推奨事項の確認と適用

このページでは、ロールの推奨事項を表示、確認、適用する方法について説明します。ロールの推奨事項により、プリンシパルが実際に必要な権限のみを持つようにすることで、最小権限の原則を徹底できます。

始める前に

必要な IAM 権限

このセクションでは、ロールの推奨事項が機能するために必要な IAM 権限について説明します。

推奨事項の表示

ロールの推奨事項を表示するには、表示しているプロジェクト、フォルダ、または組織に対する次の権限が必要です。ここで、RESOURCE_TYPE は、推奨事項を表示しているリソースタイプ(projectsfolders、または organizations)です。

  • iam.roles.get
  • iam.roles.list
  • recommender.iamPolicyRecommendations.get
  • recommender.iamPolicyRecommendations.list
  • resourcemanager.RESOURCE_TYPE.getIamPolicy

最小権限の原則を満たしながらこれらの権限を取得するには、次の事前定義ロールを付与するよう管理者に依頼してください。

  • ロールの閲覧者(roles/iam.roleViewer
  • IAM Recommender の閲覧者(roles/recommender.iamViewerまたは IAM セキュリティ審査担当者(roles/iam.securityReviewer)のいずれか

あるいは、必要な権限を含む別のロールを管理者に付与してもらうこともできます。たとえばカスタムロールや、許容範囲がより広い事前定義ロールなどです。

推奨事項の適用と拒否

提案されるロールの推奨事項を適用または拒否するには、管理しているプロジェクト、フォルダ、または組織に対して次の権限が必要です。ここで、RESOURCE_TYPE は、推奨事項を管理するリソースタイプ(projectsfolders、または organizations)です。

  • iam.roles.get
  • iam.roles.list
  • recommender.iamPolicyRecommendations.get
  • recommender.iamPolicyRecommendations.list
  • recommender.iamPolicyRecommendations.update
  • resourcemanager.RESOURCE_TYPE.getIamPolicy
  • resourcemanager.RESOURCE_TYPE.setIamPolicy

最小権限の原則を満たしながらこれらの権限を取得するには、次の事前定義ロールを付与するよう管理者に依頼してください。

  • ロールの閲覧者(roles/iam.roleViewer
  • IAM Recommender の管理者(roles/recommender.iamAdmin
  • 推奨事項を管理する対象のリソースタイプに応じて、次のいずれかのロールになります。

    • プロジェクト: プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin
    • フォルダ: フォルダ IAM 管理者(roles/resourcemanager.folderIamAdmin
    • 組織: 組織管理者(roles/resourcemanager.organizationAdmin

あるいは、必要な権限を含む別のロールを管理者に付与してもらうこともできます。たとえばカスタムロールや、許容範囲がより広い事前定義ロールなどです。

推奨事項の確認と適用

Google Cloud Console を使用すると、推奨事項を最も簡単に確認して適用できます。また、推奨事項を適用するときにカスタムロールを自動的に作成する場合は、Cloud Console を使用する必要があります。

また、推奨事項を確認して適用するには、gcloud コマンドライン ツールと Recommender API を使用します。

Console

  1. Cloud Console で [IAM] ページに移動します。

    IAM に移動

  2. プロジェクト、フォルダ、または組織を選択します。

  3. プロジェクトにアクセスできるプリンシパルのリストで、[セキュリティ分析情報] 列を見つけます。

    この列には、プリンシパルに付与された各ロールのセキュリティ関連の分析情報が表示されます。これらの分析情報には、リソースに対するプリンシパルのアクセス パターンが示されます。たとえば、過剰な権限、プリンシパルが必要としない権限、などが表示されます。

    分析結果に対する推奨項目がある場合は、Console に アイコン(利用可能な推奨事項)が表示されます。

  4. 確認する推奨事項がある場合は、推奨されるロールの置き換え アイコンをクリックすると、推奨事項の詳細が表示されます。

    ロールの置き換えが推奨されている場合、ロールの推奨事項は、適用可能な事前定義ロール群を必ず提案します。

    場合によっては、ロールの推奨事項はプロジェクト レベルで新しいカスタムロールを作成することも提案します。カスタムロールの推奨事項がある場合は、Cloud Console にデフォルトで表示されます。事前定義ロールの推奨事項に切り替えるには、[おすすめの事前定義ロールを見る] をクリックします。

  5. 推奨事項をよく確認し、プリンシパルによる Google Cloud リソースへのアクセス権がどのように変わるかを確認してください。Google が管理するサービス アカウントの推奨事項を除き、推奨事項によってプリンシパルのアクセスレベルが向上することはありません。詳細については、ロール推奨事項の生成方法をご覧ください。

