Diese Seite wurde von der Cloud Translation API übersetzt.

Erstellen von Rollenempfehlungen konfigurieren

Durch Ändern Ihrer IAM-Recommender-Konfiguration können Sie anpassen, wie werden Ihre Rollenempfehlungen generiert. Auf dieser Seite wird erläutert, wie Sie konfigurieren, um festzulegen, wie schnell Empfehlungen für Ihre Projekt arbeiten.

Der IAM-Recommender generiert Rollenempfehlungen für verschiedene von Ressourcen können Sie nur bearbeiten, wie Rollenempfehlungen für Projekten.

Hinweise

Recommender API aktivieren.
Aktivieren Sie die API
Informieren Sie sich darüber, wie der IAM-Recommender Rollenempfehlungen generiert.
Installieren Sie die Google Cloud CLI.

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von IAM-Rollenempfehlungen benötigen, bitten Sie Ihren Administrator, Ihnen folgenden IAM-Rollen für das Projekt, dessen IAM-Recommender Sie konfigurieren möchten:

Konfigurationsdetails ansehen: IAM Recommender-Betrachter (roles/recommender.iamViewer)
Ändern Sie Ihre Konfiguration: IAM Recommender-Administrator (roles/recommender.iamAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten Berechtigungen, die zum Konfigurieren von IAM-Rollenempfehlungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Konfigurieren von IAM-Rollenempfehlungen erforderlich:

Konfigurationsdetails ansehen: recommender.iamPolicyRecommenderConfig.get
Ändern Sie Ihre Konfiguration: recommender.iamPolicyRecommenderConfig.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Aktuelle Konfiguration ansehen

Rufe deine aktuelle Konfiguration auf, um zu sehen, für wie viele Tage Daten zur Nutzung von Berechtigungen verwendet werden der IAM-Recommender wartet, bevor Rollenempfehlungen generiert werden.

Sie können die Konfiguration mit der gcloud CLI oder der REST API aufrufen.

gcloud

Verwenden Sie zum Abrufen der IAM-Recommender-Konfiguration die gcloud beta recommender recommender-config describe .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Führen Sie den gcloud betarecommenderrecommender-config description Befehl:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

Die Antwort enthält die Konfiguration des IAM-Recommenders. Zum Beispiel könnte es so aussehen:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Verwenden Sie zum Abrufen Ihrer IAM-Recommender-Konfiguration die projects.locations.recommenders.getConfig .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_NUMBER: Die numerische ID Ihres Google Cloud-Projekts.
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Die Antwort enthält die Konfiguration des IAM-Recommenders. Zum Beispiel könnte es so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Konfigurationsdetails verstehen

Der Inhalt einer Konfiguration hängt davon ab, welcher Recommender die Konfiguration ist für die Sie angegeben haben. IAM-Recommender-Konfigurationen enthalten die folgenden Komponenten, nicht unbedingt in dieser Reihenfolge:

name: Die Kennung für die Konfiguration im Formular projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: Die Parameter, die der Der IAM-Recommender verwendet beim Generieren von Empfehlungen. Dieses Feld enthält die folgenden Parameter:
- minimum_observation_period: Die Anzahl der Tage für Nutzungsdaten zu Berechtigungen, die der IAM-Recommender starten muss Generierung von Rollenempfehlungen.
etag: Eine Kennung für den aktuellen Status einer Konfiguration. zur Verhinderung gleichzeitiger Updates. Jedes Mal, wenn sich die Konfiguration ändert, ETag-Wert ist zugewiesen.
updateTime: Der Zeitstempel des letzten Zeitpunkts, zu dem der Konfiguration wurde im UTC-Format aktualisiert (RFC 3339).
revisionId: Nur Ausgabe. Eine Kennung für die aktuelle Version der Konfiguration. Dieser Wert wird jedes Mal aktualisiert, wenn die Konfiguration bearbeitet.

Konfiguration bearbeiten

Bearbeiten Sie die Konfiguration, um zu ändern, wie schnell Empfehlungen generiert werden. für Ihr Projekt.

gcloud

Verwenden Sie zum Bearbeiten der Konfiguration des IAM-Recommenders die Methode gcloud beta recommender recommender-config update .

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

OBSERVATION_PERIOD: Der minimale Beobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration, das Sie über die aktuelle Konfiguration abrufen und den Wert des im Feld etag der Antwort.
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Führen Sie den gcloud beta recommender recommender-config update Befehl:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

Die Antwort enthält die aktualisierte Konfiguration. Sie könnte zum Beispiel so aussehen:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Verwenden Sie zum Bearbeiten der IAM-Recommender-Konfiguration die projects.locations.recommenders.updateConfig .

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_NUMBER: Die numerische ID Ihres Google Cloud-Projekts.
OBSERVATION_PERIOD: Der minimale Beobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration, das Sie über die aktuelle Konfiguration abrufen und den Wert des im Feld etag der Antwort. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B.: "\"df7308cca9719dcc\""
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

JSON-Text anfordern:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

APIs Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

Die Antwort enthält die aktualisierte Konfiguration. Sie könnte zum Beispiel so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Erstellen von Rollenempfehlungen konfigurieren

Hinweise

Erforderliche Rollen

Erforderliche Berechtigungen

Aktuelle Konfiguration ansehen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Konfigurationsdetails verstehen

Konfiguration bearbeiten

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

APIs Explorer (Browser)

Nächste Schritte