Richtlinienstatistiken für Cloud Storage-Buckets ansehen

Auf dieser Seite wird gezeigt, wie Sie Richtlinienstatistiken auf Bucket-Ebene verwalten, bei denen es sich um Ergebnisse auf der Grundlage von maschinellem Lernen handelt. Berechtigungsnutzung für Ihre Cloud Storage-Buckets. Mit Richtlinienstatistiken können Sie ermitteln, welche Hauptkonten Berechtigungen haben, die sie nicht benötigen.

Auf dieser Seite geht es um Richtlinienstatistiken für Buckets. Richtlinie zu Recommender bietet auch Statistiken für die folgenden Ressourcentypen:

Richtlinienstatistiken auf Bucket-Ebene werden manchmal mit verknüpft Rollenempfehlungen. Rollenempfehlungen schlagen Aktionen vor, die durch Richtlinienstatistiken auf Bucket-Ebene identifizierten Problemen behoben werden können.

Hinweise

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die Sie zum Verwalten von Richtlinienstatistiken auf Bucket-Ebene benötigen, bitten Sie Ihren Administrator, Ihnen folgende IAM-Rollen für Ihr Projekt:

  • Storage-Administrator (roles/storage.admin)
  • Verwalten Sie Richtlinienstatistiken auf Bucket-Ebene mit der gcloud CLI oder REST API: Service Usage-Nutzer (`roles/serviceusage.serviceUsageConsumer`)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten Berechtigungen, die zum Verwalten von Richtlinienstatistiken auf Bucket-Ebene erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Verwalten von Richtlinienstatistiken auf Bucket-Ebene erforderlich:

  • So rufen Sie Richtlinienstatistiken auf Bucket-Ebene auf: <ph type="x-smartling-placeholder">
      </ph>
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • So ändern Sie Richtlinienstatistiken auf Bucket-Ebene: recommender.iamPolicyInsights.update
  • So verwalten Sie Richtlinienstatistiken auf Bucket-Ebene in der Google Cloud Console: <ph type="x-smartling-placeholder">
      </ph>
    • resourcemanager.projects.get
    • storage.buckets.list
  • Verwalten Sie Richtlinienstatistiken auf Bucket-Ebene mit der gcloud CLI oder REST API: serviceusage.services.use

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Richtlinienstatistiken auf Bucket-Ebene auflisten

Zum Auflisten aller Richtlinienstatistiken auf Bucket-Ebene für Ihr Projekt, Verwenden Sie eine der folgenden Methoden:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Buckets auf.

    Los in Buckets

  2. Suchen Sie in der Tabelle nach der Spalte Sicherheitsinformationen. Wenn die Spalte Sicherheitsinformationen nicht sichtbar ist, klicken Sie auf  Spaltenanzeigeoptionen und wählen Sie Sicherheitsinformationen aus.

    In dieser Spalte wird eine Zusammenfassung aller Richtlinienstatistiken für den Bucket angezeigt. Jede Zusammenfassung gibt Gesamtzahl der nicht erforderlichen Berechtigungen für alle im Bucket gewährten Rollen.

  3. Suchen Sie den Bucket, dessen Statistiken Sie aufrufen möchten, und klicken Sie dort auf die Zusammenfassung der Richtlinienstatistiken. Zeile. Dadurch wird der Bereich Sicherheitsempfehlungen geöffnet, in dem alle Hauptkonten, die eine Rolle für den Bucket haben, sowie ihre Rollen und alle Richtlinienstatistiken, die mit für diese Rollen.

    In dieser Tabelle haben Richtlinienstatistiken das Format EXCESS/TOTAL excess permissions, wobei EXCESS die Anzahl der Berechtigungen im Feld Rolle, die das Hauptkonto nicht benötigt, und TOTAL ist die Gesamtzahl Berechtigungen für die Rolle.

gcloud

Verwenden Sie den Befehl gcloud recommender insights list, um alle Richtlinienstatistiken auf Bucket-Ebene für Ihr Projekt arbeiten.

Ersetzen Sie vor dem Ausführen des Befehls die folgenden Werte:

  • PROJECT_ID: Die ID des Projekts, für das Sie Statistiken auflisten möchten.
  • LOCATION: Der Standort des Buckets, deren Erkenntnisse Sie auflisten möchten. 
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION\
    --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"

In der Ausgabe werden alle Richtlinienstatistiken auf Bucket-Ebene für Ihr an dem angegebenen Speicherort erstellen. Beispiel: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                   DESCRIPTION
00dd7eb5-15c2-4fb3-a9b2-1a85f842462b  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04307297-f57c-416d-9323-38abac450db0  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04845da5-74ba-46b4-a0f3-47d83095c261  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0a39f643-d7a8-4c11-b490-fecd74290fb5  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
0a4cee48-777b-4dea-a2b0-702b70da4b6f  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b2d147c-b26e-4afe-8fab-449c6e793750  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0bb3032d-721c-44e8-b464-5293f235281c  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  3 of the permissions in this role binding were used in the past 90 days.