    Console で推奨事項を確認する方法については、このページの推奨事項の確認をご覧ください。

  6. (省略可)カスタムロールを作成する推奨事項の場合は、必要に応じて、タイトル説明IDロールのリリース ステージを更新します。

    カスタムロールに権限を追加する必要がある場合は、[権限を追加] をクリックします。

    カスタムロールから権限を削除する必要がある場合は、削除する各権限のチェックボックスをオフにします。

  7. 推奨事項に基づいて対処します。

    推奨事項を適用するには、[適用] または [作成して適用] をクリックします。90 日以内に変更したい場合は、推奨事項の履歴を使用して選択を元に戻してください。

    推奨事項を閉じるには、[閉じる] をクリックして選択した内容を確認します。推奨事項が有効になっていれば、非表示にした推奨事項を復元できます。

  8. 前の手順を繰り返し、すべての推奨事項を確認します。

gcloud

推奨事項を確認する:

推奨事項を表示するには、gcloud recommender recommendations list コマンドを実行します。

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT

次の値を置き換えてください。

  • RESOURCE_TYPE: 推奨事項を一覧表示する対象のリソースタイプ。値 projectfolder、または organization を使用します。
  • RESOURCE_ID: 推奨事項を一覧表示する対象の Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
  • FORMAT: レスポンスの形式。json または yaml を使用します。

レスポンスは次の例のようになります。この例では、サービス アカウントは過去 90 日間に Compute Admin ロール(roles/compute.admin)の権限を使用していません。そのため、ロールの推奨事項により、次のロールは取り消しが提案されます。

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

推奨事項を慎重に確認し、それによってプリンシパルの Google Cloud リソースへのアクセスがどのように変化するかを見極めてください。gcloud ツールから推奨事項を確認する方法については、このページの推奨事項を確認するをご覧ください。

推奨事項を適用するには、次の手順を行います。

  1. gcloud recommender recommendations mark-claimed コマンドを使用して、推奨事項の状態を CLAIMED, に変更します。これにより、推奨事項を適用している間は変更できなくなります。

    gcloud recommender recommendations mark-claimed \
        RECOMMENDATION_ID \
        --location=global \
        --recommender=google.iam.policy.Recommender \
        --RESOURCE_TYPE=RESOURCE_ID \
        --format=FORMAT \
        --etag=ETAG \
        --state-metadata=STATE_METADATA
    

    次の値を置き換えてください。

    • RECOMMENDATION_ID: レコメンデーションの一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。上記の例では、ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
    • RESOURCE_TYPE: 推奨事項を管理する対象のリソースタイプ。値 projectfolder、または organization を使用します。
    • RESOURCE_ID: 推奨事項を管理する対象の Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
    • FORMAT: レスポンスの形式。json または yaml を使用してください。
    • ETAG: レコメンデーションの etag フィールドの値("dd0686e7136a4cbb" など)。この値には引用符を含めることができます。
    • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータを含むカンマで区切られた Key-Value ペア。たとえば、--state-metadata=reviewedBy=alice,priority=high です。メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

    コマンドが成功した場合、レスポンスは次の例のように CLAIMED ステータスにレコメンデーションを表示します。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

    [
      {
        "description": "This role has not been used during the observation window.",
        "recommenderSubtype": "REMOVE_ROLE",
        "etag": "\"df7308cca9719dcc\"",
        "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
        "stateInfo": {
          "state": "CLAIMED",
          "stateMetadata": {
            "reviewedBy": "alice",
            "priority": "high"
          }
        }
      }
    ]
  2. プロジェクトの IAM ポリシーを取得して、推奨事項が反映されるようにポリシーを変更します。

  3. レコメンデーションを適用できた場合はレコメンデーションのステータスを SUCCEEDED に更新し、レコメンデーションを適用できない場合は FAILED に更新します。

    gcloud recommender recommendations COMMAND \
        RECOMMENDATION_ID \
        --location=global \
        --recommender=google.iam.policy.Recommender \
        --RESOURCE_TYPE=RESOURCE_ID \
        --format=FORMAT \
        --etag=ETAG \
        --state-metadata=STATE_METADATA
    

    次の値を置き換えてください。

    • COMMAND: レコメンデーションを適用できた場合は mark-succeeded を使用し、レコメンデーションを適用できなかった場合は mark-failed を使用します。
    • RECOMMENDATION_ID: レコメンデーションの一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。上記の例では、ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
    • RESOURCE_TYPE: 推奨事項を管理する対象のリソースタイプ。値 projectfolder、または organization を使用します。
    • RESOURCE_ID: 推奨事項を管理する対象の Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
    • FORMAT: レスポンスの形式。json または yaml を使用してください。
    • ETAG: レコメンデーションの etag フィールドの値("dd0686e7136a4cbb" など)。この値には引用符を含めることができます。
    • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータを含むカンマで区切られた Key-Value ペア。たとえば、--state-metadata=reviewedBy=alice,priority=high です。メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

