Durch Ändern der Konfiguration des IAM-Recommenders können Sie anpassen, wie Ihre Rollenempfehlungen generiert werden. Auf dieser Seite wird erläutert, wie Sie die Konfiguration bearbeiten, um festzulegen, wie schnell Empfehlungen für Ihr Projekt generiert werden.
Obwohl der IAM-Recommender Rollenempfehlungen für eine Vielzahl von Ressourcen generiert, können Sie nur bearbeiten, wie Rollenempfehlungen für Projekte generiert werden.
Hinweise
-
Recommender API aktivieren.
- Informieren Sie sich darüber, wie der IAM-Recommender Rollenempfehlungen generiert.
- Installieren Sie die Google Cloud CLI.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, dessen IAM-Recommender Sie konfigurieren möchten, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von IAM-Rollenempfehlungen benötigen:
- Konfigurationsdetails ansehen: IAM Recommender Viewer (roles/recommender.iamViewer)
- Konfiguration ändern: IAM Recommender-Administrator (roles/recommender.iamAdmin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren von IAM-Rollenempfehlungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind zum Konfigurieren von IAM-Rollenempfehlungen erforderlich:
-
Konfigurationsdetails ansehen:
recommender.iamPolicyRecommenderConfig.get
-
Ändern Sie Ihre Konfiguration:
recommender.iamPolicyRecommenderConfig.get
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Aktuelle Konfiguration ansehen
Rufen Sie Ihre aktuelle Konfiguration auf, um zu sehen, wie viele Tage der IAM-Recommender wartet, bevor Rollenempfehlungen generiert werden.
Sie können die Konfiguration mit der gcloud CLI oder der REST API aufrufen.
gcloud
Verwenden Sie den Befehl gcloud beta recommender recommender-config describe
, um die IAM-Recommender-Konfiguration abzurufen.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
Führen Sie den Befehl gcloud beta recommendationser empfehlen-config describe aus:
Linux, macOS oder Cloud Shell
gcloud beta recommender recommender-config describe \ google.iam.policy.Recommender \ --project="PROJECT_ID" \ --location="global"
Windows (PowerShell)
gcloud beta recommender recommender-config describe ` google.iam.policy.Recommender ` --project="PROJECT_ID" ` --location="global"
Windows (cmd.exe)
gcloud beta recommender recommender-config describe ^ google.iam.policy.Recommender ^ --project="PROJECT_ID" ^ --location="global"
Die Antwort enthält die Konfiguration des IAM-Recommenders. Sie könnte beispielsweise so aussehen:
etag: '"d3e779ee3f34f276"' name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config recommenderGenerationConfig: params: minimum_observation_period: P90D revisionId: DEFAULT updateTime: '2022-10-02T22:57:33Z'
REST
Verwenden Sie zum Abrufen Ihrer IAM-Recommender-Konfiguration die Methode projects.locations.recommenders.getConfig
der Recommender API.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
PROJECT_NUMBER
: Die numerische ID Ihres Google Cloud-Projekts.PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Konfiguration des IAM-Recommenders. Sie könnte beispielsweise so aussehen:
{ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "P90D" } }, "etag": "\"d3e779ee3f34f276\"", "updateTime": "2022-10-02T22:57:33Z", "revisionId": "DEFAULT" }
Konfigurationsdetails verstehen
Der Inhalt einer Konfiguration hängt davon ab, für welchen Recommender die Konfiguration gilt. IAM-Recommender-Konfigurationen haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge aufgeführt sind:
name
: Die Kennung für die Konfiguration im Formatprojects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
.recommenderGenerationConfig
: Die Parameter, die der IAM-Recommender beim Generieren von Empfehlungen verwendet. Dieses Feld enthält die folgenden Parameter:minimum_observation_period
: Die Anzahl der Tage, für die die Nutzungsdaten von Berechtigungen vom IAM-Recommender benötigt werden, um Rollenempfehlungen zu generieren.
etag
: Eine Kennzeichnung für den aktuellen Status einer Konfiguration, die verwendet wird, um gleichzeitige Aktualisierungen zu verhindern. Jedes Mal, wenn sich die Konfiguration ändert, wird ein neuer ETag-Wert zugewiesen.updateTime
: Der Zeitstempel der letzten Aktualisierung der Konfiguration im UTC-Format (RFC 3339).revisionId
: Nur Ausgabe. Eine Kennung für die aktuelle Version der Konfiguration. Dieser Wert wird jedes Mal aktualisiert, wenn die Konfiguration bearbeitet wird.
Konfiguration bearbeiten
Bearbeiten Sie Ihre Konfiguration, um festzulegen, wie schnell Empfehlungen für Ihr Projekt generiert werden.
gcloud
Verwenden Sie den Befehl gcloud beta recommender recommender-config update
, um die Konfiguration des IAM-Recommenders zu bearbeiten.
Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:
-
OBSERVATION_PERIOD
: Der minimale Beobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte:P30D
(30 Tage),P60D
(60 Tage) oderP90D
(90 Tage). -
ETAG
: Das aktuelle ETag der Konfiguration. Sie finden es, indem Sie die aktuelle Konfiguration abrufen und den Wert des Feldsetag
der Antwort kopieren. PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json
:
{ "params": { "minimum_observation_period": "OBSERVATION_PERIOD" } }
Führen Sie den Befehl gcloud betarecommenderrecommender-config update aus:
Linux, macOS oder Cloud Shell
gcloud beta recommender recommender-config update \ google.iam.policy.Recommender \ --etag="ETAG" \ --project="PROJECT_ID" \ --location="global" \ --config-file="request.json"
Windows (PowerShell)
gcloud beta recommender recommender-config update ` google.iam.policy.Recommender ` --etag="ETAG" ` --project="PROJECT_ID" ` --location="global" ` --config-file="request.json"
Windows (cmd.exe)
gcloud beta recommender recommender-config update ^ google.iam.policy.Recommender ^ --etag="ETAG" ^ --project="PROJECT_ID" ^ --location="global" ^ --config-file="request.json"
Die Antwort enthält die aktualisierte Konfiguration. Sie könnte zum Beispiel so aussehen:
etag: '"2549af0942332910"' name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config recommenderGenerationConfig: params: minimum_observation_period: P60D revisionId: 288c60eb updateTime: '2022-10-05T21:42:21.069170Z'
REST
Verwenden Sie die Methode projects.locations.recommenders.updateConfig
der Recommender API, um die Konfiguration des IAM-Recommenders zu bearbeiten.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
PROJECT_NUMBER
: Die numerische ID Ihres Google Cloud-Projekts.-
OBSERVATION_PERIOD
: Der minimale Beobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte:P30D
(30 Tage),P60D
(60 Tage) oderP90D
(90 Tage). -
ETAG
: Das aktuelle ETag der Konfiguration. Sie finden es, indem Sie die aktuelle Konfiguration abrufen und den Wert des Feldsetag
der Antwort kopieren. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B."\"df7308cca9719dcc\""
. PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
JSON-Text der Anfrage:
{ "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "OBSERVATION_PERIOD" } }, "etag": "ETAG" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die aktualisierte Konfiguration. Sie könnte zum Beispiel so aussehen:
{ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "P60D" } }, "etag": "\"2549af0942332910\"", "updateTime": "2022-10-05T21:26:52.127512Z", "revisionId": "b5fc0053" }
Nächste Schritte
- Rollenempfehlungen für Projekte, Ordner und Organisationen prüfen und anwenden
- Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden
- Recommender