Halaman ini menunjukkan cara mengelola insight kebijakan organisasi, yang merupakan temuan tentang konfigurasi dan penggunaan resource. Insight kebijakan organisasi dapat membantu Anda mengidentifikasi resource yang tidak dilindungi oleh kebijakan organisasi.
Insight kebijakan organisasi terkadang ditautkan ke rekomendasi kebijakan organisasi. Rekomendasi kebijakan organisasi menyarankan tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang diidentifikasi oleh insight kebijakan organisasi.
Sebelum memulai
-
Enable the Recommender API.
- Pahami rekomendasi kebijakan organisasi.
- Opsional: Baca tentang Insight pemberi rekomendasi.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan guna melihat dan mengubah insight kebijakan organisasi,
minta administrator untuk memberi Anda
peran IAM Org Policy Recommender Admin (roles/recommender.orgPolicyAdmin) pada resource yang insight-nya ingin Anda kelola
(project, folder, atau organisasi).
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk melihat dan mengubah insight kebijakan organisasi. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk melihat dan mengubah insight kebijakan organisasi:
-
recommender.orgPolicyInsights.get -
recommender.orgPolicyInsights.list -
recommender.orgPolicyInsights.update
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Mencantumkan insight kebijakan organisasi
Untuk mencantumkan semua insight kebijakan organisasi untuk project, folder, atau organisasi Anda, gunakan salah satu metode berikut:gcloud
Gunakan perintah gcloud recommender
insights list untuk melihat semua insight kebijakan organisasi untuk project, folder, atau organisasi Anda.
Sebelum menjalankan perintah, ganti nilai berikut:
-
RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda cantumkan. Gunakan nilaiproject,folder, atauorganization. -
RESOURCE_ID: ID project, folder, atau organisasi yang insight-nya ingin Anda cantumkan.
gcloud recommender insights list --insight-type=google.orgpolicy.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global
Output mencantumkan semua insight kebijakan organisasi untuk project, folder, atau organisasi Anda. Contoh:
INSIGHT_ID CATEGORY INSIGHT_STATE LAST_REFRESH_TIME SEVERITY INSIGHT_SUBTYPE DESCRIPTION 66d543f3-845d-49d6-a26b-80d84804d8a8 SECURITY ACTIVE 2024-12-10T08:00:00Z HIGH RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.
REST
Metode Recommender API
insights.list
mencantumkan semua insight kebijakan organisasi untuk project,
folder,
atau organisasi Anda.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: Jenis resource yang ingin Anda cantumkan insight-nya. Gunakan nilaiprojects,folders, atauorganizations. -
RESOURCE_ID: ID project, folder, atau organisasi yang insight-nya ingin Anda cantumkan. PROJECT_ID: Project ID Google Cloud Anda. Project ID adalah string alfanumerik, sepertimy-project.
Metode HTTP dan URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons mencantumkan semua insight kebijakan organisasi untuk project, folder, atau organisasi Anda. Contoh:
[
{
"associatedRecommendations": [
{
"recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f"
}
],
"category": "SECURITY",
"content": {
"consolidatedPolicy": {
"inheritFromParent": false,
"name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
"policyRules": {
"rules": [
{
"enforce": false
}
]
},
"reset": false
},
"constraint": {
"id": "constraints/iam.managed.disableServiceAccountKeyCreation",
"name": "Disable service account key creation"
},
"evaluatedResources": [
{
"numOfResources": "2",
"resourceType": "iam.googleapis.com/ServiceAccountKey"
},
{
"numOfResources": "1",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
],
"violations": [
{
"numOfResources": "0",
"resourceType": "iam.googleapis.com/ServiceAccountKey"
},
{
"numOfResources": "0",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
},
"description": "Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.",
"etag": "\"9a1ad019022f9f56\"",
"insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
"lastRefreshTime": "2024-12-07T08:00:00Z",
"name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8",
"observationPeriod": "86400s",
"severity": "HIGH",
"stateInfo": {
"state": "ACTIVE",
"stateMetadata": {
"reviewedBy": "alice",
"priority": "high"
}
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
]Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan organisasi di halaman ini.
