Auf dieser Seite wird gezeigt, wie Sie Richtlinienstatistiken auf Bucket-Ebene verwalten. Dies sind auf maschinellem Lernen basierende Erkenntnisse zur Berechtigungsnutzung Ihrer Cloud Storage-Buckets. Anhand von Richtlinienstatistiken können Sie feststellen, welche Hauptkonten Berechtigungen haben, die sie nicht benötigen.
Auf dieser Seite geht es um Richtlinienstatistiken für Buckets. Recommender bietet auch Richtlinienstatistiken für Projekte, Ordner und Organisationen.
Richtlinienstatistiken auf Bucket-Ebene sind manchmal mit Rollenempfehlungen verknüpft. Mit Rollenempfehlungen werden Maßnahmen empfohlen, mit denen Sie die durch Richtlinienstatistiken auf Bucket-Ebene identifizierten Probleme beheben können.
Hinweis
-
Recommender API aktivieren.
- Machen Sie sich mit den IAM-Rollenempfehlungen vertraut.
- (Optional) Informieren Sie sich über Recommender-Statistiken.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, für das Sie Statistiken verwalten möchten, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Richtlinienstatistiken auf Bucket-Ebene benötigen:
-
So rufen Sie Statistiken zu Richtlinien auf Bucket-Ebene auf:
IAM Recommender-Betrachter (
roles/recommender.iamViewer
) -
So ändern Sie Richtlinienstatistiken auf Bucket-Ebene:
IAM Recommender-Administrator (
roles/recommender.iamAdmin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Richtlinienstatistiken auf Bucket-Ebene erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
-
So rufen Sie Statistiken zu Richtlinien auf Bucket-Ebene auf:
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
-
So ändern Sie Statistiken zu Richtlinien auf Bucket-Ebene:
recommender.iamPolicyInsights.update
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Informationen zu Richtlinien auf Bucket-Ebene auflisten
Verwenden Sie eine der folgenden Methoden, um alle Richtlinienstatistiken auf Bucket-Ebene für Ihr Projekt aufzulisten:gcloud
Mit dem Befehl gcloud recommender
insights list
können Sie alle Richtlinienstatistiken für Ihr Projekt auf Bucket-Ebene aufrufen.
Ersetzen Sie vor dem Ausführen des Befehls die folgenden Werte:
PROJECT_ID
: Die ID des Projekts, für das Sie Statistiken auflisten möchten.LOCATION
: Der Standort der Buckets, deren Statistiken Sie auflisten möchten.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION\ --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"
In der Ausgabe werden alle Richtlinienstatistiken für Ihr Projekt auf Bucket-Ebene am angegebenen Speicherort aufgeführt. Beispiel:
INSIGHT_ID CATEGORY INSIGHT_STATE LAST_REFRESH_TIME SEVERITY INSIGHT_SUBTYPE DESCRIPTION 00dd7eb5-15c2-4fb3-a9b2-1a85f842462b SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04307297-f57c-416d-9323-38abac450db0 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04845da5-74ba-46b4-a0f3-47d83095c261 SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0a39f643-d7a8-4c11-b490-fecd74290fb5 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 0a4cee48-777b-4dea-a2b0-702b70da4b6f SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b2d147c-b26e-4afe-8fab-449c6e793750 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0bb3032d-721c-44e8-b464-5293f235281c SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 3 of the permissions in this role binding were used in the past 90 days.
REST
Die Methode insights.list
der Recommender API listet alle Richtlinienstatistiken auf Bucket-Ebene für Ihr Projekt auf.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
PROJECT_ID
: Die ID des Projekts, für das Sie Statistiken auflisten möchten.LOCATION
: Der Standort der Buckets, deren Statistiken Sie auflisten möchten.
HTTP-Methode und URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
In der Antwort werden alle Richtlinienstatistiken auf Bucket-Ebene für Ihr Projekt am angegebenen Standort aufgeführt. Beispiel:
{ "insights": [ { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }, { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "projectViewer:my-project", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6" } ], "targetResources": [ "//storage.googleapis.com/bucket-2" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"5b60b935f27caf2c\"", "severity": "LOW" } ] }
Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken auf Bucket-Ebene.
