이 페이지에서는 Cloud Storage 버킷의 권한 사용에 대한 머신러닝 기반 발견 항목인 버킷 수준 정책 통계를 관리하는 방법을 보여줍니다. 정책 통계는 필요하지 않은 권한을 갖고 있는 주 구성원을 식별하는 데 도움이 됩니다.
이 페이지에서는 버킷의 정책 통계를 중점적으로 설명합니다. 또한 추천자는 다음 리소스 유형에 대한 정책 통계를 제공합니다.
버킷 수준 정책 통계는 경우에 따라 역할 권장사항에 연결됩니다. 역할 권장사항은 버킷 수준 정책 통계에서 식별된 문제를 해결하기 위해 수행할 수 있는 작업을 제안합니다.
시작하기 전에
-
Enable the Recommender API.
- IAM 역할 권장사항을 숙지합니다.
- Security Command Center 프리미엄 등급의 조직 수준 활성화가 있는지 확인합니다. 자세한 내용은 결제 관련 문의를 참조하세요.
- 선택사항: 추천자 통계를 읽습니다.
필요한 역할
버킷 수준 정책 통계를 관리하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
스토리지 관리자(
roles/storage.admin
) - gcloud CLI 또는 REST API를 사용하여 버킷 수준 정책 통계 관리: 서비스 사용량 소비자(`roles/serviceusage.serviceUsageConsumer`)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
이러한 사전 정의된 역할에는 버킷 수준 정책 통계를 관리하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.
필수 권한
버킷 수준 정책 통계를 관리하려면 다음 권한이 필요합니다.
-
버킷 수준 정책 통계를 보려면 다음 권한이 필요합니다.
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
-
버킷 수준 정책 통계를 수정하려면 다음 권한이 필요합니다.
recommender.iamPolicyInsights.update
-
Google Cloud 콘솔에서 버킷 수준 정책 통계를 관리하려면 다음 안내를 따르세요.
-
resourcemanager.projects.get
-
storage.buckets.list
-
-
gcloud CLI 또는 REST API로 버킷 수준 정책 통계 관리:
serviceusage.services.use
커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.
버킷 수준 정책 통계 나열
프로젝트의 모든 버킷 수준 정책 통계를 나열하려면 다음 메서드 중 하나를 사용합니다.콘솔
-
Google Cloud 콘솔에서 버킷 페이지로 이동합니다.
-
표에서 보안 통계 열을 찾습니다. 보안 통계 열이 표시되지 않으면
열 표시 옵션을 클릭하고 보안 통계를 선택합니다.이 열에는 버킷에 대한 모든 정책 통계의 요약이 표시됩니다. 각 요약은 해당 버킷에 부여된 모든 역할에 대한 초과 권한의 총 수를 나타냅니다.
-
통계를 보려는 버킷을 찾고 해당 행에서 정책 통계 요약을 클릭합니다. 이 작업을 수행하면 버킷에 대한 역할이 있는 모든 주 구성원, 해당 역할, 이러한 역할과 연결된 정책 통계가 나열된 보안 권장사항 창이 열립니다.
이 테이블에서 정책 통계의 형식은
EXCESS/TOTAL excess permissions
입니다. 여기서EXCESS
는 주 구성원에게 필요하지 않은 역할의 권한 수이고TOTAL
은 역할의 총 권한 수입니다.
gcloud
gcloud recommender
insights list
명령어를 사용하여 프로젝트의 모든 버킷 수준 정책 통계를 확인합니다.
명령어를 실행하기 전에 다음 값을 바꿉니다.
PROJECT_ID
: 통계를 나열하려는 프로젝트의 ID입니다.LOCATION
: 통계를 나열할 버킷의 위치입니다.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION\ --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"
지정된 위치에 있는 프로젝트의 모든 버킷 수준 정책 통계가 출력에 나열됩니다. 예를 들면 다음과 같습니다.
