Revisa las estadísticas de políticas de los buckets de Cloud Storage

En esta página, se muestra cómo administrar las estadísticas de políticas a nivel del bucket, que son resultados basados en el aprendizaje automático sobre el uso de permisos de tus buckets de Cloud Storage. Las estadísticas de políticas pueden ayudarte a identificar qué principales tienen permisos que no necesitan.

En esta página, se analizan las estadísticas de políticas para los buckets. El recomendador también ofrece estadísticas de políticas para los siguientes tipos de recursos:

Las estadísticas de políticas a nivel de bucket a veces están vinculadas a recomendaciones de roles. Las recomendaciones de roles sugieren acciones puede tomar para solucionar los problemas identificados por las estadísticas de políticas a nivel de bucket.

Antes de comenzar

Roles obligatorios

A fin de obtener los permisos que necesitas para administrar las estadísticas de políticas a nivel de bucket, haz lo siguiente: solicita a tu administrador que te otorgue el los siguientes roles de IAM en tu proyecto:

  • Administrador de almacenamiento (roles/storage.admin)
  • Administra las estadísticas de políticas a nivel de bucket con gcloud CLI o la API de REST: Consumidor de Service Usage (`roles/serviceusage.serviceUsageConsumer`)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para administrar las estadísticas de políticas a nivel del bucket. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para administrar las estadísticas de la política a nivel de bucket:

  • Para ver las estadísticas de políticas a nivel del bucket, haz lo siguiente:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Para modificar las estadísticas de políticas a nivel de bucket, haz lo siguiente: recommender.iamPolicyInsights.update
  • Para administrar las estadísticas de políticas a nivel de bucket en la consola de Google Cloud, sigue estos pasos:
    • resourcemanager.projects.get
    • storage.buckets.list
  • Administra las estadísticas de políticas a nivel del bucket con la CLI de gcloud o la API de REST: serviceusage.services.use

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Enumera las estadísticas de políticas a nivel del bucket

Para enumerar todas las estadísticas de políticas a nivel del bucket de tu proyecto, usa uno de los siguientes métodos:

Console

  1. En la consola de Google Cloud, ve a la página Buckets.

    Ir a buckets

  2. Busca la columna Estadísticas de seguridad en la tabla. Si la columna Estadísticas de seguridad no está visible, haz clic en  Opciones de visualización de columnas y selecciona Estadísticas de seguridad.

    En esta columna, se muestra un resumen de todas las estadísticas de políticas del bucket. Cada resumen indica la cantidad total de permisos no utilizados para todos los roles otorgados en ese bucket.

  3. Busca el bucket cuyas estadísticas deseas consultar y haz clic en el resumen de estadísticas de políticas que se encuentra allí. fila. Esta acción abre el panel Recomendaciones de seguridad, que muestra una lista de todos los principales que tienen un rol en el bucket, sus roles y las estadísticas de políticas asociadas con esos roles.

    En esta tabla, las estadísticas de políticas tienen el formato EXCESS/TOTAL excess permissions, en el que EXCESS es la cantidad de permisos en el rol que la principal no necesita y TOTAL es la cantidad total de permisos en el rol.

gcloud

Usa el comando gcloud recommender insights list para ver todas las estadísticas de políticas a nivel del bucket de tu en un proyecto final.

Antes de ejecutar el comando, reemplaza los siguientes valores:

  • PROJECT_ID: el ID del proyecto para el que deseas enumerar las estadísticas.
  • LOCATION: La ubicación de los buckets cuyas estadísticas deseas enumerar.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION\
    --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"

En el resultado, se enumeran todas las estadísticas de políticas a nivel del bucket para tu proyecto en la ubicación especificada. Por ejemplo:

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                   DESCRIPTION
00dd7eb5-15c2-4fb3-a9b2-1a85f842462b  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04307297-f57c-416d-9323-38abac450db0  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04845da5-74ba-46b4-a0f3-47d83095c261  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0a39f643-d7a8-4c11-b490-fecd74290fb5  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
0a4cee48-777b-4dea-a2b0-702b70da4b6f  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b2d147c-b26e-4afe-8fab-449c6e793750  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0bb3032d-721c-44e8-b464-5293f235281c  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  3 of the permissions in this role binding were used in the past 90 days.

REST

El método insights.list de la API de recomendador enumera todas las estadísticas de políticas a nivel del bucket para tu proyecto.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: el ID del proyecto para el que deseas enumerar las estadísticas.
  • LOCATION: Es la ubicación de la buckets cuyas estadísticas desees enumerar.

