Questa pagina mostra come gestire gli approfondimenti sulle norme dell'organizzazione, ovvero i risultati relativi alla configurazione e all'utilizzo delle risorse. Gli approfondimenti sui criteri dell'organizzazione possono aiutarti a identificare le risorse non protette dai criteri dell'organizzazione.
A volte, gli approfondimenti sulle norme dell'organizzazione sono collegati ai consigli sulle norme dell'organizzazione. I consigli sui criteri dell'organizzazione suggeriscono le azioni che puoi intraprendere per risolvere i problemi identificati dagli approfondimenti sui criteri dell'organizzazione.
Prima di iniziare
-
Enable the Recommender API.
- Acquisisci familiarità con i consigli per le norme dell'organizzazione.
- (Facoltativo) Scopri di più sugli approfondimenti del motore per suggerimenti.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per visualizzare e modificare gli approfondimenti sui criteri dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM
Amministratore di Org Policy Recommender (roles/recommender.orgPolicyAdmin
) per la risorsa per cui vuoi gestire gli approfondimenti (progetto, cartella o organizzazione).
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per visualizzare e modificare gli approfondimenti sulle norme dell'organizzazione. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per visualizzare e modificare gli approfondimenti sulle norme dell'organizzazione sono necessarie le seguenti autorizzazioni:
-
recommender.orgPolicyInsights.get
-
recommender.orgPolicyInsights.list
-
recommender.orgPolicyInsights.update
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Elenca gli approfondimenti sui criteri dell'organizzazione
Per elencare tutti gli insight sui criteri dell'organizzazione per il tuo progetto, la tua cartella o la tua organizzazione, utilizza uno dei seguenti metodi:gcloud
Utilizza il comando gcloud recommender
insights list
per visualizzare tutti gli approfondimenti sui criteri dell'organizzazione per il tuo
progetto,
la tua cartella
o la tua organizzazione.
Prima di eseguire il comando, sostituisci i seguenti valori:
-
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi elencare gli approfondimenti. Utilizza il valoreproject
,folder
oorganization
. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi elencare gli approfondimenti.
gcloud recommender insights list --insight-type=google.orgpolicy.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global
L'output elenca tutti gli approfondimenti sui criteri dell'organizzazione per il tuo progetto, la tua cartella o la tua organizzazione. Ad esempio:
INSIGHT_ID CATEGORY INSIGHT_STATE LAST_REFRESH_TIME SEVERITY INSIGHT_SUBTYPE DESCRIPTION 66d543f3-845d-49d6-a26b-80d84804d8a8 SECURITY ACTIVE 2024-12-10T08:00:00Z HIGH RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.
REST
Il metodo
insights.list
dell'API Recommender elenca tutti gli approfondimenti sui criteri dell'organizzazione per il tuo
progetto,
cartella
o organizzazione.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi elencare gli approfondimenti. Utilizza il valoreprojects
,folders
oorganizations
. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi elencare gli approfondimenti. PROJECT_ID
: l'ID del tuo progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.
Metodo HTTP e URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights
Per inviare la richiesta, espandi una di queste opzioni:
La risposta elenca tutti gli approfondimenti sui criteri dell'organizzazione per il tuo progetto, la tua cartella o la tua organizzazione. Ad esempio:
[ { "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f" } ], "category": "SECURITY", "content": { "consolidatedPolicy": { "inheritFromParent": false, "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation", "policyRules": { "rules": [ { "enforce": false } ] }, "reset": false }, "constraint": { "id": "constraints/iam.managed.disableServiceAccountKeyCreation", "name": "Disable service account key creation" }, "evaluatedResources": [ { "numOfResources": "2", "resourceType": "iam.googleapis.com/ServiceAccountKey" }, { "numOfResources": "1", "resourceType": "cloudresourcemanager.googleapis.com/Project" } ], "violations": [ { "numOfResources": "0", "resourceType": "iam.googleapis.com/ServiceAccountKey" }, { "numOfResources": "0", "resourceType": "cloudresourcemanager.googleapis.com/Project" } ] }, "description": "Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.", "etag": "\"9a1ad019022f9f56\"", "insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION", "lastRefreshTime": "2024-12-07T08:00:00Z", "name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8", "observationPeriod": "86400s", "severity": "HIGH", "stateInfo": { "state": "ACTIVE", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ] } ]
Per scoprire di più sui componenti di un'informazione, consulta la sezione Esaminare le informazioni sulle norme dell'organizzazione in questa pagina.
