Questa pagina mostra come gestire gli insight sui criteri a livello di bucket, che sono risultati basati sul machine learning per i tuoi bucket Cloud Storage. Gli approfondimenti sulle norme possono aiutarti a identificare quali entità dispongono di autorizzazioni di cui non hanno bisogno.
Questa pagina è incentrata sugli insight relativi ai criteri per i bucket. Il motore per suggerimenti offre anche norme insight per i seguenti tipi di risorse:
A volte gli insight sui criteri a livello di bucket sono collegati a dei ruoli. I suggerimenti sui ruoli suggeriscono azioni che per risolvere i problemi identificati dagli insight sui criteri a livello di bucket.
Prima di iniziare
-
Attiva Recommender API.
- Acquisire familiarità con i suggerimenti sui ruoli IAM.
- Assicurati di avere attivazione a livello di organizzazione del livello premium di Security Command Center. Per ulteriori informazioni, vedi Domande sulla fatturazione.
- (Facoltativo) Leggi gli approfondimenti del motore per suggerimenti.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire gli insight sui criteri a livello di bucket, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:
-
Storage Admin (
roles/storage.admin
) - Gestisci gli insight sui criteri a livello di bucket con gcloud CLI o l'API REST: Consumer utilizzo dei servizi ("roles/serviceusage.serviceUsageConsumer")
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti le autorizzazioni necessarie per gestire gli insight sui criteri a livello di bucket. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire gli insight sui criteri a livello di bucket sono necessarie le seguenti autorizzazioni:
-
Per visualizzare gli insight sui criteri a livello di bucket:
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
-
Per modificare gli insight sui criteri a livello di bucket:
recommender.iamPolicyInsights.update
-
Per gestire gli insight sui criteri a livello di bucket nella console Google Cloud:
-
resourcemanager.projects.get
-
storage.buckets.list
-
-
Gestisci gli insight sui criteri a livello di bucket con gcloud CLI o l'API REST:
serviceusage.services.use
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.
Elenca gli insight sui criteri a livello di bucket
Per elencare tutti gli insight sui criteri a livello di bucket per progetto, utilizza uno dei seguenti metodi:Console
-
Nella console Google Cloud, vai alla pagina Bucket.
-
Individua la colonna Approfondimenti sulla sicurezza nella tabella. Se la colonna Approfondimenti sulla sicurezza non è visibile, fai clic su
Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.Questa colonna mostra un riepilogo di tutti gli insight sui criteri per il bucket. Ogni riepilogo indica numero totale di autorizzazioni in eccesso per tutti i ruoli concessi in quel bucket.
-
Trova il bucket di cui vuoi visualizzare gli insight e fai clic sul relativo riepilogo riga di comando. Questa azione apre il riquadro Consigli per la sicurezza, che elenca tutte le le entità con un ruolo nel bucket, i relativi ruoli ed eventuali insight sui criteri associati quei ruoli.
In questa tabella, gli insight sulle norme hanno il formato
EXCESS/TOTAL excess permissions
, doveEXCESS
è il numero di autorizzazioni nell'attributo non necessario all'entità eTOTAL
è il numero totale di autorizzazioni nel ruolo.
gcloud
Utilizza il comando gcloud recommender
insights list
per visualizzare tutti gli insight sui criteri a livello di bucket per
progetto.
Prima di eseguire il comando, sostituisci i seguenti valori:
PROJECT_ID
: l'ID del progetto per cui vuoi elencare gli insight.LOCATION
: la posizione del nei bucket di cui vuoi elencare gli insight.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION\ --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"
L'output elenca tutti gli insight sui criteri a livello di bucket per progetto nella località specificata. Ad esempio:
INSIGHT_ID CATEGORY INSIGHT_STATE LAST_REFRESH_TIME SEVERITY INSIGHT_SUBTYPE DESCRIPTION 00dd7eb5-15c2-4fb3-a9b2-1a85f842462b SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04307297-f57c-416d-9323-38abac450db0 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04845da5-74ba-46b4-a0f3-47d83095c261 SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0a39f643-d7a8-4c11-b490-fecd74290fb5 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 0a4cee48-777b-4dea-a2b0-702b70da4b6f SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b2d147c-b26e-4afe-8fab-449c6e793750 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0bb3032d-721c-44e8-b464-5293f235281c SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 3 of the permissions in this role binding were used in the past 90 days.