Método HTTP y URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET

Para enviar tu solicitud, expande una de estas opciones:

En la respuesta, se enumeran todas las estadísticas de políticas a nivel del bucket de tu proyecto en la ubicación especificada. Por ejemplo:

{
  "insights": [
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "allUsers",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-1"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"2a8784e529b80aea\"",
      "severity": "CRITICAL"
    },
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "projectViewer:my-project",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-2"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"5b60b935f27caf2c\"",
      "severity": "LOW"
    }
  ]
}

Para obtener más información sobre los componentes de una estadística, consulta Revisa estadísticas de políticas a nivel de bucket en esta página.

Obtén una sola estadística de políticas a nivel del bucket

Para obtener más información sobre una sola estadística, incluida la descripción, el estado y las recomendaciones asociadas, usa uno de los siguientes métodos:

Console

  1. En la consola de Google Cloud, ve a la página Buckets.

    Ir a buckets

  2. Asegúrate de que la columna Estadísticas de seguridad sea visible.
  3. Busca la columna Estadísticas de seguridad en la tabla. Esta columna muestra un resumen de todas las estadísticas de políticas del bucket. Cada resumen indica la cantidad total de excedentes permisos para todos los roles otorgados en ese bucket.

    Si no ves la columna Estadísticas de seguridad, haz clic en  Opciones de visualización de columnas y selecciona Estadísticas de seguridad. Luego, busca la columna en la tabla.

  4. Busca el bucket cuyas estadísticas deseas ver y haz clic en el resumen de estadísticas de políticas en esa fila. Se abrirá un panel que enumera todas las principales que tienen un rol en el bucket, sus roles y las estadísticas de políticas asociadas a esos roles.
  5. En la columna Estadísticas de seguridad, haz clic en una estadística de políticas. Las estadísticas de políticas tienen el formato EXCESS/TOTAL excess permissions, en el que EXCESS es la cantidad de permisos en el rol que la principal no necesita y TOTAL es la cantidad total de permisos en el rol.

La consola de Google Cloud abre un panel en el que se muestran los detalles de la estadística.

gcloud

Usa el comando gcloud recommender insights describe con tu ID de estadística para ver información sobre una sola estadística de IAM.

  • INSIGHT_ID: El ID de la estadística que deseas ver. Para encontrar el ID, enumera las estadísticas correspondientes a en un proyecto final.
  • PROJECT_ID: El ID del proyecto para el que deseas administrar las estadísticas
  • LOCATION: Es la ubicación de la bucket cuya estadística quieres obtener.
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION

En el resultado, se muestra la estadística en detalle. Por ejemplo, la siguiente estadística indica que todos los usuarios (allUsers) tienen el rol de lector de bucket heredado de almacenamiento (roles/storage.legacyBucketReader) en el bucket bucket-1, pero que solo se usaron dos permisos en ese rol en los últimos 90 días:

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"2a8784e529b80aea"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACTIVE
targetResources:
- //storage.googleapis.com/bucket-1

Para obtener más información sobre los componentes de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.

REST

Con el método insights.get de la API de recomendador, se obtiene una sola estadística.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: el ID del proyecto para el que deseas administrar las estadísticas.
  • LOCATION: Es la ubicación de la bucket cuya estadística quieres obtener.
  • INSIGHT_ID: El ID de la estadística que deseas ver. Si no conoces el ID de estadística, puedes enumerar las estadísticas en tu proyecto para encontrarlo. El ID de una estadística es todo lo que se encuentra después de insights/ en el campo name de la estadística

Método HTTP y URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene las estadísticas. Por ejemplo, la siguiente estadística indica que todos los usuarios (allUsers) tienen el rol de lector de bucket heredado de almacenamiento (roles/storage.legacyBucketReader) en el bucket bucket-1, pero que solo se usaron dos permisos en ese rol en los últimos 90 días:

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"2a8784e529b80aea\"",
  "severity": "CRITICAL"
}

Para obtener más información sobre los componentes de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.

Revisa las estadísticas de las políticas a nivel del bucket

Después de obtener una sola estadística, puedes revisar su contenido para comprender el patrón de uso de recursos que destaca.

Console

Cuando haces clic en una estadística de política en la consola de Google Cloud, se abre un panel que muestra los detalles de la estadística. El aspecto de estos detalles depende de si la estadística está asociada con una recomendación.

Si la estadística está asociada con una recomendación, el panel muestra los detalles de la recomendación.