Ottenere un singolo approfondimento sulle norme dell'organizzazione
Per ottenere ulteriori informazioni su un singolo insight, inclusa la descrizione, lo stato e gli eventuali consigli associati, utilizza uno dei seguenti metodi:
gcloud
Utilizza il comando gcloud recommender
insights describe
con l'ID di un'informazione per visualizzare le informazioni su un singolo
insight.
-
INSIGHT_ID
: l'ID dell'informazione che vuoi visualizzare. Per trovare l'ID, elenca gli approfondimenti per il tuo progetto, la tua cartella o la tua organizzazione. -
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire gli approfondimenti. Utilizza il valoreproject
,folder
oorganization
. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli approfondimenti.
gcloud recommender insights describe INSIGHT_ID \ --insight-type=google.orgpolicy.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global
L'output mostra l'informazione nel dettaglio. Ad esempio, vengono analizzate due risorse per le chiavi degli account di servizio esterni e non vengono rilevate violazioni:
associatedRecommendations: - recommendation: projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f category: SECURITY content: consolidatedPolicy: inheritFromParent: false name: 'projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation' policyRules: rules: [ "enforce": false ] reset: false constraint: { id: constraints/iam.managed.disableServiceAccountKeyCreation name: Disable service account key creation } evaluatedResources: - numOfResources: '1' resourceType: cloudresourcemanager.googleapis.com/Project - numOfResources: '2' resourceType: iam.googleapis.com/ServiceAccountKey violations: - numOfResources: '0' resourceType: iam.googleapis.com/ServiceAccountKey - numOfResources: '0' resourceType: cloudresourcemanager.googleapis.com/Project description: Scanned 3 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation. etag: '"34ddfdcefd214fd7"' insightSubtype: RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION lastRefreshTime: '2024-12-10T08:00:00Z' name: projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8 observationPeriod: 86400s severity: HIGH stateInfo: state: ACTIVE targetResources: - //cloudresourcemanager.googleapis.com/projects/123456789012
Per scoprire di più sui componenti di un'informazione, consulta la sezione Esaminare le informazioni sulle norme dell'organizzazione in questa pagina.
REST
Il metodo
insights.get
dell'API Recommender riceve un singolo insight.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire gli insight. Utilizza il valoreprojects
,folders
oorganizations
. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli approfondimenti. -
INSIGHT_ID
: l'ID dell'informazione che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencando gli approfondimenti nel progetto, nella cartella o nell'organizzazione. L'ID di un'informazione è tutto ciò che segueinsights/
nel camponame
dell'informazione. PROJECT_ID
: l'ID del tuo progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.
Metodo HTTP e URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene l'insight. Ad esempio, vengono analizzate due risorse per le chiavi degli account di servizio esterni e non vengono rilevate violazioni:
[ { "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f" } ], "category": "SECURITY", "content": { "consolidatedPolicy": { "inheritFromParent": false, "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation", "policyRules": { "rules": [ { "enforce": false } ] }, "reset": false }, "constraint": { "id": "constraints/iam.managed.disableServiceAccountKeyCreation", "name": "Disable service account key creation" }, "evaluatedResources": [ { "numOfResources": "1", "resourceType": "cloudresourcemanager.googleapis.com/Project" }, { "numOfResources": "2", "resourceType": "iam.googleapis.com/ServiceAccountKey" } ], "violations": [ { "numOfResources": "0", "resourceType": "iam.googleapis.com/ServiceAccountKey" }, { "numOfResources": "0", "resourceType": "cloudresourcemanager.googleapis.com/Project" } ] }, "description": "Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.", "etag": "\"9a1ad019022f9f56\"", "insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION", "lastRefreshTime": "2024-12-03T08:00:00Z", "name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8", "observationPeriod": "86400s", "severity": "HIGH", "stateInfo": { "state": "ACTIVE", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ] } ]
Per scoprire di più sui componenti di un'informazione, consulta la sezione Esaminare le informazioni sulle norme dell'organizzazione in questa pagina.
Esamina gli approfondimenti sulle norme dell'organizzazione
Dopo aver ottenuto un singolo insight, puoi esaminarne i contenuti per comprendere la configurazione delle norme dell'organizzazione nelle tue risorse, incluse eventuali violazioni.