INSIGHT_ID CATEGORY INSIGHT_STATE LAST_REFRESH_TIME SEVERITY INSIGHT_SUBTYPE DESCRIPTION 00dd7eb5-15c2-4fb3-a9b2-1a85f842462b SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04307297-f57c-416d-9323-38abac450db0 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04845da5-74ba-46b4-a0f3-47d83095c261 SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0a39f643-d7a8-4c11-b490-fecd74290fb5 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 0a4cee48-777b-4dea-a2b0-702b70da4b6f SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b2d147c-b26e-4afe-8fab-449c6e793750 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0bb3032d-721c-44e8-b464-5293f235281c SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 3 of the permissions in this role binding were used in the past 90 days.
REST
Recommender API의 insights.list
메서드는 프로젝트의 모든 버킷 수준 정책 통계를 나열합니다.
요청 데이터를 사용하기 전에 다음을 바꿉니다.
PROJECT_ID
: 통계를 나열하려는 프로젝트의 ID입니다.LOCATION
: 통계를 나열할 버킷의 위치입니다.
HTTP 메서드 및 URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에는 지정된 위치에 있는 프로젝트의 모든 버킷 수준 정책 통계가 나열됩니다. 예를 들면 다음과 같습니다.
{ "insights": [ { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }, { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "projectViewer:my-project", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6" } ], "targetResources": [ "//storage.googleapis.com/bucket-2" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"5b60b935f27caf2c\"", "severity": "LOW" } ] }
통계 구성요소에 대한 자세한 내용은 이 페이지의 버킷 수준 정책 통계 검토를 참조하세요.
단일 버킷 수준 정책 통계 가져오기
통계 설명, 상태, 관련 권장사항을 포함하여 단일 통계에 대한 자세한 내용을 보려면 다음 메서드 중 하나를 사용하세요.
콘솔
-
Google Cloud 콘솔에서 버킷 페이지로 이동합니다.
- 보안 통계 열이 표시되는지 확인합니다.
-
표에서 보안 통계 열을 찾습니다. 이 열에는 버킷에 대한 모든 정책 통계의 요약이 표시됩니다. 각 요약은 해당 버킷에 부여된 모든 역할에 대한 초과 권한의 총 수를 나타냅니다.
보안 통계 열이 표시되지 않으면
열 표시 옵션을 클릭하고 보안 통계를 선택합니다. 그런 다음 테이블에서 열을 찾습니다. - 통계를 보려는 버킷을 찾고 해당 행에서 정책 통계 요약을 클릭합니다. 그러면 버킷에 대한 역할이 있는 모든 주 구성원, 해당 역할, 이러한 역할과 연결된 정책 통계가 나열된 창이 열립니다.
-
보안 통계 열에서 정책 통계를 클릭합니다.
정책 통계의 형식은
EXCESS/TOTAL excess permissions
입니다. 여기서EXCESS
는 주 구성원에게 필요하지 않은 역할의 권한 수이고TOTAL
은 역할의 총 권한 수입니다.
Google Cloud 콘솔에서 통계 세부정보가 표시된 창이 열립니다.
gcloud
통계 ID와 함께 gcloud recommender
insights describe
명령어를 사용하여 단일 통계에 대한 정보를 확인합니다.
-
INSIGHT_ID
: 보려는 통계의 ID입니다. ID를 찾으려면 프로젝트의 통계를 나열하세요. PROJECT_ID
: 통계를 관리하려는 프로젝트의 ID입니다.LOCATION
: 통계를 가져올 버킷의 위치입니다.
gcloud recommender insights describe INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION
출력에 통계가 자세히 표시됩니다. 예를 들어 다음 통계는 모든 사용자(allUsers
)에게 bucket-1
버킷에 대한 스토리지 기존 버킷 리더 역할(roles/storage.legacyBucketReader
)이 있지만 지난 90일 동안 해당 역할의 권한 중 두 개만 사용되었음을 나타냅니다.
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"2a8784e529b80aea"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACTIVE targetResources: - //storage.googleapis.com/bucket-1
통계 구성요소에 대한 자세한 내용은 이 페이지의 버킷 수준 정책 통계 검토를 참조하세요.
REST
Recommender API의 insights.get
메서드는 단일 통계를 가져옵니다.
