Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Console

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM

2. Seleziona un progetto, una cartella o un'organizzazione.

3. Nell'elenco delle entità che hanno accesso al tuo progetto, trova Approfondimenti sulla sicurezza colonna.

   Per ogni ruolo concesso a un'entità, questa colonna mostra le eventuali insight. Queste informazioni mettono in evidenza gli schemi ricorrenti nel modo in cui le entità accedono alle risorse. Ad esempio, alcuni approfondimenti evidenziano autorizzazioni in eccesso oppure autorizzazioni non necessarie a un'entità. Altri approfondimenti mettono in evidenza gli account di servizio con funzionalità di movimento laterale:

   

   

   Se è disponibile un consiglio per fornire un approfondimento, Nella console Google Cloud viene visualizzato il Suggerimento disponibile. Icona di .

4. Se sono presenti consigli da esaminare, fai clic su uno dei consigli disponibili. per visualizzare i dettagli del suggerimento.

   Se il suggerimento prevede la sostituzione del ruolo, il suggerimento suggerisce sempre un insieme di ruoli predefiniti a cui sono applicabili.

   In alcuni casi, il suggerimento sul ruolo suggerisce anche la creazione di una nuova ruolo personalizzato a livello di progetto. Se è disponibile un consiglio per un ruolo personalizzato, la console Google Cloud lo mostra per impostazione predefinita. Per passare al suggerimento di ruolo predefinito, fai clic su Visualizza ruolo predefinito consigliato.

5. Leggi attentamente il consiglio e assicurati di comprenderne le caratteristiche modificare l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei nel caso di suggerimenti per gli agenti di servizio, un suggerimento non aumenterà mai il livello di accesso dell'entità. Per ulteriori informazioni, consulta Come vengono generati i consigli sui ruoli.

   Per scoprire come esaminare i consigli nella console, vedi Esaminare i consigli in questa pagina.

6. (Facoltativo) Se il consiglio è di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo a seconda delle esigenze.

   Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

   Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo corrispondente a ogni autorizzazione da rimuovere.

7. Intervieni in base al consiglio.

   Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per ripristinare la tua scelta.

   Per ignorare il consiglio, fai clic su Ignora, poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato a condizione che suggerimento sia ancora valido.

8. Ripeti i passaggi precedenti finché non avrai esaminato tutti i tuoi personalizzati.

gcloud

Esamina i consigli:

Per elencare i consigli, esegui il comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=json

Sostituisci i seguenti valori:

• RESOURCE_TYPE: il tipo di risorsa che per cui vuoi elencare i consigli. Utilizza il valore project, folder oppure organization.
• RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi elencare i consigli. ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerico, ad esempio 123456789012.

La risposta è simile all'esempio seguente. In questo esempio, un account di servizio non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il suggerimento per il ruolo ti suggerisce di revocare il ruolo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni consiglio e pensa a come cambierà il l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i consigli dall'interfaccia a riga di comando gcloud, consulta la sezione Esaminare i consigli in questa pagina.

Per applicare un consiglio:

1. Utilizza la Comando gcloud recommender recommendations mark-claimed di modificare lo stato del suggerimento in CLAIMED,, impedendo la di cambiare il consiglio quando lo applichi:

   gcloud recommender recommendations mark-claimed \
       RECOMMENDATION_ID \
       --location=global \
       --recommender=google.iam.policy.Recommender \
       --RESOURCE_TYPE=RESOURCE_ID \
       --format=FORMAT \
       --etag=ETAG \
       --state-metadata=STATE_METADATA
   

   Sostituisci i seguenti valori:

   • RECOMMENDATION_ID: l'identificatore univoco del consiglio. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Nell'esempio mostrato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
   • RESOURCE_TYPE: il tipo di risorsa per la quale vuoi gestire i consigli. Utilizza il valore project, folder o organization.
   • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
   • FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.
   • ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore possono includere le virgolette.
   • STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati sul consiglio. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. La sostituisce il campo stateInfo.stateMetadata in un consiglio per i nostri esperti.

