Esta página foi traduzida pela API Cloud Translation.

Configurar a geração de recomendações de papéis

Ao alterar a configuração do recomendador do IAM, é possível personalizar como suas recomendações de papéis são geradas. Nesta página, explicamos como editar de configuração para mudar a rapidez com que as recomendações são projeto.

O recomendador do IAM gera recomendações de papéis para vários só é possível editar como as recomendações de papéis são geradas projetos.

Antes de começar

Ative a API Recommender.
Ative a API
Entenda como o recomendador do IAM gera recomendações de papéis.
Instale o Google Cloud CLI.

Funções exigidas

Para ter as permissões necessárias para configurar as recomendações de papéis do IAM, faça o seguinte: peça ao administrador para conceder a você seguintes papéis do IAM no projeto cujo recomendador do IAM você quer configurar:

Veja os detalhes da configuração: Leitor de recomendações do IAM (roles/recommender.iamViewer)
Modifique sua configuração: Administrador de recomendações do IAM (roles/recommender.iamAdmin)

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esses papéis predefinidos têm as permissões necessárias para configurar as recomendações de papéis do IAM. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para configurar recomendações de papéis do IAM:

Veja os detalhes da configuração: recommender.iamPolicyRecommenderConfig.get
Modifique sua configuração: recommender.iamPolicyRecommenderConfig.get

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ver a configuração atual

Confira sua configuração atual para saber quantos dias de dados de uso das permissões foram usados o recomendador do IAM aguarda antes de gerar recomendações de papéis.

É possível visualizar a configuração usando a CLI gcloud ou a API REST.

gcloud

Para configurar o recomendador do IAM, use o gcloud beta recommender recommender-config describe kubectl.

Antes de usar os dados do comando abaixo, faça estas substituições:

PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.

Execute o gcloud beta recommender recommender-config describe comando:

Linux, macOS ou Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

A resposta contém a configuração do recomendador do IAM. Por exemplo, pode será assim:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Para configurar o recomendador do IAM, use o comando projects.locations.recommenders.getConfig .

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_NUMBER: o ID numérico do projeto do Google Cloud.
PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.

Método HTTP e URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

A resposta contém a configuração do recomendador do IAM. Por exemplo, pode será assim:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Entender os detalhes da configuração

O conteúdo de uma configuração depende do recomendador que a configuração está pelas quais As configurações do recomendador do IAM têm os seguintes componentes, não necessariamente nesta ordem:

name: o identificador da configuração, no elemento formam projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: os parâmetros que o O recomendador do IAM usa ao gerar recomendações. Este campo contém os seguintes parâmetros:
- minimum_observation_period: o número de dias de dados de uso de permissão que o recomendador do IAM precisa iniciar geração de recomendações de papéis.
etag: identificador do estado atual de uma configuração. usados para evitar atualizações simultâneas. Cada vez que a configuração muda, um novo O valor da ETag é atribuído.
updateTime: o carimbo de data/hora do horário mais recente em que o configuração atualizada no formato UTC (RFC 3339, link em inglês).
revisionId: apenas saída. Identificador da revisão atual da configuração. Esse valor é atualizado sempre que a configuração é editada.

Editar a configuração

Edite sua configuração para mudar a rapidez com que as recomendações são geradas seu projeto.

gcloud

Para editar a configuração do recomendador do IAM, use o gcloud beta recommender recommender-config update kubectl.

Antes de usar os dados do comando abaixo, faça estas substituições:

OBSERVATION_PERIOD: o período mínimo de observação que você quer definir. Use um destes valores: P30D (30 dias), P60D (60 dias) ou P90D (90 dias).
ETAG: a ETag atual da configuração, que pode ser encontrada obtendo a configuração atual e copiando o valor do no campo etag da resposta.
PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.

Salve o conteúdo a seguir em um arquivo chamado request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Execute o gcloud beta recommender recommender-config update comando:

Linux, macOS ou Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

A resposta contém a configuração atualizada. Por exemplo, ele poderá se parecer com o seguinte:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Para editar a configuração do recomendador do IAM, use a API Recommender projects.locations.recommenders.updateConfig .

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_NUMBER: o ID numérico do projeto do Google Cloud.
OBSERVATION_PERIOD: o período mínimo de observação que você quer definir. Use um destes valores: P30D (30 dias), P60D (60 dias) ou P90D (90 dias).
ETAG: a ETag atual da configuração, que pode ser encontrada obtendo a configuração atual e copiando o valor do no campo etag da resposta. Use barras invertidas para escapar das aspas, por exemplo, "\"df7308cca9719dcc\"":
PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.

Método HTTP e URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Corpo JSON da solicitação:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

APIs Explorer (navegador)

Copie o corpo da solicitação e abra o página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Cole o corpo da solicitação nessa ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

A resposta contém a configuração atualizada. Por exemplo, ele poderá se parecer com o seguinte:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Configurar a geração de recomendações de papéis

Antes de começar

Funções exigidas

Permissões necessárias

Ver a configuração atual

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Entender os detalhes da configuração

Editar a configuração

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

A seguir