Questa pagina mostra come gestire gli insight sui criteri a livello di bucket, ovvero risultati basati sul machine learning relativi all'utilizzo delle autorizzazioni per i bucket Cloud Storage. Gli insight sui criteri possono aiutarti a identificare le entità che dispongono di autorizzazioni di cui non hanno bisogno.
Questa pagina è incentrata sugli insight sui criteri per i bucket. Il motore per suggerimenti offre anche insight sui criteri per i seguenti tipi di risorse:
Gli insight sui criteri a livello di bucket a volte sono collegati ai suggerimenti sui ruoli. I suggerimenti sui ruoli suggeriscono azioni che puoi intraprendere per risolvere i problemi identificati dagli insight sui criteri a livello di bucket.
Prima di iniziare
-
Attiva Recommender API.
- Acquisisci familiarità con i suggerimenti per i ruoli IAM.
- (Facoltativo) Scopri gli insight del motore per suggerimenti.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire gli insight sui criteri a livello di bucket, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:
-
Amministratore Storage (
roles/storage.admin
) - Gestisci gli insight sui criteri a livello di bucket con l'interfaccia a riga di comando gcloud o l'API REST: Consumer Utilizzo dei servizi ("roles/serviceusage.serviceUsageConsumer")
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire gli insight sui criteri a livello di bucket. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per gestire gli insight sui criteri a livello di bucket sono necessarie le seguenti autorizzazioni:
-
Per visualizzare gli insight sui criteri a livello di bucket:
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
-
Per modificare gli insight sui criteri a livello di bucket:
recommender.iamPolicyInsights.update
-
Per gestire gli insight sui criteri a livello di bucket nella console Google Cloud:
-
resourcemanager.projects.get
-
storage.buckets.list
-
-
Gestisci gli insight sui criteri a livello di bucket con gcloud CLI o l'API REST:
serviceusage.services.use
Potresti anche essere in grado di ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Elenca insight sui criteri a livello di bucket
Per elencare tutti gli insight sui criteri a livello di bucket per il tuo progetto, utilizza uno dei seguenti metodi:Console
-
Nella console Google Cloud, vai alla pagina Bucket.
-
Individua la colonna Approfondimenti sulla sicurezza nella tabella. Se la colonna Approfondimenti sulla sicurezza non è visibile, fai clic su
Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.Questa colonna mostra un riepilogo di tutti gli insight sui criteri per il bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi in quel bucket.
-
Trova il bucket di cui vuoi visualizzare gli insight e fai clic sul riepilogo degli insight sui criteri in questa riga. Questa azione apre il riquadro Suggerimenti per la sicurezza, in cui sono elencate tutte le entità che hanno un ruolo nel bucket, i relativi ruoli e tutti gli insight sui criteri associati a questi ruoli.
In questa tabella, gli insight sui criteri hanno il formato
EXCESS/TOTAL excess permissions
, doveEXCESS
è il numero di autorizzazioni nel ruolo non necessarie per l'entità eTOTAL
è il numero totale di autorizzazioni nel ruolo.
gcloud
Utilizza il comando gcloud recommender
insights list
per visualizzare tutti gli insight sui criteri a livello di bucket per il tuo
progetto.
Prima di eseguire il comando, sostituisci i seguenti valori:
PROJECT_ID
: l'ID del progetto per cui vuoi elencare gli insight.LOCATION
: la località dei bucket di cui vuoi elencare gli insight.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION\ --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"
L'output elenca tutti gli insight sui criteri a livello di bucket per il tuo progetto nella località specificata. Ad esempio:
INSIGHT_ID CATEGORY INSIGHT_STATE LAST_REFRESH_TIME SEVERITY INSIGHT_SUBTYPE DESCRIPTION 00dd7eb5-15c2-4fb3-a9b2-1a85f842462b SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04307297-f57c-416d-9323-38abac450db0 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04845da5-74ba-46b4-a0f3-47d83095c261 SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0a39f643-d7a8-4c11-b490-fecd74290fb5 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 0a4cee48-777b-4dea-a2b0-702b70da4b6f SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b2d147c-b26e-4afe-8fab-449c6e793750 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0bb3032d-721c-44e8-b464-5293f235281c SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 3 of the permissions in this role binding were used in the past 90 days.
REST
Il metodo insights.list
dell'API Recommender elenca tutti gli insight sui criteri a livello di bucket per il tuo
progetto.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del progetto per cui vuoi elencare gli insight.LOCATION
: la località dei bucket di cui vuoi elencare gli insight.