요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
PROJECT_ID
: 통계를 관리하려는 프로젝트의 ID입니다. LOCATION
: 통계를 가져올 버킷의 위치입니다.-
INSIGHT_ID
: 보려는 통계의 ID입니다. 통계 ID를 모르는 경우 프로젝트의 통계를 나열하여 찾을 수 있습니다. 통계 ID는 통계의name
필드에서insights/
다음에 오는 모든 문자입니다.
HTTP 메서드 및 URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에 통계가 포함됩니다. 예를 들어 다음 통계는 모든 사용자(allUsers
)에게 bucket-1
버킷에 대한 스토리지 기존 버킷 리더 역할(roles/storage.legacyBucketReader
)이 있지만 지난 90일 동안 해당 역할의 권한 중 두 개만 사용되었음을 나타냅니다.
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }
통계 구성요소에 대한 자세한 내용은 이 페이지의 버킷 수준 정책 통계 검토를 참조하세요.
버킷 수준 정책 통계 검토
단일 통계를 가져온 후 콘텐츠를 검토하여 강조표시되는 리소스 사용량 패턴을 파악할 수 있습니다.
콘솔
Google Cloud 콘솔에서 정책 통계를 클릭하면 Google Cloud 콘솔에서 통계의 세부정보가 표시된 창이 열립니다. 이러한 세부정보가 표시되는 모양은 통계가 권장사항과 연결되어 있는지 여부에 따라 달라집니다.
통계가 권장사항과 연결된 경우 창에 권장사항 세부정보가 표시됩니다.
통계가 권장사항과 연결되지 않았으면 창에 해당 역할의 모든 권한 목록이 표시됩니다. 주 구성원이 사용한 권한이 목록 위에 표시되고 과도한 권한이 이어서 표시됩니다.
gcloud
통계의 콘텐츠는 하위유형에 따라 결정됩니다.
버킷 수준 정책 통계(google.iam.policy.Insight
)의 하위유형은 PERMISSIONS_USAGE_STORAGE_BUCKET
입니다.
PERMISSIONS_USAGE_STORAGE_BUCKET
통계에는 다음과 같은 구성요소가 있습니다(순서는 다름).
-
associatedRecommendations
: 통계와 연결된 모든 권장사항의 식별자입니다. 통계와 연결된 권장사항이 없으면 이 필드는 비어 있습니다. category
: IAM 통계의 카테고리는 항상SECURITY
입니다.-
content
: 특정 역할에 대한 주 구성원의 권한 사용 보고를 보고합니다. 이 필드에는 다음 구성요소가 포함됩니다.condition
: 주 구성원에게 역할을 부여하는 바인딩에 연결된 모든 조건입니다. 조건이 없는 경우 이 필드에는 빈 조건이 포함됩니다.exercisedPermissions
: 주 구성원이 관찰 기간 동안 사용한 역할의 권한입니다.inferredPermissions
: 추천자가 ML을 통해 사용된 권한을 기반으로 주 구성원에게 필요할 것으로 판단한 역할의 권한입니다.member
: 권한 사용이 분석된 주 구성원입니다.role
: 권한 사용이 분석된 역할입니다.
-
description
: 인간이 읽을 수 있는 통계 요약입니다. -
etag
: 통계의 현재 상태에 대한 고유 식별자입니다. 통계가 변경될 때마다 새etag
값이 할당됩니다.통계 상태를 변경하려면 기존 통계의
etag
를 제공해야 합니다.etag
를 사용하면 마지막으로 검색한 후 통계가 변경되지 않은 경우에만 작업이 수행됩니다. -
insightSubtype
: 통계 하위유형입니다. -
lastRefreshTime
: 통계가 마지막으로 갱신된 날짜로, 통계를 생성하는 데 사용된 데이터의 최신 상태를 나타냅니다. -
name
: 다음 형식의 통계 이름입니다.projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
자리표시자의 값은 다음과 같습니다.
PROJECT_ID
: 통계가 생성된 프로젝트의 ID입니다.LOCATION
: 통계의 대상인 버킷의 위치입니다.INSIGHT_ID
: 통계의 고유 ID입니다.
