Configurare la generazione di suggerimenti sui ruoli

Modificando la configurazione del motore per suggerimenti IAM, puoi personalizzare la modalità di generazione dei consigli sui ruoli. In questa pagina viene spiegato come modificare i tuoi per cambiare la velocità con cui vengono generati i suggerimenti per il tuo progetto.

Sebbene il motore per suggerimenti IAM generi suggerimenti sui ruoli per di risorse, puoi modificare solo il modo in cui vengono generati i suggerimenti in modo programmatico a gestire i progetti.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare i consigli sui ruoli IAM, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto di cui vuoi configurare il consigliatore IAM:

  • Visualizza i dettagli di configurazione: Visualizzatore motore per suggerimenti IAM (roles/suggester.iamViewer)
  • Modifica la configurazione: Amministratore motore per suggerimenti IAM (roles/recommendationer.iamAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti le autorizzazioni necessarie per configurare i suggerimenti sui ruoli IAM. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per configurare i consigli sui ruoli IAM sono necessarie le seguenti autorizzazioni:

  • Visualizza i dettagli di configurazione: recommender.iamPolicyRecommenderConfig.get
  • Modifica la configurazione: recommender.iamPolicyRecommenderConfig.update

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Visualizza la configurazione attuale

Visualizza la configurazione attuale per vedere per quanti giorni i dati sull'utilizzo delle autorizzazioni il motore per suggerimenti IAM attende prima di generare suggerimenti sui ruoli.

Puoi visualizzare la configurazione utilizzando l'interfaccia a riga di comando gcloud o l'API REST.

gcloud

Per ottenere la configurazione del motore per suggerimenti IAM di un progetto, utilizza il comando gcloud beta recommender recommender-config describe .

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Esegui la gcloud beta RecommendationserRecommender-config describe :

Linux, macOS o Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

La risposta contiene la configurazione del motore per suggerimenti IAM del progetto. Ad esempio, potrebbe avere il seguente aspetto: 

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Per ottenere la configurazione del motore per suggerimenti IAM di un progetto, utilizza projects.locations.recommenders.getConfig .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_NUMBER: l'ID numerico del tuo progetto Google Cloud.
  • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene la configurazione del motore per suggerimenti IAM del progetto. Ad esempio, potrebbe avere il seguente aspetto: 

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Informazioni sui dettagli di configurazione

I contenuti di una configurazione dipendono dal motore per suggerimenti a cui appartiene la configurazione . Le configurazioni del Recommender IAM hanno i seguenti componenti, non necessariamente in questo ordine:

  • name: l'identificatore della configurazione, nella modulo projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.

  • recommenderGenerationConfig: i parametri utilizzati da Il motore per suggerimenti IAM utilizza durante la generazione dei suggerimenti. Questo campo contiene i seguenti parametri:

    • minimum_observation_period: il numero di giorni di dati di utilizzo delle autorizzazioni di cui il motore per suggerimenti IAM ha bisogno per iniziare a generare consigli sui ruoli.

  • etag: un identificatore dello stato attuale di una configurazione, per impedire aggiornamenti simultanei. Ogni volta che la configurazione cambia, viene assegnato un nuovo valore ETag.

  • updateTime: il timestamp dell'ora più recente in cui è stata aggiornata, in formato UTC (RFC 3339).

  • revisionId: solo output. Un identificatore per la revisione corrente della configurazione. Questo valore viene aggiornato ogni volta che la configurazione viene modificata.

Modificare la configurazione

Modifica la configurazione per cambiare la velocità con cui vengono generati i suggerimenti del progetto.

gcloud

Per modificare la configurazione del motore per suggerimenti IAM di un progetto, utilizza gcloud beta recommender recommender-config update .

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

  • OBSERVATION_PERIOD: il periodo di osservazione minimo che vuoi impostare. Utilizza uno dei seguenti valori: P30D (30 giorni), P60D (60 giorni) o P90D (90 giorni).
  • ETAG: l'etag corrente della configurazione, che puoi trovare ottenendo la configurazione attuale e copiando il valore del campo etag della risposta.
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

    • Salva i seguenti contenuti in un file denominato request.json: 

    {
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

    Esegui la Aggiornamento del motore per suggerimenti beta di gcloud beta :

    Linux, macOS o Cloud Shell

    gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

    Windows (PowerShell)

    gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

    Windows (cmd.exe)

    gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

    La risposta contiene la configurazione aggiornata. Ad esempio, potrebbe avere il seguente aspetto: 

    etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Per modificare la configurazione del motore per suggerimenti IAM di un progetto, utilizza il metodo projects.locations.recommenders.updateConfig dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_NUMBER: l'ID numerico del tuo progetto Google Cloud.
  • OBSERVATION_PERIOD: il periodo minimo di osservazione che vuoi impostare. Utilizza uno dei seguenti valori: P30D (30 giorni), P60D (60 giorni) o P90D (90 giorni).
  • ETAG: l'etag attuale della configurazione, che puoi trovare recuperando la configurazione attuale e copiando il valore del parametro campo etag della risposta. Utilizza le barre oblique inverse per eseguire l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
  • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

    • Metodo HTTP e URL: 

    PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

    Corpo JSON della richiesta: 

    {
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

    Per inviare la richiesta, espandi una di queste opzioni:

    La risposta contiene la configurazione aggiornata. Ad esempio, potrebbe avere il seguente aspetto: 

    {
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Passaggi successivi