Metodo HTTP e URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET
Per inviare la richiesta, espandi una di queste opzioni:
La risposta elenca tutti gli insight sui criteri a livello di bucket per il tuo progetto nella località specificata. Ad esempio:
{ "insights": [ { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }, { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "projectViewer:my-project", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6" } ], "targetResources": [ "//storage.googleapis.com/bucket-2" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"5b60b935f27caf2c\"", "severity": "LOW" } ] }
Per scoprire di più sui componenti di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.
Ottieni un singolo insight sui criteri a livello di bucket
Per ottenere maggiori informazioni su un singolo insight, inclusi la descrizione, lo stato e gli eventuali suggerimenti associati, utilizza uno dei seguenti metodi:
Console
-
Nella console Google Cloud, vai alla pagina Bucket.
- Assicurati che la colonna Approfondimenti sulla sicurezza sia visibile.
-
Individua la colonna Approfondimenti sulla sicurezza nella tabella. Questa colonna mostra un riepilogo di tutti gli insight sui criteri per il bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi in quel bucket.
Se la colonna Approfondimenti sulla sicurezza non è visibile, fai clic su
Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza. quindi individua la colonna nella tabella. - Trova il bucket di cui vuoi visualizzare gli insight e fai clic sul riepilogo degli insight sui criteri in questa riga. Si apre un riquadro che elenca tutte le entità con un ruolo nel bucket, i relativi ruoli e tutti gli insight sui criteri associati a questi ruoli.
-
Nella colonna Approfondimenti sulla sicurezza, fai clic su un approfondimento sul criterio.
Gli insight sui criteri hanno il formato
EXCESS/TOTAL excess permissions
, doveEXCESS
è il numero di autorizzazioni nel ruolo non necessarie per l'entità eTOTAL
è il numero totale di autorizzazioni nel ruolo.
La console Google Cloud apre un riquadro che mostra i dettagli dell'insight.
gcloud
Utilizza il comando gcloud recommender
insights describe
con il tuo ID insight per visualizzare le informazioni su un singolo insight.
-
INSIGHT_ID
: l'ID dell'approfondimento che vuoi visualizzare. Per trovare l'ID, elenca gli insight per il progetto. PROJECT_ID
: l'ID del progetto per cui vuoi gestire gli insight.LOCATION
: la località del bucket di cui vuoi ottenere gli insight.
gcloud recommender insights describe INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION
L'output mostra l'insight in dettaglio. Ad esempio, il seguente insight indica che tutti gli utenti (allUsers
) hanno il ruolo di lettore bucket legacy di Storage (roles/storage.legacyBucketReader
) nel bucket bucket-1
, ma che negli ultimi 90 giorni sono state utilizzate solo due autorizzazioni in quel ruolo:
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"2a8784e529b80aea"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACTIVE targetResources: - //storage.googleapis.com/bucket-1
Per scoprire di più sui componenti di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.
REST
Il metodo insights.get
dell'API Recommender riceve un singolo insight.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
-
PROJECT_ID
: l'ID del progetto per cui vuoi gestire gli insight. LOCATION
: la località del bucket di cui vuoi ottenere gli insight.-
INSIGHT_ID
: l'ID dell'approfondimento che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencare gli insight nel tuo progetto. L'ID di un insight è costituito da tutto ciò che segueinsights/
nel camponame
per l'insight.
Metodo HTTP e URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene l'insight. Ad esempio, il seguente insight indica che tutti gli utenti (allUsers
) hanno il ruolo di lettore bucket legacy di Storage (roles/storage.legacyBucketReader
) nel bucket bucket-1
, ma che negli ultimi 90 giorni sono state utilizzate solo due autorizzazioni in quel ruolo:
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }
Per scoprire di più sui componenti di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.
Esamina gli insight sui criteri a livello di bucket
Dopo aver ottenuto un singolo insight, puoi esaminarne i contenuti per comprendere il modello di utilizzo delle risorse evidenziato.
Console
Quando fai clic su un insight sul criterio nella console Google Cloud, la console Google Cloud apre un riquadro che mostra i dettagli dell'insight. L'aspetto di questi dettagli dipende dall'eventuale associazione dell'insight a un suggerimento.
Se l'insight è associato a un suggerimento, il riquadro mostra i dettagli del suggerimento.
Se l'insight non è associato a un suggerimento, il riquadro mostra un elenco di tutte le autorizzazioni nel ruolo. Le autorizzazioni utilizzate dall'entità vengono visualizzate in cima all'elenco, seguite dalle autorizzazioni in eccesso.
gcloud
I contenuti di un approfondimento sono determinati dai relativi sottotipi.
Gli insight sui criteri a livello di bucket (google.iam.policy.Insight
) hanno il sottotipo PERMISSIONS_USAGE_STORAGE_BUCKET
.