Si la estadística no está asociada con una recomendación, el panel muestra una lista de todos los permisos de la función. Los permisos que usó la principal aparecen en la parte superior de la lista, seguidos de los permisos excedentes.

gcloud

Los subtipos determinan el contenido de una estadística. Las estadísticas de políticas a nivel del bucket (google.iam.policy.Insight) tienen el subtipo PERMISSIONS_USAGE_STORAGE_BUCKET.

Las estadísticas de PERMISSIONS_USAGE_STORAGE_BUCKET tienen los siguientes componentes (en cualquier orden):

  • associatedRecommendations: Los identificadores de cualquier recomendación asociada con la estadística. Si no hay recomendaciones asociadas con la estadística, este campo estará vacío.
  • category: La categoría de las estadísticas de SECURITY y siempre es .
  • content: Informa el uso de los permisos de una principal para una función específica. En este campo, se encuentran los siguientes componentes:

    • condition: Cualquier condición relacionada con la vinculación que otorga la función a la principal. Si no hay condiciones, este campo contiene una condición vacía
    • exercisedPermissions: Los permisos en la función que la principal usó durante el período de observación
    • inferredPermissions: Los permisos en la función que el recomendador de IAM determinó a través del AA, que es probable que la principal necesite según los permisos que ejerció.
    • member: la principal cuyo uso de permisos se analizó
    • role: La función para la cual se analizó el uso de permisos
  • description: Un resumen legible de la estadística
  • etag: un identificador único para el estado actual de una estadística. Cada vez que se modifica la estadística, se asigna un valor etag nuevo

    Para cambiar el estado de una estadística, debes proporcionar la etag de la estadística existente. Usar etag ayuda a garantizar que cualquier operación se realice solo si la estadística no cambió desde la última recuperación.

  • insightSubtype: el subtipo de estadística.
  • lastRefreshTime: La fecha en la que se actualizó la estadística por última vez, lo que indica la actualidad de los datos que se usaron para generar la estadística
  • name: El nombre de la estadística, en el siguiente formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Los marcadores de posición tienen los siguientes valores:

    • PROJECT_ID: El ID del proyecto en el que se generó la estadística
    • LOCATION: Es la ubicación de la bucket para el que se creó la estadística.
    • INSIGHT_ID: Un ID único para la estadística
  • observationPeriod: El período hasta llegar a la estadística. Los datos de origen que se usaron para generar la estadística finalizan en lastRefreshTime y comienzan en lastRefreshTime menos observationPeriod
  • stateInfo: Las estadísticas atraviesan varias transiciones de estado después de la propuesta:

    • ACTIVE: Se generó la estadística, pero no se realizó ninguna acción o se realizó una acción sin actualizar el estado de la estadística. Las estadísticas activas se actualizan cuando cambian los datos subyacentes.
    • ACCEPTED: Se realizaron acciones en función de la estadística. Se aceptan las estadísticas cuando una recomendación asociada se marcó como CLAIMED, SUCCEEDED o FAILED, o la estadística se aceptó directamente. Cuando una estadística se encuentra en el estado ACCEPTED, el contenido de la estadística no puede cambiar. Las estadísticas aceptadas se conservan durante 90 días después de su aceptación.
  • targetResources: el nombre completo del recurso del bucket para el que se creó la estadística. Por ejemplo, //storage.googleapis.com/my-bucket.

REST

Los subtipos determinan el contenido de una estadística. Estadísticas de políticas a nivel de bucket (google.iam.policy.Insight) tienen el subtipo PERMISSIONS_USAGE_STORAGE_BUCKET.

Las estadísticas de PERMISSIONS_USAGE_STORAGE_BUCKET tienen los siguientes componentes (en cualquier orden):

  • associatedRecommendations: Los identificadores de cualquier recomendación asociada con la estadística. Si no hay recomendaciones asociadas con la estadística, este campo estará vacío.
  • category: La categoría de las estadísticas de SECURITY y siempre es .
  • content: Informa el uso de los permisos de una principal para una función específica. En este campo, se encuentran los siguientes componentes:

    • condition: Cualquier condición relacionada con la vinculación que otorga la función a la principal. Si no hay condiciones, este campo contiene una condición vacía
    • exercisedPermissions: Los permisos en la función que la principal usó durante el período de observación
    • inferredPermissions: Los permisos en la función que el recomendador de IAM determinó a través del AA, que es probable que la principal necesite según los permisos que ejerció.
    • member: la principal cuyo uso de permisos se analizó
    • role: La función para la cual se analizó el uso de permisos
  • description: Un resumen legible de la estadística
  • etag: un identificador único para el estado actual de una estadística. Cada vez que se modifica la estadística, se asigna un valor etag nuevo

    Para cambiar el estado de una estadística, debes proporcionar la etag de la estadística existente. Usar etag ayuda a garantizar que cualquier operación se realice solo si la estadística no cambió desde la última recuperación.

