Empfehlungen prüfen und anwenden

Auf dieser Seite wird erläutert, wie Sie Rollenempfehlungen abrufen, verstehen und anwenden. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und Hauptkonten nur die Berechtigungen erteilen, die sie tatsächlich benötigen.

Hinweis

Informieren Sie sich über Rollenempfehlungen.
Sehen Sie sich die Best Practices für Rollenempfehlungen an.

Erforderliche IAM-Berechtigungen

In diesem Abschnitt werden die IAM-Berechtigungen beschrieben, die Sie benötigen, um mit Rollenempfehlungen arbeiten zu können.

Empfehlungen abrufen

Zum Aufrufen der Rollenempfehlungen benötigen Sie die folgenden Berechtigungen für das Projekt, den Ordner oder die Organisation, die Sie aufrufen. Dabei gilt: RESOURCE_TYPE ist der Ressourcentyp, für den Sie die Empfehlungen aufrufen (projects, folders oderorganizations).

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
resourcemanager.RESOURCE_TYPE.getIamPolicy

Um diese Berechtigungen übernehmen und gleichzeitig das Prinzip der geringsten Berechtigung umsetzen zu können, bitten Sie Ihren Administrator, Ihnen die folgenden vordefinierten Rollen zuzuweisen:

Rollenbetrachter (roles/iam.roleViewer)
Entweder IAM Recommender-Betrachter (roles/recommender.iamViewer) oder IAM-Sicherheitsprüfer (roles/iam.securityReviewer)

Alternativ kann Ihr Administrator Ihnen eine andere Rolle zuweisen, die die erforderlichen Berechtigungen enthält, z. B. eine benutzerdefinierte Rolle oder eine vordefinierte Rolle mit mehr Berechtigungen.

Empfehlungen anwenden und ablehnen

Zum Übernehmen und Ablehnen von Rollenempfehlungen für Empfehlungen benötigen Sie die folgenden Berechtigungen für das Projekt, den Ordner oder die Organisation, die Sie verwalten. Dabei ist RESOURCE_TYPE der Ressourcentyp, für den Sie Empfehlungen verwalten. projects (folders, organizations).

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyRecommendations.update
resourcemanager.RESOURCE_TYPE.getIamPolicy
resourcemanager.RESOURCE_TYPE.setIamPolicy

Um diese Berechtigungen übernehmen und gleichzeitig das Prinzip der geringsten Berechtigung umsetzen zu können, bitten Sie Ihren Administrator, Ihnen die folgenden vordefinierten Rollen zuzuweisen:

Rollenbetrachter (roles/iam.roleViewer)
IAM Recommender-Administrator (roles/recommender.iamAdmin)
Eine der folgenden Rollen, abhängig vom Ressourcentyp, für den Sie Empfehlungen verwalten:
- Projekte: Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin)
- Ordner: Ordner-IAM-Administrator (roles/resourcemanager.folderIamAdmin)
- Organisationen: Organisationsadministrator (roles/resourcemanager.organizationAdmin)

Empfehlungen prüfen und anwenden

Die einfachste Möglichkeit, Ihre Empfehlungen zu prüfen und anzuwenden, ist das Verwenden der Google Cloud Console. Wenn Sie beim Anwenden einer Empfehlung automatisch eine benutzerdefinierte Rolle erstellen möchten, müssen Sie die Cloud Console verwenden.

Sie können Empfehlungen auch mit dem gcloud-Befehlszeilentool und der Recommender API prüfen und anwenden.

Empfehlungen für Rollenbindungen auf Ordner- und Organisationsebene sind in der Cloud Console nicht verfügbar. Verwenden Sie zum Aufrufen dieser Empfehlungen das gcloud-Tool oder die REST API.

Console

Rufen Sie in der Cloud Console die Seite IAM auf.

Zur IAM-Seite
In der Liste der Hauptkonten, die Zugriff auf Ihr Projekt haben, finden Sie die Spalte Analysierte Berechtigungen.

