导出角色建议数据

IAM 角色 Recommender 使用 Google Cloud 中的服务收集期间收集的汇总 IAM 访问数据来提供建议。这些数据主要用于合规性目的。

本页介绍如何使用 BigQuery Data Transfer Service 将访问数据导出到 BigQuery。

如果要导出数据分析和建议的快照,请参阅将建议导出到 BigQuery

须知事项

  • 启用 IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub API。

    启用 API

  • 了解角色建议

所需权限

如需获取创建数据传输所需的权限,请让管理员授予您以下 IAM 角色:

  • 您组织的数据处理控制资源管理员 (roles/dataprocessing.admin)
  • 您要将数据导出到的项目的 BigQuery Admin (roles/bigquery.admin)
  • 如需发布针对现有 Pub/Sub 主题的转移的通知,请针对您要导出数据到的项目启用 Pub/Sub Viewer (roles/pubsub.viewer)
  • 如需将主题的通知发布到新的 Pub/Sub 主题,请针对您要将数据导出到的目标项目执行以下操作:Pub/Sub Editor (roles/pubsub.editor)

如需详细了解如何授予角色,请参阅管理访问权限

您还可以通过自定义角色或其他预定义角色获取所需的权限。

导出汇总的 IAM 访问权限数据

要将项目的汇总 IAM 访问历史记录导出到 BigQuery,请使用透明度和控制中心设置数据传输作业:

  1. 在 Google Cloud Console 中,转到隐私权和安全页面。

    转到“隐私权和安全”

  2. 从下拉列表中选择您的组织,然后点击选择

  3. 点击透明度和控制

  4. 数据处理组表中,点击 IAM

  5. 在页面的数据源部分中,点击 创建传输作业

  6. 项目字段中,点击浏览,然后选择要向其中导出数据的项目。如果项目未启用 BigQuery Data Transfer Service API,请点击启用 API,然后等待该 API 启用。

  7. 点击下一步

  8. 配置数据传输:

    1. Display name 字段中,输入数据传输的显示名。

    2. 时间表选项部分,选择数据传输的开始时间和频率。

      • 要选择何时开始传输,您可以保留默认值立即开始,或点击在设置的时间开始
      • 重复频率字段中,选择传输作业的运行频率选项。如果您选择除"每日一次以外"的选项,则系统还会提供其他选项。例如,如果您选择每周一次,则系统会显示一个选项,供您选择星期几。
      • 开始日期和运行时间部分,输入开始转移作业的日期和时间。如果您选择的是立即开始,则系统会停用此选项。

    3. 数据集 ID 字段中,选择要导出数据的 BigQuery 数据集。

      您可以将数据导出到现有数据集,或创建新的数据集:

      • 要将数据导出到现有数据集,请点击数据集 ID 字段,然后从下拉列表中选择一个数据集。

      • 要将数据导出到新数据集,请点击数据集 ID字段,点击创建新数据集,然后填写创建数据集窗格:

        1. 数据集 ID 字段中,输入数据集的 ID。允许使用字母、数字和下划线。
        2. 数据位置下拉列表中,选择美国 (US)欧盟 (EU)
        3. 可选:选择启用表过期时间,以启用表过期时间
        4. 可选:选择加密方法。默认加密方法是 Google 管理的加密密钥。如果您选择客户管理的加密密钥 (CMEK),则还必须选择客户管理的密钥

      您设置的传输作业将与数据集位于同一地区,并且无法移动。

    4. project_numbers 字段中,输入要导出的汇总 IAM 访问数据的项目编号。如果列出了多个项目编号,请使用英文逗号分隔项目编号。您一次最多可以导出 10 个项目的数据。

      要查找项目编号,请执行以下操作:

      1. 在 Google Cloud 控制台中,转到设置页面。

        转到“设置”

      2. 选择您的项目。

      3. 项目编号字段中复制项目 ID。

    5. 可选:为传输作业启用通知:

      • 如需为失败的传输作业运行启用通知,请点击电子邮件通知切换开关。启用此选项后,传输作业管理员会在传输作业运行失败时收到电子邮件通知。
      • 如需为传输作业启用 Pub/Sub 通知,请点击选择 Pub/Sub 主题,然后选择或创建主题。

  9. 点击完成

  10. 如果出现提示,请允许 IAM Recommender Aggregated Access Transfer 访问您的 Google 帐号。

管理现有数据传输

您可以在透明度和控制中心或 BigQuery 中查看和管理传输:

  • 如需查看贵组织的所有汇总的 IAM 访问权限数据传输,请使用透明度和控制中心:

    1. 在 Google Cloud Console 中,转到隐私权和安全页面。

      转到“隐私权和安全”

    2. 从下拉列表中选择您的组织,然后点击选择

    3. 点击透明度和控制

    4. 数据处理组表中,点击 IAM。页面的数据传输部分列出了所有汇总的 IAM 访问数据传输。

    5. 要管理单个传输作业,请点击传输作业的显示名。

  • 如需查看项目中的所有数据传输(包括汇总的 IAM 访问数据传输),请使用 BigQuery:

    1. 在 Google Cloud 控制台中,转到数据传输页面。

      转到“数据传输”

    2. 选择要向其中导出数据的项目。

    3. 数据传输作业页面会显示项目的所有数据传输作业,包括汇总的 IAM 访问权限数据传输作业。

    4. 要管理单个传输作业,请点击传输作业的显示名。

后续步骤