2c0decf40\"", "recommenderSubtype": "REMOVE_ROLE", "associatedInsights": [ { "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839" } ] }
Prüfen Sie jede Empfehlung sorgfältig und überlegen Sie, wie sich durch die empfohlenen Änderungen der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Informationen zum Prüfen von Empfehlungen über die API finden Sie auf dieser Seite unter Empfehlungen prüfen.
So wenden Sie eine Empfehlung an:
Markieren Sie die Empfehlung als
CLAIMED
:Verwenden Sie die Methode
recommendations.markClaimed
der Recommender API, um eine Empfehlung alsCLAIMED
zu markieren. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden.Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
RESOURCE_TYPE
: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wertprojects
,folders
oderorganizations
.RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.RECOMMENDATION_ID
: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Wenn das Feldname
beispielsweiseprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
lautet, dann ist die Empfehlungs-IDfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B."\"df7308cca9719dcc\""
.STATE_METADATA
: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel:{"reviewedBy": "alice", "priority": "high"}
Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
JSON-Text der Anfrage:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort zeigt die Empfehlung im
CLAIMED
-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "CLAIMED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
Rufen Sie die Zulassungsrichtlinie für das Projekt ab und ändern Sie die Zulassungsrichtlinie so, dass sie der Empfehlung entspricht.
Aktualisieren Sie den Empfehlungsstatus auf
SUCCEEDED
, falls Sie die Empfehlung anwenden konnten, oder aufFAILED
, falls Sie die Empfehlung nicht anwenden konnten:SUCCEEDED
Verwenden Sie die Methode
recommendations.markSucceeded
der Recommender API, um eine Empfehlung alsSUCCEEDED
zu markieren und so anzuzeigen, dass Sie sie anwenden konnten.Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
RESOURCE_TYPE
: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wertprojects
,folders
oderorganizations
.RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.RECOMMENDATION_ID
: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Wenn das Feldname
beispielsweiseprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
lautet, dann ist die Empfehlungs-IDfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B."\"df7308cca9719dcc\""
.STATE_METADATA
: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel:{"reviewedBy": "alice", "priority": "high"}
Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
JSON-Text der Anfrage:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort zeigt die Empfehlung im
SUCCEEDED
-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
FAILED
Wenn Sie eine Empfehlung als
FAILED
markieren möchten, um darauf hinzuweisen, dass Sie sie nicht anwenden konnten, verwenden Sie die Methoderecommendations.markFailed
der Recommender API.Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
RESOURCE_TYPE
: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wertprojects
,folders
oderorganizations
.RESOURCE_ID
: Die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.RECOMMENDATION_ID
: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Wenn das Feldname
beispielsweiseprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
lautet, dann ist die Empfehlungs-IDfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B."\"df7308cca9719dcc\""
.STATE_METADATA
: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel:{"reviewedBy": "alice", "priority": "high"}
Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
JSON-Text der Anfrage:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort zeigt die Empfehlung im
FAILED
-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "FAILED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
Empfehlungen
Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde.
Console
Damit Sie besser nachvollziehen können, warum die Empfehlung gegeben wurde, wird in der Google Cloud Console die Nutzung von Berechtigungen durch das Hauptkonto angezeigt, wie in den mit der Empfehlung verknüpften Richtlinienstatistiken angegeben. Es kann beispielsweise eine Liste wie die folgende angezeigt werden:
Damit Sie die Auswirkungen der Anwendung der Empfehlung besser nachvollziehen können, wird in der Google Cloud Console auch eine farb- und symbolcodierte Liste der Berechtigungen angezeigt. Diese Liste gibt an, wie sich die Berechtigungen des Hauptkontos ändern, wenn Sie die Empfehlung übernehmen. Es kann beispielsweise eine Liste wie die folgende angezeigt werden:
Die einzelnen Farben und Symbole stehen für folgende Berechtigungen:
Grau ohne Symbol: Berechtigungen, die sowohl in der aktuellen Rolle des Hauptkontos als auch in den empfohlenen Rollen enthalten sind.