  • insightSubtype: el subtipo de estadística.
  • lastRefreshTime: La fecha en la que se actualizó la estadística por última vez, lo que indica la actualidad de los datos que se usaron para generar la estadística
  • name: El nombre de la estadística, en el siguiente formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Los marcadores de posición tienen los siguientes valores:

    • PROJECT_ID: El ID del proyecto en el que se generó la estadística
    • LOCATION: Es la ubicación de la bucket para el que se creó la estadística.
    • INSIGHT_ID: Un ID único para la estadística
  • observationPeriod: El período hasta llegar a la estadística. Los datos de origen que se usaron para generar la estadística finalizan en lastRefreshTime y comienzan en lastRefreshTime menos observationPeriod
  • stateInfo: Las estadísticas atraviesan varias transiciones de estado después de la propuesta:

    • ACTIVE: Se generó la estadística, pero no se realizó ninguna acción o se realizó una acción sin actualizar el estado de la estadística. Las estadísticas activas se actualizan cuando cambian los datos subyacentes.
    • ACCEPTED: Se realizaron acciones en función de la estadística. Se aceptan las estadísticas cuando una recomendación asociada se marcó como CLAIMED, SUCCEEDED o FAILED, o la estadística se aceptó directamente. Cuando una estadística se encuentra en el estado ACCEPTED, el contenido de la estadística no puede cambiar. Las estadísticas aceptadas se conservan durante 90 días después de su aceptación.
  • targetResources: Es el nombre completo del recurso del bucket para el que se creó la estadística. Por ejemplo, //storage.googleapis.com/my-bucket.

Marca una estadística de política a nivel del bucket como ACCEPTED

Si realizas acciones basadas en una estadística activa, puedes marcar esa estadística como ACCEPTED. El estado ACCEPTED le indica a la API de recomendador que realizaste acciones basadas en esta estadística, lo que ayuda a definir mejor las recomendaciones.

Las estadísticas aceptadas se conservan durante 90 días después de que se marcan como ACCEPTED.

Console

Si una estadística está asociada con una recomendación, aplicar la recomendación cambia el estado de la estadística a ACCEPTED.

Para marcar una estadística como ACCEPTED sin aplicar una recomendación, usa la CLI de gcloud o la API de REST.

gcloud

Utiliza el Comando gcloud recommender insights mark-accepted con el ID de estadística que se debe marcar una estadística como ACCEPTED.

  • INSIGHT_ID: El ID de la estadística que deseas ver. Para encontrar el ID, enumera las estadísticas en el proyecto.
  • PROJECT_ID: El ID del proyecto para el que deseas administrar las estadísticas
  • LOCATION: Es la ubicación del bucket cuya estadística deseas marcar como ACCEPTED.
  • ETAG: Un identificador para una versión de la estadística. Para obtener la etag, haz lo siguiente:

    1. Obtén la estadística mediante el comando gcloud recommender insights describe.
    2. Busca y copia el valor etag del resultado, incluidas las comillas delimitantes. Por ejemplo, "d3cdec23cc712bd0"
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION \
    --etag=ETAG

En el resultado, se muestra la estadística, ahora con el estado ACCEPTED:

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"0187c0362e4bcea7"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACCEPTED
targetResources:
- //storage.googleapis.com/bucket-1

Para obtener más información sobre la información de estado de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.

REST

Mediante el método insights.markAccepted de la API de recomendador, se marca una estadística como ACCEPTED.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: el ID del proyecto para el que deseas administrar las estadísticas.
  • LOCATION: Es la ubicación del bucket cuya estadística deseas marcar como ACCEPTED.
  • INSIGHT_ID: El ID de la estadística que deseas ver. Si ID de la estadística, puedes encontrarla enumerar las estadísticas en un proyecto final. El ID de una estadística es todo lo que se encuentra después de insights/ en el campo name de la estadística
  • ETAG: Un identificador para una versión de la estadística. Para obtener la etag, haz lo siguiente:
    1. Obtén la estadística mediante el método insights.get.
    2. Busca y copia el valor etag de la respuesta.

Método HTTP y URL:

POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Cuerpo JSON de la solicitud:

{
  "etag": "ETAG"
}

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la estadística, ahora con el estado ACCEPTED:

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"9a5485cdc1f05b58\"",
  "severity": "CRITICAL"
}

Para obtener más información sobre la información de estado de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.

¿Qué sigue?