Meninjau insight kebijakan untuk bucket Cloud Storage

Halaman ini menunjukkan cara mengelola insight kebijakan level bucket, yang merupakan temuan berbasis machine learning tentang penggunaan izin untuk bucket Cloud Storage Anda. Insight kebijakan dapat membantu Anda mengidentifikasi akun utama mana yang memiliki izin yang tidak diperlukan.

Halaman ini berfokus pada insight kebijakan untuk bucket. Pemberi rekomendasi juga menawarkan insight kebijakan untuk jenis resource berikut:

Insight kebijakan tingkat bucket terkadang ditautkan dengan rekomendasi peran. Rekomendasi peran menyarankan tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang diidentifikasi oleh insight kebijakan level bucket.

Sebelum memulai

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengelola insight kebijakan level bucket, minta administrator untuk memberi Anda peran IAM berikut di project Anda:

  • Admin Penyimpanan (roles/storage.admin)
  • Kelola insight kebijakan level bucket dengan gcloud CLI atau REST API: Service Usage Consumer (`roles/serviceusage.serviceUsageConsumer`)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk mengelola insight kebijakan level bucket. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengelola insight kebijakan level bucket:

  • Untuk melihat insight kebijakan level bucket:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Untuk mengubah insight kebijakan level bucket: recommender.iamPolicyInsights.update
  • Untuk mengelola insight kebijakan level bucket di Konsol Google Cloud:
    • resourcemanager.projects.get
    • storage.buckets.list
  • Kelola insight kebijakan level bucket dengan gcloud CLI atau REST API: serviceusage.services.use

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Membuat daftar insight kebijakan level bucket

Untuk menampilkan daftar semua insight kebijakan level bucket untuk project Anda, gunakan salah satu metode berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Buckets.

    Buka Bucket

  2. Temukan kolom Insight keamanan di tabel. Jika kolom Security insights tidak terlihat, klik  Column display options, lalu pilih Security insights.

    Kolom ini menampilkan ringkasan semua insight kebijakan untuk bucket. Setiap ringkasan menunjukkan jumlah total izin yang berlebih untuk semua peran yang diberikan di bucket tersebut.

  3. Temukan bucket yang insightnya ingin Anda lihat, lalu klik ringkasan insight kebijakan di baris tersebut. Tindakan ini akan membuka panel Rekomendasi keamanan, yang mencantumkan semua akun utama yang memiliki peran di bucket, perannya, dan insight kebijakan yang terkait dengan peran tersebut.

    Dalam tabel ini, insight kebijakan memiliki bentuk EXCESS/TOTAL excess permissions, dengan EXCESS adalah jumlah izin dalam peran yang tidak diperlukan akun utama dan TOTAL adalah jumlah total izin dalam peran tersebut.

gcloud

Gunakan perintah gcloud recommender insights list untuk melihat semua insight kebijakan level bucket untuk project Anda.

Sebelum menjalankan perintah, ganti nilai berikut:

  • PROJECT_ID: ID project yang ingin Anda cantumkan insight-nya.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda cantumkan.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION\
    --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"

Outputnya mencantumkan semua insight kebijakan level bucket untuk project Anda di lokasi yang ditentukan. Contoh:

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                   DESCRIPTION
00dd7eb5-15c2-4fb3-a9b2-1a85f842462b  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04307297-f57c-416d-9323-38abac450db0  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04845da5-74ba-46b4-a0f3-47d83095c261  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0a39f643-d7a8-4c11-b490-fecd74290fb5  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
0a4cee48-777b-4dea-a2b0-702b70da4b6f  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b2d147c-b26e-4afe-8fab-449c6e793750  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0bb3032d-721c-44e8-b464-5293f235281c  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  3 of the permissions in this role binding were used in the past 90 days.

REST

Metode insights.list Recommender API mencantumkan semua insight kebijakan level bucket untuk project Anda.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: ID project yang ingin Anda cantumkan insight-nya.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda cantumkan.

Metode HTTP dan URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons ini mencantumkan semua insight kebijakan level bucket untuk project Anda di lokasi yang ditentukan. Contoh:

{
  "insights": [
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "allUsers",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-1"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"2a8784e529b80aea\"",
      "severity": "CRITICAL"
    },
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "projectViewer:my-project",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-2"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"5b60b935f27caf2c\"",
      "severity": "LOW"
    }
  ]
}

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan tingkat bucket di halaman ini.