Einzelne Statistiken zu Richtlinien auf Bucket-Ebene abrufen
Wenn Sie weitere Informationen zu einer einzelnen Statistik abrufen möchten, einschließlich der Beschreibung, des Status und aller mit ihr verknüpften Empfehlungen, verwenden Sie eine der folgenden Methoden:
gcloud
Verwenden Sie den Befehl gcloud recommender
insights describe
mit Ihrer Statistik-ID, um Informationen zu einer einzelnen Statistik aufzurufen.
-
INSIGHT_ID
: Die ID der Statistik, die Sie aufrufen möchten. Sie finden die ID, indem Sie die Statistiken in Ihrem Projekt auflisten. PROJECT_ID
: Die ID des Projekts, für das Sie Statistiken verwalten möchten.LOCATION
: Der Standort des Buckets, dessen Informationen Sie abrufen möchten.
gcloud recommender insights describe INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION
In der Ausgabe sehen Sie die Statistik im Detail. Die folgende Statistik zeigt beispielsweise, dass alle Nutzer (allUsers
) die Rolle "Storage Legacy Bucket-Leser" (roles/storage.legacyBucketReader
) für den Bucket bucket-1
haben, diese Rolle aber in den letzten 90 Tagen nur zwei der Berechtigungen für diese Rolle verwendet hat:
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"2a8784e529b80aea"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACTIVE targetResources: - //storage.googleapis.com/bucket-1
Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken auf Bucket-Ebene.
REST
Die Methode insights.get
der Recommender API ruft eine einzelne Statistik ab.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
-
PROJECT_ID
: Die ID des Projekts, für das Sie Statistiken verwalten möchten. LOCATION
: Der Standort des Buckets, dessen Informationen Sie abrufen möchten.-
INSIGHT_ID
: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die Statistik-ID nicht kennen, können Sie sie in Ihrem Projekt finden, indem Sie die Statistiken auflisten. Die ID einer Statistik entspricht allen Angaben nachinsights/
imname
-Feld der Statistik.
HTTP-Methode und URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Statistik. Die folgende Statistik zeigt beispielsweise, dass alle Nutzer (allUsers
) die Rolle "Storage Legacy Bucket-Leser" (roles/storage.legacyBucketReader
) für den Bucket bucket-1
haben, diese Rolle aber in den letzten 90 Tagen nur zwei der Berechtigungen für diese Rolle verwendet hat:
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }
Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken auf Bucket-Ebene.
Statistiken zu Richtlinien auf Bucket-Ebene ansehen
Nachdem Sie eine einzelne Statistik erhalten haben, können Sie deren Inhalt prüfen, um das durch sie hervorgehobene Muster der Ressourcennutzung zu verstehen.
Der Inhalt einer Statistik wird durch die Untertypen bestimmt.
Statistiken zu Richtlinien auf Bucket-Ebene (google.iam.policy.Insight
) haben den Untertyp PERMISSIONS_USAGE_STORAGE_BUCKET
.
PERMISSIONS_USAGE_STORAGE_BUCKET
-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:
-
associatedRecommendations
: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer. -
category
: Die Kategorie für IAM-Statistiken ist immerSECURITY
. -
content
: Gibt die Nutzung von Berechtigungen für eine bestimmte Rolle durch ein Hauptkonto an. Dieses Feld enthält die folgenden Komponenten:condition
: Alle Bedingungen, die mit einer Bindung verknüpft sind, durch die dem Hauptkonto die Rolle zugewiesen wird. Wenn keine Bedingungen vorhanden sind, enthält dieses Feld eine leere Bedingung.exercisedPermissions
: Die Berechtigungen der Rolle, die das Hauptkonto während des Beobachtungszeitraums verwendet hat.inferredPermissions
: Die Berechtigungen der Rolle, die das Hauptkonto gemäß der ML-basierten Analyse durch den IAM Recommender und basierend auf den vom Hauptkonto verwendeten Berechtigungen wahrscheinlich benötigt.member
: Das Hauptkonto, dessen Nutzung von Berechtigungen analysiert wurde.role
: Die Rolle, für die die Nutzung von Berechtigungen analysiert wurde.