Rot mit Minuszeichen
: Berechtigungen, die in der aktuellen Rolle des Hauptkontos, aber nicht in den empfohlenen Rollen enthalten sind, da das Hauptkonto sie in den letzten 90 Tagen nicht genutzt hat.Grün mit einem Pluszeichen Empfehlungen für von Google verwaltete Dienstkonten angezeigt.
: Berechtigungen, die nicht in der aktuellen Rolle des Hauptkontos enthalten sind, sich aber in den empfohlenen Rollen befinden. Diese Art von Berechtigung wird nur in denBlau mit Symbol für maschinelles Lernen maschinelles Lernen festgestellt hat, dass es diese Berechtigungen in Zukunft vermutlich benötigt.
: Berechtigungen, die sowohl in der aktuellen Rolle des Hauptkontos als auch in den empfohlenen Rollen enthalten sind, und zwar nicht, weil das Hauptkonto die Berechtigungen in den letzten 90 Tagen genutzt hat, sondern weil Recommender durch
Einige Empfehlungen beziehen sich auch auf Statistiken zum "Lateral Movement". Statistiken zum "Lateral Movement" zeigen Rollen, mit denen ein Dienstkonto in einem Projekt die Identität eines Dienstkontos in einem anderen Projekt übernehmen kann. Wenn eine Empfehlung mit einer Erkenntnis zur seitlichen Bewegung verknüpft ist, zeigt die Google Cloud Console auch Folgendes an:
Das Ursprungsprojekt des Dienstkontos: Das Projekt, in dem das Dienstkonto mit Berechtigungen zur Identitätsübertragung erstellt wurde.
Dienstkonten, die in diesem Projekt imitiert werden können: Eine Liste aller Dienstkonten im aktuellen Projekt, für die die Identität des Dienstkontos übernommen werden kann.
gcloud
Weitere Informationen zu den Feldern einer Empfehlung finden Sie in der Referenz zu Recommendation
.
Sehen Sie sich die Richtlinienstatistiken für die Empfehlung an, um zu erfahren, auf welcher Berechtigungsnutzung diese Empfehlung basiert.
Diese Nachrichten werden im Feld associatedInsights
aufgelistet. So rufen Sie eine mit der Empfehlung verknüpfte Richtlinie auf:
- Ermitteln Sie, welche Statistiken im Feld
associatedInsights
Richtlinienstatistiken sind. Richtlinienstatistiken haben den Statistiktypgoogle.iam.policy.insight
. Dieser Typ wird nachinsightTypes
im Feldinsight
angezeigt. - Kopieren Sie die ID der Richtlinienstatistik. Die ID ist alles nach
insights/
im Feldinsight
. Im vorherigen Beispiel lautet die Statistik-ID279ef748-408f-44db-9a4a-1ff8865b9839
. - Folgen Sie der Anleitung zum Abrufen einer Richtlinienstatistik mithilfe der kopierten Statistik-ID.
Einige Empfehlungen sind auch mit Statistiken zur seitlichen Bewegung verknüpft, die Rollen identifizieren, mit denen Dienstkonten in einem Projekt die Identität von Dienstkonten in einem anderen Projekt übernehmen können. Diese Statistiken werden im Feld associatedInsights
aufgelistet. So rufen Sie eine Statistik zu seitlicher Bewegung ab, die mit der Empfehlung verknüpft ist:
- Stellen Sie fest, welche Statistiken im Feld
associatedInsights
die Statistiken zu seitlichen Bewegungen sind. Statistiken zu seitlichen Bewegungen sind vom Statistiktypgoogle.iam.policy.LateralMovementInsight
. Dieser Typ wird nachinsightTypes
im Feldinsight
angezeigt. - Kopieren Sie die ID der Richtlinienstatistik. Die ID ist alles nach
insights/
im Feldinsight
. Im vorherigen Beispiel lautet die Statistik-ID279ef748-408f-44db-9a4a-1ff8865b9839
. - Folgen Sie der Anleitung, um Statistiken zu seitlichen Bewegungen mit der kopierten Statistik-ID abzurufen.
REST
Weitere Informationen zu den Feldern einer Empfehlung finden Sie in der Referenz zu Recommendation
.
