Menemukan akun layanan dengan izin pergerakan lateral

Halaman ini menunjukkan cara mengelola insight pergerakan lateral, yang mengidentifikasi peran yang memungkinkan akun layanan di satu project untuk meniru akun layanan di project lain. Untuk informasi selengkapnya tentang insight gerakan lateral, lihat Cara insight gerakan lateral dihasilkan.

Insight gerakan lateral terkadang terkait dengan rekomendasi peran. Rekomendasi peran menyarankan tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang diidentifikasi oleh insight gerakan lateral.

Sebelum memulai

Peran yang diperlukan

Untuk mendapatkan izin yang Anda butuhkan untuk mengelola insight pergerakan lateral, minta administrator Anda untuk memberi Anda peran IAM berikut di project, folder, atau organisasi yang insight-nya ingin Anda kelola:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Peran bawaan ini berisi izin yang diperlukan untuk mengelola insight gerakan lateral. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengelola insight gerakan lateral:

  • Untuk melihat insight gerakan lateral:
    • recommender.iamPolicyLateralMovementInsights.get
    • recommender.iamPolicyLateralMovementInsights.list
  • Untuk mengubah insight gerakan lateral: recommender.iamPolicyLateralMovementInsights.update

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Buat daftar insight gerakan lateral

Untuk mencantumkan semua insight gerakan lateral untuk project, folder, atau organisasi Anda, gunakan salah satu metode berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Pilih project, folder, atau organisasi.

Kolom Insight keamanan menampilkan semua insight terkait keamanan untuk project Anda, termasuk insight gerakan lateral. Insight gerakan lateral memiliki bentuk N service account impersonations, dengan N adalah jumlah akun layanan yang dapat ditiru oleh akun layanan dalam binding peran.

gcloud

Gunakan perintah gcloud recommender insights list untuk melihat semua insight gerakan lateral untuk project, folder, atau organisasi Anda.

Sebelum menjalankan perintah, ganti nilai berikut:

  • RESOURCE_TYPE: Jenis resource yang ingin Anda buat daftar insightnya. Gunakan nilai project, folder, atau organization.
  • RESOURCE_ID: ID project, folder, atau organisasi yang ingin Anda cantumkan insight-nya. 
gcloud recommender insights list --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

Output-nya mencantumkan semua insight gerakan lateral untuk project, folder, atau organisasi Anda. Contoh: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE              DESCRIPTION
046f8b89-bcee-46cd-9ac4-06818ed5273a  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
1328df82-5af2-4493-9850-d8ede4e72b27  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-2@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.
17f50957-333c-4f21-86c1-6a62216b309e  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-3@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.
187200d2-b42c-48fb-86d7-c2746a87fed2  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-4@another-project.iam.gserviceaccount.com from another project can impersonate 32 service account(s) under this project.
1f1740a4-ff98-4f64-99a4-5ef5df5a2097  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-5@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.

REST

Metode insights.list Recommender API mencantumkan semua insight gerakan lateral untuk project, folder, atau organisasi Anda.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis referensi yang ingin Anda cantumkan insight. Gunakan nilai projects, folders, atau organizations.
  • RESOURCE_ID: ID project, folder, atau organisasi yang ingin Anda cantumkan insight-nya.
  • PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Metode HTTP dan URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Responsnya mencantumkan semua insight gerakan lateral untuk project, folder, atau organisasi Anda. Contoh: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
      "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
      "content": {
        "impersonator": {
          "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
          "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
          "isGoogleManaged": false
        },
        "targetServiceAccounts": [
          "target-service-account-1@this-project.iam.gserviceaccount.com",
          "target-service-account-2@this-project.iam.gserviceaccount.com"
        ],
        "impersonationPolicy": {
          "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
          "role": "roles/editor",
          "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
          "condition": {
            "expression": "",
            "title": "",
            "description": "",
            "location": ""
          }
        },
        "impersonationPermissionUsage": [
          {
            "permission": "iam.serviceAccounts.actAs"
            "used": false
          }
        ],
        "hasPermissionUsageData": true
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
      "etag": "\"f48fa6a1b15c7741\"",
      "severity": "LOW"
    }
  ]
}

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight gerakan lateral di halaman ini.

