Meninjau insight kebijakan untuk bucket Cloud Storage

Halaman ini menunjukkan cara mengelola insight kebijakan tingkat bucket, yang merupakan temuan berbasis machine learning tentang penggunaan izin untuk bucket Cloud Storage Anda. Insight kebijakan dapat membantu Anda mengidentifikasi akun utama yang memiliki izin yang tidak diperlukan.

Halaman ini berfokus pada insight kebijakan untuk bucket. Pemberi rekomendasi juga menawarkan insight kebijakan untuk jenis resource berikut:

Insight kebijakan tingkat bucket terkadang ditautkan ke rekomendasi peran. Rekomendasi peran menyarankan tindakan yang dapat Anda lakukan untuk memperbaiki masalah yang diidentifikasi oleh insight kebijakan tingkat bucket.

Sebelum memulai

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna mengelola insight kebijakan tingkat bucket, minta administrator untuk memberi Anda peran IAM berikut di project Anda:

  • Storage Admin (roles/storage.admin)
  • Mengelola insight kebijakan tingkat bucket dengan gcloud CLI atau REST API: Konsumen Penggunaan Layanan (`roles/serviceusage.serviceUsageConsumer`)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk mengelola insight kebijakan tingkat bucket. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengelola insight kebijakan tingkat bucket:

  • Untuk melihat insight kebijakan tingkat bucket:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Untuk mengubah insight kebijakan tingkat bucket: recommender.iamPolicyInsights.update
  • Untuk mengelola insight kebijakan tingkat bucket di konsol Google Cloud:
    • resourcemanager.projects.get
    • storage.buckets.list
  • Mengelola insight kebijakan tingkat bucket dengan gcloud CLI atau REST API: serviceusage.services.use

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mencantumkan insight kebijakan tingkat bucket

Untuk mencantumkan semua insight kebijakan tingkat bucket untuk project Anda, gunakan salah satu metode berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Bucket.

    Buka Buckets

  2. Temukan kolom Insight keamanan dalam tabel. Jika kolom Security insights tidak terlihat, klik  Column display options dan pilih Security insights.

    Kolom ini menampilkan ringkasan semua insight kebijakan untuk bucket. Setiap ringkasan menunjukkan jumlah total izin berlebih untuk semua peran yang diberikan di bucket tersebut.

  3. Temukan bucket yang insight-nya ingin Anda lihat, lalu klik ringkasan insight kebijakan di baris tersebut. Tindakan ini akan membuka panel Rekomendasi keamanan, yang mencantumkan semua akun utama yang memiliki peran di bucket, peran mereka, dan insight kebijakan apa pun yang terkait dengan peran tersebut.

    Dalam tabel ini, insight kebijakan memiliki bentuk EXCESS/TOTAL excess permissions, dengan EXCESS adalah jumlah izin dalam peran yang tidak diperlukan akun utama dan TOTAL adalah jumlah total izin dalam peran.

gcloud

Gunakan perintah gcloud recommender insights list untuk melihat semua insight kebijakan tingkat bucket untuk project Anda.

Sebelum menjalankan perintah, ganti nilai berikut:

  • PROJECT_ID: ID project yang insight-nya ingin Anda cantumkan.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda cantumkan. 
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION\
    --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"

Output mencantumkan semua insight kebijakan tingkat bucket untuk project Anda di lokasi yang ditentukan. Contoh: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                   DESCRIPTION
00dd7eb5-15c2-4fb3-a9b2-1a85f842462b  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04307297-f57c-416d-9323-38abac450db0  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04845da5-74ba-46b4-a0f3-47d83095c261  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0a39f643-d7a8-4c11-b490-fecd74290fb5  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
0a4cee48-777b-4dea-a2b0-702b70da4b6f  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b2d147c-b26e-4afe-8fab-449c6e793750  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0bb3032d-721c-44e8-b464-5293f235281c  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  3 of the permissions in this role binding were used in the past 90 days.

REST

Metode Recommender API insights.list mencantumkan semua insight kebijakan tingkat bucket untuk project Anda.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: ID project yang insight-nya ingin Anda cantumkan.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda cantumkan.

Metode HTTP dan URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons mencantumkan semua insight kebijakan tingkat bucket untuk project Anda di lokasi yang ditentukan. Contoh: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "allUsers",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-1"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"2a8784e529b80aea\"",
      "severity": "CRITICAL"
    },
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "projectViewer:my-project",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-2"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"5b60b935f27caf2c\"",
      "severity": "LOW"
    }
  ]
}

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan tingkat bucket di halaman ini.