   Se il comando ha esito positivo, la risposta mostra il suggerimento in una CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, l'esempio omette la maggior parte dei campi:

   [
     {
       "description": "This role has not been used during the observation window.",
       "recommenderSubtype": "REMOVE_ROLE",
       "etag": "\"df7308cca9719dcc\"",
       "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
       "stateInfo": {
         "state": "CLAIMED",
         "stateMetadata": {
           "reviewedBy": "alice",
           "priority": "high"
         }
       }
     }
   ]

2. Ottieni il criterio di autorizzazione per il progetto, quindi modifica e imposta il criterio di autorizzazione in modo che rifletta il consiglio.

3. Aggiorna lo stato del consiglio a SUCCEEDED, se hai potuto applicarlo il consiglio oppure FAILED se non riesci ad applicarlo:

   gcloud recommender recommendations COMMAND \
       RECOMMENDATION_ID \
       --location=global \
       --recommender=google.iam.policy.Recommender \
       --RESOURCE_TYPE=RESOURCE_ID \
       --format=FORMAT \
       --etag=ETAG \
       --state-metadata=STATE_METADATA
   

   Sostituisci i seguenti valori:

   • COMMAND: usa mark-succeeded, se sono stati in grado di applicare il consiglio o mark-failed, se non hai potuto applicare il consiglio.
   • RECOMMENDATION_ID: l'identificatore univoco del un consiglio per i nostri esperti. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Nell'esempio riportato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
   • RESOURCE_TYPE: il tipo di risorsa per la quale vuoi gestire i consigli. Utilizza il valore project, folder o organization.
   • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
   • FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.
   • ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore possono includere le virgolette.
   • STATE_METADATA: facoltativo. Chiave-valore separata da virgola che contengono i metadati che hai scelto per il suggerimento. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel consiglio.

   Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio in uno stato SUCCEEDED. Per chiarezza, questo omette la maggior parte dei campi nell'esempio seguente:

   [
     {
       "description": "This role has not been used during the observation window.",
       "recommenderSubtype": "REMOVE_ROLE",
       "etag": "\"dd0686e7136a4cbb\"",
       "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
       "stateInfo": {
         "state": "SUCCEEDED",
         "stateMetadata": {
           "reviewedBy": "alice",
           "priority": "high"
         }
       }
     }
   ]

REST

Queste istruzioni presuppongono che tu abbia eseguito l'autenticazione e imposta la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

Esamina i consigli:

Per elencare tutti i consigli disponibili per il tuo progetto, la tua cartella o la tua organizzazione, utilizza il metodo recommendations.list dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

• RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore projects, folders o organizations.
• RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
• PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se di suggerimenti è maggiore della dimensione della pagina, la risposta contiene un'impaginazione che puoi utilizzare per recuperare la pagina successiva di risultati.
• PAGE_TOKEN: facoltativo. Il token di pagina restituito in una risposta precedente di questo metodo. Se specificato, l'elenco dei consigli inizierà dove è terminata la richiesta precedente.
• FILTER: facoltativo. Un'espressione di filtro per limitare i consigli retitrati. Puoi filtrare i consigli in base al campo stateInfo.state. Ad esempio, stateInfo.state:"DISMISSED" o stateInfo.state:"FAILED".
• PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER" | Select-Object -Expand Content

La risposta è simile al seguente esempio. In questo esempio, un account di servizio il progetto example-project non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il motore per suggerimenti ti consiglia di revocare il ruolo:

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

Esamina attentamente ogni consiglio e pensa a come cambierà il l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i consigli dall'API REST, consulta la sezione Esaminare i consigli in questa pagina.

Per applicare un consiglio:

1. Contrassegna il consiglio come CLAIMED:

   Per contrassegnare un consiglio come CLAIMED, in modo da impedirne la modifica durante l'applicazione, utilizza il metodo recommendations.markClaimed dell'API Recommender.

   Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

   • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore projects, folders o organizations.
   • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
   • RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
   • ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
   • STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.
   • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

   Metodo HTTP e URL:

   POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

   Corpo JSON della richiesta:

   {
     "etag": "ETAG",
     "stateMetadata": {
       "STATE_METADATA"
     }
   }
   

   Per inviare la richiesta, espandi una di queste opzioni:

   curl (Linux, macOS o Cloud Shell)

   Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "x-goog-user-project: PROJECT_ID" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"

   PowerShell (Windows)

   Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content

   La risposta mostra il consiglio in uno stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio ometti la maggior parte dei campi:

   {
     "description": "This role has not been used during the observation window.",
     "stateInfo": {
       "state": "CLAIMED",
       "stateMetadata": {
         "reviewedBy": "alice",
         "priority": "high"
       }
     },
     "etag": "\"dd0686e7136a4cbb\"",
     "recommenderSubtype": "REMOVE_ROLE"
   }
   

2. Recupera il criterio di autorizzazione per il progetto, quindi modificare il criterio di autorizzazione in modo che rifletta il un consiglio per i nostri esperti.

3. Aggiorna lo stato del consiglio a SUCCEEDED, se hai potuto applicarlo il consiglio oppure FAILED se non riesci ad applicarlo:

   SUCCEEDED

   Per contrassegnare un consiglio come SUCCEEDED, a indicare che hai potuto applicarlo, utilizza il metodo recommendations.markSucceeded dell'API Recommender.

   Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

   • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore projects, folders o organizations.
   • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
   • RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
   • ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
   • STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.
   • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

   Metodo HTTP e URL:

   POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

   Corpo JSON della richiesta:

   {
     "etag": "ETAG",
     "stateMetadata": {
       "STATE_METADATA"
     }
   }
   

   Per inviare la richiesta, espandi una di queste opzioni:

   curl (Linux, macOS o Cloud Shell)

   Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "x-goog-user-project: PROJECT_ID" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"

   PowerShell (Windows)

   Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content

   La risposta mostra il consiglio in uno stato SUCCEEDED, come mostrato nell'esempio seguente. Per chiarezza, questo esempio omette la maggior parte dei campi:

   {
     "description": "This role has not been used during the observation window.",
     "stateInfo": {
       "state": "SUCCEEDED",
       "stateMetadata": {
         "reviewedBy": "alice",
         "priority": "high"
       }
     },
     "etag": "\"dd0686e7136a4cbb\"",
     "recommenderSubtype": "REMOVE_ROLE"
   }
   

   FAILED

   Per contrassegnare un consiglio come FAILED, a indicare che non è stato possibile applicarlo, utilizza il metodo recommendations.markFailed dell'API Recommender.

   Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

   • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore projects, folders o organizations.
   • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i consigli. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
   • RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
   • ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
   • STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.
   • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

   Metodo HTTP e URL:

   POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

   Corpo JSON della richiesta:

   {
     "etag": "ETAG",
     "stateMetadata": {
       "STATE_METADATA"
     }
   }
   

   Per inviare la richiesta, espandi una di queste opzioni:

   curl (Linux, macOS o Cloud Shell)

   Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "x-goog-user-project: PROJECT_ID" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"

   PowerShell (Windows)

   Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content

   La risposta mostra il consiglio in uno stato FAILED, come mostrato di seguito esempio. Per chiarezza, in questo esempio ometti la maggior parte dei campi:

   {
     "description": "This role has not been used during the observation window.",
     "stateInfo": {
       "state": "FAILED",
       "stateMetadata": {
         "reviewedBy": "alice",
         "priority": "high"
       }
     },
     "etag": "\"dd0686e7136a4cbb\"",
     "recommenderSubtype": "REMOVE_ROLE"
   }
   

Console

Per aiutarti a capire il motivo per cui è stato fornito il consiglio, la console Google Cloud mostra l'utilizzo delle autorizzazioni del principale, come indicato dall'approfondimento sui criteri associato al consiglio. Ad esempio, potrebbe essere visualizzato un elenco come il seguente:

Per aiutarti a comprendere l'impatto dell'applicazione del consiglio, La console Google Cloud mostra anche un elenco di autorizzazioni con colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il metodo un consiglio per i nostri esperti. Ad esempio, potrebbe mostrare un elenco simile al seguente:

I tipi di autorizzazioni associati a ogni colore e simbolo sono i seguenti:

• Grigio senza simbolo: le autorizzazioni che si trovano nello spazio di archiviazione attuale dell'entità e i ruoli consigliati.