Dapatkan insight gerakan lateral tunggal

Untuk mendapatkan informasi selengkapnya tentang satu insight, termasuk deskripsi, status, dan rekomendasi apa pun yang terkait dengan insight, gunakan salah satu metode berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Pilih project, folder, atau organisasi.

  3. Di kolom Insight keamanan, klik insight gerakan lateral. Insight gerakan lateral memiliki bentuk N service account impersonations, dengan N adalah jumlah akun layanan yang dapat ditiru oleh akun layanan dalam binding peran.

Konsol Google Cloud akan membuka panel yang menampilkan detail insight.

gcloud

Gunakan perintah gcloud recommender insights describe dengan ID insight Anda untuk melihat informasi tentang satu insight.

  • INSIGHT_ID: ID insight yang ingin Anda lihat. Untuk menemukan ID, cantumkan insight untuk project, folder, atau organisasi Anda.
  • RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda kelola. Gunakan nilai project, folder, atau organization.
  • RESOURCE_ID: ID project, folder, atau organisasi yang ingin Anda kelola insightnya. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

Output menampilkan insight secara mendetail. Misalnya, insight berikut menunjukkan bahwa kebijakan IAM pada project 123456789012 mengizinkan sa-1@another-project.iam.gserviceaccount.com meniru identitas target-service-account-1@this-project.iam.gserviceaccount.com dan target-service-account-2@this-project.iam.gserviceaccount.com. 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f
category: SECURITY
content:
  hasPermissionUsageData: true
  impersonationPermissionUsage:
  - permission: iam.serviceAccounts.actAs
    used: false
  impersonationPolicy:
    condition:
      description: ''
      expression: ''
      location: ''
      title: ''
    member: serviceAccount:sa-1@another-project.iam.gserviceaccount.com
    resource: //cloudresourcemanager.googleapis.com/projects/123456789012
    role: roles/editor
  impersonator:
    isGoogleManaged: false
    serviceAccount: sa-1@another-project.iam.gserviceaccount.com
    serviceAccountOwner: //cloudresourcemanager.googleapis.com/projects/987654321098
  targetServiceAccounts:
  - target-service-account-1@this-project.iam.gserviceaccount.com
  - target-service-account-2@this-project.iam.gserviceaccount.com
description: Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
etag: '"f48fa6a1b15c7741"'
insightSubtype: CROSS_PROJECT_IMPERSONATION
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
observationPeriod: 7776000s
severity: LOW
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight gerakan lateral di halaman ini.

REST

Metode insights.get Recommender API mendapatkan satu insight.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda kelola. Gunakan nilai projects, folders, atau organizations.
  • RESOURCE_ID: ID project, folder, atau organisasi yang ingin Anda kelola insightnya.
  • INSIGHT_ID: ID insight yang ingin Anda lihat. Jika tidak tahu ID insight tersebut, Anda dapat menemukannya dengan mencantumkan insight di project, folder, atau organisasi. ID insight adalah semuanya setelah insights/ di kolom name untuk insight.
  • PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Metode HTTP dan URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi wawasan. Misalnya, insight berikut menunjukkan bahwa kebijakan IAM pada project 123456789012 mengizinkan sa-1@another-project.iam.gserviceaccount.com meniru identitas target-service-account-1@this-project.iam.gserviceaccount.com dan target-service-account-2@this-project.iam.gserviceaccount.com. 

