Diese Seite wurde von der Cloud Translation API übersetzt.

Generierung von Rollenempfehlungen konfigurieren

Durch Ändern der IAM Recommender-Konfiguration können Sie anpassen, wie Ihre Rollenempfehlungen generiert werden. Auf dieser Seite wird erläutert, wie Sie konfigurieren, um festzulegen, wie schnell Empfehlungen für Ihre Projekt arbeiten.

Der IAM-Recommender generiert zwar Rollenempfehlungen für eine Vielzahl von Ressourcen, Sie können jedoch nur bearbeiten, wie Rollenempfehlungen für Projekte generiert werden.

Hinweis

Enable the Recommender API.
Enable the API
Informationen zum Generieren von Rollenempfehlungen durch den IAM Recommender
Installieren Sie die Google Cloud CLI.

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von IAM-Rollenempfehlungen benötigen, bitten Sie Ihren Administrator, Ihnen folgenden IAM-Rollen für das Projekt, dessen IAM-Recommender Sie konfigurieren möchten:

Konfigurationsdetails ansehen: IAM Recommender-Betrachter (roles/recommender.iamViewer)
Ändern Sie Ihre Konfiguration: IAM Recommender-Administrator (roles/recommender.iamAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten Berechtigungen, die zum Konfigurieren von IAM-Rollenempfehlungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Empfehlungen für IAM-Rollen zu konfigurieren:

Konfigurationsdetails ansehen: recommender.iamPolicyRecommenderConfig.get
Ändern Sie die Konfiguration: recommender.iamPolicyRecommenderConfig.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Aktuelle Konfiguration ansehen

Rufe deine aktuelle Konfiguration auf, um zu sehen, für wie viele Tage Daten zur Nutzung von Berechtigungen verwendet werden der IAM-Recommender wartet, bevor Rollenempfehlungen generiert werden.

Sie können die Konfiguration mit der gcloud CLI oder der REST API aufrufen.

gcloud

Verwenden Sie zum Abrufen der IAM-Recommender-Konfiguration eines Projekts die gcloud beta recommender recommender-config describe .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Führen Sie den gcloud beta Recommender-empfiehl-config-Beschreibung Befehl:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

Die Antwort enthält die IAM-Recommender-Konfiguration des Projekts. Das könnte beispielsweise so aussehen:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Verwenden Sie zum Abrufen der IAM-Recommender-Konfiguration eines Projekts die projects.locations.recommenders.getConfig .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_NUMBER: Die numerische ID Ihres Google Cloud-Projekts.
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Die Antwort enthält die IAM-Recommender-Konfiguration des Projekts. Das könnte beispielsweise so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Konfigurationsdetails

Der Inhalt einer Konfiguration hängt davon ab, welcher Recommender die Konfiguration ist für die Sie angegeben haben. IAM-Recommender-Konfigurationen enthalten die folgenden Komponenten, nicht unbedingt in dieser Reihenfolge:

name: Die Kennung für die Konfiguration im Formular projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: Die Parameter, die der IAM-Recommender beim Generieren von Empfehlungen verwendet. Dieses Feld enthält die folgenden Parameter:
- minimum_observation_period: Anzahl der Tage für Nutzungsdaten zu Berechtigungen, die der IAM-Recommender starten muss Generierung von Rollenempfehlungen.
etag: Eine Kennung für den aktuellen Status einer Konfiguration, die dazu dient, gleichzeitige Aktualisierungen zu verhindern. Jedes Mal, wenn sich die Konfiguration ändert, ETag-Wert ist zugewiesen.
updateTime: Der Zeitstempel des letzten Zeitpunkts, zu dem der Konfiguration wurde im UTC-Format aktualisiert (RFC 3339).
revisionId: Nur Ausgabe. Eine Kennung für die aktuelle Version der Konfiguration. Dieser Wert wird jedes Mal aktualisiert, wenn die Konfiguration bearbeitet wird.

Konfiguration bearbeiten

Bearbeiten Sie die Konfiguration, um festzulegen, wie schnell Empfehlungen generiert werden. für Ihr Projekt.

gcloud

Verwenden Sie den Befehl gcloud beta recommender recommender-config update, um die IAM-Recommender-Konfiguration eines Projekts zu bearbeiten.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

OBSERVATION_PERIOD: Der Mindestzeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration, das Sie über die aktuelle Konfiguration abrufen und den Wert des im Feld etag der Antwort.
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Führen Sie den Befehl gcloud beta recommender recommender-config update aus:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

Die Antwort enthält die aktualisierte Konfiguration. Sie könnte zum Beispiel so aussehen:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Verwenden Sie die Methode projects.locations.recommenders.updateConfig der Recommender API, um die IAM-Empfehlungskonfiguration eines Projekts zu bearbeiten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_NUMBER: Die numerische ID Ihres Google Cloud-Projekts.
OBSERVATION_PERIOD: Der minimale Beobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration. Sie können es abrufen, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag in der Antwort kopieren. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B.: "\"df7308cca9719dcc\""
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

JSON-Text anfordern:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

APIs Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

Die Antwort enthält die aktualisierte Konfiguration. Sie könnte zum Beispiel so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Generierung von Rollenempfehlungen konfigurieren

Hinweis

Erforderliche Rollen

Erforderliche Berechtigungen

Aktuelle Konfiguration ansehen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Konfigurationsdetails

Konfiguration bearbeiten

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

APIs Explorer (Browser)

Nächste Schritte