Mendapatkan satu insight kebijakan level bucket

Untuk mendapatkan informasi selengkapnya tentang satu insight, termasuk deskripsi, status, dan rekomendasi apa pun yang terkait dengan insight tersebut, gunakan salah satu metode berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Bucket.

    Buka Buckets

  2. Pastikan kolom Insight keamanan terlihat.

  3. Temukan kolom Insight keamanan dalam tabel. Kolom ini menampilkan ringkasan semua insight kebijakan untuk bucket. Setiap ringkasan menunjukkan jumlah total izin yang berlebih untuk semua peran yang diberikan di bucket tersebut.

    Jika kolom Security insights tidak terlihat, klik  Column display options dan pilih Security insights. Kemudian, temukan kolom dalam tabel.

  4. Temukan bucket yang insight-nya ingin Anda lihat, lalu klik ringkasan insight kebijakan di baris tersebut. Tindakan ini akan membuka panel yang mencantumkan semua akun utama yang memiliki peran di bucket, peran mereka, dan insight kebijakan apa pun yang terkait dengan peran tersebut.
  5. Di kolom Insight keamanan, klik insight kebijakan. Insight kebijakan memiliki bentuk EXCESS/TOTAL excess permissions, dengan EXCESS adalah jumlah izin dalam peran yang tidak diperlukan akun utama dan TOTAL adalah jumlah total izin dalam peran.

Konsol Google Cloud akan membuka panel yang menampilkan detail insight.

gcloud

Gunakan perintah gcloud recommender insights describe dengan ID insight Anda untuk melihat informasi tentang satu insight.

  • INSIGHT_ID: ID insight yang ingin Anda lihat. Untuk menemukan ID, cantumkan insight untuk project Anda.
  • PROJECT_ID: ID project yang insight-nya ingin Anda kelola.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda dapatkan. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION

Output akan menampilkan insight secara mendetail. Misalnya, insight berikut menunjukkan bahwa semua pengguna (allUsers) memiliki peran Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) di bucket bucket-1, tetapi hanya dua izin dalam peran tersebut yang digunakan dalam 90 hari terakhir: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"2a8784e529b80aea"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACTIVE
targetResources:
- //storage.googleapis.com/bucket-1

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan tingkat bucket di halaman ini.

REST

Metode insights.get Recommender API mendapatkan satu insight.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: ID project yang insight-nya ingin Anda kelola.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda dapatkan.
  • INSIGHT_ID: ID insight yang ingin Anda lihat. Jika tidak mengetahui insight ID, Anda dapat menemukannya dengan mencantumkan insight di project. ID insight adalah semuanya setelah insights/ di kolom name untuk insight.

Metode HTTP dan URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Responsnya berisi insight. Misalnya, insight berikut menunjukkan bahwa semua pengguna (allUsers) memiliki peran Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) di bucket bucket-1, tetapi hanya dua izin dalam peran tersebut yang digunakan dalam 90 hari terakhir: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"2a8784e529b80aea\"",
  "severity": "CRITICAL"
}

Untuk mempelajari komponen insight lebih lanjut, lihat Meninjau insight kebijakan tingkat bucket di halaman ini.

Meninjau insight kebijakan tingkat bucket

Setelah mendapatkan satu insight, Anda dapat meninjau kontennya untuk memahami pola penggunaan resource yang disoroti.

Konsol

Saat Anda mengklik insight kebijakan di konsol Google Cloud, konsol Google Cloud akan membuka panel yang menampilkan detail insight. Tampilan detail ini bergantung pada apakah insight dikaitkan dengan rekomendasi.

Jika insight dikaitkan dengan rekomendasi, panel akan menampilkan detail rekomendasi.

Jika insight tidak terkait dengan rekomendasi, panel akan menampilkan daftar semua izin dalam peran. Izin yang digunakan akun utama akan muncul di bagian atas daftar, diikuti dengan izin berlebih.

gcloud

Konten insight ditentukan oleh subjenisnya. Insight kebijakan tingkat bucket (google.iam.policy.Insight) memiliki subjenis PERMISSIONS_USAGE_STORAGE_BUCKET.

Insight PERMISSIONS_USAGE_STORAGE_BUCKET memiliki komponen berikut, tidak harus dalam urutan ini:

  • associatedRecommendations: ID untuk rekomendasi apa pun yang terkait dengan insight. Jika tidak ada rekomendasi yang terkait dengan insight, kolom ini akan kosong.
  • category: Kategori untuk insight IAM selalu SECURITY.