Mendapatkan insight kebijakan tingkat bucket tunggal

Untuk mendapatkan informasi selengkapnya tentang satu insight, termasuk deskripsi, status, dan rekomendasi apa pun yang terkait dengan insight, gunakan salah satu metode berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Buckets.

    Buka Bucket

  2. Pastikan kolom Insight keamanan terlihat.
  3. Temukan kolom Insight keamanan di tabel. Kolom ini menampilkan ringkasan semua insight kebijakan untuk bucket. Setiap ringkasan menunjukkan jumlah total izin berlebih untuk semua peran yang diberikan di bucket tersebut.

    Jika kolom Security insights tidak terlihat, klik  Column display options, lalu pilih Security insights. Kemudian, cari kolom di tabel.

  4. Temukan bucket yang insightnya ingin Anda lihat, lalu klik ringkasan insight kebijakan di baris tersebut. Tindakan ini akan membuka panel yang mencantumkan semua akun utama yang memiliki peran di bucket, perannya, dan insight kebijakan yang terkait dengan peran tersebut.
  5. Di kolom Insight keamanan, klik insight kebijakan. Insight kebijakan memiliki bentuk EXCESS/TOTAL excess permissions, dengan EXCESS adalah jumlah izin dalam peran yang tidak diperlukan akun utama dan TOTAL adalah jumlah total izin dalam peran tersebut.

Konsol Google Cloud akan membuka panel yang menampilkan detail insight.

gcloud

Gunakan perintah gcloud recommender insights describe dengan ID insight Anda untuk melihat informasi tentang satu insight.

  • INSIGHT_ID: ID insight yang ingin Anda lihat. Untuk menemukan ID, cantumkan insight untuk project Anda.
  • PROJECT_ID: ID project yang insight-nya ingin Anda kelola.
  • LOCATION: Lokasi bucket yang insightnya ingin Anda dapatkan.
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION

Output menampilkan insight secara mendetail. Misalnya, insight berikut menunjukkan bahwa semua pengguna (allUsers) memiliki peran Pembaca Bucket Lama Penyimpanan (roles/storage.legacyBucketReader) di bucket bucket-1, tetapi hanya dua izin dalam peran tersebut yang digunakan dalam 90 hari terakhir:

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"2a8784e529b80aea"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACTIVE
targetResources:
- //storage.googleapis.com/bucket-1

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan tingkat bucket di halaman ini.

REST

Metode insights.get Recommender API mendapatkan satu insight.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: ID project yang insight-nya ingin Anda kelola.
  • LOCATION: Lokasi bucket yang insightnya ingin Anda dapatkan.
  • INSIGHT_ID: ID insight yang ingin Anda lihat. Jika tidak tahu ID insight, Anda dapat menemukannya dengan mendaftarkan insight di project Anda. ID insight adalah semuanya setelah insights/ di kolom name untuk insight.

Metode HTTP dan URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi wawasan. Misalnya, insight berikut menunjukkan bahwa semua pengguna (allUsers) memiliki peran Pembaca Bucket Lama Penyimpanan (roles/storage.legacyBucketReader) di bucket bucket-1, tetapi hanya dua izin dalam peran tersebut yang digunakan dalam 90 hari terakhir:

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"2a8784e529b80aea\"",
  "severity": "CRITICAL"
}

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan tingkat bucket di halaman ini.

Meninjau insight kebijakan level bucket

Setelah mendapatkan satu insight, Anda dapat meninjau kontennya untuk memahami pola penggunaan resource yang disorotnya.

Konsol

Saat Anda mengklik insight kebijakan di Konsol Google Cloud, konsol Google Cloud akan membuka panel yang menampilkan detail insight. Tampilan detail ini bergantung pada apakah insight tersebut dikaitkan dengan rekomendasi atau tidak.

Jika insight dikaitkan dengan rekomendasi, panel akan menampilkan detail rekomendasi.

Jika insight tidak terkait dengan rekomendasi, panel akan menampilkan daftar semua izin dalam peran. Izin yang digunakan akun utama muncul di bagian atas daftar, diikuti dengan izin berlebih.

gcloud

Konten insight ditentukan oleh subjenisnya. Insight kebijakan level bucket (google.iam.policy.Insight) memiliki subjenis PERMISSIONS_USAGE_STORAGE_BUCKET.

