Questa pagina spiega come visualizzare, comprendere e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni. I suggerimenti sui ruoli consentono di applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno.
Prima di iniziare
Abilita le API IAM and Recommender.
Comprendere i consigli sui ruoli.
Consulta le best practice per i suggerimenti sui ruoli.
Ruoli IAM richiesti
Questa sezione descrive i ruoli e le autorizzazioni IAM necessari per utilizzare i suggerimenti sui ruoli.
Visualizza i suggerimenti
Per ottenere le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa per cui vuoi visualizzare i suggerimenti (progetto, cartella o organizzazione):
-
Visualizzatore ruolo (
roles/iam.roleViewer
) -
Visualizzatore motore per suggerimenti IAM (
roles/recommender.iamViewer
) -
Per visualizzare i suggerimenti a livello di progetto nella console Google Cloud:
Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) -
Per visualizzare i suggerimenti a livello di cartella nella console Google Cloud:
Amministratore IAM cartella (
roles/resourcemanager.folderIamAdmin
) -
Per visualizzare i suggerimenti a livello di organizzazione nella console Google Cloud:
Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per visualizzare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
recommender.iamPolicyLateralMovementInsights.get
-
recommender.iamPolicyLateralMovementInsights.list
-
Per visualizzare i suggerimenti nella console Google Cloud:
resourcemanager.RESOURCE.getIamPolicy
, doveRESOURCE
è il tipo di risorsa per cui vuoi visualizzare i suggerimenti (projects
,folders
oorganizations
)
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Applicare e ignorare i consigli
Per ottenere le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa per cui vuoi gestire i suggerimenti (progetto, cartella o organizzazione):
-
Visualizzatore ruolo (
roles/iam.roleViewer
) -
Amministratore motore per suggerimenti IAM (
roles/recommender.iamAdmin
) -
Per gestire i suggerimenti a livello di progetto:
Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin
) -
Per gestire i suggerimenti a livello di cartella:
Amministratore IAM cartella (
roles/resourcemanager.folderIamAdmin
) -
Per gestire i suggerimenti a livello di organizzazione:
Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per visualizzare, applicare e ignorare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
recommender.iamPolicyLateralMovementInsights.get
-
recommender.iamPolicyLateralMovementInsights.list
-
recommender.iamPolicyRecommendations.update
-
resourcemanager.RESOURCE.getIamPolicy
, doveRESOURCE
è il tipo di risorsa per cui vuoi gestire i suggerimenti (projects
,folders
oorganizations
) -
resourcemanager.RESOURCE.setIamPolicy
, doveRESOURCE
è il tipo di risorsa per cui vuoi gestire i suggerimenti (projects
,folders
oorganizations
)
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Revisione e applicazione dei suggerimenti
Il modo più semplice per esaminare e applicare i suggerimenti è utilizzare la console Google Cloud. Inoltre, se vuoi creare automaticamente un ruolo personalizzato quando applichi un suggerimento, devi utilizzare la console Google Cloud.
Puoi anche esaminare e applicare i suggerimenti con Google Cloud CLI e l'API Recommender.
Console
Nella console Google Cloud, vai alla pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Nell'elenco delle entità che hanno accesso al tuo progetto, trova la colonna Approfondimenti sulla sicurezza.
Per ogni ruolo concesso a un'entità, questa colonna mostra eventuali approfondimenti relativi alla sicurezza. Questi insight mettono in evidenza i pattern di accesso delle entità alle risorse. Ad esempio, alcuni insight mettono in evidenza le autorizzazioni in eccesso, ovvero quelle non necessarie per un'entità. Altri insight evidenziano gli account di servizio con funzionalità di spostamento laterale:
Se è disponibile un suggerimento per risolvere un insight, nella console Google Cloud viene visualizzata l'icona Consiglio disponibile .
Se ci sono consigli da rivedere, fai clic sull'icona Consiglio disponibile per visualizzarne i dettagli.
Se si consiglia di sostituire il ruolo, il suggerimento sul ruolo suggerisce sempre un insieme di ruoli predefiniti che puoi applicare.
In alcuni casi, il suggerimento per il ruolo suggerisce anche di creare un nuovo ruolo personalizzato a livello di progetto. Se è disponibile un suggerimento per il ruolo personalizzato, la console Google Cloud lo mostra per impostazione predefinita. Per passare al ruolo predefinito consigliato, fai clic su Visualizza il ruolo predefinito consigliato.
