Esamina insight sui criteri per i bucket Cloud Storage

Questa pagina mostra come gestire gli insight sui criteri a livello di bucket, ovvero risultati basati sul machine learning relativi all'utilizzo delle autorizzazioni per i bucket Cloud Storage. Gli insight sui criteri possono aiutarti a identificare quali entità dispongono di autorizzazioni non necessarie.

Questa pagina è incentrata sugli insight relativi ai criteri per i bucket. Il motore per suggerimenti offre anche insight sui criteri per i seguenti tipi di risorse:

A volte gli insight sui criteri a livello di bucket sono collegati ai suggerimenti sui ruoli. I suggerimenti sui ruoli suggeriscono azioni che puoi intraprendere per risolvere i problemi identificati dagli insight sui criteri a livello di bucket.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire gli insight sui criteri a livello di bucket, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:

  • Storage Admin (roles/storage.admin)
  • Gestisci gli insight sui criteri a livello di bucket con gcloud CLI o l'API REST: Consumer Usage Service (`roles/serviceusage.serviceUsageConsumer`)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire gli insight sui criteri a livello di bucket. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire gli insight sui criteri a livello di bucket sono necessarie le seguenti autorizzazioni:

  • Per visualizzare gli insight sui criteri a livello di bucket:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Per modificare gli insight sui criteri a livello di bucket: recommender.iamPolicyInsights.update
  • Per gestire gli insight sui criteri a livello di bucket nella console Google Cloud:
    • resourcemanager.projects.get
    • storage.buckets.list
  • Gestisci gli insight sui criteri a livello di bucket con gcloud CLI o l'API REST: serviceusage.services.use

Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Elenca gli insight sui criteri a livello di bucket

Per elencare tutti gli insight sui criteri a livello di bucket per il tuo progetto, usa uno dei seguenti metodi:

Console

  1. Nella console Google Cloud, vai alla pagina Bucket.

    Vai a Bucket

  2. Individua la colonna Approfondimenti sulla sicurezza nella tabella. Se la colonna Approfondimenti sulla sicurezza non è visibile, fai clic su  Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.

    Questa colonna mostra un riepilogo di tutti gli insight sui criteri per il bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi nel bucket in questione.

  3. Trova il bucket di cui vuoi visualizzare gli insight e fai clic sul riepilogo degli insight sui criteri nella riga corrispondente. Questa azione apre il riquadro Suggerimenti per la sicurezza, che elenca tutte le entità con un ruolo nel bucket, i relativi ruoli e gli eventuali insight sui criteri associati a questi ruoli.

    In questa tabella, gli insight sui criteri hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni nel ruolo non necessarie all'entità e TOTAL è il numero totale di autorizzazioni nel ruolo.

gcloud

Utilizza il comando gcloud recommender insights list per visualizzare tutti gli insight sui criteri a livello di bucket per il tuo progetto.

Prima di eseguire il comando, sostituisci i seguenti valori:

  • PROJECT_ID: l'ID del progetto per il quale vuoi elencare gli insight.
  • LOCATION: la posizione dei bucket di cui vuoi elencare gli insight.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION\
    --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"

L'output elenca tutti gli insight sui criteri a livello di bucket per il tuo progetto nella località specificata. Ad esempio:

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                   DESCRIPTION
00dd7eb5-15c2-4fb3-a9b2-1a85f842462b  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04307297-f57c-416d-9323-38abac450db0  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04845da5-74ba-46b4-a0f3-47d83095c261  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0a39f643-d7a8-4c11-b490-fecd74290fb5  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
0a4cee48-777b-4dea-a2b0-702b70da4b6f  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b2d147c-b26e-4afe-8fab-449c6e793750  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0bb3032d-721c-44e8-b464-5293f235281c  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  3 of the permissions in this role binding were used in the past 90 days.

REST

Il metodo insights.list dell'API Recommender elenca tutti gli insight sui criteri a livello di bucket per il progetto.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: l'ID del progetto per il quale vuoi elencare gli insight.
  • LOCATION: la posizione dei bucket di cui vuoi elencare gli insight.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta elenca tutti gli insight sui criteri a livello di bucket per il tuo progetto nella località specificata. Ad esempio:

{
  "insights": [
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "allUsers",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-1"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"2a8784e529b80aea\"",
      "severity": "CRITICAL"
    },
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "projectViewer:my-project",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-2"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"5b60b935f27caf2c\"",
      "severity": "LOW"
    }
  ]
}

Per scoprire di più sui componenti di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.