  

• Lucchetto rosso con un segno meno (-): autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non in quelli consigliati perché l'entità non li ha utilizzati in passato per 90 giorni.

  

• Verde con un segno più (+): Autorizzazioni che non sono nel ruolo attuale dell'entità, ma sono nei campi consigliati ruoli. Questo tipo di autorizzazione viene visualizzato solo nei suggerimenti per gli agenti di servizio.

  

• Blu con un'icona Machine learning (): Autorizzazioni incluse sia nel ruolo attuale dell'entità che in quelle consigliate ruoli, non perché in passato l'entità ha utilizzato le autorizzazioni 90 giorni, ma poiché il motore per suggerimenti determinato mediante il machine learning che probabilmente in futuro.

  

Alcuni consigli sono associati anche al spostamento laterale . Gli insight sul movimento laterale identificano i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro progetto. Se un consiglio è associato a un'informazione su un movimento laterale, la console Google Cloud mostra anche quanto segue:

• Il progetto di origine dell'account di servizio: il progetto in cui è stato creato l'account di servizio con autorizzazioni di rappresentazione.

  

  

• Account di servizio che possono essere rappresentati in questo progetto: un elenco di tutti gli account di servizio nel progetto corrente che l'account di servizio con autorizzazioni di rappresentazione può simulare.

  

  

gcloud

Per maggiori dettagli sui campi di un suggerimento, consulta Riferimento Recommendation.

Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo consiglio, consulta gli approfondimenti sui criteri associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio:

• Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sulle norme. Gli insight sui criteri hanno il tipo di insight google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
• Copia l'ID dell'approfondimento sulle norme. L'ID è tutto ciò che segue insights/ nel insight campo. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
• Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight copiato.

Alcuni consigli sono associati anche a approfondimenti sul movimento laterale, che identificano i ruoli che consentono agli account di servizio di un progetto di simulare l'identità degli account di servizio in un altro progetto. Questi approfondimenti sono elencati anche nel campo associatedInsights. Per visualizzare un'informazione sul movimento laterale associata al consiglio:

• Identifica quali approfondimenti nel campo associatedInsights sono informazioni sul movimento laterale. Gli insight sul movimento laterale hanno il tipo di insightgoogle.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
• Copia l'ID dell'approfondimento sulle norme. L'ID è tutto ciò che segue insights/ nel insight campo. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
• Segui le istruzioni per eseguire un movimento laterale insight utilizzando l'ID insight copiato.

REST

Per maggiori dettagli sui campi di un suggerimento, consulta Riferimento Recommendation.

Per vedere l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza il approfondimenti sulle norme associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio:

1. Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sulle norme. Gli insight sui criteri hanno il tipo di insight google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
2. Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel insight. Ad esempio, se il campo insight riporta projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839, l'ID informazione è 279ef748-408f-44db-9a4a-1ff8865b9839.
3. Segui le istruzioni per ottenere un'informazione sulle norme utilizzando l'ID informazione che hai copiato.

Alcuni consigli sono associati anche a approfondimenti sul movimento laterale, che identificano i ruoli che consentono agli account di servizio di un progetto di simulare l'identità degli account di servizio in un altro progetto. Questi approfondimenti sono elencati anche in associatedInsights . Per visualizzare informazioni sul movimento laterale associato al consigliato, procedi nel seguente modo:

1. Identifica quali approfondimenti nel campo associatedInsights sono informazioni sul movimento laterale. Gli insight sul movimento laterale hanno il tipo di insightgoogle.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
2. Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel insight campo. Ad esempio, se il campo insight riporta projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860, l'ID informazione è 13088eec-9573-415f-81a7-46e1a260e860.
3. Segui le istruzioni per eseguire un movimento laterale insight utilizzando l'ID insight copiato.