Esamina attentamente il suggerimento e assicurati di comprendere come cambierà l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei suggerimenti per gli account di servizio gestiti da Google, un suggerimento non aumenterà mai il livello di accesso di un'entità. Per ulteriori informazioni, consulta Come vengono generati i suggerimenti sui ruoli.
Per scoprire come rivedere i consigli nella console, vedi Esamina i consigli in questa pagina.
(Facoltativo) Se si consiglia di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo in base alle esigenze.
Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.
Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo relativa a ogni autorizzazione che vuoi rimuovere.
Intervieni in base al consiglio.
Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per annullare la tua scelta.
Per ignorare il consiglio, fai clic su Ignora e poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato finché è ancora valido.
Ripeti i passaggi precedenti fino a quando non avrai esaminato tutti i consigli.
gcloud
Esamina i consigli:
Per elencare i suggerimenti, esegui il comando gcloud recommender recommendations list
:
gcloud recommender recommendations list \
--location=global \
--recommender=google.iam.policy.Recommender \
--RESOURCE_TYPE=RESOURCE_ID \
--format=json
Sostituisci i seguenti valori:
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi elencare i suggerimenti. Utilizza il valoreproject
,folder
oorganization
.RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi elencare i suggerimenti. Gli ID progetto sono stringhe alfanumeriche comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.
La risposta è simile all'esempio seguente. In questo esempio, un account di servizio non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin
) negli ultimi 90 giorni. Di conseguenza,
il suggerimento per il ruolo ti suggerisce di revocare il ruolo:
[
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilter": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
"/iamPolicy/bindings/*/role": "roles/compute.admin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
]
},
"description": "This role has not been used during the observation window.",
"recommenderSubtype": "REMOVE_ROLE",
"etag": "\"770237e2c0decf40\"",
"lastRefreshTime": "2020-01-09T06:06:17Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 708
}
}
},
"priority": "P4",
"stateInfo": {
"state": "ACTIVE"
}
}
]
Esamina attentamente ogni suggerimento e valuta come cambierà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come rivedere i suggerimenti da gcloud CLI, consulta la sezione Esamina i suggerimenti in questa pagina.
Per applicare un consiglio:
Utilizza il comando
gcloud recommender recommendations mark-claimed
per modificare lo stato del suggerimento inCLAIMED,
, in modo da impedire che il suggerimento cambi durante l'applicazione:gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=global \ --recommender=google.iam.policy.Recommender \ --RESOURCE_TYPE=RESOURCE_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Sostituisci i seguenti valori:
-
RECOMMENDATION_ID
: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Nell'esempio mostrato sopra, l'ID èfb927dc1-9695-4436-0000-f0f285007c0f
. -
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valoreproject
,folder
oorganization
. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
. -
FORMAT
: il formato della risposta. Usajson
oyaml
. -
ETAG
: il valore del campoetag
nel suggerimento, ad esempio"dd0686e7136a4cbb"
. Tieni presente che questo valore può includere le virgolette. -
STATE_METADATA
: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati per il suggerimento. Ad esempio,--state-metadata=reviewedBy=alice,priority=high
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.
Se il comando ha esito positivo, la risposta mostra il suggerimento in stato
CLAIMED
, come mostrato nell'esempio seguente. Per chiarezza, nell'esempio omette la maggior parte dei campi:[ { "description": "This role has not been used during the observation window.", "recommenderSubtype": "REMOVE_ROLE", "etag": "\"df7308cca9719dcc\"", "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "stateInfo": { "state": "CLAIMED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } } } ]
-
Ottieni il criterio di autorizzazione per il progetto, poi modifica e imposta il criterio di autorizzazione in modo che rifletta il suggerimento.
Aggiorna lo stato del consiglio impostandolo su
SUCCEEDED
, se hai potuto applicare il consiglio, oppure suFAILED
, se non hai potuto applicarlo:gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=global \ --recommender=google.iam.policy.Recommender \ --RESOURCE_TYPE=RESOURCE_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Sostituisci i seguenti valori:
-
COMMAND
: utilizzamark-succeeded
, se sei riuscito ad applicare il consiglio, omark-failed
, se non hai potuto applicare il consiglio. -
RECOMMENDATION_ID
: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Nell'esempio mostrato sopra, l'ID èfb927dc1-9695-4436-0000-f0f285007c0f
. -
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valoreproject
,folder
oorganization
. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
. -
FORMAT
: il formato della risposta. Usajson
oyaml
. -
ETAG
: il valore del campoetag
nel suggerimento, ad esempio"dd0686e7136a4cbb"
. Tieni presente che questo valore può includere le virgolette. -
STATE_METADATA
: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati per il suggerimento. Ad esempio,--state-metadata=reviewedBy=alice,priority=high
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.
Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio con lo stato
SUCCEEDED
. Per chiarezza, in questo esempio la maggior parte dei campi omette:[ { "description": "This role has not been used during the observation window.", "recommenderSubtype": "REMOVE_ROLE", "etag": "\"dd0686e7136a4cbb\"", "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } } } ]
-
REST
Queste istruzioni presuppongono che tu abbia eseguito l'autenticazione e impostato la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS
.
Esamina i consigli:
Per elencare tutti i suggerimenti disponibili per il progetto, la cartella o l'organizzazione, utilizza il metodo recommendations.list
dell'API Recommender.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.-
PAGE_SIZE
: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di suggerimenti è superiore alle dimensioni della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina dei risultati successiva. -
PAGE_TOKEN
: facoltativo. Il token di impaginazione restituito in una risposta precedente da questo metodo. Se specificato, l'elenco dei suggerimenti inizierà dove è terminata la richiesta precedente. -
FILTER
: facoltativo. Un'espressione di filtro per limitare i suggerimenti restituiti. Puoi filtrare i consigli in base al campostateInfo.state
. Ad esempio,stateInfo.state:"DISMISSED"
ostateInfo.state:"FAILED"
. PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche comemy-project
.
Metodo HTTP e URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER
Per inviare la richiesta, espandi una di queste opzioni:
La risposta è simile all'esempio seguente. In questo esempio, un account di servizio nel progetto example-project
non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin
) negli ultimi 90 giorni. Di conseguenza, il motore per suggerimenti ti suggerisce di revocare il ruolo:
{ "recommendations": [ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "description": "This role has not been used during the observation window.", "lastRefreshTime": "2020-01-09T06:06:17Z", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 708 } } }, "priority": "P4", "content": { "operationGroups": [ { "operations": [ { "action": "remove", "path": "/iamPolicy/bindings/*/members/*", "pathFilter": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com", "/iamPolicy/bindings/*/role": "roles/compute.admin" }, "resource": "//cloudresourcemanager.googleapis.com/projects/example-project", "resourceType": "cloudresourcemanager.googleapis.com/Project" } ] } ] }, "stateInfo": { "state": "ACTIVE" } "etag": "\"770237e2c0decf40\"", "recommenderSubtype": "REMOVE_ROLE", "associatedInsights": [ { "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839" } ] }
Esamina attentamente ogni suggerimento e valuta come cambierà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come rivedere i consigli dell'API REST, consulta la sezione Esamina i consigli in questa pagina.
Per applicare un consiglio:
Contrassegna il consiglio come
CLAIMED
:Per contrassegnare un suggerimento come
CLAIMED
, in modo da impedire che venga modificato durante l'applicazione, utilizza il metodorecommendations.markClaimed
dell'API Recommender.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.RECOMMENDATION_ID
: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Ad esempio, se il camponame
èprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, l'ID suggerimento èfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: il valore del campoetag
nel suggerimento, ad esempio"dd0686e7136a4cbb"
. Utilizza le barre rovesciate per dare un'interpretazione letterale alle virgolette, ad esempio"\"df7308cca9719dcc\""
.STATE_METADATA
: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci per il suggerimento. Ad esempio,{"reviewedBy": "alice", "priority": "high"}
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche comemy-project
.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta mostra il suggerimento in stato
CLAIMED
, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio la maggior parte dei campi omette:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "CLAIMED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
Recupera il criterio di autorizzazione per il progetto, quindi modifica il criterio di autorizzazione in modo che rifletta il suggerimento.