-
observationPeriod
: 통계까지 이어지는 기간입니다. 통계를 생성하는 데 사용되는 소스 데이터는lastRefreshTime
에 종료되며lastRefreshTime
에서observationPeriod
를 뺀 시간에 시작합니다. -
stateInfo
: 통계는 제안된 후 여러 상태로 전환됩니다.-
ACTIVE
: 통계가 생성되지만 작업이 수행되지 않았거나 통계의 상태를 업데이트하지 않고 작업이 수행되었습니다. 활성 통계는 기본 데이터가 변경되면 업데이트됩니다. -
ACCEPTED
: 통계를 기반으로 몇몇 작업이 실행되었습니다. 통계가 수락되는 것은 관련 권장사항이CLAIMED
,SUCCEEDED
또는FAILED
로 표시되었거나 통계가 직접 수락된 경우입니다. 통계 상태가ACCEPTED
일 때는 통계 내용을 변경할 수 없습니다. 수락된 통계는 수락된 날로부터 90일 동안 보관됩니다.
-
-
targetResources
: 통계의 대상인 버킷의 전체 리소스 이름입니다. 예를 들면//storage.googleapis.com/my-bucket
입니다.
REST
통계의 콘텐츠는 하위유형에 따라 결정됩니다.
버킷 수준 정책 통계(google.iam.policy.Insight
)의 하위유형은 PERMISSIONS_USAGE_STORAGE_BUCKET
입니다.
PERMISSIONS_USAGE_STORAGE_BUCKET
통계에는 다음과 같은 구성요소가 있습니다(순서는 다름).
-
associatedRecommendations
: 통계와 연결된 모든 권장사항의 식별자입니다. 통계와 연결된 권장사항이 없으면 이 필드는 비어 있습니다. category
: IAM 통계의 카테고리는 항상SECURITY
입니다.-
content
: 특정 역할에 대한 주 구성원의 권한 사용 보고를 보고합니다. 이 필드에는 다음 구성요소가 포함됩니다.condition
: 주 구성원에게 역할을 부여하는 바인딩에 연결된 모든 조건입니다. 조건이 없는 경우 이 필드에는 빈 조건이 포함됩니다.exercisedPermissions
: 주 구성원이 관찰 기간 동안 사용한 역할의 권한입니다.inferredPermissions
: 추천자가 ML을 통해 사용된 권한을 기반으로 주 구성원에게 필요할 것으로 판단한 역할의 권한입니다.member
: 권한 사용이 분석된 주 구성원입니다.role
: 권한 사용이 분석된 역할입니다.
-
description
: 인간이 읽을 수 있는 통계 요약입니다. -
etag
: 통계의 현재 상태에 대한 고유 식별자입니다. 통계가 변경될 때마다 새etag
값이 할당됩니다.통계 상태를 변경하려면 기존 통계의
etag
를 제공해야 합니다.etag
를 사용하면 마지막으로 검색한 후 통계가 변경되지 않은 경우에만 작업이 수행됩니다. -
insightSubtype
: 통계 하위유형입니다. -
lastRefreshTime
: 통계가 마지막으로 갱신된 날짜로, 통계를 생성하는 데 사용된 데이터의 최신 상태를 나타냅니다. -
name
: 다음 형식의 통계 이름입니다.projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
자리표시자의 값은 다음과 같습니다.
PROJECT_ID
: 통계가 생성된 프로젝트의 ID입니다.LOCATION
: 통계의 대상인 버킷의 위치입니다.INSIGHT_ID
: 통계의 고유 ID입니다.
-
observationPeriod
: 통계까지 이어지는 기간입니다. 통계를 생성하는 데 사용되는 소스 데이터는lastRefreshTime
에 종료되며lastRefreshTime
에서observationPeriod
를 뺀 시간에 시작합니다. -
stateInfo
: 통계는 제안된 후 여러 상태로 전환됩니다.-
ACTIVE
: 통계가 생성되지만 작업이 수행되지 않았거나 통계의 상태를 업데이트하지 않고 작업이 수행되었습니다. 활성 통계는 기본 데이터가 변경되면 업데이트됩니다. -
ACCEPTED
: 통계를 기반으로 몇몇 작업이 실행되었습니다. 통계가 수락되는 것은 관련 권장사항이CLAIMED
,SUCCEEDED
또는FAILED
로 표시되었거나 통계가 직접 수락된 경우입니다. 통계 상태가ACCEPTED
일 때는 통계 내용을 변경할 수 없습니다. 수락된 통계는 수락된 날로부터 90일 동안 보관됩니다.
