O recomendador de papéis do IAM usa Dados de acesso do IAM, coletados durante o uso dos serviços Google Cloud, para fornecer recomendações. Esses dados são usados principalmente para conformidade.
Esta página explica como exportar esses dados de acesso para o BigQuery usando a Serviço de transferência de dados do BigQuery:
Se você quiser exportar um resumo dos seus insights e recomendações, consulte Exportar recomendações para no BigQuery.
Antes de começar
Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.
Leia sobre as recomendações de papéis.
Permissões necessárias
Para receber as permissões necessárias para criar uma transferência de dados, peça ao administrador para conceder a você os seguintes papéis do IAM:
-
Administrador de recursos de controles de processamento de dados (
roles/dataprocessing.admin
) na sua organização -
Administrador do BigQuery (
roles/bigquery.admin
) no projeto que receberá os dados exportados -
Para publicar notificações sobre sua transferência em um tópico existente do Pub/Sub, siga estas etapas:
Leitor do Pub/Sub (
roles/pubsub.viewer
) no projeto para o qual os dados serão exportados -
Para publicar notificações sobre seu tópico em um novo tópico do Pub/Sub:
Editor do Pub/Sub (
roles/pubsub.editor
) no projeto para onde você vai exportar dados
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Exportar dados de acesso agregado do IAM
Para exportar o histórico de acesso agregado do IAM dos seus projetos para o BigQuery, use a Central de transparência e controle para configurar uma transferência de dados:
No Console do Google Cloud, acesse a página Privacidade e segurança.
Selecione a organização na lista suspensa e clique em Selecionar.
Clique em Transparência e controle.
Na tabela Grupo de processamento de dados, clique em IAM.
Na seção Origens de dados da página, clique em
Criar transferência.No campo Projeto, clique em Procurar e selecione o projeto para o qual você quer exportar dados. Se o projeto não tiver a API BigQuery Data Transfer Service ativada, clique em Ativar API e aguarde até que a API esteja ativada.
Clique em Next.
Configurar a transferência de dados
- No campo Nome de exibição, insira um nome de exibição para sua transferência de dados.
Na seção Opções de programação, escolha quando a transferência de dados será iniciada e com que frequência ela será executada.
- Para escolher quando iniciar a transferência, use o valor padrão Começar agora ou clique em Começar no horário definido.
- No campo Repetições, escolha uma opção de frequência de execução da transferência. Se você escolher uma opção diferente de "Diário", outras opções estarão disponíveis. Por exemplo, se você escolher "Semanal", aparecerá uma opção para selecionar o dia da semana.
- Para Data e hora de início, insira a data e a hora para iniciar a transferência. Se você escolher Iniciar agora, essa opção ficará desativada.
No campo ID do conjunto de dados, escolha um conjunto de dados do BigQuery para onde os dados serão exportados.
Você pode exportar dados para um conjunto de dados existente ou criar um novo conjunto de dados:
- Para exportar dados para um conjunto de dados existente, clique no campo ID do conjunto de dados e selecione um conjunto de dados na lista suspensa.
Para exportar dados para um novo conjunto de dados, clique no campo ID do conjunto de dados, clique em Criar novo conjunto de dados e preencha os campos no painel Criar conjunto de dados:
- No campo ID do conjunto de dados, insira um ID para o conjunto de dados. Letras, números e sublinhados são permitidos.
- Na lista suspensa Local dos dados, selecione Estados Unidos (EUA) ou União Europeia (UE).
- Opcional: ative a validade da tabela selecionando Ativar expiração da tabela.
- Opcional: selecione um método de criptografia. O método de criptografia padrão é a Chave de criptografia gerenciada pelo Google. Se você selecionar a chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês), também será necessário selecionar uma chave gerenciada pelo cliente.
A transferência configurada ficará na mesma região do conjunto de dados e não poderá ser movida.
No campo project_numbers, insira os números dos projetos cujos dados de acesso agregado do IAM você quer exportar. Para listar vários números de projeto, separe-os com vírgulas. É possível exportar dados de até 10 projetos por vez.
Para encontrar o número de um projeto, faça o seguinte:
No console do Google Cloud, abra a página Configurações.
Selecione o projeto.
Copie o ID do projeto no campo Número do projeto.
Opcional: ative as notificações para sua transferência:
- Para ativar notificações para execuções de transferência com falha, clique no botão Notificações por e-mail. Quando essa opção está ativada, o administrador de transferência recebe uma notificação por e-mail quando uma execução de transferência falha.
- Para ativar as notificações do Pub/Sub para sua transferência, clique em Selecionar um tópico do Pub/Sub e selecione ou crie um tópico.
Clique em Concluído.
Se solicitado, permita que o IAM Recommender Aggregated Access Transfers acesse sua Conta do Google.
Gerenciar transferências de dados existentes
É possível ver e gerenciar transferências na Central de transparência e controle ou no BigQuery:
Para visualizar todas as transferências de dados de acesso agregado do IAM para a organização, use a Central de transparência e controle:
No Console do Google Cloud, acesse a página Privacidade e segurança.
Selecione a organização na lista suspensa e clique em Selecionar.
Clique em Transparência e controle.
Na tabela Grupo de processamento de dados, clique em IAM. A seção Transferências de dados da página lista todas as transferências de dados de acesso do IAM agregadas para sua organização.
Para gerenciar uma transferência individual, clique no nome de exibição dela.
Para visualizar todas as transferências de dados em um projeto, incluindo transferências de dados de acesso agregado do IAM, use o BigQuery:
No console do Google Cloud, acesse a página Transferências de dados.
Selecione o projeto para onde você exportou dados.
A página Transferências de dados mostrará todas as transferências de dados do seu projeto, incluindo transferências de dados de acesso agregado do IAM.
Para gerenciar uma transferência individual, clique no nome de exibição dela.
A seguir
- Saiba como exportar um snapshot das suas recomendações e insights.
- Entenda as práticas recomendadas para usar recomendações de papéis.
- Saiba como analisar e aplicar as recomendações.
- Saiba como desativar as recomendações de papel.