Aggiorna lo stato del consiglio impostandolo su
SUCCEEDED
, se hai potuto applicare il consiglio, oppure suFAILED
, se non hai potuto applicarlo:SUCCEEDED
Per contrassegnare un suggerimento come
SUCCEEDED
, per indicare che hai potuto applicarlo, utilizza il metodorecommendations.markSucceeded
dell'API Recommender.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.RECOMMENDATION_ID
: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Ad esempio, se il camponame
èprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, l'ID suggerimento èfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: il valore del campoetag
nel suggerimento, ad esempio"dd0686e7136a4cbb"
. Utilizza le barre rovesciate per dare un'interpretazione letterale alle virgolette, ad esempio"\"df7308cca9719dcc\""
.STATE_METADATA
: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci per il suggerimento. Ad esempio,{"reviewedBy": "alice", "priority": "high"}
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche comemy-project
.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta mostra il suggerimento in stato
SUCCEEDED
, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio la maggior parte dei campi omette:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
FAILED
Per contrassegnare un suggerimento come
FAILED
, per indicare che non hai potuto applicarlo, utilizza il metodorecommendations.markFailed
dell'API Recommender.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valoreprojects
,folders
oorganizations
.RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche comemy-project
. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012
.RECOMMENDATION_ID
: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Ad esempio, se il camponame
èprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, l'ID suggerimento èfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: il valore del campoetag
nel suggerimento, ad esempio"dd0686e7136a4cbb"
. Utilizza le barre rovesciate per dare un'interpretazione letterale alle virgolette, ad esempio"\"df7308cca9719dcc\""
.STATE_METADATA
: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci per il suggerimento. Ad esempio,{"reviewedBy": "alice", "priority": "high"}
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche comemy-project
.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta mostra il suggerimento in stato
FAILED
, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio la maggior parte dei campi omette:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "FAILED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
Comprendere i consigli
Ogni consiglio include informazioni che aiutano a capire perché è stato fatto.
Console
Per aiutarti a capire perché è stato dato il suggerimento, la console Google Cloud mostra l'utilizzo delle autorizzazioni dell'entità, come riportato dall'approfondimento sui criteri associato al suggerimento. Ad esempio, potrebbe essere visualizzato un elenco simile al seguente:
Per aiutarti a comprendere l'impatto dell'applicazione del suggerimento, la console Google Cloud mostra anche un elenco di autorizzazioni con codifica a colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il suggerimento. Ad esempio, potrebbe essere visualizzato un elenco simile al seguente:
I tipi di autorizzazioni associati a ciascun colore e simbolo sono i seguenti:
Grigio senza simbolo: autorizzazioni che rientrano sia nel ruolo attuale dell'entità che nei ruoli consigliati.
Rosso con un segno meno
: autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non nei ruoli consigliati perché l'entità non le ha utilizzate negli ultimi 90 giorni.Verde con un segno più suggerimenti per gli account di servizio gestiti da Google.
: autorizzazioni che non rientrano nel ruolo attuale dell'entità, ma che rientrano nei ruoli consigliati. Questo tipo di autorizzazione viene visualizzato solo neiBlu con un'icona Machine learning machine learning che potrebbe avere bisogno di queste autorizzazioni in futuro.
: autorizzazioni che rientrano sia nel ruolo attuale dell'entità che nei ruoli consigliati, non perché l'entità ha utilizzato le autorizzazioni negli ultimi 90 giorni, ma perché il motore per suggerimenti ha determinato tramite il
Alcuni suggerimenti sono associati anche a insight sullo spostamento laterale. Gli insight sugli spostamenti laterali identificano i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro progetto. Se un suggerimento è associato a un approfondimento sullo spostamento laterale, la console Google Cloud mostra anche quanto segue:
Progetto di origine dell'account di servizio: il progetto in cui è stato creato l'account di servizio con autorizzazioni di rappresentazione.
Account di servizio che possono essere rappresentati in questo progetto: un elenco di tutti gli account di servizio nel progetto attuale che possono essere rappresentati dall'account di servizio con autorizzazioni di rappresentazione.
gcloud
Per maggiori dettagli sui campi di un suggerimento, consulta il riferimento di Recommendation
.
Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza gli approfondimenti sui criteri associati al suggerimento.
Questi approfondimenti sono elencati nel campo associatedInsights
. Per visualizzare un approfondimento sulle norme associato al suggerimento:
- Identifica quali approfondimenti nel campo
associatedInsights
sono informazioni sulle norme. Gli approfondimenti sui criteri hanno il tipo di approfondimentogoogle.iam.policy.insight
. Questo tipo viene visualizzato dopoinsightTypes
nel campoinsight
. - Copia l'ID dell'insight sul criterio. L'ID è tutto ciò che segue
insights/
nel campoinsight
. Nell'esempio precedente, l'ID insight è279ef748-408f-44db-9a4a-1ff8865b9839
. - Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight che hai copiato.
