Rekomendasi peran IAM menggunakan data akses IAM gabungan, yang dikumpulkan selama penggunaan layanan di Google Cloud, untuk memberikan rekomendasi. Data ini terutama digunakan untuk tujuan kepatuhan.
Halaman ini menjelaskan cara mengekspor data akses tersebut ke BigQuery menggunakan BigQuery Data Transfer Service.
Jika Anda ingin mengekspor ringkasan insight dan rekomendasi, lihat Mengekspor rekomendasi ke BigQuery.
Sebelum memulai
Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.
Baca tentang rekomendasi peran.
Izin yang diperlukan
Untuk mendapatkan izin yang diperlukan guna membuat transfer data, minta administrator untuk memberi Anda peran IAM berikut:
-
Data Processing Controls Resource Admin (
roles/dataprocessing.admin) di organisasi Anda -
BigQuery Admin (
roles/bigquery.admin) di project tempat Anda akan mengekspor data -
Untuk memublikasikan notifikasi transfer ke topik Pub/Sub yang ada:
Pub/Sub Viewer (
roles/pubsub.viewer) di project tempat Anda akan mengekspor data -
Untuk memublikasikan notifikasi untuk topik Anda ke topik Pub/Sub baru:
Pub/Sub Editor (
roles/pubsub.editor) di project tempat Anda akan mengekspor data
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Mengekspor data akses IAM gabungan
Untuk mengekspor histori akses IAM gabungan project Anda ke BigQuery, gunakan Transparency and Control Center untuk menyiapkan transfer data:
Di konsol Google Cloud, buka halaman Privacy & Security.
Pilih organisasi Anda dari menu drop-down, lalu klik Pilih.
Klik Transparansi & kontrol.
Di tabel Grup pemrosesan data, klik IAM.
Di bagian Sumber data pada halaman, klik Buat transfer.
Di kolom Project, klik Browse, lalu pilih project tempat Anda ingin mengekspor data. Jika project belum mengaktifkan BigQuery Data Transfer Service API, klik Aktifkan API dan tunggu hingga API diaktifkan.
Klik Berikutnya.
Konfigurasikan transfer data:
- Di kolom Nama tampilan, masukkan nama tampilan untuk transfer data Anda.
Di bagian Schedule options, pilih kapan transfer data akan dimulai dan seberapa sering transfer data akan dijalankan.
- Untuk memilih kapan akan memulai transfer, Anda dapat membiarkan nilai default Start now, atau mengklik Start at a set time.
- Di kolom Repeats, pilih opsi seberapa sering transfer dijalankan. Jika Anda memilih opsi selain Harian, opsi tambahan tersedia. Misalnya, jika Anda memilih Mingguan, akan ada opsi yang muncul untuk memilih hari.
- Untuk Tanggal mulai dan waktu pelaksanaan, masukkan tanggal dan waktu untuk memulai transfer. Jika Anda memilih Mulai sekarang, opsi ini akan dinonaktifkan.
Di kolom Dataset ID, pilih set data BigQuery yang akan digunakan untuk mengekspor data.
Anda dapat mengekspor data ke set data yang ada, atau membuat set data baru:
- Untuk mengekspor data ke set data yang ada, klik kolom ID Set Data, lalu pilih set data dari menu drop-down.
Untuk mengekspor data ke set data baru, klik kolom Dataset ID, klik Create new dataset, dan isi kolom di panel Create dataset:
- Di kolom Dataset ID, masukkan ID untuk set data. Huruf, angka, dan garis bawah diperbolehkan.
- Dari menu drop-down Data location, pilih United States (US) atau European Union (EU).
- Opsional: Aktifkan masa berlaku tabel dengan memilih Enable table expiration.
- Opsional: Pilih metode enkripsi. Metode enkripsi default adalah kunci enkripsi yang dikelola Google. Jika memilih Kunci enkripsi yang dikelola pelanggan (CMEK), Anda juga harus memilih kunci yang dikelola pelanggan.
Transfer yang Anda siapkan akan berada di region yang sama dengan set data, dan tidak dapat dipindahkan.
Di kolom project_numbers, masukkan nomor project untuk project yang data akses IAM gabungannya ingin Anda ekspor. Jika Anda mencantumkan beberapa nomor project, pisahkan nomor project dengan koma. Anda dapat mengekspor data untuk maksimal 10 project sekaligus.
Untuk menemukan nomor project, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Settings.
Pilih project Anda.
Salin project ID dari kolom Project number.
Opsional: Aktifkan notifikasi untuk transfer Anda:
- Untuk mengaktifkan notifikasi transfer yang gagal, klik tombol Notifikasi email. Jika Anda mengaktifkan opsi ini, administrator transfer akan menerima notifikasi email saat proses transfer gagal.
- Untuk mengaktifkan notifikasi Pub/Sub untuk transfer Anda, klik Select a Pub/Sub topic, lalu pilih atau buat topik.
Klik Done.
Jika diminta, izinkan IAM Recommender Aggregated Access Transfers mengakses akun Google Anda.
Mengelola transfer data yang ada
Anda dapat melihat dan mengelola transfer di Pusat Transparansi dan Kontrol, atau di BigQuery:
Untuk melihat semua transfer data akses IAM gabungan untuk organisasi Anda, gunakan Pusat Transparansi dan Kontrol:
Di konsol Google Cloud, buka halaman Privacy & Security.
Pilih organisasi Anda dari menu drop-down, lalu klik Pilih.
Klik Transparansi & kontrol.
Di tabel Grup pemrosesan data, klik IAM. Bagian Pemindahan data di halaman mencantumkan semua transfer data akses IAM gabungan untuk organisasi Anda.
Untuk mengelola setiap transfer, klik nama tampilan transfer.
Untuk melihat semua transfer data dalam project, termasuk transfer data akses IAM gabungan, gunakan BigQuery:
Di konsol Google Cloud, buka halaman Transfer data.
Pilih project tempat Anda mengekspor data.
Halaman Transfer data menampilkan semua transfer data untuk project Anda, termasuk transfer data akses IAM gabungan.
Untuk mengelola setiap transfer, klik nama tampilan transfer.
Langkah selanjutnya
- Pelajari cara mengekspor ringkasan rekomendasi dan insight Anda.
- Pahami praktik terbaik untuk menggunakan rekomendasi peran.
- Cari tahu cara meninjau dan menerapkan rekomendasi.
- Pelajari cara menonaktifkan rekomendasi peran.