Hinweis: In der Cloud Console werden Rollenzuweisungen für von Google verwaltete Dienstkonten nicht automatisch angezeigt. Wenn Sie diese Rollenzuweisungen und die zugehörigen Empfehlungen anzeigen lassen möchten, wählen Sie Von Google bereitgestellte Rollenzuweisungen einschließen aus.

Für jede Rolle, die einem Hauptkonto zugewiesen wurde, enthält diese Spalte die sicherheitsbezogenen Statistiken. Diese Statistiken zeigen, nach welchem Muster Ihre Hauptkonten auf Ressourcen zugreifen. Beispiel: Einige Statistiken zeigen übermäßige Berechtigungen oder Berechtigungen, die ein Hauptkonto nicht benötigt:

Wenn eine Empfehlung zur Nutzung einer Statistik verfügbar ist, wird in der Konsole das Symbol Empfehlung verfügbar angezeigt.

Hinweis: Recommender analysiert nicht für alle Rollen die Berechtigungen. Informationen dazu, welche Rollen von Recommender analysiert werden, finden Sie unter Verfügbarkeit von Rollenempfehlungen.
Falls Empfehlungen zum Prüfen vorhanden sind, klicken Sie auf ein Empfehlung verfügbar-Symbol , um sich Details zur Empfehlung anzusehen.

Wenn die Empfehlung darin besteht, die Rolle zu ersetzen, schlägt der Rollen-Recommender immer eine Reihe von vordefinierten Rollen vor, die Sie anwenden können.

In einigen Fällen schlägt die Rollenempfehlung auch vor, eine neue benutzerdefinierte Rolle auf Projektebene zu erstellen. Wenn eine Empfehlung zum Erstellen einer benutzerdefinierten Rolle verfügbar ist, wird sie standardmäßig in der Cloud Console angezeigt. Wenn Sie sich wieder ansehen möchten, welche vordefinierte Rolle empfohlen wurde, klicken Sie auf Empfohlene vordefinierte Rollen ansehen.
Prüfen Sie die Empfehlung eingehend und machen Sie sich klar, wie sich dadurch der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Abgesehen von den Empfehlungen für von Google verwaltete Dienstkonten erhöht eine Empfehlung nie die Zugriffsebene eines Hauptkontos. Weitere Informationen finden Sie unter Rollenempfehlungen generieren.

Informationen zum Abrufen von Empfehlungen in der Konsole finden Sie auf dieser Seite unter Empfehlungen prüfen.
Optional: Wenn die Empfehlung lautet, eine benutzerdefinierte Rolle zu erstellen, aktualisieren Sie, falls nötig, den Titel, die Beschreibung, die ID und die Phase der Rollenerstellung.

Wenn Sie der benutzerdefinierten Rolle Berechtigungen hinzufügen möchten, klicken Sie auf Berechtigungen hinzufügen.

Wenn Sie aus der benutzerdefinierten Rolle Berechtigungen entfernen möchten, entfernen Sie für jede Berechtigung, die Sie entfernen möchten, das Häkchen aus dem entsprechenden Kästchen.
Setzen Sie die Empfehlung um.

Um die Empfehlung anzuwenden, klicken Sie auf Anwenden oder Erstellen und anwenden. Wenn Sie Ihre Meinung innerhalb der nächsten 90 Tage ändern, verwenden Sie den Empfehlungsverlauf, um Ihre Entscheidung rückgängig zu machen.

Wenn Sie die Empfehlung verwerfen möchten, klicken Sie auf Verwerfen und bestätigen dann Ihre Auswahl. Sie können eine verworfene Empfehlung wiederherstellen, solange die Empfehlung noch gültig ist.