Alcuni suggerimenti sono associati anche agli insight sullo spostamento laterale, che identificano i ruoli che consentono agli account di servizio in un progetto di impersonare account di servizio in un altro progetto. Questi insight sono elencati anche nel campo associatedInsights
. Per visualizzare un insight sul movimento laterale associato al
consiglio:
- Identifica quali insight nel campo
associatedInsights
sono informazioni sul movimento laterale. Le informazioni sul movimento laterale sono di tipogoogle.iam.policy.LateralMovementInsight
. Questo tipo viene visualizzato dopoinsightTypes
nel campoinsight
. - Copia l'ID dell'insight sul criterio. L'ID è tutto ciò che segue
insights/
nel campoinsight
. Nell'esempio precedente, l'ID insight è279ef748-408f-44db-9a4a-1ff8865b9839
. - Segui le istruzioni per ottenere informazioni sullo spostamento laterale, utilizzando l'ID insight che hai copiato.
REST
Per maggiori dettagli sui campi di un suggerimento, consulta il riferimento di Recommendation
.
Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza gli approfondimenti sui criteri associati al suggerimento.
Questi approfondimenti sono elencati nel campo associatedInsights
. Per visualizzare un approfondimento sulle norme associato al suggerimento:
- Identifica quali approfondimenti nel campo
associatedInsights
sono informazioni sulle norme. Gli approfondimenti sui criteri hanno il tipo di approfondimentogoogle.iam.policy.insight
. Questo tipo viene visualizzato dopoinsightTypes
nel campoinsight
. - Copia l'ID dell'insight sul criterio. L'ID è tutto ciò che segue
insights/
nel campoinsight
. Ad esempio, se il campoinsight
riportaprojects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839
, l'ID insight è279ef748-408f-44db-9a4a-1ff8865b9839
. - Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight che hai copiato.
Alcuni suggerimenti sono associati anche agli insight sullo spostamento laterale, che identificano i ruoli che consentono agli account di servizio in un progetto di impersonare account di servizio in un altro progetto. Questi insight sono elencati anche nel campo associatedInsights
. Per visualizzare un insight sul movimento laterale associato al
consiglio:
- Identifica quali insight nel campo
associatedInsights
sono informazioni sul movimento laterale. Le informazioni sul movimento laterale sono di tipogoogle.iam.policy.LateralMovementInsight
. Questo tipo viene visualizzato dopoinsightTypes
nel campoinsight
. - Copia l'ID dell'insight sul criterio. L'ID è tutto ciò che segue
insights/
nel campoinsight
. Ad esempio, se il campoinsight
riportaprojects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
, l'ID insight è13088eec-9573-415f-81a7-46e1a260e860
. - Segui le istruzioni per ottenere informazioni sullo spostamento laterale, utilizzando l'ID insight che hai copiato.
Visualizza, ripristina e ripristina le modifiche
Dopo aver applicato o ignorato un suggerimento per un'associazione di ruoli a livello di progetto, l'azione viene visualizzata nella cronologia dei suggerimenti.
Per visualizzare la cronologia dei consigli:
Nella console Google Cloud, vai alla pagina IAM.
Seleziona un progetto, una cartella o un'organizzazione.
Nella parte superiore dello schermo, fai clic su Cronologia dei consigli.
La console Google Cloud mostra un elenco delle azioni precedenti relative ai suggerimenti sui ruoli.
Per visualizzare i dettagli di un suggerimento, fai clic sulla freccia di espansione
.La console Google Cloud mostra i dettagli dell'azione eseguita, inclusa l'entità che l'ha eseguita:
(Facoltativo) Se necessario, puoi ripristinare il suggerimento, che annulla le modifiche al suggerimento, oppure ripristinare un suggerimento che hai ignorato.
Per ripristinare una modifica applicata in precedenza a un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche ai ruoli dell'entità. Il suggerimento non viene più visualizzato nella console Google Cloud.
Per ripristinare un suggerimento ignorato, fai clic su Ripristina. Il suggerimento diventa visibile nella pagina IAM della console Google Cloud. I ruoli o le autorizzazioni non vengono modificati.
Passaggi successivi
- Scopri di più sul motore per suggerimenti.
- Scopri come utilizzare l'autorizzazione degli approfondimenti sui criteri.
- Scopri come utilizzare le informazioni sugli spostamenti laterali.