Diese Seite wurde von der Cloud Translation API übersetzt.

Erstellen von Rollenempfehlungen konfigurieren

Durch Ändern der Konfiguration des IAM-Recommenders können Sie anpassen, wie Ihre Rollenempfehlungen generiert werden. Auf dieser Seite wird erläutert, wie Sie die Konfiguration bearbeiten, um festzulegen, wie schnell Empfehlungen für Ihr Projekt generiert werden.

Obwohl der IAM-Recommender Rollenempfehlungen für eine Vielzahl von Ressourcen generiert, können Sie nur bearbeiten, wie Rollenempfehlungen für Projekte generiert werden.

Hinweise

Recommender API aktivieren.
Aktivieren Sie die API
Informieren Sie sich darüber, wie der IAM-Recommender Rollenempfehlungen generiert.
Installieren Sie die Google Cloud CLI.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, dessen IAM-Recommender Sie konfigurieren möchten, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von IAM-Rollenempfehlungen benötigen:

Konfigurationsdetails ansehen: IAM Recommender Viewer (roles/recommender.iamViewer)
Konfiguration ändern: IAM Recommender-Administrator (roles/recommender.iamAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren von IAM-Rollenempfehlungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Konfigurieren von IAM-Rollenempfehlungen erforderlich:

Konfigurationsdetails ansehen: recommender.iamPolicyRecommenderConfig.get
Ändern Sie Ihre Konfiguration: recommender.iamPolicyRecommenderConfig.get

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Aktuelle Konfiguration ansehen

Rufen Sie Ihre aktuelle Konfiguration auf, um zu sehen, wie viele Tage der IAM-Recommender wartet, bevor Rollenempfehlungen generiert werden.

Sie können die Konfiguration mit der gcloud CLI oder der REST API aufrufen.

gcloud

Verwenden Sie den Befehl gcloud beta recommender recommender-config describe, um die IAM-Recommender-Konfiguration abzurufen.

Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Führen Sie den Befehl gcloud beta recommendationser empfehlen-config describe aus:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

Die Antwort enthält die Konfiguration des IAM-Recommenders. Sie könnte beispielsweise so aussehen:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Verwenden Sie zum Abrufen Ihrer IAM-Recommender-Konfiguration die Methode projects.locations.recommenders.getConfig der Recommender API.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

PROJECT_NUMBER: Die numerische ID Ihres Google Cloud-Projekts.
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Die Antwort enthält die Konfiguration des IAM-Recommenders. Sie könnte beispielsweise so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Konfigurationsdetails verstehen

Der Inhalt einer Konfiguration hängt davon ab, für welchen Recommender die Konfiguration gilt. IAM-Recommender-Konfigurationen haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge aufgeführt sind:

name: Die Kennung für die Konfiguration im Format projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: Die Parameter, die der IAM-Recommender beim Generieren von Empfehlungen verwendet. Dieses Feld enthält die folgenden Parameter:
- minimum_observation_period: Die Anzahl der Tage, für die die Nutzungsdaten von Berechtigungen vom IAM-Recommender benötigt werden, um Rollenempfehlungen zu generieren.
etag: Eine Kennzeichnung für den aktuellen Status einer Konfiguration, die verwendet wird, um gleichzeitige Aktualisierungen zu verhindern. Jedes Mal, wenn sich die Konfiguration ändert, wird ein neuer ETag-Wert zugewiesen.
updateTime: Der Zeitstempel der letzten Aktualisierung der Konfiguration im UTC-Format (RFC 3339).
revisionId: Nur Ausgabe. Eine Kennung für die aktuelle Version der Konfiguration. Dieser Wert wird jedes Mal aktualisiert, wenn die Konfiguration bearbeitet wird.

Konfiguration bearbeiten

Bearbeiten Sie Ihre Konfiguration, um festzulegen, wie schnell Empfehlungen für Ihr Projekt generiert werden.

gcloud

Verwenden Sie den Befehl gcloud beta recommender recommender-config update, um die Konfiguration des IAM-Recommenders zu bearbeiten.

Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

OBSERVATION_PERIOD: Der minimale Beobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration. Sie finden es, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag der Antwort kopieren.
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Führen Sie den Befehl gcloud betarecommenderrecommender-config update aus:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

Die Antwort enthält die aktualisierte Konfiguration. Sie könnte zum Beispiel so aussehen:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Verwenden Sie die Methode projects.locations.recommenders.updateConfig der Recommender API, um die Konfiguration des IAM-Recommenders zu bearbeiten.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

PROJECT_NUMBER: Die numerische ID Ihres Google Cloud-Projekts.
OBSERVATION_PERIOD: Der minimale Beobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration. Sie finden es, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag der Antwort kopieren. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

JSON-Text der Anfrage:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

APIs Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

Die Antwort enthält die aktualisierte Konfiguration. Sie könnte zum Beispiel so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Erstellen von Rollenempfehlungen konfigurieren

Hinweise

Erforderliche Rollen

Erforderliche Berechtigungen

Aktuelle Konfiguration ansehen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Konfigurationsdetails verstehen

Konfiguration bearbeiten

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

APIs Explorer (Browser)

Nächste Schritte