Mengonfigurasi pembuatan rekomendasi peran

Dengan mengubah konfigurasi pemberi rekomendasi IAM, Anda dapat menyesuaikan cara pembuatan rekomendasi peran. Halaman ini menjelaskan cara mengedit konfigurasi untuk mengubah seberapa cepat rekomendasi dibuat untuk project Anda.

Meskipun pemberi rekomendasi IAM menghasilkan rekomendasi peran untuk berbagai resource, Anda hanya dapat mengedit cara rekomendasi peran dibuat untuk project.

Sebelum memulai

Aktifkan API Recommender.
Mengaktifkan API
Memahami cara pemberi rekomendasi IAM membuat rekomendasi peran.
Instal Google Cloud CLI.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda butuhkan guna mengonfigurasi rekomendasi peran IAM, minta administrator untuk memberi Anda peran IAM berikut pada project yang pemberi rekomendasi IAM-nya ingin Anda konfigurasi:

Lihat detail konfigurasi: IAM Recommender Viewer (roles/recommendationer.iamViewer)
Ubah konfigurasi Anda: Admin Pemberi Rekomendasi IAM (roles/recommendationer.iamAdmin)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Peran bawaan ini berisi izin yang diperlukan untuk mengonfigurasi rekomendasi peran IAM. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengonfigurasi rekomendasi peran IAM:

Lihat detail konfigurasi: recommender.iamPolicyRecommenderConfig.get
Ubah konfigurasi Anda: recommender.iamPolicyRecommenderConfig.get

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Melihat konfigurasi Anda saat ini

Lihat konfigurasi Anda saat ini untuk mengetahui jumlah hari data penggunaan izin yang ditunggu oleh pemberi rekomendasi IAM sebelum membuat rekomendasi peran.

Anda dapat melihat konfigurasi menggunakan gcloud CLI atau REST API.

gcloud

Untuk mendapatkan konfigurasi pemberi rekomendasi IAM, gunakan perintah gcloud beta recommender recommender-config describe.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

PROJECT_ID: ID project Google Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.

Jalankan perintah gcloud beta recommendeder recommender-config describe:

Linux, macOS, atau Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

Respons berisi konfigurasi pemberi rekomendasi IAM Anda. Misalnya, mungkin akan terlihat seperti berikut:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Untuk mendapatkan konfigurasi pemberi rekomendasi IAM, gunakan metode projects.locations.recommenders.getConfig Recommender API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_NUMBER: ID numerik project Google Cloud Anda.
PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Metode HTTP dan URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login, atau menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke CLI gcloud. Anda dapat memeriksa akun yang aktif saat ini dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login. Anda dapat memeriksa akun yang aktif saat ini dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Respons berisi konfigurasi pemberi rekomendasi IAM Anda. Misalnya, mungkin akan terlihat seperti berikut:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Memahami detail konfigurasi

Konten konfigurasi bergantung pada pemberi rekomendasi yang menjadi tujuan konfigurasi. Konfigurasi pemberi rekomendasi IAM memiliki komponen berikut, tidak harus dalam urutan berikut:

name: ID untuk konfigurasi, dalam bentuk projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: Parameter yang digunakan oleh pemberi rekomendasi IAM saat membuat rekomendasi. Kolom ini berisi parameter berikut:
- minimum_observation_period: Jumlah hari data penggunaan izin yang diperlukan pemberi rekomendasi IAM untuk mulai membuat rekomendasi peran.
etag: ID untuk status konfigurasi saat ini, digunakan untuk mencegah update serentak. Setiap kali konfigurasi berubah, nilai ETag yang baru akan ditetapkan.
updateTime: Stempel waktu waktu terakhir konfigurasi diperbarui, dalam format UTC (RFC 3339).
revisionId: Hanya output. ID untuk revisi konfigurasi saat ini. Nilai ini diperbarui setiap kali konfigurasi diedit.

Edit konfigurasi Anda

Edit konfigurasi Anda untuk mengubah seberapa cepat rekomendasi dibuat untuk project Anda.

gcloud

Untuk mengedit konfigurasi pemberi rekomendasi IAM Anda, gunakan perintah gcloud beta recommender recommender-config update.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

OBSERVATION_PERIOD: Periode pengamatan minimum yang ingin Anda tetapkan. Gunakan salah satu nilai berikut: P30D (30 hari), P60D (60 hari), atau P90D (90 hari).
ETAG: ETag konfigurasi saat ini, yang dapat Anda temukan dengan mendapatkan konfigurasi saat ini dan menyalin nilai kolom etag respons.
PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Simpan konten berikut ini dalam file yang bernama request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Jalankan perintah gcloud beta recommender recommender-config update:

Linux, macOS, atau Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

Respons berisi konfigurasi yang diperbarui. Misalnya, mungkin akan terlihat seperti berikut:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Untuk mengedit konfigurasi pemberi rekomendasi IAM Anda, gunakan metode projects.locations.recommenders.updateConfig Recommender API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_NUMBER: ID numerik project Google Cloud Anda.
OBSERVATION_PERIOD: Periode pengamatan minimum yang ingin Anda tetapkan. Gunakan salah satu nilai berikut: P30D (30 hari), P60D (60 hari), atau P90D (90 hari).
ETAG: ETag konfigurasi saat ini, yang dapat Anda temukan dengan mendapatkan konfigurasi saat ini dan menyalin nilai kolom etag respons. Gunakan garis miring terbalik untuk meng-escape tanda kutip, misalnya, "\"df7308cca9719dcc\"".
PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Metode HTTP dan URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Meminta isi JSON:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

APIs Explorer (browser)

Salin isi permintaan dan buka halaman referensi metode. Panel APIs Explorer akan terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempelkan isi permintaan di alat ini, lengkapi kolom wajib lainnya, lalu klik Jalankan.

Respons berisi konfigurasi yang diperbarui. Misalnya, mungkin akan terlihat seperti berikut:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Mengonfigurasi pembuatan rekomendasi peran

Sebelum memulai

Peran yang diperlukan

Izin yang diperlukan

Melihat konfigurasi Anda saat ini

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Memahami detail konfigurasi

Edit konfigurasi Anda

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

APIs Explorer (browser)

Langkah selanjutnya