Der IAM-Rollen-Recommender verwendet aggregierte IAM-Zugriffsdaten, die bei der Nutzung von Diensten in Google Cloud erfasst werden, um Empfehlungen zu geben. Diese Daten werden hauptsächlich für zur Einhaltung von Richtlinien.
Auf dieser Seite wird erläutert, wie Sie Daten, die auf BigQuery zugreifen, mithilfe der Methode BigQuery Data Transfer Service
Informationen zum Exportieren einer Übersicht Ihrer Statistiken und Empfehlungen finden Sie unter Empfehlungen exportieren nach BigQuery
Hinweis
Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.
Lesen Sie die Rollenempfehlungen.
Erforderliche Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Datenübertragung benötigen:
-
Administrator von Ressourcen für Datenverarbeitungssteuerungen (
roles/dataprocessing.admin
) in Ihrer Organisation -
BigQuery-Administrator (
roles/bigquery.admin
) für das Projekt, in das Sie Daten exportieren. -
So veröffentlichen Sie Benachrichtigungen für Ihre Übertragung in einem vorhandenen Pub/Sub-Thema: Pub/Sub-Betrachter (
roles/pubsub.viewer
) für das Projekt, in das Sie Daten exportieren -
So veröffentlichen Sie Benachrichtigungen für Ihr Thema in einem neuen Pub/Sub-Thema: Pub/Sub-Bearbeiter (
roles/pubsub.editor
) für das Projekt, in das Sie Daten exportieren
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Aggregierte IAM-Zugriffsdaten exportieren
Verwenden Sie zum Exportieren des aggregierten IAM-Zugriffsverlaufs Ihrer Projekte auf BigQuery das Zentrum für Transparenz und Kontrolle, um eine Datenübertragung einzurichten:
Rufen Sie in der Google Cloud Console die Seite Datenschutz und Sicherheit auf.
Wählen Sie Ihre Organisation aus der Drop-down-Liste aus und klicken Sie dann auf Auswählen.
Klicken Sie auf Transparenz und Kontrolle.
Klicken Sie in der Tabelle Datenverarbeitungsgruppe auf IAM.
Klicken Sie auf der Seite im Abschnitt Datenquellen auf
Übertragung erstellen.Klicken Sie im Feld Projekt auf Durchsuchen und wählen Sie das Projekt aus, in das Sie Daten exportieren möchten. Wenn die BigQuery Data Transfer Service API für das Projekt nicht aktiviert ist, klicken Sie auf API aktivieren und warten Sie, bis die API aktiviert ist.
Klicken Sie auf Next (Weiter).
Konfigurieren Sie die Datenübertragung:
- Geben Sie im Feld Anzeigename einen Anzeigenamen für die Datenübertragung ein.
Wählen Sie im Abschnitt Zeitplanoptionen aus, wann die Datenübertragung beginnen und wie oft sie ausgeführt werden soll.
- Sie können für den Start der Übertragung den Standardwert Jetzt starten übernehmen oder auf Zu festgelegter Zeit beginnen klicken.
- Wählen Sie im Feld Wiederholungen eine Option aus, um festzulegen, wie oft die Übertragung ausgeführt werden soll. Wenn Sie eine andere Option als "Täglich" auswählen, sind zusätzliche Optionen verfügbar. Wenn Sie beispielsweise Wöchentlich auswählen, wird eine Option zur Auswahl des Wochentags angezeigt.
- Geben Sie für Startdatum und Laufzeit das Datum und die Uhrzeit für den Start der Übertragung ein. Wenn Sie Jetzt starten auswählen, ist diese Option deaktiviert.
Wählen Sie im Feld Dataset-ID ein BigQuery-Dataset aus, in das die Daten exportiert werden sollen.
Sie können Daten in ein vorhandenes Dataset exportieren oder ein neues Dataset erstellen:
- Um Daten in ein vorhandenes Dataset zu exportieren, klicken Sie auf das Feld Dataset-ID und wählen ein Dataset aus der Drop-down-Liste aus.
Um Daten in ein neues Dataset zu exportieren, klicken Sie auf das Feld Dataset-ID, dann auf Neues Dataset erstellen und füllen die Felder im Bereich Dataset erstellen aus:
- Geben Sie im Feld Dataset-ID eine ID für das Dataset ein. Es sind Buchstaben, Ziffern und Unterstriche zulässig.