Gli insight PERMISSIONS_USAGE_STORAGE_BUCKET
hanno i seguenti componenti, non necessariamente in questo ordine:
-
associatedRecommendations
: gli identificatori per tutti i suggerimenti associati all'insight. Se non esistono suggerimenti associati all'insight, questo campo è vuoto. -
category
: la categoria per gli insight IAM è sempreSECURITY
. -
content
: segnala l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:condition
: tutte le condizioni associate all'associazione che concede il ruolo all'entità. In assenza di condizioni, questo campo contiene una condizione vuota.exercisedPermissions
: le autorizzazioni nel ruolo utilizzate dall'entità durante il periodo di osservazione.inferredPermissions
: le autorizzazioni nel ruolo che il motore per suggerimenti ha stabilito, tramite ML, che l'entità probabilmente avrà bisogno in base alle autorizzazioni utilizzate.member
: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.role
: il ruolo per il quale è stato analizzato l'utilizzo delle autorizzazioni.
-
description
: un riepilogo leggibile dell'approfondimento. -
etag
: un identificatore univoco dello stato attuale di un approfondimento. Ogni volta che l'approfondimento cambia, viene assegnato un nuovo valoreetag
.Per modificare lo stato di un insight, devi fornire il valore
etag
dell'insight esistente. L'utilizzo dietag
contribuisce ad assicurare che le operazioni vengano eseguite solo se l'insight non è cambiato dall'ultimo recupero. -
insightSubtype
: il sottotipo di approfondimenti. -
lastRefreshTime
: la data dell'ultimo aggiornamento dell'insight, che indica l'aggiornamento dei dati utilizzati per generare l'insight. -
name
: il nome dell'approfondimento nel seguente formato:projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
I segnaposto hanno i seguenti valori:
-
PROJECT_ID
: l'ID del progetto in cui è stato generato l'insight. LOCATION
: la località del bucket a cui si riferisce l'insight.INSIGHT_ID
: un ID univoco per l'approfondimento.
-
-
observationPeriod
: il periodo di tempo che ha portato all'approfondimento. I dati di origine utilizzati per generare l'insight terminano il giornolastRefreshTime
e iniziano alastRefreshTime
menoobservationPeriod
. -
stateInfo
: una volta proposte, gli approfondimenti passano attraverso più transizioni di stato:-
ACTIVE
: l'insight è stato generato, ma non sono state intraprese azioni oppure è stata intrapresa un'azione senza aggiornare lo stato dell'insight. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano. -
ACCEPTED
: è stata intrapresa un'azione in base alle informazioni. Gli insight vengono accettati quando un suggerimento associato è stato contrassegnato comeCLAIMED
,SUCCEEDED
oFAILED
oppure quando l'insight è stato accettato direttamente. Quando un insight è nello statoACCEPTED
, il suo contenuto non può cambiare. Gli insight accettati vengono conservati per 90 giorni dopo l'accettazione.
-
-
targetResources
: il nome completo della risorsa del bucket a cui si riferisce l'insight. Ad esempio,//storage.googleapis.com/my-bucket
.
REST
I contenuti di un approfondimento sono determinati dai relativi sottotipi.
Gli insight sui criteri a livello di bucket (google.iam.policy.Insight
) hanno il sottotipo PERMISSIONS_USAGE_STORAGE_BUCKET
.
Gli insight PERMISSIONS_USAGE_STORAGE_BUCKET
hanno i seguenti componenti, non necessariamente in questo ordine:
-
associatedRecommendations
: gli identificatori per tutti i suggerimenti associati all'insight. Se non esistono suggerimenti associati all'insight, questo campo è vuoto. -
category
: la categoria per gli insight IAM è sempreSECURITY
. -
content
: segnala l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:condition
: tutte le condizioni associate all'associazione che concede il ruolo all'entità. In assenza di condizioni, questo campo contiene una condizione vuota.exercisedPermissions
: le autorizzazioni nel ruolo utilizzate dall'entità durante il periodo di osservazione.inferredPermissions
: le autorizzazioni nel ruolo che il motore per suggerimenti ha stabilito, tramite ML, che l'entità probabilmente avrà bisogno in base alle autorizzazioni utilizzate.member
: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.role
: il ruolo per il quale è stato analizzato l'utilizzo delle autorizzazioni.
-
description
: un riepilogo leggibile dell'approfondimento. -
etag
: un identificatore univoco dello stato attuale di un approfondimento. Ogni volta che l'approfondimento cambia, viene assegnato un nuovo valoreetag
.Per modificare lo stato di un insight, devi fornire il valore
etag
dell'insight esistente. L'utilizzo dietag
contribuisce ad assicurare che le operazioni vengano eseguite solo se l'insight non è cambiato dall'ultimo recupero. -
insightSubtype
: il sottotipo di approfondimenti. -
lastRefreshTime
: la data dell'ultimo aggiornamento dell'insight, che indica l'aggiornamento dei dati utilizzati per generare l'insight. -
name
: il nome dell'approfondimento nel seguente formato:projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
I segnaposto hanno i seguenti valori:
-
PROJECT_ID
: l'ID del progetto in cui è stato generato l'insight. LOCATION
: la località del bucket a cui si riferisce l'insight.INSIGHT_ID
: un ID univoco per l'approfondimento.