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
  "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
  "content": {
    "impersonator": {
      "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
      "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
      "isGoogleManaged": false
    },
    "targetServiceAccounts": [
      "target-service-account-1@this-project.iam.gserviceaccount.com",
      "target-service-account-2@this-project.iam.gserviceaccount.com"
    ],
    "impersonationPolicy": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "role": "roles/editor",
      "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
      "condition": {
        "expression": "",
        "title": "",
        "description": "",
        "location": ""
      }
    },
    "impersonationPermissionUsage": [
      {
        "permission": "iam.serviceAccounts.actAs"
        "used": false
      }
    ],
    "hasPermissionUsageData": true
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
  "etag": "\"f48fa6a1b15c7741\"",
  "severity": "LOW"
}

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight gerakan lateral di halaman ini.

Tinjau insight gerakan lateral

Setelah mendapatkan satu insight, Anda dapat meninjau kontennya untuk memahami pola penggunaan resource yang disorotnya.

Konsol

Saat Anda mengklik insight pergerakan lateral di Konsol Google Cloud, Konsol Google Cloud akan membuka panel yang menampilkan detail insight. Tampilan detail ini bergantung pada apakah insight tersebut dikaitkan dengan rekomendasi atau tidak.

Jika insight dikaitkan dengan rekomendasi, panel akan menampilkan detail rekomendasi.

Jika insight tidak dikaitkan dengan rekomendasi, panel akan menampilkan hal berikut:

  • Project origin akun layanan: Project tempat akun layanan dengan izin peniruan identitas dibuat.

  • Akun layanan yang dapat ditiru identitasnya dalam project ini. Daftar semua akun layanan dalam project saat ini yang dapat ditiru oleh akun layanan dengan izin peniruan identitas.

  • Izin yang mengizinkan peniruan identitas dalam project: Daftar izin peniruan identitas yang dimiliki akun layanan.

  • Izin saat ini: Daftar semua izin akun layanan.

gcloud

Konten insight ditentukan oleh subjenisnya. Insight gerakan lateral (google.iam.policy.LateralMovementInsight) memiliki subjenis CROSS_PROJECT_IMPERSONATION.

Insight CROSS_PROJECT_IMPERSONATION memiliki komponen berikut, tidak harus dalam urutan berikut:

  • associatedRecommendations: ID untuk semua rekomendasi yang terkait dengan insight. Jika tidak ada rekomendasi yang terkait dengan insight, kolom ini kosong.
  • category: Kategori untuk insight IAM selalu SECURITY.

  • content: Melaporkan detail kemampuan akun layanan untuk meniru identitas akun layanan di project lain. Kolom ini berisi komponen berikut:

    • hasPermissionUsageData: Nilai boolean yang menunjukkan apakah ada data penggunaan izin untuk binding peran ini. Data penggunaan izin menunjukkan apakah izin dalam binding peran telah digunakan. Data ini tidak tersedia untuk binding peran bersyarat.
    • impersonationPermissionUsage: Daftar izin peniruan identitas dan informasi penggunaannya. Jika izin digunakan dalam 90 hari terakhir, izin tersebut dianggap telah digunakan. Jika tidak, file akan dianggap tidak digunakan.

      Jika hasPermissionUsageData bernilai salah, kolom impersonationPermissionUsage akan kosong.

    • impersonationPolicy: Informasi tentang binding peran yang memberikan izin peniruan identitas akun layanan.
    • impersonator: Detail tentang akun layanan yang memiliki izin untuk meniru identitas akun layanan di project Anda, termasuk akun berikut:
      • isGoogleManaged: Apakah akun layanan dimiliki dan dikelola oleh Google.
      • serviceAccount: Alamat email akun layanan.
      • serviceAccountOwner: Project yang memiliki akun layanan. Jika Google memiliki akun layanan, nilai kolom ini adalah Google managed. Jika project di luar organisasi Anda memiliki akun layanan, nilai kolom ini adalah Unknown to your org.
    • targetServiceAccounts: Daftar akun layanan yang dapat ditiru identitasnya oleh akun layanan di kolom impersonator. Jika peniru identitas dapat meniru lebih dari 1.500 akun layanan, daftar ini akan kosong. Untuk mempelajari berapa banyak akun layanan yang dapat ditiru oleh peniru identitas, lihat kolom description.
  • description: Ringkasan insight yang dapat dibaca manusia.

