Cette page a été traduite par l'API Cloud Translation.

Configurer la génération de recommandations de rôle

En modifiant la configuration de l'outil de recommandation IAM, vous pouvez personnaliser vos recommandations de rôle sont générées. Cette page vous explique comment modifier vos pour modifier la vitesse à laquelle les recommandations sont générées projet.

Même si l'outil de recommandation IAM génère des recommandations vous ne pouvez modifier que la façon dont les recommandations de rôle sont générées projets.

Avant de commencer

Activez l'API Recommender
Activer l'API
Découvrez comment l'outil de recommandation IAM génère des recommandations de rôle.
Installez Google Cloud CLI.

Rôles requis

Pour obtenir les autorisations nécessaires à la configuration des recommandations de rôle IAM, demandez à votre administrateur de vous accorder le les rôles IAM suivants sur le projet dont vous souhaitez configurer l'outil de recommandation IAM:

Affichez les détails de la configuration: Lecteur de l'outil de recommandation IAM (roles/recommender.iamViewer)
Modifiez votre configuration: Administrateur de l'outil de recommandation IAM (roles/recommender.iamAdmin)

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ces rôles prédéfinis contiennent les autorisations requises pour configurer les recommandations de rôle IAM. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour configurer les recommandations de rôle IAM:

Affichez les détails de la configuration: recommender.iamPolicyRecommenderConfig.get
Modifiez votre configuration: recommender.iamPolicyRecommenderConfig.get

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Afficher votre configuration actuelle

Affichez votre configuration actuelle pour savoir combien de jours de données d'utilisation des autorisations l'outil de recommandation IAM attend avant de générer des recommandations de rôle.

Vous pouvez afficher la configuration à l'aide de gcloud CLI ou de l'API REST.

gcloud

Pour obtenir la configuration de l'outil de recommandation IAM, utilisez la gcloud beta recommender recommender-config describe .

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.

Exécutez la gcloud beta recommandeerrecommender-config describe. :

Linux, macOS ou Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

La réponse contient la configuration de votre outil de recommandation IAM. Par exemple, il pourrait se présente comme suit:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Pour obtenir la configuration de l'outil de recommandation IAM, utilisez la méthode projects.locations.recommenders.getConfig .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_NUMBER: le l'ID numérique de votre projet Google Cloud.
PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.

Méthode HTTP et URL :

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

La réponse contient la configuration de votre outil de recommandation IAM. Par exemple, il pourrait se présente comme suit:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Comprendre les détails de la configuration

Le contenu d'une configuration dépend de l'outil de recommandation. . Les configurations de l'outil de recommandation IAM incluent les composants suivants, nécessairement dans cet ordre:

name: identifiant de la configuration, au format formulaire projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig: paramètres que le paramètre que l'outil de recommandation IAM utilise lors de la génération de recommandations. Ce champ contient les paramètres suivants:
- minimum_observation_period: nombre de jours de données d'utilisation des autorisations que l'outil de recommandation IAM doit lancer générer des recommandations de rôle.
etag: identifiant de l'état actuel d'une configuration pour empêcher les mises à jour simultanées. Chaque fois que la configuration change, Une valeur ETag est attribuée.
updateTime: code temporel de l'heure du dernier événement la configuration a été mise à jour, au format UTC (RFC 3339).
revisionId: sortie uniquement. Identifiant de la révision actuelle de la configuration. Cette valeur est mise à jour chaque fois que la configuration modifié.

Modifier votre configuration

Modifiez votre configuration afin de modifier la vitesse à laquelle les recommandations sont générées pour votre projet.

gcloud

Pour modifier la configuration de l'outil de recommandation IAM, utilisez la gcloud beta recommender recommender-config update .

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

OBSERVATION_PERIOD: période d'observation minimale que vous souhaitez définir. Utilisez l'une des valeurs suivantes: P30D (30 jours), P60D (60 jours) ou P90D (90 jours)
ETAG: ETag actuel de la configuration, que vous pouvez trouver obtenir la configuration actuelle et copier la valeur du paramètre dans le champ etag de la réponse.
PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.

Enregistrez le code suivant dans un fichier nommé request.json :

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Exécutez la gcloud beta recommandeer-config update :

Linux, macOS ou Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

La réponse contient la configuration mise à jour. Voici un exemple:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Pour modifier la configuration de l'outil de recommandation IAM, utilisez l'API Recommender projects.locations.recommenders.updateConfig .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_NUMBER: le l'ID numérique de votre projet Google Cloud.
OBSERVATION_PERIOD: période d'observation minimale que vous souhaitez définir. Utilisez l'une des valeurs suivantes: P30D (30 jours), P60D (60 jours) ou P90D (90 jours)
ETAG: ETag actuel de la configuration, que vous pouvez trouver obtenir la configuration actuelle et copier la valeur du paramètre dans le champ etag de la réponse. Utilisez des barres obliques inverses pour échapper les guillemets (par exemple, "\"df7308cca9719dcc\""
PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.

Méthode HTTP et URL :

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Corps JSON de la requête :

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

APIs Explorer (navigateur)

Copiez le corps de la requête et ouvrez la page de référence de la méthode. Le panneau APIs Explorer s'ouvre dans la partie droite de la page. Vous pouvez interagir avec cet outil pour envoyer des requêtes. Collez le corps de la requête dans cet outil, renseignez tous les champs obligatoires, puis cliquez sur Execute (Exécuter).

La réponse contient la configuration mise à jour. Voici un exemple:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Configurer la génération de recommandations de rôle

Avant de commencer

Rôles requis

Autorisations requises

Afficher votre configuration actuelle

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Comprendre les détails de la configuration

Modifier votre configuration

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navigateur)

Étape suivante