-
-
observationPeriod
: il periodo di tempo che ha portato all'approfondimento. I dati di origine utilizzati per generare l'insight terminano il giornolastRefreshTime
e iniziano alastRefreshTime
menoobservationPeriod
. -
stateInfo
: una volta proposte, gli approfondimenti passano attraverso più transizioni di stato:-
ACTIVE
: l'insight è stato generato, ma non sono state intraprese azioni oppure è stata intrapresa un'azione senza aggiornare lo stato dell'insight. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano. -
ACCEPTED
: è stata intrapresa un'azione in base alle informazioni. Gli insight vengono accettati quando un suggerimento associato è stato contrassegnato comeCLAIMED
,SUCCEEDED
oFAILED
oppure quando l'insight è stato accettato direttamente. Quando un insight è nello statoACCEPTED
, il suo contenuto non può cambiare. Gli insight accettati vengono conservati per 90 giorni dopo l'accettazione.
-
-
targetResources
: il nome completo della risorsa del bucket a cui si riferisce l'insight. Ad esempio,//storage.googleapis.com/my-bucket
.
Contrassegna un insight sul criterio a livello di bucket come ACCEPTED
Se intervieni in base a un approfondimento attivo, puoi contrassegnare questo insight come
ACCEPTED
. Lo stato ACCEPTED
indica all'API Recommender che hai eseguito un'azione in base a questo insight, il che consente di perfezionare i suggerimenti.
Gli insight accettati vengono conservati per 90 giorni dopo
essere stati contrassegnati come ACCEPTED
.
Console
Se un insight è associato a un suggerimento,
l'applicazione del suggerimento
modifica lo stato dell'insight in ACCEPTED
.
Per contrassegnare un insight come ACCEPTED
senza applicare un suggerimento, utilizza gcloud CLI o l'API REST.
gcloud
Utilizza il comando
gcloud recommender insights mark-accepted
con il tuo ID insight per contrassegnare
un insight come ACCEPTED
.
-
INSIGHT_ID
: l'ID dell'approfondimento che vuoi visualizzare. Per trovare l'ID, elenca gli insight per il progetto. PROJECT_ID
: l'ID del progetto per cui vuoi gestire gli insight.LOCATION
: la località del bucket di cui vuoi contrassegnare l'insight comeACCEPTED
.-
ETAG
: l'identificatore di una versione dell'insight. Per ricevereetag
, segui questi passaggi:-
Ottieni gli insight utilizzando il comando
gcloud recommender insights describe
. -
Trova e copia il valore
etag
dall'output, incluse le virgolette che le contengono. Ad esempio,"d3cdec23cc712bd0"
.
-
Ottieni gli insight utilizzando il comando
gcloud recommender insights mark-accepted INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION \ --etag=ETAG
L'output mostra l'approfondimento, ora con lo stato di ACCEPTED
:
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"0187c0362e4bcea7"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACCEPTED targetResources: - //storage.googleapis.com/bucket-1
Per saperne di più sulle informazioni sullo stato di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.
REST
Il metodo insights.markAccepted
dell'API Recommender contrassegna un insight come ACCEPTED
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
-
PROJECT_ID
: l'ID del progetto per cui vuoi gestire gli insight. LOCATION
: la località del bucket di cui vuoi contrassegnare l'insight comeACCEPTED
.-
INSIGHT_ID
: l'ID dell'approfondimento che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencare gli insight nel tuo progetto. L'ID di un insight è costituito da tutto ciò che segueinsights/
nel camponame
per l'insight. -
ETAG
: l'identificatore di una versione dell'insight. Per scaricareetag
, segui questi passaggi:- Ottieni insight utilizzando il metodo
insights.get
. - Trova e copia il valore
etag
dalla risposta.
- Ottieni insight utilizzando il metodo
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted
Corpo JSON della richiesta:
{ "etag": "ETAG" }
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene l'insight, ora con lo stato di ACCEPTED
:
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACCEPTED" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"9a5485cdc1f05b58\"", "severity": "CRITICAL" }
Per saperne di più sulle informazioni sullo stato di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.
Passaggi successivi
- Scopri come visualizzare e applicare i suggerimenti relativi ai criteri per i bucket Cloud Storage.
- Utilizza l'hub dei suggerimenti per visualizzare e gestire tutti i suggerimenti per il progetto, inclusi quelli IAM.