Gli approfondimenti sulle norme dell'organizzazione (google.orgpolicy.policy.Insight
) includono i seguenti componenti, non necessariamente in questo ordine:
-
associatedRecommendations
: gli identificatori di eventuali consigli associati all'approfondimento. Se non sono associati suggerimenti all'insight, questo campo è vuoto. -
category
: la categoria per gli approfondimenti sulle norme dell'organizzazione è sempreSECURITY
. -
content
: fornisce dettagli sulle risorse e sui criteri dell'organizzazione analizzati. Questo campo contiene i seguenti componenti:-
constraint
: il vincolo analizzato. -
consolidatedPolicy
: il criterio dell'organizzazione per la risorsa analizzata. -
evaluatedResources
: le risorse valutate per generare l'insight. -
violations
: il numero e i tipi di risorse che violano le norme dell'organizzazione.
-
-
description
: un riepilogo leggibile dell'insight. -
etag
: un identificatore univoco per lo stato corrente di un'intuizione. Ogni volta che l'insight cambia, viene assegnato un nuovo valoreetag
.Per modificare lo stato di un'intuizione, devi fornire il
etag
dell'intuizione esistente. L'utilizzo dietag
consente di garantire che eventuali operazioni vengano eseguite solo se l'approfondimento non è cambiato dall'ultima volta che lo hai recuperato. -
insightSubtype
: il sottotipo di informazione. -
lastRefreshTime
: la data dell'ultimo aggiornamento dell'approfondimento, che indica la frequenza di aggiornamento dei dati utilizzati per generarlo. -
name
: il nome dell'approfondimento, nel seguente formato:RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID
I segnaposto hanno i seguenti valori:
-
RESOURCE_TYPE
: il tipo di risorsa per cui è stato generato l'approfondimento. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione in cui è stato generato l'approfondimento. INSIGHT_ID
: un ID univoco per l'intuizione.
-
-
observationPeriod
: il periodo di tempo che precede l'approfondimento. I dati di origine utilizzati per generare l'approfondimento terminano il giornolastRefreshTime
e iniziano il giornolastRefreshTime
menoobservationPeriod
. -
severity
: la gravità dell'approfondimento. Gli approfondimenti per i criteri dell'organizzazione hanno un'HIGH
. -
stateInfo
: gli approfondimenti passano attraverso più transizioni di stato dopo essere stati proposti:-
ACTIVE
: l'intuizione è stata generata, ma non sono state intraprese azioni o ne è stata intrapresa una senza aggiornare lo stato dell'intuizione. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano. -
ACCEPTED
: è stata intrapresa un'azione in base all'intuizione. Le informazioni vengono accettate quando un consiglio associato è contrassegnato comeCLAIMED
,SUCCEEDED
oFAILED
oppure quando l'informazione è stata accettata direttamente. Quando un'intuizione è nello statoACCEPTED
, i contenuti dell'intuizione non possono essere modificati. Gli approfondimenti accettati vengono conservati per 90 giorni dopo la loro accettazione.
-
-
targetResources
: il nome completo della risorsa del progetto, della cartella o dell'organizzazione a cui si riferisce l'informazione. Ad esempio,//cloudresourcemanager.googleapis.com/projects/1234567890
.
Contrassegnare un'informazione sui criteri dell'organizzazione come ACCEPTED
Se intervieni in base a un'intuizione attiva, puoi contrassegnarla come
ACCEPTED
. Lo stato ACCEPTED
indica all'API Recommender che hai intrapreso un'azione in base a questa informazione, il che contribuisce a perfezionare i consigli.
Gli approfondimenti accettati vengono conservati per 90 giorni dopo essere stati contrassegnati come ACCEPTED
.
gcloud
Utilizza il comando
gcloud recommender insights mark-accepted
con l'ID di un'intuizione per contrassegnarla come ACCEPTED
.
-
INSIGHT_ID
: l'ID dell'informazione che vuoi visualizzare. Per trovare l'ID, elenca gli approfondimenti per il tuo progetto, la tua cartella o la tua organizzazione. -
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire gli approfondimenti. Utilizza il valoreproject
,folder
oorganization
. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli approfondimenti. -
ETAG
: un identificatore per una versione dell'approfondimento. Per ottenere iletag
:-
Ottieni le informazioni utilizzando il comando
gcloud recommender insights describe
. -
Trova e copia il valore
etag
dall'output, incluse le virgolette. Ad esempio,"d3cdec23cc712bd0"
.
