Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi pembuatan rekomendasi peran

Dengan mengubah konfigurasi pemberi rekomendasi IAM, Anda dapat menyesuaikan cara pembuatan rekomendasi peran. Halaman ini menjelaskan cara mengedit konfigurasi untuk mengubah kecepatan pembuatan rekomendasi untuk project Anda.

Meskipun pemberi rekomendasi IAM menghasilkan rekomendasi peran untuk berbagai resource, Anda hanya dapat mengedit cara rekomendasi peran dihasilkan untuk project.

Sebelum memulai

Enable the Recommender API.
Enable the API
Pahami cara pemberi rekomendasi IAM membuat rekomendasi peran.
Instal Google Cloud CLI.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna mengonfigurasi rekomendasi peran IAM, minta administrator untuk memberikan peran IAM berikut pada project yang perekomendasikan IAM-nya ingin Anda konfigurasi:

Lihat detail konfigurasi: IAM Recommender Viewer (roles/recommender.iamViewer)
Ubah konfigurasi Anda: Admin Rekomendasi IAM (roles/recommender.iamAdmin)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengonfigurasi rekomendasi peran IAM. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengonfigurasi rekomendasi peran IAM:

Melihat detail konfigurasi: recommender.iamPolicyRecommenderConfig.get
Ubah konfigurasi Anda: recommender.iamPolicyRecommenderConfig.update

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat konfigurasi Anda saat ini

Lihat konfigurasi Anda saat ini untuk melihat berapa hari data penggunaan izin yang ditunggu oleh pemberi rekomendasi IAM sebelum membuat rekomendasi peran.

Anda dapat melihat konfigurasi menggunakan gcloud CLI atau REST API.

gcloud

Untuk mendapatkan konfigurasi pemberi rekomendasi IAM project, gunakan perintah gcloud beta recommender recommender-config describe.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

PROJECT_ID: ID project Google Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.

Jalankan perintah gcloud beta recommender recommender-config describe:

Linux, macOS, atau Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

Responsnya berisi konfigurasi perekomendasikan IAM project. Misalnya, tampilannya mungkin terlihat seperti berikut:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Untuk mendapatkan konfigurasi pemberi rekomendasi IAM project, gunakan metode projects.locations.recommenders.getConfig Recommender API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_NUMBER: ID numerik project Google Cloud Anda.
PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Metode HTTP dan URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Responsnya berisi konfigurasi perekomendasikan IAM project. Misalnya, tampilannya mungkin terlihat seperti berikut:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Memahami detail konfigurasi

Konten konfigurasi bergantung pada rekomendasi yang menjadi tujuan konfigurasi. Konfigurasi perekomendasikan IAM memiliki komponen berikut, tidak harus dalam urutan ini:

name: ID untuk konfigurasi, dalam bentuk projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: Parameter yang digunakan pemberi rekomendasi IAM saat membuat rekomendasi. Kolom ini berisi parameter berikut:
- minimum_observation_period: Jumlah hari data penggunaan izin yang diperlukan pemberi rekomendasi IAM untuk mulai menghasilkan rekomendasi peran.
etag: ID untuk status konfigurasi saat ini, yang digunakan untuk mencegah update serentak. Setiap kali konfigurasi berubah, nilai ETag baru akan ditetapkan.
updateTime: Stempel waktu waktu terbaru saat konfigurasi diperbarui, dalam format UTC (RFC 3339).
revisionId: Hanya output. ID untuk revisi konfigurasi saat ini. Nilai ini diperbarui setiap kali konfigurasi diedit.

Mengedit konfigurasi

Edit konfigurasi untuk mengubah kecepatan pembuatan rekomendasi untuk project Anda.

gcloud

Untuk mengedit konfigurasi perekomendasikan IAM project, gunakan perintah gcloud beta recommender recommender-config update.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

OBSERVATION_PERIOD: Periode pengamatan minimum yang ingin Anda tetapkan. Gunakan salah satu nilai berikut: P30D (30 hari), P60D (60 hari), atau P90D (90 hari).
ETAG: Etag konfigurasi saat ini, yang dapat Anda temukan dengan mendapatkan konfigurasi saat ini dan menyalin nilai kolom etag respons.
PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Simpan konten berikut ini dalam file yang bernama request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Jalankan perintah gcloud beta recommender recommender-config update:

Linux, macOS, atau Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

Respons berisi konfigurasi yang diperbarui. Misalnya, tampilannya mungkin terlihat seperti berikut:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Untuk mengedit konfigurasi perekomendasikan IAM project, gunakan metode projects.locations.recommenders.updateConfig Recommender API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_NUMBER: ID numerik project Google Cloud Anda.
OBSERVATION_PERIOD: Periode pengamatan minimum yang ingin Anda tetapkan. Gunakan salah satu nilai berikut: P30D (30 hari), P60D (60 hari), atau P90D (90 hari).
ETAG: Etag konfigurasi saat ini, yang dapat Anda temukan dengan mendapatkan konfigurasi saat ini dan menyalin nilai kolom etag respons. Gunakan garis miring terbalik untuk meng-escape tanda kutip, misalnya, "\"df7308cca9719dcc\"".
PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Metode HTTP dan URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Meminta isi JSON:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

API Explorer (browser)

Salin isi permintaan dan buka halaman referensi metode. Panel API Explorer terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempelkan isi permintaan di alat ini, lengkapi kolom lainnya yang wajib diisi, lalu klik Jalankan.

Respons berisi konfigurasi yang diperbarui. Misalnya, tampilannya mungkin terlihat seperti berikut:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Mengonfigurasi pembuatan rekomendasi peran

Sebelum memulai

Peran yang diperlukan

Izin yang diperlukan

Melihat konfigurasi Anda saat ini

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Memahami detail konfigurasi

Mengedit konfigurasi

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

API Explorer (browser)

Langkah selanjutnya