REST
L'API Recommender
insights.list
che elenca tutti gli insight sui criteri a livello di bucket per
progetto.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del progetto per cui vuoi elencare gli insight.LOCATION
: la posizione del nei bucket di cui vuoi elencare gli insight.
Metodo HTTP e URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta elenca tutti gli insight sui criteri a livello di bucket per progetto nella località specificata. Ad esempio:
{ "insights": [ { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }, { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "projectViewer:my-project", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6" } ], "targetResources": [ "//storage.googleapis.com/bucket-2" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"5b60b935f27caf2c\"", "severity": "LOW" } ] }
Per scoprire di più sui componenti di un approfondimento, consulta Esaminare insight sui criteri a livello di bucket in questa pagina.
Ricevi un singolo insight sui criteri a livello di bucket
Per ottenere maggiori informazioni su un singolo approfondimento, tra cui la descrizione, lo stato e gli eventuali consigli associati, utilizza i seguenti metodi:
Console
-
Nella console Google Cloud, vai alla pagina Bucket.
- Assicurati che la colonna Approfondimenti sulla sicurezza sia visibile.
-
Individua la colonna Approfondimenti sulla sicurezza nella tabella. Questa colonna mostra un riepilogo di tutti gli insight sui criteri per il bucket. Ogni riepilogo indica il numero totale di autorizzazioni per tutti i ruoli concessi in quel bucket.
Se la colonna Approfondimenti sulla sicurezza non è visibile, fai clic su
Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza. Quindi, individua la colonna nella tabella. - Trova il bucket di cui vuoi visualizzare gli insight e fai clic sul relativo riepilogo riga di comando. Si apre un riquadro che elenca tutte le entità con un ruolo nel bucket, i relativi ruoli ed eventuali insight sui criteri associati a questi ruoli.
-
Nella colonna Approfondimenti sulla sicurezza, fai clic su un approfondimento sul criterio.
Gli approfondimenti sulle norme hanno il formato
EXCESS/TOTAL excess permissions
, doveEXCESS
è il numero di autorizzazioni nell'attributo non necessario all'entità eTOTAL
è il numero totale di autorizzazioni nel ruolo.
La console Google Cloud apre un riquadro che mostra i dettagli dell'insight.
gcloud
Utilizza il comando gcloud recommender
insights describe
con il tuo ID insight per visualizzare le informazioni su un singolo
o approfondimento.
-
INSIGHT_ID
: l'ID dell'insight che vuoi vista. Per trovare l'ID, elenca gli approfondimenti relativi alla tua progetto. PROJECT_ID
: l'ID del il progetto per cui vuoi gestire gli insight.LOCATION
: la posizione del del bucket di cui vuoi ottenere gli insight.
gcloud recommender insights describe INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION
L'output mostra l'insight in dettaglio. Ad esempio, il seguente approfondimento indica che tutti gli utenti (allUsers
) hanno il
Ruolo di Lettore bucket legacy di Storage (roles/storage.legacyBucketReader
) nel bucket
bucket-1
, ma che solo due autorizzazioni in quel ruolo sono state utilizzate in
ultimi 90 giorni:
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"2a8784e529b80aea"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACTIVE targetResources: - //storage.googleapis.com/bucket-1
Per scoprire di più sui componenti di un approfondimento, consulta Esaminare insight sui criteri a livello di bucket in questa pagina.
REST
L'API Recommender
insights.get
ottiene un singolo insight.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
-
PROJECT_ID
: l'ID del il progetto per cui vuoi gestire gli insight. LOCATION
: la posizione del del bucket di cui vuoi ottenere gli insight.-
INSIGHT_ID
: l'ID dell'insight che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elenca gli approfondimenti nel tuo progetto. L'ID di un approfondimento è tutto dopoinsights/
nel camponame
per l'approfondimento.