  • etag: ID unik untuk status insight saat ini. Setiap kali insight berubah, nilai etag baru akan ditetapkan.

    Untuk mengubah status insight, Anda harus memberikan etag insight yang ada. Menggunakan etag akan membantu memastikan bahwa operasi apa pun hanya dilakukan jika insight tidak berubah sejak terakhir kali Anda mengambilnya.

  • insightSubtype: Subjenis insight.
  • lastRefreshTime: Tanggal saat insight terakhir diperbarui, yang menunjukkan keaktualan data yang digunakan untuk membuat insight.

  • name: Nama insight, dalam format berikut:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

    Placeholder memiliki nilai berikut:

    • RESOURCE_TYPE: Jenis resource yang menghasilkan insight.
    • RESOURCE_ID: ID project, folder, atau organisasi tempat insight dihasilkan.
    • INSIGHT_ID: ID unik untuk insight.
  • observationPeriod: Jangka waktu menuju insight. Data sumber yang digunakan untuk membuat insight berakhir pada lastRefreshTime dan dimulai pada lastRefreshTime dikurangi observationPeriod.
  • severity: Tingkat keparahan insight. Semua insight gerakan lateral memiliki tingkat keparahan LOW.

  • stateInfo: Insight melalui beberapa transisi status setelah diusulkan:

    • ACTIVE: Insight telah dibuat, tetapi belum ada tindakan yang diambil atau tindakan yang diambil tanpa memperbarui status insight. Insight aktif diperbarui saat data pokok berubah.
    • ACCEPTED: Beberapa tindakan telah dilakukan berdasarkan insight. Insight diterima jika rekomendasi terkait ditandai sebagai CLAIMED, SUCCEEDED, atau FAILED, atau insight diterima secara langsung. Saat insight berada dalam status ACCEPTED, isi insight tidak dapat berubah. Insight yang diterima akan dipertahankan selama 90 hari setelah diterima.
  • targetResources: Nama resource lengkap organisasi, folder, project, atau akun layanan yang menjadi tujuan insight. Misalnya, //cloudresourcemanager.googleapis.com/projects/123456789012.

REST

Konten insight ditentukan oleh subjenisnya. Insight gerakan lateral (google.iam.policy.LateralMovementInsight) memiliki subjenis CROSS_PROJECT_IMPERSONATION.

Insight CROSS_PROJECT_IMPERSONATION memiliki komponen berikut, tidak harus dalam urutan berikut:

  • associatedRecommendations: ID untuk semua rekomendasi yang terkait dengan insight. Jika tidak ada rekomendasi yang terkait dengan insight, kolom ini kosong.
  • category: Kategori untuk insight IAM selalu SECURITY.

  • content: Melaporkan detail kemampuan akun layanan untuk meniru identitas akun layanan di project lain. Kolom ini berisi komponen berikut:

    • hasPermissionUsageData: Nilai boolean yang menunjukkan apakah ada data penggunaan izin untuk binding peran ini. Data penggunaan izin menunjukkan apakah izin dalam binding peran telah digunakan. Data ini tidak tersedia untuk binding peran bersyarat.
    • impersonationPermissionUsage: Daftar izin peniruan identitas dan informasi penggunaannya. Jika izin digunakan dalam 90 hari terakhir, izin tersebut dianggap telah digunakan. Jika tidak, file akan dianggap tidak digunakan.

      Jika hasPermissionUsageData bernilai salah, kolom impersonationPermissionUsage akan kosong.