    たとえば、レコメンデーションを「完了」に設定した場合、レスポンスにより SUCCEEDED ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

    [
      {
        "description": "This role has not been used during the observation window.",
        "recommenderSubtype": "REMOVE_ROLE",
        "etag": "\"dd0686e7136a4cbb\"",
        "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
        "stateInfo": {
          "state": "SUCCEEDED",
          "stateMetadata": {
            "reviewedBy": "alice",
            "priority": "high"
          }
        }
      }
    ]

REST

この手順は、ユーザーが認証済みで、GOOGLE_APPLICATION_CREDENTIALS 環境変数が設定されていることを前提としています。

推奨事項を確認する:

Recommender API の recommendations.list メソッドを使用すると、プロジェクトで利用可能なすべての推奨事項が一覧表示されます。

リクエストのデータを使用する前に、次のように置き換えます。

  • RESOURCE_TYPE: 推奨事項を管理する対象のリソースタイプ。値 projectsfolders、または organizations を使用します。
  • RESOURCE_ID: 推奨事項を管理する対象の Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
  • PAGE_SIZE: 省略可。このリクエストから返される結果の最大数。指定しなかった場合、サーバーが結果数を決定します。推奨事項の数がページサイズより大きい場合、レスポンスにページ設定トークンが含まれます。このトークンを使用して、結果の次のページを取得できます。
  • PAGE_TOKEN: 省略可。以前のレスポンスでこのメソッドから返されたページ設定トークン。指定すると、前のリクエストが終了した時点から推奨事項のリストが開始します。
  • FILTER: 省略可。返される推奨事項を制限するフィルタ式。stateInfo.state フィールドに基づいて推奨事項をフィルタできます。たとえば、stateInfo.state:"DISMISSED"stateInfo.state:"FAILED" です。

HTTP メソッドと URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスは次の例のようになります。この例では、プロジェクト example-project のサービス アカウントは過去 90 日間に Compute 管理者ロール(roles/compute.admin)の権限を使用していません。そのため、Recommender により、次のロールの取り消しが提案されます。

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

推奨事項を慎重に確認し、それによってプリンシパルの Google Cloud リソースへのアクセスがどのように変化するかを見極めてください。REST API から推奨事項を確認する方法については、このページの推奨事項を確認するをご覧ください。

推奨事項を適用するには、次の手順を行います。

  1. レコメンデーションを CLAIMED とマークします。

    Recommender API の recommendations.markClaimed メソッドを使用すると、推奨事項が CLAIMED としてマークされます。これにより、推奨事項を適用している間は変更できなくなります。

    リクエストのデータを使用する前に、次のように置き換えます。

    • RESOURCE_TYPE: 推奨事項を管理する対象のリソースタイプ。値 projectsfolders、または organizations を使用します。
    • RESOURCE_ID: 推奨事項を管理する対象の Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
    • RECOMMENDATION_ID: 推奨事項の一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。たとえば、name フィールドが projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f の場合、レコメンデーション ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
    • ETAG: レコメンデーションの etag フィールドの値("dd0686e7136a4cbb" など)。バックスラッシュを使用して引用符をエスケープします(例: "\"df7308cca9719dcc\"")。
    • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例: {"reviewedBy": "alice", "priority": "high"}メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

    HTTP メソッドと URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    JSON 本文のリクエスト:

    {
      "etag": "ETAG"
      "stateMetadata": {
        "STATE_METADATA"
    }
    

    リクエストを送信するには、次のいずれかのオプションを展開します。

    レスポンスでは、次の例のように CLAIMED ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

    {
      "description": "This role has not been used during the observation window.",
      "stateInfo": {
        "state": "CLAIMED",
        "stateMetadata": {
          "reviewedBy": "alice",
          "priority": "high"
        }
      }
      "etag": "\"dd0686e7136a4cbb\"",
      "recommenderSubtype": "REMOVE_ROLE"
    }
    

  2. プロジェクトの IAM ポリシーを取得して、推奨事項が反映されるようにポリシーを変更します。

  3. レコメンデーションを適用できた場合はレコメンデーションのステータスを SUCCEEDED に更新し、レコメンデーションを適用できない場合は FAILED に更新します。