  • content: Melaporkan penggunaan izin akun utama untuk peran tertentu. Kolom ini berisi komponen berikut:

    • condition: Setiap kondisi yang dilampirkan ke binding yang memberikan peran kepada akun utama. Jika tidak ada kondisi, kolom ini akan berisi kondisi kosong.
    • exercisedPermissions: Izin dalam peran yang digunakan akun utama selama periode pengamatan.
    • inferredPermissions: Izin dalam peran yang telah ditentukan Recommender, melalui ML, yang kemungkinan diperlukan akun utama berdasarkan izin yang digunakannya.
    • member: Akun utama yang penggunaan izinnya dianalisis.
    • role: Peran yang penggunaan izinnya dianalisis.
  • description: Ringkasan insight yang dapat dibaca manusia.

  • etag: ID unik untuk status insight saat ini. Setiap kali insight berubah, nilai etag baru akan ditetapkan.

    Untuk mengubah status insight, Anda harus memberikan etag insight yang ada. Penggunaan etag membantu memastikan bahwa setiap operasi hanya dilakukan jika insight belum berubah sejak Anda terakhir kali mengambilnya.

  • insightSubtype: Subjenis insight.
  • lastRefreshTime: Tanggal saat insight terakhir diperbarui, yang menunjukkan keaktualan data yang digunakan untuk menghasilkan insight.

  • name: Nama insight, dalam format berikut:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Placeholder memiliki nilai berikut:

    • PROJECT_ID: ID project tempat insight dihasilkan.
    • LOCATION: Lokasi bucket yang menjadi tujuan insight.
    • INSIGHT_ID: ID unik untuk insight.
  • observationPeriod: Jangka waktu yang mengarah ke insight. Data sumber yang digunakan untuk menghasilkan insight berakhir pada lastRefreshTime dan dimulai pada lastRefreshTime dikurangi observationPeriod.

  • stateInfo: Insight akan melalui beberapa transisi status setelah diusulkan:

    • ACTIVE: Insight telah dibuat, tetapi tidak ada tindakan yang dilakukan, atau tindakan telah dilakukan tanpa memperbarui status insight. Insight aktif diperbarui saat data pokok berubah.
    • ACCEPTED: Beberapa tindakan telah dilakukan berdasarkan insight. Insight akan diterima jika rekomendasi terkait ditandai CLAIMED, SUCCEEDED, atau FAILED, atau insight diterima secara langsung. Saat insight berada dalam status ACCEPTED, konten insight tidak dapat berubah. Insight yang diterima disimpan selama 90 hari setelah diterima.
  • targetResources: Nama resource lengkap bucket yang menjadi tujuan insight. Misalnya, //storage.googleapis.com/my-bucket.

REST

Konten insight ditentukan oleh subjenisnya. Insight kebijakan tingkat bucket (google.iam.policy.Insight) memiliki subjenis PERMISSIONS_USAGE_STORAGE_BUCKET.

Insight PERMISSIONS_USAGE_STORAGE_BUCKET memiliki komponen berikut, tidak harus dalam urutan ini:

  • associatedRecommendations: ID untuk rekomendasi apa pun yang terkait dengan insight. Jika tidak ada rekomendasi yang terkait dengan insight, kolom ini akan kosong.
  • category: Kategori untuk insight IAM selalu SECURITY.

  • content: Melaporkan penggunaan izin akun utama untuk peran tertentu. Kolom ini berisi komponen berikut:

    • condition: Setiap kondisi yang dilampirkan ke binding yang memberikan peran kepada akun utama. Jika tidak ada kondisi, kolom ini akan berisi kondisi kosong.
    • exercisedPermissions: Izin dalam peran yang digunakan akun utama selama periode pengamatan.
    • inferredPermissions: Izin dalam peran yang telah ditentukan Recommender, melalui ML, yang kemungkinan diperlukan akun utama berdasarkan izin yang digunakannya.
    • member: Akun utama yang penggunaan izinnya dianalisis.
    • role: Peran yang penggunaan izinnya dianalisis.
  • description: Ringkasan insight yang dapat dibaca manusia.

  • etag: ID unik untuk status insight saat ini. Setiap kali insight berubah, nilai etag baru akan ditetapkan.

    Untuk mengubah status insight, Anda harus memberikan etag insight yang ada. Penggunaan etag membantu memastikan bahwa setiap operasi hanya dilakukan jika insight belum berubah sejak Anda terakhir kali mengambilnya.

