En el recomendador de roles de IAM, se usan datos de acceso de IAM agregados, recopilados durante el uso de los servicios en Google Cloud, para proporcionar recomendaciones. Estos datos se usan principalmente con fines de cumplimiento.
En esta página, se explica cómo exportar los datos de acceso a BigQuery con la Servicio de transferencia de datos de BigQuery.
Si deseas exportar una instantánea de tus estadísticas y recomendaciones, consulta Exporta recomendaciones a BigQuery.
Antes de comenzar
Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.
Lee sobre las recomendaciones de roles.
Permisos necesarios
Para obtener los permisos que necesitas para crear una transferencia de datos, solicita a tu administrador que te otorgue el los siguientes roles de IAM:
-
Administrador de recursos de los controles de procesamiento de datos (
roles/dataprocessing.admin
) en tu organización -
Administrador de BigQuery (
roles/bigquery.admin
) en el proyecto al que exportarás los datos -
Para publicar notificaciones de tu transferencia a un tema de Pub/Sub existente, sigue estos pasos:
Visualizador de Pub/Sub (
roles/pubsub.viewer
) en el proyecto al que exportarás los datos -
Para publicar notificaciones sobre tu tema en un tema nuevo de Pub/Sub: Editor de Pub/Sub (
roles/pubsub.editor
) en el proyecto al que exportarás los datos
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Exporta los datos de acceso de IAM agregados
Si deseas exportar el historial de acceso de IAM agregado de tus proyectos a BigQuery, usa el Centro de transparencia y control para configurar una transferencia de datos:
En la consola de Google Cloud, ve a la página Privacidad y seguridad.
Selecciona tu organización en la lista desplegable y, luego, haz clic en Seleccionar.
Haz clic en Transparencia y control.
En la tabla Grupo de procesamiento de datos, haz clic en IAM.
En la sección Fuentes de datos de la página, haz clic en
Crear transferencia.En el campo Proyecto, haz clic en Explorar y, luego, selecciona el proyecto al que deseas exportar los datos. Si el proyecto no tiene habilitada la API del Servicio de transferencia de datos de BigQuery, haz clic en Habilitar API y espera a que se habilite.
Haga clic en Next.
Configurar la transferencia de datos:
- En el campo Nombre visible, ingresa un nombre visible para tu transferencia de datos.
En la sección Opciones de programa, elige cuándo comenzará la transferencia de datos y con qué frecuencia se ejecutará.
- Para elegir cuándo iniciar la transferencia, puedes dejar el valor predeterminado de Comenzar ahora o hacer clic en Comenzar a una hora determinada.
- En el campo Repeticiones, elige una opción para la frecuencia con la que se ejecutará la transferencia. Si eliges una opción que no sea Diariamente, tendrás opciones adicionales. Por ejemplo, si eliges Semanalmente, aparecerá una opción para que selecciones el día.
- En Start date and run time (Fecha de inicio y hora de ejecución), ingresa la fecha y hora para iniciar la transferencia. Si seleccionas Start now (Comenzar ahora), esta opción se inhabilitará.
En el campo ID de conjunto de datos, elige un conjunto de datos de BigQuery donde exportar los datos.
Puedes exportar datos a un conjunto de datos existente o crear un conjunto de datos nuevo:
- Para exportar datos a un conjunto de datos existente, haz clic en el campo ID del conjunto de datos y, luego, selecciona un conjunto de datos de la lista desplegable.
Para exportar datos a un conjunto de datos nuevo, haz clic en el campo ID del conjunto de datos, haz clic en Crear nuevo conjunto de datos y completa los campos en el panel Crea un conjunto de datos:
- En el campo ID del conjunto de datos, ingresa un ID para el conjunto de datos. Se permiten letras, números y guiones bajos.
- En la lista desplegable Ubicación de datos, selecciona Estados Unidos (EE.UU.) o Unión Europea (UE).
- Para habilitar el vencimiento de la tabla, selecciona Habilitar vencimiento de la tabla (opcional).
- Selecciona un método de encriptación (opcional). El método de encriptación predeterminado es clave de encriptación administrada por Google. Si seleccionas Clave de encriptación administrada por el cliente (CMEK), también debes seleccionar una clave administrada por el cliente.
La transferencia que configuraste estará en la misma región que el conjunto de datos y no se puede mover.
En el campo project_numbers, ingresa los números de los proyectos cuyos datos de acceso de IAM agregados deseas exportar. Si enumeras varios números de proyectos, sepáralos con comas. Puedes exportar datos para hasta 10 proyectos simultáneamente.
Para encontrar el número de un proyecto, haz lo siguiente:
En la consola de Google Cloud, ve a la página Configuración.
Selecciona tu proyecto.
Copia el ID del proyecto desde el campo Número del proyecto.
Habilita las notificaciones para la transferencia (opcional):
- Para habilitar las notificaciones de ejecuciones de transferencias fallidas, haz clic en el botón de activar o desactivar Notificaciones por correo electrónico. Si habilitas esta opción, el administrador de transferencias recibirá una notificación por correo electrónico cuando falle la ejecución de una transferencia.
- A fin de habilitar las notificaciones de Pub/Sub para tu transferencia, haz clic en Seleccionar un tema de Pub/Sub y, luego, selecciona o crea un tema.
Haz clic en Listo.
Si se te solicita, permite que IAM Recommender Aggregated Access Transfers acceda a tu Cuenta de Google.
Administra las transferencias de datos existentes
Puedes ver y administrar las transferencias en el Centro de control y transparencia, o en BigQuery:
Si deseas ver todas las transferencias agregadas de datos de acceso de IAM para tu organización, usa el Centro de transparencia y control:
En la consola de Google Cloud, ve a la página Privacidad y seguridad.
Selecciona tu organización en la lista desplegable y, luego, haz clic en Seleccionar.
Haz clic en Transparencia y control.
En la tabla Grupo de procesamiento de datos, haz clic en IAM. En la sección Transferencias de datos de la página, se enumeran todas las transferencias de datos de acceso de IAM agregadas para la organización.
Para administrar una transferencia individual, haz clic en el nombre de la transferencia.
Para ver todas las transferencias de datos en un proyecto, incluidas las transferencias de datos de acceso de IAM agregadas, usa BigQuery:
En la consola de Google Cloud, ve a la página Transferencia de datos.
Selecciona el proyecto al que exportaste los datos.
En la página Transferencias de datos, se muestran todas las transferencias de datos del proyecto, incluidas las transferencias agregadas de datos de acceso de IAM.
Para administrar una transferencia individual, haz clic en el nombre de la transferencia.
¿Qué sigue?
- Obtén información para exportar una instantánea de las recomendaciones y estadísticas.
- Descubre las prácticas recomendadas para usar las recomendaciones de funciones.
- Descubre cómo revisar y aplicar las recomendaciones.
- Learn how to disable role recommendations.