-
description
: Eine menschenlesbare Zusammenfassung der Statistik. -
etag
: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neueretag
-Wert zugewiesen.Zum Ändern des Status einer Statistik müssen Sie das
etag
der vorhandenen Statistik angeben. Durch die Verwendung vonetag
wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde. -
insightSubtype
: Der Statistikuntertyp. -
lastRefreshTime
: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden. -
name
: Der Name der Statistik im folgenden Format:projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Die Platzhalter haben folgende Werte:
-
PROJECT_ID
: Die ID des Projekts, in dem die Statistik generiert wurde. LOCATION
: Der Standort des Buckets, für den die Statistik bestimmt ist.INSIGHT_ID
: Eine eindeutige ID für die Statistik.
-
-
observationPeriod
: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt vonlastRefreshTime
und beginnen beilastRefreshTime
minusobservationPeriod
. -
stateInfo
: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:-
ACTIVE
: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern. -
ACCEPTED
: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung alsCLAIMED
,SUCCEEDED
oderFAILED
gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den StatusACCEPTED
hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
-
-
targetResources
: Der vollständige Ressourcenname des Buckets, für den die Statistik bestimmt ist. Beispiel://storage.googleapis.com/my-bucket
Richtlinienstatistiken auf Bucket-Ebene als ACCEPTED
markieren
Wenn Sie eine Aktion gemäß einer aktiven Statistik durchführen, können Sie diese Statistik als ACCEPTED
markieren. Durch den Status ACCEPTED
wird der Recommender API mitgeteilt, dass Sie gemäß dieser Statistik Aktionen durchgeführt haben, wodurch sich die Empfehlungen optimieren lassen.
Akzeptierte Statistiken werden 90 Tage lang aufbewahrt, nachdem sie als ACCEPTED
markiert wurden.
gcloud
Verwenden Sie den Befehl gcloud recommender insights mark-accepted
mit Ihrer Statistik-ID, um eine Statistik als ACCEPTED
zu markieren.
-
INSIGHT_ID
: Die ID der Statistik, die Sie aufrufen möchten. Sie finden die ID, indem Sie die Statistiken in Ihrem Projekt auflisten. PROJECT_ID
: Die ID des Projekts, für das Sie Statistiken verwalten möchten.LOCATION
: Der Standort des Buckets, dessen Informationen Sie alsACCEPTED
markieren möchten.-
ETAG
: Eine Kennung für eine Version der Statistik. So rufen Sie dasetag
ab:-
Rufen Sie die Statistik mit dem Befehl
gcloud recommender insights describe
ab. -
Suchen Sie in der Ausgabe den
etag
-Wert und kopieren Sie ihn einschließlich der Anführungszeichen. Beispiel:"d3cdec23cc712bd0"
-
Rufen Sie die Statistik mit dem Befehl
gcloud recommender insights mark-accepted INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION \ --etag=ETAG
Die Ausgabe enthält jetzt die Statistik mit dem Status ACCEPTED
:
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"0187c0362e4bcea7"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACCEPTED targetResources: - //storage.googleapis.com/bucket-1
Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken auf Bucket-Ebene.
REST
Die Methode insights.markAccepted
der Recommender API markiert eine Statistik als ACCEPTED
.
Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:
-
PROJECT_ID
: Die ID des Projekts, für das Sie Statistiken verwalten möchten. LOCATION
: Der Standort des Buckets, dessen Informationen Sie alsACCEPTED
markieren möchten.-
INSIGHT_ID
: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die Statistik-ID nicht kennen, können Sie sie in Ihrem Projekt finden, indem Sie die Statistiken auflisten. Die ID einer Statistik entspricht allen Angaben nachinsights/
imname
-Feld der Statistik. -
ETAG
: Eine Kennung für eine Version der Statistik. So rufen Sie dasetag
ab:- Rufen Sie die Statistik mit der Methode
insights.get
ab. - Suchen und kopieren Sie den
etag
-Wert aus der Antwort.
- Rufen Sie die Statistik mit der Methode
HTTP-Methode und URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted
JSON-Text der Anfrage:
{ "etag": "ETAG" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Statistik, jetzt mit dem Status ACCEPTED
:
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACCEPTED" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"9a5485cdc1f05b58\"", "severity": "CRITICAL" }
Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken auf Bucket-Ebene.
Weitere Informationen
- Richtlinienempfehlungen für -Buckets ansehen und anwenden
- Im Empfehlungs-Hub können Sie alle Empfehlungen für Ihr Projekt, einschließlich IAM-Empfehlungen, aufrufen und verwalten.