REST

Die Recommender APIs insights.list werden alle Richtlinienstatistiken auf Bucket-Ebene für Ihre Projekt arbeiten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Die ID des Projekts, für das Sie Statistiken auflisten möchten.
  • LOCATION: Der Standort des Buckets, deren Erkenntnisse Sie auflisten möchten.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

In der Antwort werden alle Richtlinienstatistiken auf Bucket-Ebene für Ihr an dem angegebenen Speicherort erstellen. Beispiel: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "allUsers",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-1"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"2a8784e529b80aea\"",
      "severity": "CRITICAL"
    },
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "projectViewer:my-project",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-2"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"5b60b935f27caf2c\"",
      "severity": "LOW"
    }
  ]
}

Weitere Informationen zu den Komponenten einer Statistik finden Sie unter Überprüfen Richtlinienstatistiken auf Bucket-Ebene.

Einzelne Richtlinienstatistik auf Bucket-Ebene abrufen

Wenn Sie weitere Informationen zu einer einzelnen Statistik abrufen möchten, einschließlich der Beschreibung, des Status und aller mit ihr verknüpften Empfehlungen, verwenden Sie eine der folgenden Methoden:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Buckets auf.

    Los in Buckets

  2. Die Spalte Sicherheitsinformationen muss sichtbar sein.

  3. Suchen Sie in der Tabelle nach der Spalte Sicherheitsinformationen. Diese Spalte enthält eine Zusammenfassung aller Richtlinienstatistiken für den Bucket. In jeder Zusammenfassung ist die Gesamtzahl der überschüssigen Berechtigungen für alle in diesem Bucket gewährten Rollen.

    Wenn die Spalte Sicherheitsinformationen nicht sichtbar ist, klicken Sie auf  Spaltenanzeigeoptionen und wählen Sie Sicherheitsinformationen aus. Suchen Sie dann die Spalte in der Tabelle.

  4. Suchen Sie den Bucket, dessen Statistiken Sie aufrufen möchten, und klicken Sie dort auf die Zusammenfassung der Richtlinienstatistiken. Zeile. Daraufhin wird ein Bereich mit allen Hauptkonten geöffnet, die eine Rolle für den Bucket haben, sowie alle Richtlinienstatistiken, die mit diesen Rollen verknüpft sind.
  5. Klicken Sie in der Spalte Sicherheitsstatistiken auf eine Richtlinienstatistik. Richtlinienstatistiken haben das Format EXCESS/TOTAL excess permissions, wobei EXCESS die Anzahl der Berechtigungen im Feld Rolle, die das Hauptkonto nicht benötigt, und TOTAL ist die Gesamtzahl Berechtigungen für die Rolle.

In der Google Cloud Console wird ein Bereich mit den Details der Statistik geöffnet.

gcloud

Verwenden Sie den Befehl gcloud recommender insights describe mit Ihrer Statistik-ID, um Informationen zu einer einzelnen Statistik aufzurufen.

  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Um die ID zu finden, listen Sie die Statistiken für Ihr Projekt arbeiten.
  • PROJECT_ID: Die ID des Projekts, für das Sie Statistiken verwalten möchten.
  • LOCATION: Der Standort des Bucket, dessen Statistik Sie abrufen möchten. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION

In der Ausgabe sehen Sie die Statistik im Detail. Die folgende Statistik zeigt beispielsweise, dass alle Nutzer (allUsers) die Einstellung Rolle „Leser alter Storage-Buckets“ (roles/storage.legacyBucketReader) für den Bucket bucket-1, aber dass nur zwei Berechtigungen in dieser Rolle im der letzten 90 Tage: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"2a8784e529b80aea"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACTIVE
targetResources:
- //storage.googleapis.com/bucket-1

Weitere Informationen zu den Komponenten einer Statistik finden Sie unter Überprüfen Richtlinienstatistiken auf Bucket-Ebene.