- Wählen Sie in der Drop-down-Liste Speicherort der Daten entweder USA (US) oder Europäische Union (EU) aus.
- Optional: Aktivieren Sie den Tabellenablauf durch Auswahl von Tabellenablauf aktivieren.
- Optional: Wählen Sie eine Verschlüsselungsmethode aus. Die Standardverschlüsselungsmethode ist Von Google verwaltete Verschlüsselungsschlüssel. Wenn Sie Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) auswählen, müssen Sie auch einen vom Kunden verwalteten Schlüssel festlegen.
Die von Ihnen eingerichtete Übertragung befindet sich in derselben Region wie das Dataset und kann nicht verschoben werden.
Geben Sie im Feld project_numbers die Projektnummern für die Projekte ein, deren aggregierte IAM-Zugriffsdaten Sie exportieren möchten. Wenn Sie mehrere Projektnummern auflisten möchten, trennen Sie die Projektnummern durch Kommas. Sie können Daten für bis zu 10 Projekte gleichzeitig exportieren.
So finden Sie die Nummer eines Projekts:
Öffnen Sie in der Google Cloud Console die Seite Einstellungen.
Wählen Sie Ihr Projekt aus.
Kopieren Sie die Projekt-ID aus dem Feld Projektnummer.
Optional: Aktivieren Sie Benachrichtigungen für die Übertragung:
- Klicken Sie auf die Ein-/Aus-Schaltfläche E-Mail-Benachrichtigungen, um Benachrichtigungen für fehlgeschlagene Übertragungen zu aktivieren. Wenn Sie diese Option aktivieren, erhält der Übertragungsadministrator eine E-Mail-Benachrichtigung, wenn eine Übertragung fehlschlägt.
- Um Pub/Sub-Benachrichtigungen für Ihre Übertragung zu aktivieren, klicken Sie auf Pub/Sub-Thema auswählen und wählen Sie ein Thema aus oder erstellen Sie ein Thema.
Klicken Sie auf Fertig.
Gewähren Sie IAM Recommender Aggregated Access Transfers (Zusammengefasste Zugriffsübertragungen für IAM-Empfehlungen) Zugriff auf Ihr Google-Konto, wenn Sie dazu aufgefordert werden.
Vorhandene Datenübertragungen verwalten
Sie können Ihre Übertragungen im "Zentrum für Transparenz und Kontrolle" oder in BigQuery aufrufen und verwalten:
Mit dem "Zentrum für Transparenz und Kontrolle" können Sie alle aggregierten IAM-Datenübertragungen für Ihre Organisation aufrufen:
Rufen Sie in der Google Cloud Console die Seite Datenschutz und Sicherheit auf.
Wählen Sie Ihre Organisation aus der Drop-down-Liste aus und klicken Sie dann auf Auswählen.
Klicken Sie auf Transparenz und Kontrolle.
Klicken Sie in der Tabelle Datenverarbeitungsgruppe auf IAM. Im Abschnitt Datenübertragungen auf der Seite werden alle aggregierten IAM-Zugriffsdaten für Ihre Organisation aufgeführt.
Zum Verwalten einer einzelnen Übertragung klicken Sie auf den Anzeigenamen der Übertragung.
Um alle Datenübertragungen in einem Projekt aufzurufen, einschließlich der Übertragungen aggregierter IAM-Zugriffsdaten, verwenden Sie BigQuery:
Rufen Sie in der Google Cloud Console die Seite Datenübertragungen auf.
Wählen Sie das Projekt aus, in das Sie Daten exportiert haben.
Auf der Seite Datenübertragungen werden alle Datenübertragungen für Ihr Projekt angezeigt, einschließlich der Übertragungen aggregierter IAM-Zugriffsdaten.
Zum Verwalten einer einzelnen Übertragung klicken Sie auf den Anzeigenamen der Übertragung.
Nächste Schritte
- Snapshots Ihrer Empfehlungen und Statistiken exportieren
- Best Practices für die Verwendung von Rollenempfehlungen
- Empfehlungen lesen und anwenden.
- Erfahren Sie, wie Sie Rollenempfehlungen deaktivieren.