Ricevi un singolo insight sui criteri a livello di bucket

Per ottenere ulteriori informazioni su un singolo insight, inclusi la descrizione, lo stato e gli eventuali suggerimenti associati, utilizza uno dei seguenti metodi:

Console

  1. Nella console Google Cloud, vai alla pagina Bucket.

    Vai a Bucket

  2. Assicurati che la colonna Approfondimenti sulla sicurezza sia visibile.
  3. Individua la colonna Approfondimenti sulla sicurezza nella tabella. Questa colonna mostra un riepilogo di tutti gli insight sui criteri per il bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi nel bucket.

    Se la colonna Approfondimenti sulla sicurezza non è visibile, fai clic su  Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza. Quindi, individua la colonna nella tabella.

  4. Trova il bucket di cui vuoi visualizzare gli insight e fai clic sul riepilogo degli insight sui criteri nella riga corrispondente. Si apre un riquadro che elenca tutte le entità con un ruolo nel bucket, i relativi ruoli ed eventuali insight sui criteri associati a questi ruoli.
  5. Nella colonna Approfondimenti sulla sicurezza, fai clic su un approfondimento sul criterio. Gli insight sui criteri hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni nel ruolo non necessarie all'entità e TOTAL è il numero totale di autorizzazioni nel ruolo.

La console Google Cloud apre un riquadro che mostra i dettagli dell'insight.

gcloud

Utilizza il comando gcloud recommender insights describe con il tuo ID insight per visualizzare le informazioni relative a un singolo insight.

  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Per trovare l'ID, elenca gli insight per il tuo progetto.
  • PROJECT_ID: l'ID del progetto per cui vuoi gestire gli insight.
  • LOCATION: la località del bucket di cui vuoi ottenere gli insight.
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION

L'output mostra l'insight in dettaglio. Ad esempio, il seguente insight indica che tutti gli utenti (allUsers) hanno il ruolo Lettore bucket legacy di Storage (roles/storage.legacyBucketReader) per il bucket bucket-1, ma che negli ultimi 90 giorni sono state utilizzate solo due autorizzazioni in quel ruolo:

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"2a8784e529b80aea"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACTIVE
targetResources:
- //storage.googleapis.com/bucket-1

Per scoprire di più sui componenti di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.

REST

Il metodo insights.get dell'API Recommender riceve un singolo insight.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: l'ID del progetto per cui vuoi gestire gli insight.
  • LOCATION: la località del bucket di cui vuoi ottenere gli insight.
  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencando gli insight nel tuo progetto. L'ID di un insight è tutta la parte successiva a insights/ nel campo name dell'insight.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene l'insight. Ad esempio, il seguente insight indica che tutti gli utenti (allUsers) hanno il ruolo Lettore bucket legacy di Storage (roles/storage.legacyBucketReader) per il bucket bucket-1, ma che negli ultimi 90 giorni sono state utilizzate solo due autorizzazioni in quel ruolo:

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"2a8784e529b80aea\"",
  "severity": "CRITICAL"
}

Per scoprire di più sui componenti di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.

Esamina gli insight sui criteri a livello di bucket

Dopo aver ottenuto un singolo insight, puoi esaminarne i contenuti per comprendere il pattern di utilizzo delle risorse evidenziato.

Console

Quando fai clic su un insight sui criteri nella console Google Cloud, la console Google Cloud apre un riquadro che mostra i dettagli dell'insight. L'aspetto di questi dettagli dipende dall'associazione o meno dell'insight con un suggerimento.

Se l'insight è associato a un suggerimento, il riquadro mostra i dettagli del suggerimento.

Se l'insight non è associato a un suggerimento, il riquadro mostra un elenco di tutte le autorizzazioni nel ruolo. Le autorizzazioni utilizzate dall'entità utilizzata vengono visualizzate in cima all'elenco, seguite dalle autorizzazioni in eccesso.

gcloud

I contenuti di un approfondimento sono determinati dai suoi sottotipi. Gli insight sui criteri a livello di bucket (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE_STORAGE_BUCKET.

