En modifiant la configuration de l'outil de recommandation IAM, vous pouvez personnaliser vos recommandations de rôle sont générées. Cette page vous explique comment modifier vos pour modifier la vitesse à laquelle les recommandations sont générées projet.
Même si l'outil de recommandation IAM génère des recommandations vous ne pouvez modifier que la façon dont les recommandations de rôle sont générées projets.
Avant de commencer
-
Activez l'API Recommender
- Découvrez comment l'outil de recommandation IAM génère des recommandations de rôle.
- Installez Google Cloud CLI.
Rôles requis
Pour obtenir les autorisations dont vous avez besoin pour configurer les recommandations de rôle IAM, demandez à votre administrateur de vous accorder le les rôles IAM suivants sur le projet dont vous souhaitez configurer l'outil de recommandation IAM:
- Affichez les détails de la configuration: Lecteur de l'outil de recommandation IAM (roles/recommender.iamViewer)
- Modifiez votre configuration: Administrateur de l'outil de recommandation IAM (roles/recommender.iamAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Ces rôles prédéfinis contiennent les autorisations requises pour configurer les recommandations de rôle IAM. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour configurer les recommandations de rôle IAM:
-
Affichez les détails de la configuration:
recommender.iamPolicyRecommenderConfig.get
-
Modifiez votre configuration:
recommender.iamPolicyRecommenderConfig.get
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher votre configuration actuelle
Affichez votre configuration actuelle pour savoir combien de jours de données d'utilisation des autorisations l'outil de recommandation IAM attend avant de générer des recommandations de rôle.
Vous pouvez afficher la configuration à l'aide de gcloud CLI ou de l'API REST.
gcloud
Pour obtenir la configuration de l'outil de recommandation IAM, utilisez la
gcloud beta recommender recommender-config describe
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.
Exécutez la gcloud beta recommandeerrecommender-config describe. commande:
Linux, macOS ou Cloud Shell
gcloud beta recommender recommender-config describe \ google.iam.policy.Recommender \ --project="PROJECT_ID" \ --location="global"
Windows (PowerShell)
gcloud beta recommender recommender-config describe ` google.iam.policy.Recommender ` --project="PROJECT_ID" ` --location="global"
Windows (cmd.exe)
gcloud beta recommender recommender-config describe ^ google.iam.policy.Recommender ^ --project="PROJECT_ID" ^ --location="global"
La réponse contient la configuration de votre outil de recommandation IAM. Par exemple, il pourrait se présente comme suit:
etag: '"d3e779ee3f34f276"' name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config recommenderGenerationConfig: params: minimum_observation_period: P90D revisionId: DEFAULT updateTime: '2022-10-02T22:57:33Z'
REST
Pour obtenir la configuration de l'outil de recommandation IAM, utilisez la méthode
projects.locations.recommenders.getConfig
.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
PROJECT_NUMBER
: le l'ID numérique de votre projet Google Cloud.PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.
Méthode HTTP et URL :
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient la configuration de votre outil de recommandation IAM. Par exemple, il pourrait se présente comme suit:
{ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "P90D" } }, "etag": "\"d3e779ee3f34f276\"", "updateTime": "2022-10-02T22:57:33Z", "revisionId": "DEFAULT" }
Comprendre les détails de la configuration
Le contenu d'une configuration dépend de l'outil de recommandation. . Les configurations de l'outil de recommandation IAM incluent les composants suivants, nécessairement dans cet ordre:
name
: identifiant de la configuration, au format formulaireprojects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig
: paramètres que le paramètre que l'outil de recommandation IAM utilise lors de la génération de recommandations. Ce champ contient les paramètres suivants:minimum_observation_period
: nombre de jours de données d'utilisation des autorisations que l'outil de recommandation IAM doit lancer générer des recommandations de rôle.
etag
: identifiant de l'état actuel d'une configuration pour empêcher les mises à jour simultanées. Chaque fois que la configuration change, Une valeur ETag est attribuée.updateTime
: code temporel de l'heure du dernier événement la configuration a été mise à jour, au format UTC (RFC 3339).revisionId
: sortie uniquement. Identifiant de la révision actuelle de la configuration. Cette valeur est mise à jour chaque fois que la configuration modifié.
Modifier votre configuration
Modifiez votre configuration afin de modifier la vitesse à laquelle les recommandations sont générées pour votre projet.
gcloud
Pour modifier la configuration de l'outil de recommandation IAM, utilisez la
gcloud beta recommender recommender-config update
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
OBSERVATION_PERIOD
: période d'observation minimale que vous souhaitez définir. Utilisez l'une des valeurs suivantes:P30D
(30 jours),P60D
(60 jours) ouP90D
(90 jours) -
ETAG
: ETag actuel de la configuration, que vous pouvez trouver obtenir la configuration actuelle et copier la valeur du paramètre dans le champetag
de la réponse. PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.
Enregistrez le code suivant dans un fichier nommé request.json
:
{ "params": { "minimum_observation_period": "OBSERVATION_PERIOD" } }
Exécutez la gcloud beta recommandeer-config update commande:
Linux, macOS ou Cloud Shell
gcloud beta recommender recommender-config update \ google.iam.policy.Recommender \ --etag="ETAG" \ --project="PROJECT_ID" \ --location="global" \ --config-file="request.json"
Windows (PowerShell)
gcloud beta recommender recommender-config update ` google.iam.policy.Recommender ` --etag="ETAG" ` --project="PROJECT_ID" ` --location="global" ` --config-file="request.json"
Windows (cmd.exe)
gcloud beta recommender recommender-config update ^ google.iam.policy.Recommender ^ --etag="ETAG" ^ --project="PROJECT_ID" ^ --location="global" ^ --config-file="request.json"
La réponse contient la configuration mise à jour. Voici un exemple:
etag: '"2549af0942332910"' name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config recommenderGenerationConfig: params: minimum_observation_period: P60D revisionId: 288c60eb updateTime: '2022-10-05T21:42:21.069170Z'
REST
Pour modifier la configuration de l'outil de recommandation IAM, utilisez l'API Recommender
projects.locations.recommenders.updateConfig
.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
PROJECT_NUMBER
: le l'ID numérique de votre projet Google Cloud.-
OBSERVATION_PERIOD
: période d'observation minimale que vous souhaitez définir. Utilisez l'une des valeurs suivantes:P30D
(30 jours),P60D
(60 jours) ouP90D
(90 jours) -
ETAG
: ETag actuel de la configuration, que vous pouvez trouver obtenir la configuration actuelle et copier la valeur du paramètre dans le champetag
de la réponse. Utilisez des barres obliques inverses pour échapper les guillemets (par exemple,"\"df7308cca9719dcc\""
PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.
Méthode HTTP et URL :
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
Corps JSON de la requête :
{ "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "OBSERVATION_PERIOD" } }, "etag": "ETAG" }
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient la configuration mise à jour. Voici un exemple:
{ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "P60D" } }, "etag": "\"2549af0942332910\"", "updateTime": "2022-10-05T21:26:52.127512Z", "revisionId": "b5fc0053" }
Étape suivante
- Examinez et appliquez les recommandations de rôle pour les projets, dossiers et organisations.
- Examiner et appliquer vos recommandations de rôle pour Cloud Storage buckets
- Apprenez-en plus sur l'outil de recommandation.