Configura la generazione di suggerimenti sui ruoli

Modificando la configurazione del motore per suggerimenti IAM, puoi personalizzare la generazione dei suggerimenti sui ruoli. In questa pagina viene spiegato come modificare la configurazione per cambiare la velocità con cui vengono generati i suggerimenti per il progetto.

Anche se il motore per suggerimenti IAM genera suggerimenti sui ruoli per una varietà di risorse, puoi modificare solo il modo in cui vengono generati i suggerimenti sui ruoli per i progetti.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare i suggerimenti sui ruoli IAM, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto di cui vuoi configurare il motore per suggerimenti IAM:

  • Visualizza i dettagli di configurazione: Visualizzatore motore per suggerimenti IAM (roles/recommender.iamViewer)
  • Modifica la configurazione: Amministratore motore per suggerimenti IAM (roles/recommender.iamAdmin)

Per saperne di più sulla concessione dei ruoli, vedi Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per configurare i suggerimenti sui ruoli IAM. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per configurare i ruoli IAM, sono necessarie le seguenti autorizzazioni:

  • Visualizza i dettagli di configurazione: recommender.iamPolicyRecommenderConfig.get
  • Modifica la configurazione: recommender.iamPolicyRecommenderConfig.get

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizzare la configurazione attuale

Visualizza la configurazione attuale per vedere quanti giorni di dati sull'utilizzo delle autorizzazioni è in attesa dal motore per suggerimenti IAM prima di generare i suggerimenti sui ruoli.

Puoi visualizzare la configurazione utilizzando l'interfaccia a riga di comando gcloud o l'API REST.

gcloud

Per ottenere la configurazione del motore per suggerimenti IAM, utilizza il comando gcloud beta recommender recommender-config describe.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Esegui il comando gcloud beta requester-config describe:

Linux, macOS o Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

La risposta contiene la configurazione del motore per suggerimenti IAM. Ad esempio, potrebbe avere il seguente aspetto: 

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Per ottenere la configurazione del motore per suggerimenti IAM, utilizza il metodo projects.locations.recommenders.getConfig dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_NUMBER: l'ID numerico del tuo progetto Google Cloud.
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo e URL HTTP: 

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene la configurazione del motore per suggerimenti IAM. Ad esempio, potrebbe avere il seguente aspetto: 

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Comprendere i dettagli della configurazione

I contenuti di una configurazione dipendono dal motore per cui viene consigliata la configurazione. Le configurazioni del motore per suggerimenti IAM hanno i seguenti componenti, non necessariamente in questo ordine:

  • name: l'identificatore per la configurazione, nel formato projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.

  • recommenderGenerationConfig: i parametri utilizzati dal motore per suggerimenti IAM durante la generazione dei suggerimenti. Questo campo contiene i seguenti parametri:

    • minimum_observation_period: numero di giorni di dati sull'utilizzo delle autorizzazioni di cui il motore per suggerimenti IAM deve iniziare a generare suggerimenti sui ruoli.

  • etag: un identificatore dello stato attuale di una configurazione, utilizzato per impedire aggiornamenti simultanei. Ogni volta che la configurazione cambia, viene assegnato un nuovo valore ETag.

  • updateTime: il timestamp dell'ultima volta in cui è stata aggiornata la configurazione, in formato UTC (RFC 3339).

  • revisionId: solo output. Un identificatore della revisione corrente della configurazione. Questo valore viene aggiornato ogni volta che la configurazione viene modificata.

Modifica la configurazione

Modifica la configurazione per cambiare la velocità con cui vengono generati i suggerimenti per il progetto.

gcloud

Per modificare la configurazione del motore per suggerimenti IAM, utilizza il comando gcloud beta recommender recommender-config update.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, apporta le seguenti sostituzioni:

  • OBSERVATION_PERIOD: il periodo di osservazione minimo che vuoi impostare. Utilizza uno dei seguenti valori: P30D (30 giorni), P60D (60 giorni) o P90D (90 giorni).
  • ETAG: l'ETag attuale della configurazione, che puoi trovare recuperando la configurazione attuale e copiando il valore del campo etag della risposta.
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

    • Salva i seguenti contenuti in un file denominato request.json: 

    {
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

    Esegui il comando gcloud beta requester-config update:

    Linux, macOS o Cloud Shell

    gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

    Windows (PowerShell)

    gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

    Windows (cmd.exe)

    gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

    La risposta contiene la configurazione aggiornata. Ad esempio, potrebbe avere il seguente aspetto: 

    etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Per modificare la configurazione del motore per suggerimenti IAM, utilizza il metodo projects.locations.recommenders.updateConfig dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_NUMBER: l'ID numerico del tuo progetto Google Cloud.
  • OBSERVATION_PERIOD: il periodo di osservazione minimo che vuoi impostare. Utilizza uno dei seguenti valori: P30D (30 giorni), P60D (60 giorni) o P90D (90 giorni).
  • ETAG: l'ETag attuale della configurazione, che puoi trovare recuperando la configurazione attuale e copiando il valore del campo etag della risposta. Utilizza le barre rovesciate per eseguire l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

    • Metodo e URL HTTP: 

    PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

    Corpo JSON richiesta: 

    {
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    La risposta contiene la configurazione aggiornata. Ad esempio, potrebbe avere il seguente aspetto: 

    {
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Passaggi successivi