Questa pagina è stata tradotta dall'API Cloud Translation.

Configura la generazione dei suggerimenti per i ruoli

Se modifichi la configurazione del motore per suggerimenti IAM, puoi personalizzare il modo vengono generati i suggerimenti sul ruolo. In questa pagina viene spiegato come modificare i tuoi per cambiare la velocità con cui vengono generati i suggerimenti per il tuo progetto.

Sebbene il motore per suggerimenti IAM generi suggerimenti sui ruoli per di risorse, puoi modificare solo il modo in cui vengono generati i suggerimenti in modo programmatico a gestire i progetti.

Prima di iniziare

Attiva l'API Recommender.
Abilita l'API
Scopri come il motore per suggerimenti IAM genera suggerimenti sui ruoli.
Installa Google Cloud CLI.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare i suggerimenti sui ruoli IAM, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto di cui vuoi configurare il motore per suggerimenti IAM:

Visualizza i dettagli di configurazione: Visualizzatore motore per suggerimenti IAM (roles/recommendationer.iamViewer)
Modifica la configurazione: Amministratore motore per suggerimenti IAM (roles/recommendationer.iamAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti le autorizzazioni necessarie per configurare i suggerimenti sui ruoli IAM. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per configurare i suggerimenti sui ruoli IAM sono necessarie le seguenti autorizzazioni:

Visualizza i dettagli di configurazione: recommender.iamPolicyRecommenderConfig.get
Modifica la configurazione: recommender.iamPolicyRecommenderConfig.get

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Visualizza la configurazione attuale

Visualizza la configurazione attuale per vedere per quanti giorni i dati sull'utilizzo delle autorizzazioni il motore per suggerimenti IAM attende prima di generare suggerimenti sui ruoli.

Puoi visualizzare la configurazione utilizzando gcloud CLI o l'API REST.

gcloud

Per ottenere la configurazione del motore per suggerimenti IAM, utilizza gcloud beta recommender recommender-config describe .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Esegui la gcloud beta RecommendationserRecommender-config describe :

Linux, macOS o Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

La risposta contiene la configurazione del motore per suggerimenti IAM. Ad esempio, avrà il seguente aspetto:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Per ottenere la configurazione del motore per suggerimenti IAM, utilizza projects.locations.recommenders.getConfig .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

PROJECT_NUMBER: il all'ID numerico del tuo progetto Google Cloud.
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

La risposta contiene la configurazione del motore per suggerimenti IAM. Ad esempio, avrà il seguente aspetto:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Informazioni sui dettagli di configurazione

I contenuti di una configurazione dipendono dal motore per suggerimenti a cui appartiene la configurazione . Le configurazioni del motore per suggerimenti IAM includono i seguenti componenti, non necessariamente in questo ordine:

name: l'identificatore della configurazione, nella modulo projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: i parametri utilizzati da Il motore per suggerimenti IAM utilizza durante la generazione dei suggerimenti. Questo campo contiene i seguenti parametri:
- minimum_observation_period: il numero di giorni di dati sull'utilizzo delle autorizzazioni che il motore per suggerimenti IAM ha bisogno per avviare generare suggerimenti sui ruoli.
etag: un identificatore dello stato attuale di una configurazione, per impedire aggiornamenti simultanei. Ogni volta che la configurazione cambia, viene Valore ETag assegnato.
updateTime: il timestamp dell'ora più recente in cui è stata aggiornata, in formato UTC (RFC 3339).
revisionId: solo output. Un identificatore per la revisione corrente della configurazione. Questo valore viene aggiornato ogni volta che la configurazione viene modificato.

Modifica la configurazione

Modifica la configurazione per cambiare la velocità con cui vengono generati i suggerimenti del progetto.

gcloud

Per modificare la configurazione del motore per suggerimenti IAM, utilizza gcloud beta recommender recommender-config update .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

OBSERVATION_PERIOD: il periodo minimo di osservazione che vuoi impostare. Utilizza uno dei seguenti valori: P30D (30 giorni), P60D (60 giorni) o P90D (90 giorni).
ETAG: l'ETag corrente della configurazione, che puoi trovare recuperando la configurazione attuale e copiando il valore del parametro campo etag della risposta.
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Salva i seguenti contenuti in un file denominato request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Esegui la Aggiornamento del motore per suggerimenti beta gcloud beta :

Linux, macOS o Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

La risposta contiene la configurazione aggiornata. Ad esempio, potrebbe avere il seguente aspetto:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Per modificare la configurazione del motore per suggerimenti IAM, utilizza projects.locations.recommenders.updateConfig .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

PROJECT_NUMBER: il all'ID numerico del tuo progetto Google Cloud.
OBSERVATION_PERIOD: il periodo minimo di osservazione che vuoi impostare. Utilizza uno dei seguenti valori: P30D (30 giorni), P60D (60 giorni) o P90D (90 giorni).
ETAG: l'ETag corrente della configurazione, che puoi trovare recuperando la configurazione attuale e copiando il valore del parametro campo etag della risposta. Utilizza le barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Corpo JSON della richiesta:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri pagina di riferimento del metodo. Sul lato destro della pagina si apre il riquadro Explorer API. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila tutti gli altri campi obbligatori e fai clic su Esegui.

La risposta contiene la configurazione aggiornata. Ad esempio, potrebbe avere il seguente aspetto:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Configura la generazione dei suggerimenti per i ruoli

Prima di iniziare

Ruoli obbligatori

Autorizzazioni obbligatorie

Visualizza la configurazione attuale

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Informazioni sui dettagli di configurazione

Modifica la configurazione

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorer API (browser)

Passaggi successivi