    SUCCEEDED

    Recommender API の recommendations.markSucceeded メソッドを使用すると、推奨事項が SUCCEEDED とマークされます。これは、推奨事項が適用可能だったことを示します。

    リクエストのデータを使用する前に、次のように置き換えます。

    • RESOURCE_TYPE: 推奨事項を管理する対象のリソースタイプ。値 projectsfolders、または organizations を使用します。
    • RESOURCE_ID: 推奨事項を管理する対象の Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
    • RECOMMENDATION_ID: 推奨事項の一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。たとえば、name フィールドが projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f の場合、レコメンデーション ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
    • ETAG: レコメンデーションの etag フィールドの値("dd0686e7136a4cbb" など)。バックスラッシュを使用して引用符をエスケープします(例: "\"df7308cca9719dcc\"")。
    • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例: {"reviewedBy": "alice", "priority": "high"}メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

    HTTP メソッドと URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    JSON 本文のリクエスト:

    {
      "etag": "ETAG"
      "stateMetadata": {
        "STATE_METADATA"
    }
    

    リクエストを送信するには、次のいずれかのオプションを展開します。

    レスポンスでは、次の例のように SUCCEEDED ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

    {
      "description": "This role has not been used during the observation window.",
      "stateInfo": {
        "state": "SUCCEEDED",
        "stateMetadata": {
          "reviewedBy": "alice",
          "priority": "high"
        }
      }
      "etag": "\"dd0686e7136a4cbb\"",
      "recommenderSubtype": "REMOVE_ROLE"
    }
    

    FAILED

    Recommender API の recommendations.markFailed メソッドを使用すると、推奨事項が FAILED とマークされます。これは、推奨事項が適用できなかったことを示します。

    リクエストのデータを使用する前に、次のように置き換えます。

    • RESOURCE_TYPE: 推奨事項を管理する対象のリソースタイプ。値 projectsfolders、または organizations を使用します。
    • RESOURCE_ID: 推奨事項を管理する対象の Google Cloud プロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
    • RECOMMENDATION_ID: 推奨事項の一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。たとえば、name フィールドが projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f の場合、レコメンデーション ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
    • ETAG: レコメンデーションの etag フィールドの値("dd0686e7136a4cbb" など)。バックスラッシュを使用して引用符をエスケープします(例: "\"df7308cca9719dcc\"")。
    • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例: {"reviewedBy": "alice", "priority": "high"}メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

    HTTP メソッドと URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    JSON 本文のリクエスト:

    {
      "etag": "ETAG"
      "stateMetadata": {
        "STATE_METADATA"
    }
    

    リクエストを送信するには、次のいずれかのオプションを展開します。

    レスポンスでは、次の例のように FAILED ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

    {
      "description": "This role has not been used during the observation window.",
      "stateInfo": {
        "state": "FAILED",
        "stateMetadata": {
          "reviewedBy": "alice",
          "priority": "high"
        }
      }
      "etag": "\"dd0686e7136a4cbb\"",
      "recommenderSubtype": "REMOVE_ROLE"
    }
    

推奨事項を確認する

Console

推奨事項による影響をより詳しく把握できるように、Cloud Console では権限のリストが色 / 記号付きで表示されます。このリストは、推奨事項を適用した場合にプリンシパルの権限がどのように変化するかを示しています。

それぞれの色と記号に関連付けられている権限の種類は次のとおりです。

  • グレー、記号なし: プリンシパルの現在のロールと推奨されるロールの両方に含まれる権限。

  • 赤、マイナス記号付き: プリンシパルの現在のロールに含まれている権限のうち、過去 90 日間に使用されなかったため推奨ロールに含まれない権限。

  • 緑、プラス記号: プリンシパルの現在のロールにはなく、推奨ロールには含まれる権限。この種類の権限は、Google マネージド サービス アカウントへの推奨事項にのみ表示されます。

  • 青色、機械学習アイコン付き: プリンシパルの現在のロールと推奨ロールの両方にある権限のうち、プリンシパルが過去 90 日間にその権限を使用したからではなく、機械学習を通じて今後必要になると判断されたために推奨事項に含まれている権限。

gcloud

推奨事項のフィールドの詳細については、Recommendation リファレンスをご覧ください。

この推奨事項のベースとなる権限の使用状況を確認するには、推奨事項に関連付けられたポリシー分析情報を表示します。これらの分析情報は associatedInsights フィールドにリストされています。推奨事項に関連付けられたポリシー分析情報を表示するには、次のようにします。

