En modifiant la configuration de l'outil de recommandation IAM, vous pouvez personnaliser vos recommandations de rôle sont générées. Cette page vous explique comment modifier vos pour modifier la vitesse à laquelle les recommandations sont générées projet.
Même si l'outil de recommandation IAM génère des recommandations vous ne pouvez modifier que la façon dont les recommandations de rôle sont générées projets.
Avant de commencer
-
Enable the Recommender API.
- Découvrez comment l'outil de recommandation IAM génère des recommandations de rôle.
- Installez Google Cloud CLI.
Rôles requis
Pour obtenir les autorisations dont vous avez besoin pour configurer les recommandations de rôle IAM, demandez à votre administrateur de vous accorder le les rôles IAM suivants sur le projet dont vous souhaitez configurer l'outil de recommandation IAM:
- Affichez les détails de la configuration: Lecteur de l'outil de recommandation IAM (roles/recommender.iamViewer)
- Modifiez votre configuration : Administrateur de l'outil de recommandation IAM (roles/recommender.iamAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour configurer les recommandations de rôles IAM. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour configurer les recommandations de rôle IAM:
-
Afficher les détails de la configuration :
recommender.iamPolicyRecommenderConfig.get
-
Modifiez votre configuration:
recommender.iamPolicyRecommenderConfig.update
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher votre configuration actuelle
Consultez votre configuration actuelle pour voir combien de jours de données d'utilisation des autorisations l'outil de recommandation IAM attend avant de générer des recommandations de rôle.
Vous pouvez afficher la configuration à l'aide de la CLI gcloud ou de l'API REST.
gcloud
Pour obtenir la configuration de l'outil de recommandation IAM d'un projet, utilisez le
gcloud beta recommender recommender-config describe
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.
Exécutez la commande gcloud beta recommender recommender-config describe :
Linux, macOS ou Cloud Shell
gcloud beta recommender recommender-config describe \ google.iam.policy.Recommender \ --project="PROJECT_ID" \ --location="global"
Windows (PowerShell)
gcloud beta recommender recommender-config describe ` google.iam.policy.Recommender ` --project="PROJECT_ID" ` --location="global"
Windows (cmd.exe)
gcloud beta recommender recommender-config describe ^ google.iam.policy.Recommender ^ --project="PROJECT_ID" ^ --location="global"
La réponse contient la configuration de l'outil de recommandation IAM du projet. Par exemple, il peut ressembler à ceci :
etag: '"d3e779ee3f34f276"' name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config recommenderGenerationConfig: params: minimum_observation_period: P90D revisionId: DEFAULT updateTime: '2022-10-02T22:57:33Z'
REST
Pour obtenir la configuration du recommender IAM d'un projet, utilisez la méthode projects.locations.recommenders.getConfig
de l'API Recommender.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
PROJECT_NUMBER
: ID numérique de votre projet Google Cloud.PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.
Méthode HTTP et URL :
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient la configuration de l'outil de recommandation IAM du projet. Par exemple, il peut peut se présenter comme suit:
{ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "P90D" } }, "etag": "\"d3e779ee3f34f276\"", "updateTime": "2022-10-02T22:57:33Z", "revisionId": "DEFAULT" }
Comprendre les détails de la configuration
Le contenu d'une configuration dépend du recommender auquel elle est destinée. Les configurations de l'outil de recommandation IAM incluent les composants suivants, nécessairement dans cet ordre:
name
: identifiant de la configuration, au format formulaireprojects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig
: paramètres utilisés par l'outil de recommandation IAM lors de la génération de recommandations. Ce champ contient les paramètres suivants :minimum_observation_period
: nombre de jours de données d'utilisation des autorisations dont l'outil de recommandation IAM a besoin pour commencer à générer des recommandations de rôle.
etag
: identifiant de l'état actuel d'une configuration pour empêcher les mises à jour simultanées. Chaque fois que la configuration change, Une valeur ETag est attribuée.updateTime
: code temporel de l'heure du dernier événement la configuration a été mise à jour, au format UTC (RFC 3339).revisionId
: sortie uniquement. Identifiant de la révision actuelle de la configuration. Cette valeur est mise à jour chaque fois que la configuration modifié.
Modifier votre configuration
Modifiez votre configuration afin de modifier la vitesse à laquelle les recommandations sont générées pour votre projet.
gcloud
Pour modifier la configuration de l'outil de recommandation IAM d'un projet, utilisez la
gcloud beta recommender recommender-config update
.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
OBSERVATION_PERIOD
: période d'observation minimale que vous souhaitez définir. Utilisez l'une des valeurs suivantes:P30D
(30 jours),P60D
(60 jours) ouP90D
(90 jours) -
ETAG
: etag actuel de la configuration, que vous pouvez obtenir en obtenant la configuration actuelle et en copiant la valeur du champetag
de la réponse. PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.
Enregistrez le code suivant dans un fichier nommé request.json
:
{ "params": { "minimum_observation_period": "OBSERVATION_PERIOD" } }
Exécutez la gcloud beta recommandeer-config update. commande:
Linux, macOS ou Cloud Shell
gcloud beta recommender recommender-config update \ google.iam.policy.Recommender \ --etag="ETAG" \ --project="PROJECT_ID" \ --location="global" \ --config-file="request.json"
Windows (PowerShell)
gcloud beta recommender recommender-config update ` google.iam.policy.Recommender ` --etag="ETAG" ` --project="PROJECT_ID" ` --location="global" ` --config-file="request.json"
Windows (cmd.exe)
gcloud beta recommender recommender-config update ^ google.iam.policy.Recommender ^ --etag="ETAG" ^ --project="PROJECT_ID" ^ --location="global" ^ --config-file="request.json"
La réponse contient la configuration mise à jour. Voici un exemple:
etag: '"2549af0942332910"' name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config recommenderGenerationConfig: params: minimum_observation_period: P60D revisionId: 288c60eb updateTime: '2022-10-05T21:42:21.069170Z'
REST
Pour modifier la configuration de l'outil de recommandation IAM d'un projet, utilisez l'API Recommender
projects.locations.recommenders.updateConfig
.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
PROJECT_NUMBER
: le l'ID numérique de votre projet Google Cloud.-
OBSERVATION_PERIOD
: période d'observation minimale que vous souhaitez définir. Utilisez l'une des valeurs suivantes:P30D
(30 jours),P60D
(60 jours) ouP90D
(90 jours) -
ETAG
: etag actuel de la configuration, que vous pouvez obtenir en obtenant la configuration actuelle et en copiant la valeur du champetag
de la réponse. Utilisez des barres obliques inverses pour échapper les guillemets (par exemple,"\"df7308cca9719dcc\""
PROJECT_ID
: ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles quemy-project
.
Méthode HTTP et URL :
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
Corps JSON de la requête :
{ "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "OBSERVATION_PERIOD" } }, "etag": "ETAG" }
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient la configuration mise à jour. Voici un exemple:
{ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config", "recommenderGenerationConfig": { "params": { "minimum_observation_period": "P60D" } }, "etag": "\"2549af0942332910\"", "updateTime": "2022-10-05T21:26:52.127512Z", "revisionId": "b5fc0053" }
Étape suivante
- Examinez et appliquez les recommandations de rôle pour les projets, dossiers et organisations.
- Examiner et appliquer les recommandations de rôle pour les buckets Cloud Storage
- Apprenez-en plus sur l'outil de recommandation.