    • impersonationPolicy: Informasi tentang binding peran yang memberikan izin peniruan identitas akun layanan.
    • impersonator: Detail tentang akun layanan yang memiliki izin untuk meniru identitas akun layanan di project Anda, termasuk akun berikut:
      • isGoogleManaged: Apakah akun layanan dimiliki dan dikelola oleh Google.
      • serviceAccount: Alamat email akun layanan.
      • serviceAccountOwner: Project yang memiliki akun layanan. Jika Google memiliki akun layanan, nilai kolom ini adalah Google managed. Jika project di luar organisasi Anda memiliki akun layanan, nilai kolom ini adalah Unknown to your org.
    • targetServiceAccounts: Daftar akun layanan yang dapat ditiru identitasnya oleh akun layanan di kolom impersonator. Jika peniru identitas dapat meniru lebih dari 1.500 akun layanan, daftar ini akan kosong. Untuk mempelajari berapa banyak akun layanan yang dapat ditiru oleh peniru identitas, lihat kolom description.
  • description: Ringkasan insight yang dapat dibaca manusia.

  • etag: ID unik untuk status insight saat ini. Setiap kali insight berubah, nilai etag baru akan ditetapkan.

    Untuk mengubah status insight, Anda harus memberikan etag insight yang ada. Menggunakan etag akan membantu memastikan bahwa operasi apa pun hanya dilakukan jika insight tidak berubah sejak terakhir kali Anda mengambilnya.

  • insightSubtype: Subjenis insight.
  • lastRefreshTime: Tanggal saat insight terakhir diperbarui, yang menunjukkan keaktualan data yang digunakan untuk membuat insight.

  • name: Nama insight, dalam format berikut:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

    Placeholder memiliki nilai berikut:

    • RESOURCE_TYPE: Jenis resource yang menghasilkan insight.
    • RESOURCE_ID: ID project, folder, atau organisasi tempat insight dihasilkan.
    • INSIGHT_ID: ID unik untuk insight.
  • observationPeriod: Jangka waktu menuju insight. Data sumber yang digunakan untuk membuat insight berakhir pada lastRefreshTime dan dimulai pada lastRefreshTime dikurangi observationPeriod.
  • severity: Tingkat keparahan insight. Semua insight gerakan lateral memiliki tingkat keparahan LOW.

  • stateInfo: Insight melalui beberapa transisi status setelah diusulkan:

    • ACTIVE: Insight telah dibuat, tetapi belum ada tindakan yang diambil atau tindakan yang diambil tanpa memperbarui status insight. Insight aktif diperbarui saat data pokok berubah.
    • ACCEPTED: Beberapa tindakan telah dilakukan berdasarkan insight. Insight diterima jika rekomendasi terkait ditandai sebagai CLAIMED, SUCCEEDED, atau FAILED, atau insight diterima secara langsung. Saat insight berada dalam status ACCEPTED, isi insight tidak dapat berubah. Insight yang diterima akan dipertahankan selama 90 hari setelah diterima.
  • targetResources: Nama resource lengkap organisasi, folder, project, atau akun layanan yang menjadi tujuan insight. Misalnya, //cloudresourcemanager.googleapis.com/projects/123456789012.

Tandai insight gerakan lateral sebagai ACCEPTED

Jika mengambil tindakan berdasarkan insight aktif, Anda dapat menandai insight tersebut sebagai ACCEPTED. Status ACCEPTED memberi tahu Recommender API bahwa Anda telah mengambil tindakan berdasarkan insight ini, yang membantu meningkatkan kualitas rekomendasi.

Insight yang diterima akan dipertahankan selama 90 hari setelah ditandai sebagai ACCEPTED.

Konsol

Jika insight dikaitkan dengan rekomendasi, menerapkan rekomendasi akan mengubah status insight menjadi ACCEPTED.

Untuk menandai insight sebagai ACCEPTED tanpa menerapkan rekomendasi, gunakan gcloud CLI atau REST API.

gcloud

Gunakan perintah gcloud recommender insights mark-accepted dengan ID insight Anda untuk menandai insight sebagai ACCEPTED.