Metodo HTTP e URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene l'insight. Ad esempio, il seguente approfondimento indica che tutti gli utenti (allUsers
) hanno il
Ruolo di Lettore bucket legacy di Storage (roles/storage.legacyBucketReader
) nel bucket
bucket-1
, ma che solo due autorizzazioni in quel ruolo sono state utilizzate in
ultimi 90 giorni:
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }
Per scoprire di più sui componenti di un approfondimento, consulta Esaminare insight sui criteri a livello di bucket in questa pagina.
Esamina gli insight sui criteri a livello di bucket
Dopo aver ottenuto un singolo insight, puoi esaminarne i contenuti per comprendere il pattern della risorsa l'utilizzo che mette in evidenza.
Console
Quando fai clic su un approfondimento sui criteri nella console Google Cloud, La console Google Cloud apre un riquadro che mostra i dettagli dell'insight. L'aspetto di questi a seconda che l'insight sia associato a un suggerimento.
Se l'insight è associato a un suggerimento, il riquadro mostra dettagli del suggerimento.
Se l'insight non è associato a un suggerimento, il riquadro mostra un elenco di tutte le autorizzazioni nel ruolo. Le autorizzazioni utilizzate dall'entità vengono visualizzate in cima all'elenco, seguite da le autorizzazioni in eccesso.
![](https://cloud.google.com/static/policy-intelligence/img/storage-bucket-insight.png?authuser=2&hl=it)
![](https://cloud.google.com/static/policy-intelligence/img/storage-bucket-insight.png?authuser=2&hl=it)
gcloud
I contenuti di un approfondimento sono determinati dai suoi sottotipi.
Approfondimenti sui criteri a livello di bucket (google.iam.policy.Insight
)
hanno il sottotipo PERMISSIONS_USAGE_STORAGE_BUCKET
.
PERMISSIONS_USAGE_STORAGE_BUCKET
insight includono i seguenti componenti, non necessariamente
in questo ordine:
-
associatedRecommendations
: gli identificatori di eventuali consigli associati con l'insight. Se non ci sono suggerimenti associati all'insight, questo campo è vuoto. -
category
: la categoria per gli insight IAM è sempreSECURITY
. -
content
: segnala l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene il parametro i seguenti componenti:condition
: tutte le condizioni associate all'associazione che concede il ruolo all'entità. Se ci sono non ci sono condizioni, questo campo contiene una condizione vuota.exercisedPermissions
: le autorizzazioni nel ruolo utilizzate dall'entità durante la di osservazione.inferredPermissions
: le autorizzazioni nel ruolo del motore per suggerimenti determinato, mediante ML, che l'entità di cui avranno bisogno in base alle autorizzazioni esercitate.member
: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.role
: il ruolo per cui è stato analizzato l'utilizzo delle autorizzazioni.
-
description
: un riepilogo leggibile dell'approfondimento. -
etag
: un identificatore univoco per lo stato attuale di un approfondimento. Ogni volta che l'insight cambia, viene assegnato un nuovo valoreetag
.Per modificare lo stato di un approfondimento, devi fornire il
etag
del insight esistente. L'utilizzo dietag
aiuta a garantire che tutte le operazioni vengano solo se l'insight non è cambiato dall'ultima volta che l'hai recuperato. -
insightSubtype
: il sottotipo di approfondimento. -
lastRefreshTime
: la data dell'ultimo aggiornamento dell'insight. Indica l'aggiornamento dei dati utilizzati per generare l'insight. -
name
: il nome dell'approfondimento, nel seguente formato:projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
I segnaposto hanno i seguenti valori:
-
PROJECT_ID
: l'ID del progetto in cui è stato generato l'insight. LOCATION
: la posizione del a cui si riferisce l'insight.INSIGHT_ID
: un ID univoco per l'insight.