Hinweis: Sie können Empfehlungen auch schnell anwenden und ablehnen. Klicken Sie dazu auf den Erweiterungspfeil neben einer Statistik mit einer Empfehlung und dann auf Empfehlung anwenden oder Empfehlung verwerfen. Sie können auf diese Weise keine Empfehlungen anwenden, nach denen benutzerdefinierte Rollen zu erstellen sind.
Wiederholen Sie die vorherigen Schritte, bis Sie alle Empfehlungen geprüft haben.

gcloud

Empfehlungen prüfen

Führen Sie den gcloud recommender recommendations list-Befehl aus, um Ihre Empfehlungen aufzulisten:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT

Ersetzen Sie die folgenden Werte:

RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen auflisten möchten. Verwenden Sie den Wert project, folder oder organization.
RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
FORMAT: das Format der Antwort. Verwenden Sie json oder yaml.

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel hat ein Dienstkonto in den letzten 90 Tagen keine Berechtigungen der Rolle "Compute-Administrator" (roles/compute.admin) verwendet. Daher schlägt die Rollenempfehlung vor, dass Sie die Rolle widerrufen:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Prüfen Sie jede Empfehlung sorgfältig und überlegen Sie, wie sich durch die empfohlenen Änderungen der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Informationen zum Prüfen von Empfehlungen mit dem gcloud-Tool finden Sie auf dieser Seite unter Empfehlungen prüfen.

So wenden Sie eine Empfehlung an:

Verwenden Sie den Befehl gcloud recommender recommendations mark-claimed, um den Status der Empfehlung in CLAIMED, zu ändern. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden:
```
gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Ersetzen Sie die folgenden Werte:
- RECOMMENDATION_ID: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Im oben gezeigten Beispiel lautet die ID fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert project, folder oder organization.
- RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
- FORMAT: das Format der Antwort. Verwenden Sie json oder yaml.
- ETAG: der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.
- STATE_METADATA: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
Wenn der Befehl erfolgreich ausgeführt wurde, wird die Empfehlung in der Antwort im CLAIMED-Status aufgeführt, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden im Beispiel die meisten Felder weggelassen:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"df7308cca9719dcc\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```
Rufen Sie die IAM-Richtlinie für das Projekt ab und ändern Sie die Richtlinie so, dass sie der Empfehlung entspricht.
Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:
```
gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Ersetzen Sie die folgenden Werte:
- COMMAND: Verwenden Sie mark-succeeded, wenn Sie die Empfehlung anwenden konnten, oder mark-failed, wenn Sie die Empfehlung nicht anwenden konnten.
- RECOMMENDATION_ID: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Im oben gezeigten Beispiel lautet die ID fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert project, folder oder organization.
- RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
- FORMAT: das Format der Antwort. Verwenden Sie json oder yaml.
- ETAG: der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.
- STATE_METADATA: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
Wenn Sie beispielsweise die Empfehlung als erfolgreich angewendet markiert haben, wird die Empfehlung in der Antwort im SUCCEEDED-Status angezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"dd0686e7136a4cbb\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```

REST

Hinweis: Bei dieser Anleitung wird davon ausgegangen, dass Sie die Authentifizierung vorgenommen und die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS festgelegt haben.

Empfehlungen prüfen

Die Methode recommendations.list der Recommender API listet alle verfügbaren Empfehlungen für Ihr Projekt auf.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
PAGE_SIZE: Optional. Die maximale Anzahl von Ergebnissen, die von dieser Anfrage zurückgegeben werden sollen. Wenn nicht angegeben, bestimmt der Server die Anzahl der zurückzugebenden Ergebnisse. Wenn die Anzahl der Empfehlungen die Seitengröße überschreitet, enthält die Antwort ein Seitenumbruchtoken, mit dem Sie die nächste Ergebnisseite abrufen können.
PAGE_TOKEN: Optional. Das Seitenumbruchtoken, das in einer früheren Antwort von dieser Methode zurückgegeben wurde. Wenn dieser Wert angegeben wird, beginnt die Liste der Empfehlungen dort, wo die vorherige Anfrage endet.
FILTER: Optional. Ein Filterausdruck, mit dem sich die zurückgegebenen Empfehlungen einschränken lassen. Sie können Empfehlungen anhand des Feldes stateInfo.state filtern. Beispiel: stateInfo.state:"DISMISSED" oder stateInfo.state:"FAILED".

