Diese Seite wurde von der Cloud Translation API übersetzt.

Statistiken zu Organisationsrichtlinien für Projekte, Ordner und Organisationen aufrufen

Auf dieser Seite wird beschrieben, wie Sie Richtlinienstatistiken für Organisationen verwalten. Das sind Ergebnisse zur Ressourcenkonfiguration und -nutzung. Mithilfe von Statistiken zu Organisationsrichtlinien können Sie Ressourcen ermitteln, die nicht durch Organisationsrichtlinien geschützt sind.

Statistiken zu Organisationsrichtlinien sind manchmal mit Empfehlungen zu Organisationsrichtlinien verknüpft. In den Empfehlungen zu Organisationsrichtlinien werden Maßnahmen vorgeschlagen, mit denen Sie die Probleme beheben können, die in den Statistiken zu Organisationsrichtlinien erkannt wurden.

Hinweise

Enable the Recommender API.
Enable the API
Machen Sie sich mit den Empfehlungen für Organisationsrichtlinien vertraut.
(Optional) Informieren Sie sich über Recommender-Statistiken.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Org Policy Recommender Admin (roles/recommender.orgPolicyAdmin) für die Ressource zuzuweisen, für die Sie Statistiken verwalten möchten (Projekt, Ordner oder Organisation), um die Berechtigungen zu erhalten, die Sie zum Aufrufen und Ändern von Statistiken zu Richtlinien für Organisationen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Aufrufen und Ändern von Statistiken zu Richtlinien für Organisationen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Statistiken zu Organisationsrichtlinien aufzurufen und zu ändern:

recommender.orgPolicyInsights.get
recommender.orgPolicyInsights.list
recommender.orgPolicyInsights.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Statistiken zu Organisationsrichtlinien auflisten

Verwenden Sie eine der folgenden Methoden, um alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten:

gcloud

Verwenden Sie den Befehl gcloud recommender insights list, um alle Statistiken zu Richtlinienverstößen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzurufen.

Ersetzen Sie vor dem Ausführen des Befehls die folgenden Werte:

RESOURCE_TYPE: Der Ressourcentyp, für den Sie Informationen auflisten möchten. Verwenden Sie den Wert project, folder oder organization.
RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.

gcloud recommender insights list --insight-type=google.orgpolicy.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

Die Ausgabe listet alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf. Beispiel:

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                                          DESCRIPTION
66d543f3-845d-49d6-a26b-80d84804d8a8  SECURITY  ACTIVE         2024-12-10T08:00:00Z  HIGH      RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION  Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.

REST

Die Methode insights.list der Recommender API listet alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken auflisten möchten. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.
PROJECT_ID: Die Projekt-ID Ihrer Google Cloud . Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights" | Select-Object -Expand Content

In der Antwort werden alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufgelistet. Beispiel:

[
  {
    "associatedRecommendations": [
      {
        "recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f"
      }
    ],
    "category": "SECURITY",
    "content": {
      "consolidatedPolicy": {
        "inheritFromParent": false,
        "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
        "policyRules": {
          "rules": [
            {
              "enforce": false
            }
          ]
        },
        "reset": false
      },
      "constraint": {
        "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
        "name": "Disable service account key creation"
      },
      "evaluatedResources": [
        {
          "numOfResources": "2",
          "resourceType": "iam.googleapis.com/ServiceAccountKey"
        },
        {
          "numOfResources": "1",
          "resourceType": "cloudresourcemanager.googleapis.com/Project"
        }
      ],
      "violations": [
        {
          "numOfResources": "0",
          "resourceType": "iam.googleapis.com/ServiceAccountKey"
        },
        {
          "numOfResources": "0",
          "resourceType": "cloudresourcemanager.googleapis.com/Project"
        }
      ]
    },
    "description": "Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"9a1ad019022f9f56\"",
    "insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8",
    "observationPeriod": "86400s",
    "severity": "HIGH",
    "stateInfo": {
      "state": "ACTIVE",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zu Organisationsrichtlinien prüfen.

Einzelne Richtlinienstatistik für eine Organisation abrufen

Wenn Sie weitere Informationen zu einer einzelnen Statistik abrufen möchten, einschließlich der Beschreibung, des Status und aller mit ihr verknüpften Empfehlungen, verwenden Sie eine der folgenden Methoden:

gcloud

Verwenden Sie den Befehl gcloud recommender insights describe mit Ihrer Statistik-ID, um Informationen zu einer einzelnen Statistik aufzurufen.

INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.
RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert project, folder oder organization.
RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.

gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.orgpolicy.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

In der Ausgabe sehen Sie die Statistik im Detail. Beispiel: Zwei Ressourcen werden auf externe Dienstkontoschlüssel geprüft und es werden keine Verstöße erkannt:

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
category: SECURITY
content:
  consolidatedPolicy:
    inheritFromParent: false
    name: 'projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation'
    policyRules:
      rules: [
        "enforce": false
      ]
    reset: false
  constraint: {
    id: constraints/iam.managed.disableServiceAccountKeyCreation
    name: Disable service account key creation
  }
  evaluatedResources:
  - numOfResources: '1'
    resourceType: cloudresourcemanager.googleapis.com/Project
  - numOfResources: '2'
    resourceType: iam.googleapis.com/ServiceAccountKey
  violations:
  - numOfResources: '0'
    resourceType: iam.googleapis.com/ServiceAccountKey
  - numOfResources: '0'
    resourceType: cloudresourcemanager.googleapis.com/Project
description: Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.
etag: '"34ddfdcefd214fd7"'
insightSubtype: RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION
lastRefreshTime: '2024-12-10T08:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8
observationPeriod: 86400s
severity: HIGH
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zu Organisationsrichtlinien prüfen.

REST

Die Methode insights.get der Recommender API ruft eine einzelne Statistik ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die Statistik-ID nicht kennen, können Sie sie in Ihrem Projekt, Ordner oder Ihrer Organisation finden, indem Sie die Statistiken auflisten. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.
PROJECT_ID: Die Projekt-ID Ihrer Google Cloud . Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID" | Select-Object -Expand Content

Die Antwort enthält die Statistik. Beispiel: Zwei Ressourcen werden auf externe Dienstkontoschlüssel geprüft und es werden keine Verstöße erkannt:

[
  {
    "associatedRecommendations": [
      {
        "recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f"
      }
    ],
    "category": "SECURITY",
    "content": {
      "consolidatedPolicy": {
        "inheritFromParent": false,
        "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
        "policyRules": {
          "rules": [
            {
              "enforce": false
            }
          ]
        },
        "reset": false
      },
      "constraint": {
        "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
        "name": "Disable service account key creation"
      },
      "evaluatedResources": [
        {
          "numOfResources": "1",
          "resourceType": "cloudresourcemanager.googleapis.com/Project"
        },
        {
          "numOfResources": "2",
          "resourceType": "iam.googleapis.com/ServiceAccountKey"
        }
      ],
      "violations": [
        {
          "numOfResources": "0",
          "resourceType": "iam.googleapis.com/ServiceAccountKey"
        },
        {
          "numOfResources": "0",
          "resourceType": "cloudresourcemanager.googleapis.com/Project"
        }
      ]
    },
    "description": "Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"9a1ad019022f9f56\"",
    "insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "lastRefreshTime": "2024-12-03T08:00:00Z",
    "name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8",
    "observationPeriod": "86400s",
    "severity": "HIGH",
    "stateInfo": {
      "state": "ACTIVE",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zu Organisationsrichtlinien prüfen.

Statistiken zu Organisationsrichtlinien prüfen

Nachdem Sie eine einzelne Statistik erhalten haben, können Sie deren Inhalt prüfen, um die Konfiguration der Organisationsrichtlinie für Ihre Ressourcen zu verstehen, einschließlich etwaiger Verstöße.

Statistiken zu Organisationsrichtlinien (google.orgpolicy.policy.Insight) haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
category: Die Kategorie für Statistiken zu Richtlinienverstößen ist immer SECURITY.
content: Hier finden Sie Details zu den analysierten Ressourcen und der analysierten Organisationsrichtlinie. Dieses Feld enthält die folgenden Komponenten:
- constraint: Die analysierte Einschränkung.
- consolidatedPolicy: Die Organisationsrichtlinie für die analysierte Ressource.
- evaluatedResources: Die Ressourcen, die zur Generierung der Statistik ausgewertet wurden.
- violations: Die Anzahl und die Typen der Ressourcen, die gegen die Richtlinien der Organisation verstoßen.
description: Eine menschenlesbare Zusammenfassung der Statistik.
etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

Wenn Sie den Status einer Statistik ändern möchten, müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.
insightSubtype: Der Statistikuntertyp.
lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.
name: Der Name der Statistik im folgenden Format:
```
RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID
```
Die Platzhalter haben folgende Werte:
- RESOURCE_TYPE: Der Ressourcentyp, für den der Insight generiert wurde.
- RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, in der die Statistik generiert wurde.
- INSIGHT_ID: Eine eindeutige ID für die Statistik.
observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.
severity: Der Schweregrad der Statistik. Statistiken zu Organisationsrichtlinien haben den Schweregrad HIGH.
stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:
- ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
- ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
targetResources: Der vollständige Ressourcenname des Projekts, des Ordners oder der Organisation, für die die Statistik bestimmt ist. Beispiel: //cloudresourcemanager.googleapis.com/projects/1234567890.

Statistik zu einer Organisationsrichtlinie als `ACCEPTED` markieren

Wenn Sie eine Aktion gemäß einer aktiven Statistik durchführen, können Sie diese Statistik als ACCEPTED markieren. Durch den Status ACCEPTED wird der Recommender API mitgeteilt, dass Sie gemäß dieser Statistik Aktionen durchgeführt haben, wodurch sich die Empfehlungen optimieren lassen.