Insight PERMISSIONS_USAGE_STORAGE_BUCKET memiliki komponen berikut, tidak harus dalam urutan berikut:

  • associatedRecommendations: ID untuk semua rekomendasi yang terkait dengan insight. Jika tidak ada rekomendasi yang terkait dengan insight, kolom ini kosong.
  • category: Kategori untuk insight IAM selalu SECURITY.
  • content: Melaporkan penggunaan izin akun utama untuk peran tertentu. Kolom ini berisi komponen berikut:

    • condition: Kondisi apa pun yang melekat pada binding yang memberikan peran kepada akun utama. Jika tidak ada kondisi, kolom ini berisi kondisi kosong.
    • exercisedPermissions: Izin dalam peran yang digunakan akun utama selama periode pengamatan.
    • inferredPermissions: Izin dalam peran yang telah ditentukan oleh Pemberi Rekomendasi, melalui ML, yang kemungkinan diperlukan oleh akun utama berdasarkan izin yang dilakukannya.
    • member: Akun utama yang penggunaan izinnya dianalisis.
    • role: Peran yang penggunaan izinnya dianalisis.
  • description: Ringkasan insight yang dapat dibaca manusia.
  • etag: ID unik untuk status insight saat ini. Setiap kali insight berubah, nilai etag baru akan ditetapkan.

    Untuk mengubah status insight, Anda harus memberikan etag insight yang ada. Menggunakan etag akan membantu memastikan bahwa operasi apa pun hanya dilakukan jika insight tidak berubah sejak terakhir kali Anda mengambilnya.

  • insightSubtype: Subjenis insight.
  • lastRefreshTime: Tanggal saat insight terakhir diperbarui, yang menunjukkan keaktualan data yang digunakan untuk membuat insight.
  • name: Nama insight, dalam format berikut:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Placeholder memiliki nilai berikut:

    • PROJECT_ID: ID project tempat insight dihasilkan.
    • LOCATION: Lokasi bucket yang menjadi tujuan insight.
    • INSIGHT_ID: ID unik untuk insight.
  • observationPeriod: Jangka waktu menuju insight. Data sumber yang digunakan untuk membuat insight berakhir pada lastRefreshTime dan dimulai pada lastRefreshTime dikurangi observationPeriod.
  • stateInfo: Insight melalui beberapa transisi status setelah diusulkan:

    • ACTIVE: Insight telah dibuat, tetapi belum ada tindakan yang diambil atau tindakan yang diambil tanpa memperbarui status insight. Insight aktif diperbarui saat data pokok berubah.
    • ACCEPTED: Beberapa tindakan telah dilakukan berdasarkan insight. Insight diterima jika rekomendasi terkait ditandai sebagai CLAIMED, SUCCEEDED, atau FAILED, atau insight diterima secara langsung. Saat insight berada dalam status ACCEPTED, isi insight tidak dapat berubah. Insight yang diterima akan dipertahankan selama 90 hari setelah diterima.
  • targetResources: Nama resource lengkap bucket yang menjadi tujuan insight. Misalnya, //storage.googleapis.com/my-bucket.

REST

Konten insight ditentukan oleh subjenisnya. Insight kebijakan level bucket (google.iam.policy.Insight) memiliki subjenis PERMISSIONS_USAGE_STORAGE_BUCKET.

Insight PERMISSIONS_USAGE_STORAGE_BUCKET memiliki komponen berikut, tidak harus dalam urutan berikut:

  • associatedRecommendations: ID untuk semua rekomendasi yang terkait dengan insight. Jika tidak ada rekomendasi yang terkait dengan insight, kolom ini kosong.
  • category: Kategori untuk insight IAM selalu SECURITY.
  • content: Melaporkan penggunaan izin akun utama untuk peran tertentu. Kolom ini berisi komponen berikut:

    • condition: Kondisi apa pun yang melekat pada binding yang memberikan peran kepada akun utama. Jika tidak ada kondisi, kolom ini berisi kondisi kosong.
    • exercisedPermissions: Izin dalam peran yang digunakan akun utama selama periode pengamatan.
    • inferredPermissions: Izin dalam peran yang telah ditentukan oleh Pemberi Rekomendasi, melalui ML, yang kemungkinan diperlukan oleh akun utama berdasarkan izin yang dilakukannya.
    • member: Akun utama yang penggunaan izinnya dianalisis.
    • role: Peran yang penggunaan izinnya dianalisis.
  • description: Ringkasan insight yang dapat dibaca manusia.
  • etag: ID unik untuk status insight saat ini. Setiap kali insight berubah, nilai etag baru akan ditetapkan.

    Untuk mengubah status insight, Anda harus memberikan etag insight yang ada. Menggunakan etag akan membantu memastikan bahwa operasi apa pun hanya dilakukan jika insight tidak berubah sejak terakhir kali Anda mengambilnya.