Mendapatkan insight kebijakan organisasi tunggal
Untuk mendapatkan informasi selengkapnya tentang satu insight, termasuk deskripsi, status, dan rekomendasi apa pun yang terkait dengan insight tersebut, gunakan salah satu metode berikut:
gcloud
Gunakan perintah gcloud recommender
insights describe dengan ID insight Anda untuk melihat informasi tentang satu insight.
-
INSIGHT_ID: ID insight yang ingin Anda lihat. Untuk menemukan ID, cantumkan insight untuk project, folder, atau organisasi Anda. -
RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda kelola. Gunakan nilaiproject,folder, atauorganization. -
RESOURCE_ID: ID project, folder, atau organisasi yang insight-nya ingin Anda kelola.
gcloud recommender insights describe INSIGHT_ID \ --insight-type=google.orgpolicy.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global
Output akan menampilkan insight secara mendetail. Misalnya, dua resource dianalisis untuk kunci akun layanan eksternal, dan tidak ada pelanggaran yang terdeteksi:
associatedRecommendations: - recommendation: projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f category: SECURITY content: consolidatedPolicy: inheritFromParent: false name: 'projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation' policyRules: rules: [ "enforce": false ] reset: false constraint: { id: constraints/iam.managed.disableServiceAccountKeyCreation name: Disable service account key creation } evaluatedResources: - numOfResources: '1' resourceType: cloudresourcemanager.googleapis.com/Project - numOfResources: '2' resourceType: iam.googleapis.com/ServiceAccountKey violations: - numOfResources: '0' resourceType: iam.googleapis.com/ServiceAccountKey - numOfResources: '0' resourceType: cloudresourcemanager.googleapis.com/Project description: Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation. etag: '"34ddfdcefd214fd7"' insightSubtype: RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION lastRefreshTime: '2024-12-10T08:00:00Z' name: projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8 observationPeriod: 86400s severity: HIGH stateInfo: state: ACTIVE targetResources: - //cloudresourcemanager.googleapis.com/projects/123456789012
Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan organisasi di halaman ini.
REST
Metode
insights.get
Recommender API mendapatkan satu insight.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda kelola. Gunakan nilaiprojects,folders, atauorganizations. -
RESOURCE_ID: ID project, folder, atau organisasi yang insight-nya ingin Anda kelola. -
INSIGHT_ID: ID insight yang ingin Anda lihat. Jika tidak mengetahui insight ID, Anda dapat menemukannya dengan mencantumkan insight di project, folder, atau organisasi Anda. ID insight adalah semuanya setelahinsights/di kolomnameuntuk insight. PROJECT_ID: Project ID Google Cloud Anda. Project ID adalah string alfanumerik, sepertimy-project.
Metode HTTP dan URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Responsnya berisi insight. Misalnya, dua resource dianalisis untuk kunci akun layanan eksternal, dan tidak ada pelanggaran yang terdeteksi:
[
{
"associatedRecommendations": [
{
"recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f"
}
],
"category": "SECURITY",
"content": {
"consolidatedPolicy": {
"inheritFromParent": false,
"name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
"policyRules": {
"rules": [
{
"enforce": false
}
]
},
"reset": false
},
"constraint": {
"id": "constraints/iam.managed.disableServiceAccountKeyCreation",
"name": "Disable service account key creation"
},
"evaluatedResources": [
{
"numOfResources": "1",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
},
{
"numOfResources": "2",
"resourceType": "iam.googleapis.com/ServiceAccountKey"
}
],
"violations": [
{
"numOfResources": "0",
"resourceType": "iam.googleapis.com/ServiceAccountKey"
},
{
"numOfResources": "0",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
},
"description": "Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.",
"etag": "\"9a1ad019022f9f56\"",
"insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
"lastRefreshTime": "2024-12-03T08:00:00Z",
"name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8",
"observationPeriod": "86400s",
"severity": "HIGH",
"stateInfo": {
"state": "ACTIVE",
"stateMetadata": {
"reviewedBy": "alice",
"priority": "high"
}
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
]Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan organisasi di halaman ini.
Meninjau insight kebijakan organisasi
Setelah mendapatkan satu insight, Anda dapat meninjau kontennya untuk memahami konfigurasi kebijakan organisasi pada resource Anda, termasuk pelanggaran apa pun.