  • insightSubtype: Subjenis insight.
  • lastRefreshTime: Tanggal saat insight terakhir diperbarui, yang menunjukkan keaktualan data yang digunakan untuk menghasilkan insight.

  • name: Nama insight, dalam format berikut:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Placeholder memiliki nilai berikut:

    • PROJECT_ID: ID project tempat insight dihasilkan.
    • LOCATION: Lokasi bucket yang menjadi tujuan insight.
    • INSIGHT_ID: ID unik untuk insight.
  • observationPeriod: Jangka waktu yang mengarah ke insight. Data sumber yang digunakan untuk menghasilkan insight berakhir pada lastRefreshTime dan dimulai pada lastRefreshTime dikurangi observationPeriod.

  • stateInfo: Insight akan melalui beberapa transisi status setelah diusulkan:

    • ACTIVE: Insight telah dibuat, tetapi tidak ada tindakan yang dilakukan, atau tindakan telah dilakukan tanpa memperbarui status insight. Insight aktif diperbarui saat data pokok berubah.
    • ACCEPTED: Beberapa tindakan telah dilakukan berdasarkan insight. Insight akan diterima jika rekomendasi terkait ditandai CLAIMED, SUCCEEDED, atau FAILED, atau insight diterima secara langsung. Saat insight berada dalam status ACCEPTED, konten insight tidak dapat berubah. Insight yang diterima disimpan selama 90 hari setelah diterima.
  • targetResources: Nama resource lengkap bucket yang menjadi tujuan insight. Misalnya, //storage.googleapis.com/my-bucket.

Menandai insight kebijakan tingkat bucket sebagai ACCEPTED

Jika Anda mengambil tindakan berdasarkan insight aktif, Anda dapat menandai insight tersebut sebagai ACCEPTED. Status ACCEPTED memberi tahu Recommender API bahwa Anda telah mengambil tindakan berdasarkan insight ini, yang membantu meningkatkan kualitas rekomendasi Anda.

Insight yang diterima disimpan selama 90 hari setelah ditandai sebagai ACCEPTED.

Konsol

Jika insight dikaitkan dengan rekomendasi, menerapkan rekomendasi akan mengubah status insight menjadi ACCEPTED.

Untuk menandai insight sebagai ACCEPTED tanpa menerapkan rekomendasi, gunakan gcloud CLI atau REST API.

gcloud

Gunakan perintah gcloud recommender insights mark-accepted dengan ID insight Anda untuk menandai insight sebagai ACCEPTED.

  • INSIGHT_ID: ID insight yang ingin Anda lihat. Untuk menemukan ID, cantumkan insight untuk project Anda.
  • PROJECT_ID: ID project yang insight-nya ingin Anda kelola.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda tandai sebagai ACCEPTED.

  • ETAG: ID untuk versi insight. Untuk mendapatkan etag, lakukan hal berikut:

    1. Dapatkan insight menggunakan perintah gcloud recommender insights describe.
    2. Temukan dan salin nilai etag dari output, termasuk tanda kutip yang mengapit. Contoh, "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION \
    --etag=ETAG

Output menampilkan insight, sekarang dengan status ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"0187c0362e4bcea7"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACCEPTED
targetResources:
- //storage.googleapis.com/bucket-1

Untuk mempelajari info status insight lebih lanjut, lihat Meninjau insight kebijakan tingkat bucket di halaman ini.

REST

Metode insights.markAccepted Recommender API menandai insight sebagai ACCEPTED.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • PROJECT_ID: ID project yang insight-nya ingin Anda kelola.
  • LOCATION: Lokasi bucket yang insight-nya ingin Anda tandai sebagai ACCEPTED.
  • INSIGHT_ID: ID insight yang ingin Anda lihat. Jika tidak mengetahui insight ID, Anda dapat menemukannya dengan mencantumkan insight di project. ID insight adalah semuanya setelah insights/ di kolom name untuk insight.
  • ETAG: ID untuk versi insight. Untuk mendapatkan etag, lakukan hal berikut:
    1. Dapatkan insight menggunakan metode insights.get.
    2. Temukan dan salin nilai etag dari respons.

Metode HTTP dan URL: 

POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Meminta isi JSON: 

{
  "etag": "ETAG"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Responsnya berisi insight, sekarang dengan status ACCEPTED: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"9a5485cdc1f05b58\"",
  "severity": "CRITICAL"
}

Untuk mempelajari info status insight lebih lanjut, lihat Meninjau insight kebijakan tingkat bucket di halaman ini.

Langkah selanjutnya