  • associatedInsights フィールドのどの分析情報がポリシーの分析情報であるかを特定します。ポリシー分析情報の分析情報のタイプは google.iam.policy.insight です。このタイプは、insight フィールドの insightTypes の後に表示されます。
  • ポリシー分析情報の ID をコピーします。ID は、insight フィールドの insights/ より後の部分です。上の例では、分析情報 ID は 279ef748-408f-44db-9a4a-1ff8865b9839 です。
  • コピーした分析情報 ID を使用して、手順どおりに操作を行い、ポリシーの分析情報を取得します。

一部の推奨事項はラテラル ムーブメントの分析情報にも関連付けられています。これにより、プロジェクトのサービス アカウントに別のプロジェクトのサービス アカウントの権限借用を許可するロールを確認できます。これらの分析情報も associatedInsights フィールドにリストされています。推奨事項に関連付けられたラテラル ムーブメントの分析情報を表示するには、次のようにします。

  • associatedInsights フィールド内のどの分析情報が、ラテラル ムーブメントの分析情報であるかを確認します。ラテラル ムーブメントの分析情報のタイプは google.iam.policy.LateralMovementInsight です。このタイプは、insight フィールドの insightTypes の後に表示されます。
  • ポリシー分析情報の ID をコピーします。ID は、insight フィールドの insights/ より後の部分です。上の例では、分析情報 ID は 279ef748-408f-44db-9a4a-1ff8865b9839 です。
  • コピーした分析情報 ID を使用して、手順どおりに操作を行い、ラテラル ムーブメントの分析情報を取得します。

REST

推奨事項のフィールドの詳細については、Recommendation リファレンスをご覧ください。

この推奨事項のベースとなる権限の使用状況を確認するには、推奨事項に関連付けられたポリシー分析情報を表示します。これらの分析情報は associatedInsights フィールドにリストされています。推奨事項に関連付けられたポリシー分析情報を表示するには、次のようにします。

  • associatedInsights フィールドのどの分析情報がポリシーの分析情報であるかを特定します。ポリシー分析情報の分析情報のタイプは google.iam.policy.insight です。このタイプは、insight フィールドの insightTypes の後に表示されます。
  • ポリシー分析情報の ID をコピーします。ID は、insight フィールドの insights/ より後の部分です。上の例では、分析情報 ID は 279ef748-408f-44db-9a4a-1ff8865b9839 です。
  • コピーした分析情報 ID を使用して、手順どおりに操作を行い、ポリシーの分析情報を取得します。

一部の推奨事項はラテラル ムーブメントの分析情報にも関連付けられています。これにより、プロジェクトのサービス アカウントに別のプロジェクトのサービス アカウントの権限借用を許可するロールを確認できます。これらの分析情報も associatedInsights フィールドにリストされています。推奨事項に関連付けられたラテラル ムーブメントの分析情報を表示するには、次のようにします。

  • associatedInsights フィールド内のどの分析情報が、ラテラル ムーブメントの分析情報であるかを確認します。ラテラル ムーブメントの分析情報のタイプは google.iam.policy.LateralMovementInsight です。このタイプは、insight フィールドの insightTypes の後に表示されます。
  • ポリシー分析情報の ID をコピーします。ID は、insight フィールドの insights/ より後の部分です。上の例では、分析情報 ID は 279ef748-408f-44db-9a4a-1ff8865b9839 です。
  • コピーした分析情報 ID を使用して、手順どおりに操作を行い、ラテラル ムーブメントの分析情報を取得します。

変更を表示する / 元に戻す / 復元する

プロジェクト レベルのロール バインディングに対する推奨事項を適用または拒否すると、その操作が推奨事項履歴に表示されます。

推奨事項の履歴を表示するには:

  1. Cloud Console で [IAM] ページに移動します。

    IAM に移動

  2. プロジェクト、フォルダ、または組織を選択します。

  3. 画面上部の [推奨事項の履歴] をクリックします。

    Cloud Console に、IAM の推奨事項に対する以前のアクションの一覧が表示されます。

  4. 推奨事項の詳細を表示するには、 展開矢印をクリックします。

    Cloud Console には、アクションを実行したプリンシパルを含む、実行されたアクションの詳細が表示されます。

  5. (省略可)必要に応じて、推奨事項を元に戻すことができます(推奨事項の変更が取り消されます)また、非表示にした推奨事項を復元することもできます。

    以前に適用した推奨事項の変更を元に戻すには、[元に戻す] をクリックします。Cloud Console は、プリンシパルのロールへの変更を元に戻します。Cloud Console に推奨事項が表示されなくなります。

    閉じたレコメンデーションを復元するには、[復元] をクリックします。レコメンデーションは、Cloud Console の IAM ページに表示されます。ロールや権限は変更されません。

次のステップ