  • INSIGHT_ID: ID insight yang ingin Anda lihat. Untuk menemukan ID, cantumkan insight untuk project, folder, atau organisasi Anda.
  • RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda kelola. Gunakan nilai project, folder, atau organization.
  • RESOURCE_ID: ID project, folder, atau organisasi yang ingin Anda kelola insightnya.

  • ETAG: ID untuk versi insight. Untuk mendapatkan etag, lakukan hal berikut:

    1. Dapatkan insight menggunakan perintah gcloud recommender insights describe.
    2. Temukan dan salin nilai etag dari output, termasuk tanda petik yang disertakan. Contoh, "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --etag=ETAG

Output menampilkan insight, sekarang dengan status ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f
category: SECURITY
content:
  hasPermissionUsageData: true
  impersonationPermissionUsage:
  - permission: iam.serviceAccounts.actAs
    used: false
  impersonationPolicy:
    condition:
      description: ''
      expression: ''
      location: ''
      title: ''
    member: serviceAccount:sa-1@another-project.iam.gserviceaccount.com
    resource: //cloudresourcemanager.googleapis.com/projects/123456789012
    role: roles/editor
  impersonator:
    isGoogleManaged: false
    serviceAccount: sa-1@another-project.iam.gserviceaccount.com
    serviceAccountOwner: //cloudresourcemanager.googleapis.com/projects/987654321098
  targetServiceAccounts:
  - target-service-account-1@this-project.iam.gserviceaccount.com
  - target-service-account-2@this-project.iam.gserviceaccount.com
description: Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
etag: '"f48fa6a1b15c7741"'
insightSubtype: CROSS_PROJECT_IMPERSONATION
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
observationPeriod: 7776000s
severity: LOW
stateInfo:
  state: ACCEPTED
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Untuk mempelajari info status insight lebih lanjut, lihat Meninjau insight gerakan lateral di halaman ini.

REST

Metode insights.markAccepted Recommender API menandai insight sebagai ACCEPTED.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda kelola. Gunakan nilai projects, folders, atau organizations.
  • RESOURCE_ID: ID project, folder, atau organisasi yang ingin Anda kelola insightnya.
  • INSIGHT_ID: ID insight yang ingin Anda lihat. Jika tidak tahu ID insight tersebut, Anda dapat menemukannya dengan mencantumkan insight di project, folder, atau organisasi. ID insight adalah semuanya setelah insights/ di kolom name untuk insight.
  • ETAG: ID untuk versi insight. Untuk mendapatkan etag, lakukan hal berikut:
    1. Dapatkan insight menggunakan metode insights.get.
    2. Temukan dan salin nilai etag dari respons.
  • PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

Metode HTTP dan URL: 

POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID:markAccepted

Meminta isi JSON: 

{
  "etag": "ETAG"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Responsnya berisi insight, sekarang dengan status ACCEPTED: 

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
  "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
  "content": {
    "impersonator": {
      "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
      "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
      "isGoogleManaged": false
    },
    "targetServiceAccounts": [
      "target-service-account-1@this-project.iam.gserviceaccount.com",
      "target-service-account-2@this-project.iam.gserviceaccount.com"
    ],
    "impersonationPolicy": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "role": "roles/editor",
      "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
      "condition": {
        "expression": "",
        "title": "",
        "description": "",
        "location": ""
      }
    },
    "impersonationPermissionUsage": [
      {
        "permission": "iam.serviceAccounts.actAs"
        "used": false
      }
    ],
    "hasPermissionUsageData": true
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
  "etag": "\"f48fa6a1b15c7741\"",
  "severity": "LOW"
}

Untuk mempelajari info status insight lebih lanjut, lihat Meninjau insight gerakan lateral di halaman ini.

Langkah selanjutnya