-
-
targetResources
: 통계의 대상인 버킷의 전체 리소스 이름입니다. 예를 들면//storage.googleapis.com/my-bucket
입니다.
버킷 수준 정책 통계를 ACCEPTED
로 표시
활성 통계를 기반으로 작업을 수행하는 경우 통계를 ACCEPTED
로 표시할 수 있습니다. ACCEPTED
상태는 이 통계를 기반으로 작업을 수행했음을 Recommender API에 알려주므로 권장사항을 개선하는 데 도움이 됩니다.
허용된 통계는 ACCEPTED
로 표시된 후 90일 동안 보관됩니다.
콘솔
통계가 권장사항과 연결된 경우 권장사항을 적용하면 통계 상태가 ACCEPTED
로 변경됩니다.
권장사항을 적용하지 않고 통계를 ACCEPTED
로 표시하려면 gcloud CLI 또는 REST API를 사용합니다.
gcloud
통계 ID와 함께 gcloud recommender insights mark-accepted
명령어를 사용하여 통계를 ACCEPTED
로 표시합니다.
-
INSIGHT_ID
: 보려는 통계의 ID입니다. ID를 찾으려면 프로젝트의 통계를 나열하세요. PROJECT_ID
: 통계를 관리하려는 프로젝트의 ID입니다.LOCATION
: 통계를ACCEPTED
로 표시할 버킷의 위치입니다.-
ETAG
: 통계 버전의 식별자입니다.etag
를 가져오려면 다음 안내를 따르세요.-
gcloud recommender insights describe
명령어를 사용하여 통계를 가져옵니다. -
출력에서
etag
값(큰따옴표 포함)을 찾아 복사합니다. 예를 들면"d3cdec23cc712bd0"
입니다.
-
gcloud recommender insights mark-accepted INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION \ --etag=ETAG
출력에 ACCEPTED
상태와 함께 통계가 표시됩니다.
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"0187c0362e4bcea7"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACCEPTED targetResources: - //storage.googleapis.com/bucket-1
통계 상태 정보에 대한 자세한 내용은 이 페이지의 버킷 수준 정책 통계 검토를 참조하세요.
REST
Recommender API의 insights.markAccepted
메서드는 통계를 ACCEPTED
로 표시합니다.
요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
PROJECT_ID
: 통계를 관리하려는 프로젝트의 ID입니다. LOCATION
: 통계를ACCEPTED
로 표시할 버킷의 위치입니다.-
INSIGHT_ID
: 보려는 통계의 ID입니다. 통계 ID를 모르는 경우 프로젝트의 통계를 나열하여 찾을 수 있습니다. 통계 ID는 통계의name
필드에서insights/
다음에 오는 모든 문자입니다. -
ETAG
: 통계 버전의 식별자입니다.etag
를 가져오려면 다음을 실행합니다.insights.get
메서드를 사용하여 통계를 가져옵니다.- 응답에서
etag
값을 찾아서 복사합니다.
HTTP 메서드 및 URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted
JSON 요청 본문:
{ "etag": "ETAG" }
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에 통계가 포함됩니다. 이제 상태가 ACCEPTED
입니다.
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACCEPTED" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"9a5485cdc1f05b58\"", "severity": "CRITICAL" }
통계 상태 정보에 대한 자세한 내용은 이 페이지의 버킷 수준 정책 통계 검토를 참조하세요.
다음 단계
- Cloud Storage 버킷 정책 권장사항을 보고 적용하는 방법 알아보기
- 권장사항 허브를 사용하여 IAM 권장사항을 포함한 프로젝트의 모든 권장사항을 열람하고 관리하기