-
-
observationPeriod
: il periodo di tempo che ha portato all'approfondimento. La i dati di origine utilizzati per generare l'insight terminano alle orelastRefreshTime
e inizia alle orelastRefreshTime
menoobservationPeriod
. -
stateInfo
: gli insight vengono sottoposti a più transizioni di stato dopo viene proposto:-
ACTIVE
: l'insight è stato generato, ma non è stata eseguita alcuna azione. o è stata eseguita un'azione senza aggiornare lo stato dell'insight. Attivo gli insight vengono aggiornati quando i dati sottostanti cambiano. -
ACCEPTED
: sono state intraprese azioni in base alle informazioni. Consigli vengono accettati quando un consiglio associato è stato contrassegnato comeCLAIMED
SUCCEEDED
, oFAILED
, oppure l'insight è stato accettato direttamente. Quando un approfondimento è nello statoACCEPTED
, i contenuti dell'insight non possono modifica. Gli insight accettati vengono conservati per 90 giorni dopo vengono accettati.
-
-
targetResources
: il nome completo della risorsa del bucket a cui si riferisce l'insight. Ad esempio://storage.googleapis.com/my-bucket
.
REST
I contenuti di un approfondimento sono determinati dai suoi sottotipi.
Approfondimenti sui criteri a livello di bucket (google.iam.policy.Insight
)
hanno il sottotipo PERMISSIONS_USAGE_STORAGE_BUCKET
.
PERMISSIONS_USAGE_STORAGE_BUCKET
insight includono i seguenti componenti, non necessariamente
in questo ordine:
-
associatedRecommendations
: gli identificatori di eventuali consigli associati con l'insight. Se non ci sono suggerimenti associati all'insight, questo campo è vuoto. -
category
: la categoria per gli insight IAM è sempreSECURITY
. -
content
: segnala l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene il parametro i seguenti componenti:condition
: tutte le condizioni associate all'associazione che concede il ruolo all'entità. Se ci sono non ci sono condizioni, questo campo contiene una condizione vuota.exercisedPermissions
: le autorizzazioni nel ruolo utilizzate dall'entità durante la di osservazione.inferredPermissions
: le autorizzazioni nel ruolo del motore per suggerimenti determinato, mediante ML, che l'entità di cui avranno bisogno in base alle autorizzazioni esercitate.member
: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.role
: il ruolo per cui è stato analizzato l'utilizzo delle autorizzazioni.
-
description
: un riepilogo leggibile dell'approfondimento. -
etag
: un identificatore univoco per lo stato attuale di un approfondimento. Ogni volta che l'insight cambia, viene assegnato un nuovo valoreetag
.Per modificare lo stato di un approfondimento, devi fornire il
etag
del insight esistente. L'utilizzo dietag
aiuta a garantire che tutte le operazioni vengano solo se l'insight non è cambiato dall'ultima volta che l'hai recuperato. -
insightSubtype
: il sottotipo di approfondimento. -
lastRefreshTime
: la data dell'ultimo aggiornamento dell'insight. Indica l'aggiornamento dei dati utilizzati per generare l'insight. -
name
: il nome dell'approfondimento, nel seguente formato:projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
I segnaposto hanno i seguenti valori:
-
PROJECT_ID
: l'ID del progetto in cui è stato generato l'insight. LOCATION
: la posizione del a cui si riferisce l'insight.INSIGHT_ID
: un ID univoco per l'insight.
-
-
observationPeriod
: il periodo di tempo che ha portato all'approfondimento. La i dati di origine utilizzati per generare l'insight terminano alle orelastRefreshTime
e inizia alle orelastRefreshTime
menoobservationPeriod
. -
stateInfo
: gli insight vengono sottoposti a più transizioni di stato dopo viene proposto:-
ACTIVE
: l'insight è stato generato, ma non è stata eseguita alcuna azione. o è stata eseguita un'azione senza aggiornare lo stato dell'insight. Attivo gli insight vengono aggiornati quando i dati sottostanti cambiano. -
ACCEPTED
: sono state intraprese azioni in base alle informazioni. Consigli vengono accettati quando un consiglio associato è stato contrassegnato comeCLAIMED
SUCCEEDED
, oFAILED
, oppure l'insight è stato accettato direttamente. Quando un approfondimento è nello statoACCEPTED
, i contenuti dell'insight non possono modifica. Gli insight accettati vengono conservati per 90 giorni dopo vengono accettati.