REST

Die Methode insights.get der Recommender API ruft eine einzelne Statistik ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Die ID des Projekts, für das Sie Statistiken verwalten möchten.
  • LOCATION: Der Standort des Bucket, dessen Statistik Sie abrufen möchten.
  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie Sie die Statistik-ID nicht kennen, die Statistiken in Ihrem Projekt arbeiten. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Statistik. Die folgende Statistik zeigt beispielsweise, dass alle Nutzer (allUsers) die Einstellung Rolle „Leser alter Storage-Buckets“ (roles/storage.legacyBucketReader) für den Bucket bucket-1, aber dass nur zwei Berechtigungen in dieser Rolle im der letzten 90 Tage: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"2a8784e529b80aea\"",
  "severity": "CRITICAL"
}

Weitere Informationen zu den Komponenten einer Statistik finden Sie unter Überprüfen Richtlinienstatistiken auf Bucket-Ebene.

Richtlinienstatistiken auf Bucket-Ebene prüfen

Nachdem Sie eine einzelne Statistik erhalten haben, können Sie deren Inhalt prüfen, um das durch sie hervorgehobene Muster der Ressourcennutzung zu verstehen.

Console

Wenn Sie in der Google Cloud Console auf eine Richtlinienstatistik klicken, In der Google Cloud Console wird ein Bereich mit den Details der Statistik geöffnet. Die Darstellung dieser Details hängt davon ab, ob die Statistik mit einer Empfehlung verknüpft ist.

Wenn die Statistik mit einer Empfehlung verknüpft ist, werden in dem Bereich die Details der Empfehlung angezeigt.

Wenn die Statistik nicht mit einer Empfehlung verknüpft ist, wird im Bereich eine Liste aller Berechtigungen in der Rolle angezeigt. Die vom Hauptkonto verwendeten Berechtigungen werden ganz oben in der Liste angezeigt, gefolgt von den nicht erforderlichen Berechtigungen.

gcloud

Der Inhalt einer Statistik wird durch die Untertypen bestimmt. Statistiken zu Richtlinien auf Bucket-Ebene (google.iam.policy.Insight) den Untertyp PERMISSIONS_USAGE_STORAGE_BUCKET haben.

PERMISSIONS_USAGE_STORAGE_BUCKET-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
  • category: Die Kategorie für IAM-Statistiken ist immer SECURITY.

  • content: Gibt die Nutzung von Berechtigungen für eine bestimmte Rolle durch ein Hauptkonto an. Dieses Feld enthält die folgenden Komponenten:

    • condition: Alle Bedingungen, die mit einer Bindung verknüpft sind, durch die dem Hauptkonto die Rolle zugewiesen wird. Wenn keine Bedingungen vorhanden sind, enthält dieses Feld eine leere Bedingung.
    • exercisedPermissions: Die Berechtigungen der Rolle, die das Hauptkonto während des Beobachtungszeitraums verwendet hat.
    • inferredPermissions: Die Berechtigungen der Rolle, die das Hauptkonto gemäß der ML-basierten Analyse durch den IAM Recommender und basierend auf den vom Hauptkonto verwendeten Berechtigungen wahrscheinlich benötigt.
    • member: Das Hauptkonto, dessen Nutzung von Berechtigungen analysiert wurde.
    • role: Die Rolle, für die die Nutzung von Berechtigungen analysiert wurde.
  • description: Eine menschenlesbare Zusammenfassung der Statistik.

  • etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

    Zum Ändern des Status einer Statistik müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.

  • insightSubtype: Der Statistikuntertyp.
  • lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.

  • name: Der Name der Statistik im folgenden Format:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Die Platzhalter haben folgende Werte:

    • PROJECT_ID: Die ID des Projekts, in dem die Statistik generiert wurde.
    • LOCATION: Der Standort des Bucket, für den die Statistik bestimmt ist.
    • INSIGHT_ID: Eine eindeutige ID für die Statistik.
  • observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.

  • stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:

    • ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
    • ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
  • targetResources: der vollständige Ressourcenname des Buckets, für den die Statistik bestimmt ist. Beispiel: //storage.googleapis.com/my-bucket

REST

Der Inhalt einer Statistik wird durch die Untertypen bestimmt. Statistiken zu Richtlinien auf Bucket-Ebene (google.iam.policy.Insight) den Untertyp PERMISSIONS_USAGE_STORAGE_BUCKET haben.

PERMISSIONS_USAGE_STORAGE_BUCKET-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
  • category: Die Kategorie für IAM-Statistiken ist immer SECURITY.