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie diesen Befehl aus:

curl -X GET \
-H "Authorization: Bearer "$(gcloud auth application-default print-access-token) \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER"

PowerShell (Windows)

Führen Sie diesen Befehl aus:

$cred = gcloud auth application-default print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method GET `
  -Headers $headers `
  -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER" | Select-Object -Expand Content

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel hat ein Dienstkonto im Projekt example-project in den letzten 90 Tagen keine Berechtigungen der Compute-Admin-Rolle (roles/compute.admin) verwendet. Daher schlägt Recommender vor, dass Sie die Rolle widerrufen:

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

Prüfen Sie jede Empfehlung sorgfältig und überlegen Sie, wie sich durch die empfohlenen Änderungen der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Informationen zum Prüfen von Empfehlungen über die API finden Sie auf dieser Seite unter Empfehlungen prüfen.

So wenden Sie eine Empfehlung an:

Markieren Sie die Empfehlung als CLAIMED:

Die Methode recommendations.markClaimed der Recommender API markiert eine Empfehlung als CLAIMED. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
- RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
- RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
- STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
HTTP-Methode und URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
```
JSON-Text anfordern:
```
{
  "etag": "ETAG"
  "stateMetadata": {
    "STATE_METADATA"
}
```
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
curl (Linux, macOS oder Cloud Shell)

Hinweis: Legen Sie für die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS den Pfad zur privaten Schlüsseldatei des Dienstkontos fest.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
```
curl -X POST \
-H "Authorization: Bearer "$(gcloud auth application-default print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"
```
PowerShell (Windows)

Hinweis: Legen Sie für die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS den Pfad zur privaten Schlüsseldatei des Dienstkontos fest.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
```
$cred = gcloud auth application-default print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
  -Method POST `
  -Headers $headers `
  -ContentType: "application/json; charset=utf-8" `
  -InFile request.json `
  -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content
```
Die Antwort zeigt die Empfehlung im CLAIMED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  }
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
Rufen Sie die IAM-Richtlinie für das Projekt ab und ändern Sie die Richtlinie so, dass sie der Empfehlung entspricht.
Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:
SUCCEEDED

Die Methode recommendations.markSucceeded der Recommender API markiert eine Empfehlung als SUCCEEDED, was darauf hinweist, dass Sie sie anwenden konnten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
- RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
- RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
- STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
HTTP-Methode und URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
```
JSON-Text anfordern:
```
{
  "etag": "ETAG"
  "stateMetadata": {
    "STATE_METADATA"
}
```
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
curl (Linux, macOS oder Cloud Shell)

Hinweis: Legen Sie für die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS den Pfad zur privaten Schlüsseldatei des Dienstkontos fest.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer "$(gcloud auth application-default print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"
PowerShell (Windows)

Hinweis: Legen Sie für die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS den Pfad zur privaten Schlüsseldatei des Dienstkontos fest.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth application-default print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content
Die Antwort zeigt die Empfehlung im SUCCEEDED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  }
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
FAILED