Sehen Sie sich die Richtlinienstatistiken für die Empfehlung an, um zu erfahren, auf welcher Berechtigungsnutzung diese Empfehlung basiert.
Diese Nachrichten werden im Feld associatedInsights
aufgelistet. So rufen Sie eine mit der Empfehlung verknüpfte Richtlinie auf:
- Ermitteln Sie, welche Statistiken im Feld
associatedInsights
Richtlinienstatistiken sind. Richtlinienstatistiken haben den Statistiktypgoogle.iam.policy.insight
. Dieser Typ wird nachinsightTypes
im Feldinsight
angezeigt. - Kopieren Sie die ID der Richtlinienstatistik. Die ID ist alles nach
insights/
im Feldinsight
. Wenn im Feldinsight
beispielsweiseprojects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839
angezeigt wird, lautet die Statistik-ID279ef748-408f-44db-9a4a-1ff8865b9839
. - Folgen Sie der Anleitung zum Abrufen einer Richtlinienstatistik mithilfe der kopierten Statistik-ID.
Einige Empfehlungen sind auch mit Statistiken zur seitlichen Bewegung verknüpft, die Rollen identifizieren, mit denen Dienstkonten in einem Projekt die Identität von Dienstkonten in einem anderen Projekt übernehmen können. Diese Statistiken werden im Feld associatedInsights
aufgelistet. So rufen Sie eine Statistik zu seitlicher Bewegung ab, die mit der Empfehlung verknüpft ist:
- Stellen Sie fest, welche Statistiken im Feld
associatedInsights
die Statistiken zu seitlichen Bewegungen sind. Statistiken zu seitlichen Bewegungen sind vom Statistiktypgoogle.iam.policy.LateralMovementInsight
. Dieser Typ wird nachinsightTypes
im Feldinsight
angezeigt. - Kopieren Sie die ID der Richtlinienstatistik. Die ID ist alles nach
insights/
im Feldinsight
. Wenn im Feldinsight
beispielsweiseprojects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
angezeigt wird, lautet die Statistik-ID13088eec-9573-415f-81a7-46e1a260e860
. - Folgen Sie der Anleitung, um Statistiken zu seitlichen Bewegungen mit der kopierten Statistik-ID abzurufen.
Änderungen ansehen, zurücksetzen und wiederherstellen
Nachdem Sie eine Empfehlung für eine Rollenbindung auf Projektebene angewendet oder abgelehnt haben, wird diese Aktion im Empfehlungsverlauf angezeigt.
So rufen Sie den Empfehlungsverlauf auf:
Öffnen Sie in der Google Cloud Console die Seite IAM.
Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
Klicken Sie oben auf dem Bildschirm auf Empfehlungsverlauf.
Die Google Cloud Console zeigt eine Liste der bisherigen Aktionen für Ihre Rollenempfehlungen an.
Klicken Sie auf den Pfeil zum Maximieren
, um Details zu einer Empfehlung aufzurufen.In der Google Cloud Console werden Details zur ausgeführten Aktion angezeigt, einschließlich des Hauptkontos, das die Aktion ausgeführt hat:
Optional: Falls erforderlich, können Sie die Empfehlung zurücksetzen, wodurch die Änderungen durch die Empfehlung rückgängig gemacht werden, oder eine Empfehlung wiederherstellen, die Sie verworfen haben.
Um eine zuvor für eine Empfehlung angewendete Änderung rückgängig zu machen, klicken Sie auf Wiederherstellen. In der Google Cloud Console werden die Änderungen an den Rollen des Hauptkontos rückgängig gemacht. Die Empfehlung wird nicht mehr in der Google Cloud Console angezeigt.
Klicken Sie zum Wiederherstellen einer verworfenen Empfehlung auf Wiederherstellen. Die Empfehlung wird dann in der Google Cloud Console auf der Seite IAM angezeigt. Es wurden keine Rollen oder Berechtigungen geändert.
Nächste Schritte
- Recommender
- Mehr über die Verwendung von Zulassungsrichtlinienstatistiken erfahren.
- Weitere Informationen zu Statistiken zum "Lateral Movement"