  • content: Gibt die Nutzung von Berechtigungen für eine bestimmte Rolle durch ein Hauptkonto an. Dieses Feld enthält die folgenden Komponenten:

    • condition: Alle Bedingungen, die mit einer Bindung verknüpft sind, durch die dem Hauptkonto die Rolle zugewiesen wird. Wenn keine Bedingungen vorhanden sind, enthält dieses Feld eine leere Bedingung.
    • exercisedPermissions: Die Berechtigungen der Rolle, die das Hauptkonto während des Beobachtungszeitraums verwendet hat.
    • inferredPermissions: Die Berechtigungen der Rolle, die das Hauptkonto gemäß der ML-basierten Analyse durch den IAM Recommender und basierend auf den vom Hauptkonto verwendeten Berechtigungen wahrscheinlich benötigt.
    • member: Das Hauptkonto, dessen Nutzung von Berechtigungen analysiert wurde.
    • role: Die Rolle, für die die Nutzung von Berechtigungen analysiert wurde.
  • description: Eine menschenlesbare Zusammenfassung der Statistik.

  • etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

    Zum Ändern des Status einer Statistik müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.

  • insightSubtype: Der Statistikuntertyp.
  • lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.

  • name: Der Name der Statistik im folgenden Format:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Die Platzhalter haben folgende Werte:

    • PROJECT_ID: Die ID des Projekts, in dem die Statistik generiert wurde.
    • LOCATION: Der Standort des Bucket, für den die Statistik bestimmt ist.
    • INSIGHT_ID: Eine eindeutige ID für die Statistik.
  • observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.

  • stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:

    • ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
    • ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
  • targetResources: der vollständige Ressourcenname des Buckets, für den die Statistik bestimmt ist. Beispiel: //storage.googleapis.com/my-bucket

Richtlinienstatistik auf Bucket-Ebene als ACCEPTED markieren

Wenn Sie eine Aktion gemäß einer aktiven Statistik durchführen, können Sie diese Statistik als ACCEPTED markieren. Durch den Status ACCEPTED wird der Recommender API mitgeteilt, dass Sie gemäß dieser Statistik Aktionen durchgeführt haben, wodurch sich die Empfehlungen optimieren lassen.

Akzeptierte Statistiken werden 90 Tage lang aufbewahrt, nachdem sie als ACCEPTED markiert wurden.

Console

Wenn eine Statistik mit einer Empfehlung verknüpft ist, wird durch Anwenden der Empfehlung der Status der Statistik in ACCEPTED geändert.

Wenn Sie eine Statistik als ACCEPTED markieren möchten, ohne eine Empfehlung anzuwenden, verwenden Sie die gcloud CLI oder die REST API.

gcloud

Verwenden Sie die Methode gcloud recommender insights mark-accepted-Befehl mit der zu markierenden Statistik-ID eine Erkenntnis als ACCEPTED.

  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Um die ID zu finden, listen Sie die Statistiken für Ihr Projekt arbeiten.
  • PROJECT_ID: Die ID des Projekts, für das Sie Statistiken verwalten möchten.
  • LOCATION: Der Standort des Bucket, dessen Statistik Sie als ACCEPTED markieren möchten.

  • ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:

    1. Rufen Sie die Statistik mit dem Befehl gcloud recommender insights describe ab.
    2. Suchen Sie in der Ausgabe den etag-Wert und kopieren Sie ihn einschließlich der Anführungszeichen. Beispiel: "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION \
    --etag=ETAG

Die Ausgabe enthält jetzt die Statistik mit dem Status ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"0187c0362e4bcea7"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACCEPTED
targetResources:
- //storage.googleapis.com/bucket-1

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie unter Überprüfen Richtlinienstatistiken auf Bucket-Ebene.

REST

Die Methode insights.markAccepted der Recommender API markiert eine Statistik als ACCEPTED.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Die ID des Projekts, für das Sie Statistiken verwalten möchten.
  • LOCATION: Der Standort des Bucket, dessen Statistik Sie als ACCEPTED markieren möchten.
  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie Sie die Statistik-ID nicht kennen, die Statistiken in Ihrem Projekt arbeiten. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.
  • ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:
    1. Rufen Sie die Statistik mit der Methode insights.get ab.
    2. Suchen und kopieren Sie den etag-Wert aus der Antwort.

HTTP-Methode und URL:

POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

JSON-Text anfordern:

{
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält jetzt die Statistik mit dem Status ACCEPTED: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"9a5485cdc1f05b58\"",
  "severity": "CRITICAL"
}

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie unter Überprüfen Richtlinienstatistiken auf Bucket-Ebene.

Nächste Schritte