Die Methode recommendations.markFailed der Recommender API markiert eine Empfehlung als FAILED, was darauf hinweist, dass Sie sie nicht anwenden konnten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
- RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der Google Cloud-Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
- RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
- STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
HTTP-Methode und URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
```
JSON-Text anfordern:
```
{
  "etag": "ETAG"
  "stateMetadata": {
    "STATE_METADATA"
}
```
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
curl (Linux, macOS oder Cloud Shell)

Hinweis: Legen Sie für die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS den Pfad zur privaten Schlüsseldatei des Dienstkontos fest.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer "$(gcloud auth application-default print-access-token) \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"
PowerShell (Windows)

Hinweis: Legen Sie für die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS den Pfad zur privaten Schlüsseldatei des Dienstkontos fest.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth application-default print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content
Die Antwort zeigt die Empfehlung im FAILED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  }
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```

Empfehlungen prüfen

Console

Damit Sie die Auswirkungen der Empfehlung besser verstehen, wird in der Cloud Console eine farb- und symbolcodierte Liste der Berechtigungen angezeigt. Diese Liste gibt an, wie sich die Berechtigungen des Hauptkontos ändern, wenn Sie die Empfehlung übernehmen.

Die einzelnen Farben und Symbole stehen für folgende Berechtigungen:

Grau ohne Symbol: Berechtigungen, die sowohl in der aktuellen Rolle des Hauptkontos als auch in den empfohlenen Rollen enthalten sind.
Rot mit Minuszeichen : Berechtigungen, die in der aktuellen Rolle des Hauptkontos, aber nicht in den empfohlenen Rollen enthalten sind, da das Hauptkonto sie in den letzten 90 Tagen nicht genutzt hat.
Grün mit einem Pluszeichen : Berechtigungen, die nicht in der aktuellen Rolle des Hauptkontos enthalten sind, sich aber in den empfohlenen Rollen befinden. Diese Art von Berechtigung wird nur in den Empfehlungen für von Google verwaltete Dienstkonten angezeigt.
Blau mit Symbol für maschinelles Lernen : Berechtigungen, die sowohl in der aktuellen Rolle des Hauptkontos als auch in den empfohlenen Rollen enthalten sind, und zwar nicht, weil das Hauptkonto die Berechtigungen in den letzten 90 Tagen genutzt hat, sondern weil Recommender durch maschinelles Lernen festgestellt hat, dass es diese Berechtigungen in Zukunft vermutlich benötigt.

gcloud

Weitere Informationen zu den Feldern einer Empfehlung finden Sie in der Referenz zu Recommendation.

Sehen Sie sich die Richtlinienstatistiken für die Empfehlung an, um zu erfahren, auf welcher Berechtigungsnutzung diese Empfehlung basiert. Diese Nachrichten werden im Feld associatedInsights aufgelistet. So rufen Sie eine mit der Empfehlung verknüpfte Richtlinie auf:

Ermitteln Sie, welche Statistiken im Feld associatedInsights Richtlinienstatistiken sind. Richtlinienstatistiken haben den Statistiktyp google.iam.policy.insight. Dieser Typ wird nach insightTypes im Feld insight angezeigt.
Kopieren Sie die ID der Richtlinienstatistik. Die ID ist alles nach insights/ im Feld insight. Im vorherigen Beispiel lautet die Statistik-ID 279ef748-408f-44db-9a4a-1ff8865b9839.
Folgen Sie der Anleitung zum Abrufen einer Richtlinienstatistik mithilfe der kopierten Statistik-ID.

Einige Empfehlungen sind auch mit Statistiken zur seitlichen Bewegung verknüpft, die Rollen identifizieren, mit denen Dienstkonten in einem Projekt die Identität von Dienstkonten in einem anderen Projekt übernehmen können. Diese Statistiken werden im Feld associatedInsights aufgelistet. So rufen Sie eine Statistik zu seitlicher Bewegung ab, die mit der Empfehlung verknüpft ist:

Stellen Sie fest, welche Statistiken im Feld associatedInsights die Statistiken zu seitlichen Bewegungen sind. Statistiken zu seitlichen Bewegungen sind vom Statistiktyp google.iam.policy.LateralMovementInsight. Dieser Typ wird nach insightTypes im Feld insight angezeigt.
Kopieren Sie die ID der Richtlinienstatistik. Die ID ist alles nach insights/ im Feld insight. Im vorherigen Beispiel lautet die Statistik-ID 279ef748-408f-44db-9a4a-1ff8865b9839.
Folgen Sie der Anleitung, um Statistiken zu seitlichen Bewegungen mit der kopierten Statistik-ID abzurufen.

REST

Weitere Informationen zu den Feldern einer Empfehlung finden Sie in der Referenz zu Recommendation.

Ermitteln Sie, welche Statistiken im Feld associatedInsights Richtlinienstatistiken sind. Richtlinienstatistiken haben den Statistiktyp google.iam.policy.insight. Dieser Typ wird nach insightTypes im Feld insight angezeigt.
Kopieren Sie die ID der Richtlinienstatistik. Die ID ist alles nach insights/ im Feld insight. Im vorherigen Beispiel lautet die Statistik-ID 279ef748-408f-44db-9a4a-1ff8865b9839.
Folgen Sie der Anleitung zum Abrufen einer Richtlinienstatistik mithilfe der kopierten Statistik-ID.

Stellen Sie fest, welche Statistiken im Feld associatedInsights die Statistiken zu seitlichen Bewegungen sind. Statistiken zu seitlichen Bewegungen sind vom Statistiktyp google.iam.policy.LateralMovementInsight. Dieser Typ wird nach insightTypes im Feld insight angezeigt.
Kopieren Sie die ID der Richtlinienstatistik. Die ID ist alles nach insights/ im Feld insight. Im vorherigen Beispiel lautet die Statistik-ID 279ef748-408f-44db-9a4a-1ff8865b9839.
Folgen Sie der Anleitung, um Statistiken zu seitlichen Bewegungen mit der kopierten Statistik-ID abzurufen.

Änderungen ansehen, zurücksetzen und wiederherstellen

Nachdem Sie eine Empfehlung für eine Rollenbindung auf Projektebene angewendet oder abgelehnt haben, wird diese Aktion im Empfehlungsverlauf angezeigt.

So rufen Sie den Empfehlungsverlauf auf:

Rufen Sie in der Cloud Console die Seite IAM auf.

Zur IAM-Seite
Klicken Sie oben auf dem Bildschirm auf Empfehlungsverlauf.

Die Cloud Console zeigt eine Liste der bisherigen Aktionen im Rahmen Ihrer IAM-Empfehlungen.
Klicken Sie auf den Pfeil zum Maximieren , um Details zu einer Empfehlung aufzurufen.

In der Cloud Console werden Details zur ausgeführten Aktion angezeigt, einschließlich des Hauptkonto, das die Aktion ausgeführt hat:
Optional: Falls erforderlich, können Sie die Empfehlung zurücksetzen, wodurch die Änderungen durch die Empfehlung rückgängig gemacht werden, oder eine Empfehlung wiederherstellen, die Sie verworfen haben.

Um eine zuvor für eine Empfehlung angewendete Änderung rückgängig zu machen, klicken Sie auf Wiederherstellen. Die Cloud Console macht dann die Änderungen an den Rollen des Hauptkontos wieder rückgängig. Die Empfehlung wird nun nicht mehr in der Cloud Console angezeigt.

Hinweis: Wenn durch die zuvor angewendete Änderung eine benutzerdefinierte Rolle erstellt wurde, wird die benutzerdefinierte Rolle beim Zurücksetzen der Änderung nicht gelöscht. Sie können die benutzerdefinierte Rolle deaktivieren oder löschen, wenn Sie sie nicht mehr benötigen.

Klicken Sie zum Wiederherstellen einer verworfenen Empfehlung auf Wiederherstellen. Die Empfehlung wird dann in der Cloud Console auf der Seite IAM angezeigt. Es wurden keine Rollen oder Berechtigungen geändert.

Nächste Schritte

Lesen Sie die Übersicht über Rollenempfehlungen.
Mehr über Recommender erfahren.
Best Practices für Rollenempfehlungen verstehen.
Mehr über die Verwendung von IAM-Statistiken erfahren.
Vordefinierte Rollen und benutzerdefinierte Rollen in IAM

Empfehlungen prüfen und anwenden

Hinweis

Erforderliche IAM-Berechtigungen

Empfehlungen abrufen

Empfehlungen anwenden und ablehnen

Empfehlungen prüfen und anwenden

Console

gcloud

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

`SUCCEEDED`

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

`FAILED`

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Empfehlungen prüfen

Console

gcloud

REST

Änderungen ansehen, zurücksetzen und wiederherstellen

Nächste Schritte