  • insightSubtype: Subjenis insight.
  • lastRefreshTime: Tanggal saat insight terakhir diperbarui, yang menunjukkan keaktualan data yang digunakan untuk membuat insight.
  • name: Nama insight, dalam format berikut:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Placeholder memiliki nilai berikut:

    • PROJECT_ID: ID project tempat insight dihasilkan.
    • LOCATION: Lokasi bucket yang menjadi tujuan insight.
    • INSIGHT_ID: ID unik untuk insight.
  • observationPeriod: Jangka waktu menuju insight. Data sumber yang digunakan untuk membuat insight berakhir pada lastRefreshTime dan dimulai pada lastRefreshTime dikurangi observationPeriod.
  • stateInfo: Insight melalui beberapa transisi status setelah diusulkan:

    • ACTIVE: Insight telah dibuat, tetapi belum ada tindakan yang diambil atau tindakan yang diambil tanpa memperbarui status insight. Insight aktif diperbarui saat data pokok berubah.
    • ACCEPTED: Beberapa tindakan telah dilakukan berdasarkan insight. Insight diterima jika rekomendasi terkait ditandai sebagai CLAIMED, SUCCEEDED, atau FAILED, atau insight diterima secara langsung. Saat insight berada dalam status ACCEPTED, isi insight tidak dapat berubah. Insight yang diterima akan dipertahankan selama 90 hari setelah diterima.
  • targetResources: Nama resource lengkap bucket yang menjadi tujuan insight. Misalnya, //storage.googleapis.com/my-bucket.

Tandai insight kebijakan tingkat bucket sebagai ACCEPTED

Jika mengambil tindakan berdasarkan insight aktif, Anda dapat menandai insight tersebut sebagai ACCEPTED. Status ACCEPTED memberi tahu Recommender API bahwa Anda telah mengambil tindakan berdasarkan insight ini, yang membantu meningkatkan kualitas rekomendasi.

Insight yang diterima akan dipertahankan selama 90 hari setelah ditandai sebagai ACCEPTED.

Konsol

Jika insight dikaitkan dengan rekomendasi, menerapkan rekomendasi akan mengubah status insight menjadi ACCEPTED.

Untuk menandai insight sebagai ACCEPTED tanpa menerapkan rekomendasi, gunakan gcloud CLI atau REST API.

gcloud

Gunakan perintah gcloud recommender insights mark-accepted dengan ID insight Anda untuk menandai insight sebagai ACCEPTED.

  • INSIGHT_ID: ID insight yang ingin Anda lihat. Untuk menemukan ID, cantumkan insight untuk project Anda.
  • PROJECT_ID: ID project yang insight-nya ingin Anda kelola.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda tandai sebagai ACCEPTED.
  • ETAG: ID untuk versi insight. Untuk mendapatkan etag, lakukan hal berikut:

    1. Dapatkan insight menggunakan perintah gcloud recommender insights describe.
    2. Temukan dan salin nilai etag dari output, termasuk tanda petik yang disertakan. Contoh, "d3cdec23cc712bd0".
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION \
    --etag=ETAG

Output menampilkan insight, sekarang dengan status ACCEPTED:

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"0187c0362e4bcea7"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACCEPTED
targetResources:
- //storage.googleapis.com/bucket-1

Untuk mempelajari info status insight lebih lanjut, baca artikel Meninjau insight kebijakan level bucket di halaman ini.

REST

Metode insights.markAccepted Recommender API menandai insight sebagai ACCEPTED.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: ID project yang insight-nya ingin Anda kelola.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda tandai sebagai ACCEPTED.
  • INSIGHT_ID: ID insight yang ingin Anda lihat. Jika tidak tahu ID insight, Anda dapat menemukannya dengan mendaftarkan insight di project Anda. ID insight adalah semuanya setelah insights/ di kolom name untuk insight.
  • ETAG: ID untuk versi insight. Untuk mendapatkan etag, lakukan hal berikut:
    1. Dapatkan insight menggunakan metode insights.get.
    2. Temukan dan salin nilai etag dari respons.

Metode HTTP dan URL:

POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Meminta isi JSON:

{
  "etag": "ETAG"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Responsnya berisi insight, sekarang dengan status ACCEPTED:

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"9a5485cdc1f05b58\"",
  "severity": "CRITICAL"
}

Untuk mempelajari info status insight lebih lanjut, baca artikel Meninjau insight kebijakan level bucket di halaman ini.

Langkah selanjutnya