-
-
targetResources
: il nome completo della risorsa del bucket a cui si riferisce l'insight. Ad esempio://storage.googleapis.com/my-bucket
.
Contrassegna un insight sul criterio a livello di bucket come ACCEPTED
Se intervieni sulla base di un approfondimento attivo, puoi contrassegnarlo come
ACCEPTED
. Lo stato ACCEPTED
indica
API Recommender che hai intrapreso in base a questo
informazioni, che aiutano a perfezionare i consigli.
Gli insight accettati vengono conservati per 90 giorni dopo
sono contrassegnati come ACCEPTED
.
Console
Se un insight è associato a un suggerimento,
applicazione del consiglio
modifica lo stato dell'insight in ACCEPTED
.
Per contrassegnare un approfondimento come ACCEPTED
senza applicare un consiglio, utilizza la
con gcloud CLI o l'API REST.
gcloud
Utilizza la
Comando gcloud recommender insights mark-accepted
con il tuo ID insight da contrassegnare
un approfondimento come ACCEPTED
.
-
INSIGHT_ID
: l'ID dell'insight che vuoi vista. Per trovare l'ID, elenca gli approfondimenti relativi alla tua progetto. PROJECT_ID
: l'ID del il progetto per cui vuoi gestire gli insight.LOCATION
: la posizione del bucket di cui vuoi contrassegnare l'insight comeACCEPTED
.-
ETAG
: un identificatore di una versione dell'insight. A scaricaetag
, procedi nel seguente modo:-
Ottieni l'insight usando il comando
gcloud recommender insights describe
. -
Trova e copia il valore
etag
dall'output, incluso il relativo citazioni. Ad esempio,"d3cdec23cc712bd0"
.
-
Ottieni l'insight usando il comando
gcloud recommender insights mark-accepted INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION \ --etag=ETAG
L'output mostra l'insight, ora con lo stato ACCEPTED
:
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"0187c0362e4bcea7"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACCEPTED targetResources: - //storage.googleapis.com/bucket-1
Per scoprire di più sulle informazioni sullo stato di un approfondimento, consulta la sezione Esaminare insight sui criteri a livello di bucket in questa pagina.
REST
L'API Recommender
insights.markAccepted
contrassegna un insight come ACCEPTED
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
-
PROJECT_ID
: l'ID del il progetto per cui vuoi gestire gli insight. LOCATION
: la posizione del bucket di cui vuoi contrassegnare l'insight comeACCEPTED
.-
INSIGHT_ID
: l'ID dell'insight che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elenca gli approfondimenti nel tuo progetto. L'ID di un approfondimento è tutto dopoinsights/
nel camponame
per l'approfondimento. -
ETAG
: un identificatore di una versione dell'insight. A scaricaetag
, procedi nel seguente modo:- Ottieni informazioni utilizzando
insights.get
. - Trova e copia il valore
etag
dalla risposta.
- Ottieni informazioni utilizzando
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted
Corpo JSON della richiesta:
{ "etag": "ETAG" }
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene l'insight, ora con lo stato ACCEPTED
:
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACCEPTED" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"9a5485cdc1f05b58\"", "severity": "CRITICAL" }
Per scoprire di più sulle informazioni sullo stato di un approfondimento, consulta la sezione Esaminare insight sui criteri a livello di bucket in questa pagina.
Passaggi successivi
- Scopri come visualizzare e applicare modifiche suggerimenti sui criteri per i bucket Cloud Storage.
- Utilizza la Hub dei suggerimenti per visualizzare e gestire tutti i suggerimenti per il progetto, inclusi IAM personalizzati.