PERMISSIONS_USAGE_STORAGE_BUCKET insight includono i seguenti componenti, non necessariamente in questo ordine:

  • associatedRecommendations: gli identificatori di eventuali suggerimenti associati all'insight. Se non ci sono suggerimenti associati all'insight, questo campo è vuoto.
  • category: la categoria per gli insight IAM è sempre SECURITY.
  • content: segnala l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:

    • condition: tutte le condizioni associate all'associazione che concede il ruolo all'entità. Se non ci sono condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzate dall'entità durante il periodo di osservazione.
    • inferredPermissions: le autorizzazioni nel ruolo che il motore per suggerimenti ha stabilito, tramite ML, di cui probabilmente l'entità avrà bisogno in base alle autorizzazioni esercitate.
    • member: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.
    • role: il ruolo per cui è stato analizzato l'utilizzo delle autorizzazioni.
  • description: un riepilogo leggibile dell'approfondimento.
  • etag: un identificatore univoco per lo stato attuale di un approfondimento. Ogni volta che l'insight cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un insight, devi fornire il etag dell'insight esistente. L'utilizzo di etag contribuisce a garantire che tutte le operazioni vengano eseguite solo se l'insight non è cambiato dall'ultimo recupero.

  • insightSubtype: il sottotipo di approfondimento.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'insight. Indica l'aggiornamento dei dati utilizzati per generare l'insight.
  • name: il nome dell'approfondimento, nel seguente formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • PROJECT_ID: l'ID del progetto in cui è stato generato l'insight.
    • LOCATION: la località del bucket a cui si riferisce l'insight.
    • INSIGHT_ID: un ID univoco per l'insight.
  • observationPeriod: il periodo di tempo che ha portato all'approfondimento. I dati di origine utilizzati per generare l'insight terminano il giorno lastRefreshTime e iniziano alle ore lastRefreshTime meno observationPeriod.
  • stateInfo: gli insight vengono sottoposti a più transizioni di stato dopo la loro proposta:

    • ACTIVE: l'insight è stato generato, ma non è stata intrapresa alcuna azione oppure è stata eseguita un'azione senza aggiornarne lo stato. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano.
    • ACCEPTED: sono state intraprese azioni in base alle informazioni. Gli insight vengono accettati quando un suggerimento associato è stato contrassegnato come CLAIMED, SUCCEEDED o FAILED oppure quando l'insight è stato accettato direttamente. Quando un insight è nello stato ACCEPTED, i contenuti dell'insight non possono cambiare. Gli insight accettati vengono conservati per 90 giorni dopo essere stati accettati.
  • targetResources: il nome completo della risorsa del bucket a cui si riferisce l'insight. Ad esempio, //storage.googleapis.com/my-bucket.

REST

I contenuti di un approfondimento sono determinati dai suoi sottotipi. Gli insight sui criteri a livello di bucket (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE_STORAGE_BUCKET.

PERMISSIONS_USAGE_STORAGE_BUCKET insight includono i seguenti componenti, non necessariamente in questo ordine:

  • associatedRecommendations: gli identificatori di eventuali suggerimenti associati all'insight. Se non ci sono suggerimenti associati all'insight, questo campo è vuoto.
  • category: la categoria per gli insight IAM è sempre SECURITY.
  • content: segnala l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:

    • condition: tutte le condizioni associate all'associazione che concede il ruolo all'entità. Se non ci sono condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzate dall'entità durante il periodo di osservazione.
    • inferredPermissions: le autorizzazioni nel ruolo che il motore per suggerimenti ha stabilito, tramite ML, di cui probabilmente l'entità avrà bisogno in base alle autorizzazioni esercitate.
    • member: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.
    • role: il ruolo per cui è stato analizzato l'utilizzo delle autorizzazioni.
  • description: un riepilogo leggibile dell'approfondimento.
  • etag: un identificatore univoco per lo stato attuale di un approfondimento. Ogni volta che l'insight cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un insight, devi fornire il etag dell'insight esistente. L'utilizzo di etag contribuisce a garantire che tutte le operazioni vengano eseguite solo se l'insight non è cambiato dall'ultimo recupero.