Insight kebijakan organisasi (google.orgpolicy.policy.Insight) memiliki komponen berikut, tidak harus dalam urutan ini:
-
associatedRecommendations: ID untuk rekomendasi apa pun yang terkait dengan insight. Jika tidak ada rekomendasi yang terkait dengan insight, kolom ini akan kosong. -
category: Kategori untuk insight kebijakan organisasi selaluSECURITY. -
content: Memberikan detail tentang resource dan kebijakan organisasi yang dianalisis. Kolom ini berisi komponen berikut:-
constraint: Batasan yang dianalisis. -
consolidatedPolicy: Kebijakan organisasi untuk resource yang dianalisis. -
evaluatedResources: Resource yang dievaluasi untuk menghasilkan insight. -
violations: Jumlah dan jenis resource yang melanggar kebijakan organisasi.
-
-
description: Ringkasan insight yang dapat dibaca manusia. -
etag: ID unik untuk status insight saat ini. Setiap kali insight berubah, nilaietagbaru akan ditetapkan.Untuk mengubah status insight, Anda harus memberikan
etaginsight yang ada. Penggunaanetagmembantu memastikan bahwa setiap operasi hanya dilakukan jika insight belum berubah sejak Anda terakhir kali mengambilnya. -
insightSubtype: Subjenis insight. -
lastRefreshTime: Tanggal saat insight terakhir diperbarui, yang menunjukkan keaktualan data yang digunakan untuk menghasilkan insight. -
name: Nama insight, dalam format berikut:RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID
Placeholder memiliki nilai berikut:
-
RESOURCE_TYPE: Jenis resource yang insight-nya dihasilkan. -
RESOURCE_ID: ID project, folder, atau organisasi tempat insight dihasilkan. INSIGHT_ID: ID unik untuk insight.
-
-
observationPeriod: Jangka waktu yang mengarah ke insight. Data sumber yang digunakan untuk menghasilkan insight berakhir padalastRefreshTimedan dimulai padalastRefreshTimedikurangiobservationPeriod. -
severity: Tingkat keparahan insight. Insight untuk kebijakan organisasi memiliki tingkat keparahanHIGH. -
stateInfo: Insight akan melalui beberapa transisi status setelah diusulkan:-
ACTIVE: Insight telah dibuat, tetapi tidak ada tindakan yang dilakukan, atau tindakan telah dilakukan tanpa memperbarui status insight. Insight aktif diperbarui saat data pokok berubah. -
ACCEPTED: Beberapa tindakan telah dilakukan berdasarkan insight. Insight akan diterima jika rekomendasi terkait ditandaiCLAIMED,SUCCEEDED, atauFAILED, atau insight diterima secara langsung. Saat insight berada dalam statusACCEPTED, konten insight tidak dapat berubah. Insight yang diterima disimpan selama 90 hari setelah diterima.
-
-
targetResources: Nama resource lengkap project, folder, atau organisasi yang menjadi tujuan insight. Contoh,//cloudresourcemanager.googleapis.com/projects/1234567890.
Menandai insight kebijakan organisasi sebagai ACCEPTED
Jika Anda mengambil tindakan berdasarkan insight aktif, Anda dapat menandai insight tersebut sebagai
ACCEPTED. Status ACCEPTED memberi tahu Recommender API bahwa Anda telah mengambil tindakan berdasarkan insight ini, yang membantu meningkatkan kualitas rekomendasi Anda.
Insight yang diterima disimpan selama 90 hari setelah
ditandai sebagai ACCEPTED.
gcloud
Gunakan perintah
gcloud recommender insights mark-accepted dengan ID insight Anda untuk menandai insight sebagai ACCEPTED.
-
INSIGHT_ID: ID insight yang ingin Anda lihat. Untuk menemukan ID, cantumkan insight untuk project, folder, atau organisasi Anda. -
RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda kelola. Gunakan nilaiproject,folder, atauorganization. -
RESOURCE_ID: ID project, folder, atau organisasi yang insight-nya ingin Anda kelola. -
ETAG: ID untuk versi insight. Untuk mendapatkanetag, lakukan hal berikut:-
Dapatkan insight menggunakan perintah
gcloud recommender insights describe. -
Temukan dan salin nilai
etagdari output, termasuk tanda kutip yang mengapit. Contoh,"d3cdec23cc712bd0".
