Generierung von Rollenempfehlungen konfigurieren

Wenn Sie Ihre IAM-Recommender-Konfiguration ändern, können Sie festlegen, wie Ihre Rollenempfehlungen generiert werden. Auf dieser Seite wird erläutert, wie Sie Ihre Konfiguration bearbeiten, um die Schnelligkeit der Erstellung von Empfehlungen für Ihr Projekt zu ändern.

Obwohl der IAM-Recommender Rollenempfehlungen für eine Vielzahl von Ressourcen generiert, können Sie nur bearbeiten, wie Rollenempfehlungen für Projekte generiert werden.

Hinweise

Recommender API aktivieren.
Aktivieren Sie die API
Hier erfahren Sie, wie der IAM-Recommender Rollenempfehlungen generiert.
Installieren Sie die Google Cloud CLI.

Erforderliche Rollen

Zum Abrufen der Berechtigungen, die Sie zum Konfigurieren von IAM-Rollenempfehlungen benötigen, müssen Sie Ihren Administrator bitten, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, dessen IAM-Recommender Sie konfigurieren möchten:

Konfigurationsdetails ansehen: IAM Recommender-Betrachter (roles/recommender.iamViewer)
Ändern Sie die Konfiguration: IAM Recommender-Administrator (roles/recommender.iamAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren von IAM-Rollenempfehlungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um IAM-Rollenempfehlungen zu konfigurieren:

Konfigurationsdetails ansehen: recommender.iamPolicyRecommenderConfig.get
Ändern Sie die Konfiguration: recommender.iamPolicyRecommenderConfig.get

Sie können diese Berechtigungen möglicherweise auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen abrufen.

Aktuelle Konfiguration abrufen

Sehen Sie sich Ihre aktuelle Konfiguration an, um zu sehen, wie viele Tage die Nutzungsdaten für Berechtigungen vom IAM-Recommender warten, bevor Sie Rollenempfehlungen generieren.

Sie können sich die Konfiguration mit der gcloud CLI oder der REST API ansehen.

gcloud

Verwenden Sie den Befehl gcloud beta recommender recommender-config describe, um die IAM-Recommender-Konfiguration abzurufen.

Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Führen Sie den Befehl gcloud betarecommenderrecommender-configdescribe aus:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

Die Antwort enthält Ihre IAM-Recommender-Konfiguration. Es könnte so aussehen:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Verwenden Sie die Methode projects.locations.recommenders.getConfig der Recommender API, um die IAM-Recommender-Konfiguration abzurufen.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

PROJECT_NUMBER: Die numerische ID des Google Cloud-Projekts.
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud CLI angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch in der gcloud CLI anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Die Antwort enthält Ihre IAM-Recommender-Konfiguration. Es könnte so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Konfigurationsdetails

Der Inhalt einer Konfiguration hängt davon ab, für welchen Recommender die Konfiguration vorgesehen ist. IAM-Recommender-Konfigurationen haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge sind:

name: Die Kennung für die Konfiguration im Format projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: Die Parameter, die der IAM-Recommender zum Generieren von Empfehlungen verwendet. Dieses Feld enthält die folgenden Parameter:
- minimum_observation_period: Die Anzahl der Tage, an denen Berechtigungsnutzungsdaten vom IAM-Recommender benötigt werden, um Rollenempfehlungen zu generieren.
etag: Eine Kennung für den aktuellen Status einer Konfiguration. Sie wird verwendet, um gleichzeitige Aktualisierungen zu verhindern. Bei jeder Änderung der Konfiguration wird ein neuer ETag-Wert zugewiesen.
updateTime: Der Zeitstempel der letzten Aktualisierung der Konfiguration im UTC-Format (RFC 3339).
revisionId: Nur Ausgabe. Eine Kennung für die aktuelle Überarbeitung der Konfiguration. Dieser Wert wird bei jeder Bearbeitung der Konfiguration aktualisiert.

Konfiguration bearbeiten

Sie können in Ihrer Konfiguration ändern, wie schnell Empfehlungen für Ihr Projekt generiert werden.

gcloud

Verwenden Sie den Befehl gcloud beta recommender recommender-config update, um die IAM-Recommender-Konfiguration zu bearbeiten.

Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

OBSERVATION_PERIOD: Der Mindestintervall für die Beobachtung, den Sie festlegen möchten. Verwende einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration. Sie finden es, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag der Antwort kopieren.
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Speichern Sie den folgenden Inhalt in einer Datei namens request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Führen Sie den Befehl gcloud betarecommenderrecommender-config update aus:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

Die Antwort enthält die aktualisierte Konfiguration. Das kann zum Beispiel so aussehen:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Verwenden Sie die Methode projects.locations.recommenders.updateConfig der Recommender API, um die IAM-Recommender-Konfiguration zu bearbeiten.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

PROJECT_NUMBER: Die numerische ID des Google Cloud-Projekts.
OBSERVATION_PERIOD: Der Mindestintervall für die Beobachtung, den Sie festlegen möchten. Verwende einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration. Sie finden es, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag der Antwort kopieren. Verwenden Sie umgekehrte Schrägstriche, um Anführungszeichen zu maskieren, z. B. "\"df7308cca9719dcc\"".
PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

JSON-Text der Anfrage:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

API Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

Die Antwort enthält die aktualisierte Konfiguration. Das kann zum Beispiel so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Generierung von Rollenempfehlungen konfigurieren

Hinweise

Erforderliche Rollen

Erforderliche Berechtigungen

Aktuelle Konfiguration abrufen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Konfigurationsdetails

Konfiguration bearbeiten

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

API Explorer (Browser)

Nächste Schritte