  • insightSubtype: il sottotipo di approfondimento.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'insight. Indica l'aggiornamento dei dati utilizzati per generare l'insight.
  • name: il nome dell'approfondimento, nel seguente formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • PROJECT_ID: l'ID del progetto in cui è stato generato l'insight.
    • LOCATION: la località del bucket a cui si riferisce l'insight.
    • INSIGHT_ID: un ID univoco per l'insight.
  • observationPeriod: il periodo di tempo che ha portato all'approfondimento. I dati di origine utilizzati per generare l'insight terminano il giorno lastRefreshTime e iniziano alle ore lastRefreshTime meno observationPeriod.
  • stateInfo: gli insight vengono sottoposti a più transizioni di stato dopo la loro proposta:

    • ACTIVE: l'insight è stato generato, ma non è stata intrapresa alcuna azione oppure è stata eseguita un'azione senza aggiornarne lo stato. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano.
    • ACCEPTED: sono state intraprese azioni in base alle informazioni. Gli insight vengono accettati quando un suggerimento associato è stato contrassegnato come CLAIMED, SUCCEEDED o FAILED oppure quando l'insight è stato accettato direttamente. Quando un insight è nello stato ACCEPTED, i contenuti dell'insight non possono cambiare. Gli insight accettati vengono conservati per 90 giorni dopo essere stati accettati.
  • targetResources: il nome completo della risorsa del bucket a cui si riferisce l'insight. Ad esempio, //storage.googleapis.com/my-bucket.

Contrassegna un insight sul criterio a livello di bucket come ACCEPTED

Se intervieni in base a un insight attivo, puoi contrassegnare questo insight come ACCEPTED. Lo stato ACCEPTED indica all'API Recommender che hai eseguito un'azione in base a questo insight, il che consente di perfezionare i suggerimenti.

Gli insight accettati vengono conservati per 90 giorni dopo essere stati contrassegnati come ACCEPTED.

Console

Se un insight è associato a un suggerimento, l'applicazione del consiglio ne modifica lo stato in ACCEPTED.

Per contrassegnare un insight come ACCEPTED senza applicare un suggerimento, utilizza gcloud CLI o l'API REST.

gcloud

Utilizza il comando gcloud recommender insights mark-accepted con il tuo ID insight per contrassegnare un insight come ACCEPTED.

  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Per trovare l'ID, elenca gli insight per il tuo progetto.
  • PROJECT_ID: l'ID del progetto per cui vuoi gestire gli insight.
  • LOCATION: la località del bucket di cui vuoi contrassegnare l'insight come ACCEPTED.
  • ETAG: un identificatore di una versione dell'insight. Per ottenere etag:

    1. Ottieni l'insight usando il comando gcloud recommender insights describe.
    2. Trova e copia il valore etag dall'output, incluse le virgolette che racchiudono. Ad esempio, "d3cdec23cc712bd0".
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION \
    --etag=ETAG

L'output mostra l'insight, ora con lo stato ACCEPTED:

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"0187c0362e4bcea7"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACCEPTED
targetResources:
- //storage.googleapis.com/bucket-1

Per saperne di più sulle informazioni sullo stato di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.

REST

Il metodo insights.markAccepted dell'API Recommender contrassegna un insight come ACCEPTED.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: l'ID del progetto per cui vuoi gestire gli insight.
  • LOCATION: la località del bucket di cui vuoi contrassegnare l'insight come ACCEPTED.
  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencando gli insight nel tuo progetto. L'ID di un insight è tutta la parte successiva a insights/ nel campo name dell'insight.
  • ETAG: un identificatore di una versione dell'insight. Per ottenere etag:
    1. Ottieni l'insight utilizzando il metodo insights.get.
    2. Trova e copia il valore etag dalla risposta.

Metodo HTTP e URL:

POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Corpo JSON della richiesta:

{
  "etag": "ETAG"
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene l'insight, ora con lo stato ACCEPTED:

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"9a5485cdc1f05b58\"",
  "severity": "CRITICAL"
}

Per saperne di più sulle informazioni sullo stato di un insight, consulta Esaminare gli insight sui criteri a livello di bucket in questa pagina.

Passaggi successivi