-
Dapatkan insight menggunakan perintah
gcloud recommender insights mark-accepted INSIGHT_ID \ --insight-type=google.orgpolicy.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --etag=ETAG
Output menampilkan insight, sekarang dengan status ACCEPTED:
associatedRecommendations: - recommendation: folders/234567890123/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f category: SECURITY content: consolidatedPolicy: inheritFromParent: false name: 'projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation' policyRules: rules: [ "enforce": false ] reset: false constraint: { id: constraints/iam.managed.disableServiceAccountKeyCreation name: Disable service account key creation } evaluatedResources: - numOfResources: '0' resourceType: iam.googleapis.com/ServiceAccountKey - numOfResources: '1' resourceType: cloudresourcemanager.googleapis.com/Folder - numOfResources: '1' resourceType: cloudresourcemanager.googleapis.com/Project violations: - numOfResources: '0' resourceType: iam.googleapis.com/ServiceAccountKey - numOfResources: '0' resourceType: cloudresourcemanager.googleapis.com/Folder - numOfResources: '0' resourceType: cloudresourcemanager.googleapis.com/Project description: Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyUpload. etag: '"2cbb89b22fe2dab7"' insightSubtype: RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD lastRefreshTime: '2024-12-10T08:00:00Z' name: folders/234567890123/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8 observationPeriod: 86400s severity: HIGH stateInfo: state: ACCEPTED targetResources: - //cloudresourcemanager.googleapis.com/folders/234567890123
Untuk mempelajari info status insight lebih lanjut, lihat Meninjau insight kebijakan organisasi di halaman ini.
REST
Metode
insights.markAccepted
Recommender API menandai insight sebagai ACCEPTED.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: Jenis resource yang insight-nya ingin Anda kelola. Gunakan nilaiprojects,folders, atauorganizations. -
RESOURCE_ID: ID project, folder, atau organisasi yang insight-nya ingin Anda kelola. -
INSIGHT_ID: ID insight yang ingin Anda lihat. Jika tidak mengetahui insight ID, Anda dapat menemukannya dengan mencantumkan insight di project, folder, atau organisasi Anda. ID insight adalah semuanya setelahinsights/di kolomnameuntuk insight. -
ETAG: ID untuk versi insight. Untuk mendapatkanetag, lakukan hal berikut:- Dapatkan insight menggunakan
metode
insights.get. - Temukan dan salin nilai
etagdari respons.
- Dapatkan insight menggunakan
metode
PROJECT_ID: Project ID Google Cloud Anda. Project ID adalah string alfanumerik, sepertimy-project.
Metode HTTP dan URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID:markAccepted
Meminta isi JSON:
{
"etag": "ETAG"
}Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Responsnya berisi insight, sekarang dengan status ACCEPTED:
[
{
"associatedRecommendations": [
{
"recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f"
}
],
"category": "SECURITY",
"content": {
"consolidatedPolicy": {
"inheritFromParent": false,
"name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
"policyRules": {
"rules": [
{
"enforce": false
}
]
},
"reset": false
},
"constraint": {
"id": "constraints/iam.managed.disableServiceAccountKeyCreation",
"name": "Disable service account key creation"
},
"evaluatedResources": [
{
"numOfResources": "1",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
},
{
"numOfResources": "2",
"resourceType": "iam.googleapis.com/ServiceAccountKey"
}
],
"violations": [
{
"numOfResources": "0",
"resourceType": "iam.googleapis.com/ServiceAccountKey"
},
{
"numOfResources": "0",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
},
"description": "Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.",
"etag": "\"9a1ad019022f9f56\"",
"insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
"lastRefreshTime": "2024-12-03T08:00:00Z",
"name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8",
"observationPeriod": "86400s",
"severity": "HIGH",
"stateInfo": {
"state": "ACCEPTED",
"stateMetadata": {
"reviewedBy": "alice",
"priority": "high"
}
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
]Untuk mempelajari info status insight lebih lanjut, lihat Meninjau insight kebijakan organisasi di halaman ini.
Langkah selanjutnya
- Pelajari cara melihat dan menerapkan rekomendasi kebijakan organisasi.
- Gunakan Recommendation Hub untuk melihat dan mengelola semua rekomendasi untuk project Anda, termasuk rekomendasi IAM.