-
Ottieni le informazioni utilizzando il comando
gcloud recommender insights mark-accepted INSIGHT_ID \ --insight-type=google.orgpolicy.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --etag=ETAG
L'output mostra l'informazione, ora con lo stato ACCEPTED
:
associatedRecommendations: - recommendation: folders/234567890123/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f category: SECURITY content: consolidatedPolicy: inheritFromParent: false name: 'projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation' policyRules: rules: [ "enforce": false ] reset: false constraint: { id: constraints/iam.managed.disableServiceAccountKeyCreation name: Disable service account key creation } evaluatedResources: - numOfResources: '0' resourceType: iam.googleapis.com/ServiceAccountKey - numOfResources: '1' resourceType: cloudresourcemanager.googleapis.com/Folder - numOfResources: '1' resourceType: cloudresourcemanager.googleapis.com/Project violations: - numOfResources: '0' resourceType: iam.googleapis.com/ServiceAccountKey - numOfResources: '0' resourceType: cloudresourcemanager.googleapis.com/Folder - numOfResources: '0' resourceType: cloudresourcemanager.googleapis.com/Project description: Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyUpload. etag: '"2cbb89b22fe2dab7"' insightSubtype: RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD lastRefreshTime: '2024-12-10T08:00:00Z' name: folders/234567890123/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8 observationPeriod: 86400s severity: HIGH stateInfo: state: ACCEPTED targetResources: - //cloudresourcemanager.googleapis.com/folders/234567890123
Per scoprire di più sulle informazioni sullo stato di un'informazione, consulta Esaminare le informazioni sui criteri dell'organizzazione in questa pagina.
REST
Il metodo
insights.markAccepted
dell'API Recommender contrassegna un'intuizione come ACCEPTED
.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa per cui vuoi gestire gli insight. Utilizza il valoreprojects
,folders
oorganizations
. -
RESOURCE_ID
: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli approfondimenti. -
INSIGHT_ID
: l'ID dell'informazione che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencando gli insight nel progetto, nella cartella o nell'organizzazione. L'ID di un'informazione è tutto ciò che segueinsights/
nel camponame
dell'informazione. -
ETAG
: un identificatore per una versione dell'approfondimento. Per ricevere iletag
, procedi nel seguente modo:- Ottieni le informazioni utilizzando il metodo
insights.get
. - Individua e copia il valore
etag
dalla risposta.
- Ottieni le informazioni utilizzando il metodo
PROJECT_ID
: l'ID del tuo progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/INSIGHT_ID:markAccepted
Corpo JSON della richiesta:
{ "etag": "ETAG" }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene l'insight, ora con lo stato ACCEPTED
:
[ { "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f" } ], "category": "SECURITY", "content": { "consolidatedPolicy": { "inheritFromParent": false, "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation", "policyRules": { "rules": [ { "enforce": false } ] }, "reset": false }, "constraint": { "id": "constraints/iam.managed.disableServiceAccountKeyCreation", "name": "Disable service account key creation" }, "evaluatedResources": [ { "numOfResources": "1", "resourceType": "cloudresourcemanager.googleapis.com/Project" }, { "numOfResources": "2", "resourceType": "iam.googleapis.com/ServiceAccountKey" } ], "violations": [ { "numOfResources": "0", "resourceType": "iam.googleapis.com/ServiceAccountKey" }, { "numOfResources": "0", "resourceType": "cloudresourcemanager.googleapis.com/Project" } ] }, "description": "Scanned 2 resources and found 0 violations for constraints/iam.managed.disableServiceAccountKeyCreation.", "etag": "\"9a1ad019022f9f56\"", "insightSubtype": "RESOURCE_VIOLATION_DISABLE_SERVICE_ACCOUNT_KEY_CREATION", "lastRefreshTime": "2024-12-03T08:00:00Z", "name": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8", "observationPeriod": "86400s", "severity": "HIGH", "stateInfo": { "state": "ACCEPTED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ] } ]
Per scoprire di più sulle informazioni sullo stato di un'informazione, consulta Esaminare le informazioni sui criteri dell'organizzazione in questa pagina.
Passaggi successivi
- Scopri come visualizzare e applicare i consigli relativi ai criteri dell'organizzazione.
- Utilizza l'hub dei suggerimenti per visualizzare e gestire tutti i suggerimenti per il tuo progetto, inclusi quelli IAM.