Akzeptierte Statistiken werden 90 Tage lang aufbewahrt, nachdem sie als ACCEPTED markiert wurden.

gcloud

Verwenden Sie den Befehl gcloud recommender insights mark-accepted mit Ihrer Statistik-ID, um eine Statistik als ACCEPTED zu markieren.

INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.
RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert project, folder oder organization.
RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:
1. Rufen Sie die Statistik mit dem Befehl gcloud recommender insights describe ab.
2. Suchen Sie in der Ausgabe den etag-Wert und kopieren Sie ihn einschließlich der Anführungszeichen. Beispiel: "d3cdec23cc712bd0".

gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.orgpolicy.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --etag=ETAG

Die Ausgabe enthält jetzt die Statistik mit dem Status ACCEPTED:

associatedRecommendations:
- recommendation: folders/234567890123/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
category: SECURITY
content:
  consolidatedPolicy:
    inheritFromParent: false
    name: 'projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation'
    policyRules:
      rules: [
        "enforce": false
      ]
    reset: false
  constraint: {
    id: constraints/iam.managed.disableServiceAccountKeyCreation
    name: Disable service account key creation
  }
  evaluatedResources:
  - numOfResources: '0'
    resourceType: iam.googleapis.com/ServiceAccountKey
  - numOfResources: '1'
    resourceType: cloudresourcemanager.googleapis.com/Folder
  - numOfResources: '1'
    resourceType: cloudresourcemanager.googleapis.com/Project
  violations:
  - numOfResources: '0'
    resourceType: iam.googleapis.com/ServiceAccountKey
  - numOfResources: '0'
    resourceType: cloudresourcemanager.googleapis.com/Folder
  - numOfResources: '0'
    resourceType: cloudresourcemanager.googleapis.com/Project
description: Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyUpload.
etag: '"2cbb89b22fe2dab7"'
insightSubtype: RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD
lastRefreshTime: '2024-12-10T08:00:00Z'
name: folders/234567890123/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8
observationPeriod: 86400s
severity: HIGH
stateInfo:
  state: ACCEPTED
targetResources:
- //cloudresourcemanager.googleapis.com/folders/234567890123

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Statistiken zu Organisationsrichtlinien prüfen.

REST

Die Methode insights.markAccepted der Recommender API markiert eine Statistik als ACCEPTED.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die Statistik-ID nicht kennen, können Sie sie in Ihrem Projekt, Ordner oder Ihrer Organisation finden, indem Sie die Statistiken auflisten. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.
ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:
1. Rufen Sie die Statistik mit der Methode insights.get ab.
2. Suchen und kopieren Sie den etag-Wert aus der Antwort.
PROJECT_ID: Die Projekt-ID Ihrer Google Cloud . Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID:markAccepted

JSON-Text anfordern:

{
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID:markAccepted"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID:markAccepted" | Select-Object -Expand Content

Die Antwort enthält jetzt die Statistik mit dem Status ACCEPTED:

[
  {
    "associatedRecommendations": [
      {
        "recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f"
      }
    ],
    "category": "SECURITY",
    "content": {
      "consolidatedPolicy": {
        "inheritFromParent": false,
        "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
        "policyRules": {
          "rules": [
            {
              "enforce": false
            }
          ]
        },
        "reset": false
      },
      "constraint": {
        "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
        "name": "Disable service account key creation"
      },
      "evaluatedResources": [
        {
          "numOfResources": "1",
          "resourceType": "cloudresourcemanager.googleapis.com/Project"
        },
        {
          "numOfResources": "2",
          "resourceType": "iam.googleapis.com/ServiceAccountKey"
        }
      ],
      "violations": [
        {
          "numOfResources": "0",
          "resourceType": "iam.googleapis.com/ServiceAccountKey"
        },
        {
          "numOfResources": "0",
          "resourceType": "cloudresourcemanager.googleapis.com/Project"
        }
      ]
    },
    "description": "Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"9a1ad019022f9f56\"",
    "insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "lastRefreshTime": "2024-12-03T08:00:00Z",
    "name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8",
    "observationPeriod": "86400s",
    "severity": "HIGH",
    "stateInfo": {
      "state": "ACCEPTED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Statistiken zu Organisationsrichtlinien prüfen.

Nächste Schritte

Hier erfahren Sie mehr zum Aufrufen und Anwenden von Empfehlungen.
Im Empfehlungs-Hub können Sie alle Empfehlungen für Ihr Projekt, einschließlich IAM-Empfehlungen, aufrufen und verwalten.

Statistiken zu Organisationsrichtlinien für Projekte, Ordner und Organisationen aufrufen

Hinweise

Erforderliche Rollen

Erforderliche Berechtigungen

Statistiken zu Organisationsrichtlinien auflisten

gcloud

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Einzelne Richtlinienstatistik für eine Organisation abrufen

gcloud

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Statistiken zu Organisationsrichtlinien prüfen

Statistik zu einer Organisationsrichtlinie als ACCEPTED markieren

gcloud

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Nächste Schritte

Statistik zu einer Organisationsrichtlinie als `ACCEPTED` markieren