Esamina gli insight sui criteri per progetti, cartelle e organizzazioni

Questa pagina mostra come gestire gli insight sulle norme, ovvero risultati basati sul machine learning l'utilizzo delle autorizzazioni. Gli insight sui criteri possono aiutarti a identificare quali entità dispongono di autorizzazioni di cui non hanno bisogno.

Questa pagina è incentrata sugli insight sui criteri per progetti, cartelle e organizzazioni. Il motore per suggerimenti offre anche insight sui criteri per i seguenti tipi di risorse:

A volte gli approfondimenti sulle norme sono collegati a dei ruoli. I suggerimenti sui ruoli suggeriscono azioni che che può intraprendere per risolvere i problemi identificati dagli insight sulle norme.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire gli insight sui criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM progetto, cartella, o l'organizzazione a cui vuoi gestire approfondimenti per:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti le autorizzazioni necessarie per gestire gli insight sui criteri. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire gli insight sui criteri sono necessarie le seguenti autorizzazioni:

  • Per visualizzare gli approfondimenti sulle norme:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Per modificare gli approfondimenti sulle norme: recommender.iamPolicyInsights.update

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati e altri ruoli predefiniti.

Elenca insight sui criteri

Per elencare tutti gli approfondimenti sulle norme per progetto, cartella, o organizzazione, utilizza uno dei seguenti metodi:

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona un progetto, una cartella o un'organizzazione.

La colonna Approfondimenti sulla sicurezza mostra tutti gli approfondimenti relativi alla sicurezza per il tuo progetto, inclusi insight sui criteri. Gli approfondimenti sulle norme hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni nell'attributo non necessario all'entità e TOTAL è il numero totale di autorizzazioni nel ruolo.

gcloud

Utilizza il comando gcloud recommender insights list per visualizzare tutti gli insight sui criteri per il tuo progetto, cartella, o organizzazione.

Prima di eseguire il comando, sostituisci i seguenti valori:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi elencare gli insight . Utilizza il valore project, folder, o organization.
  • RESOURCE_ID: l'ID del progetto, cartella, o all'organizzazione per cui vuoi elencare gli insight. 
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

L'output elenca tutti gli insight sulle norme per progetto, cartella, o organizzazione. Ad esempio: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE    DESCRIPTION
00133c0b-5431-4b30-9172-7c903aa4af24  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  9 of the permissions in this role binding were used in the past 90 days.
0161f2eb-acb7-4a5e-ad52-50284beaa312  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
01ea0d0d-e9a1-4073-9367-5a934a857fb4  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  1 of the permissions in this role binding were used in the past 90 days.
039407bc-a25b-4aeb-b573-5c851f2e9833  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  52 of the permissions in this role binding were used in the past 90 days.
0541df88-8bc3-44b3-ad5d-9cb372630aeb  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  31 of the permissions in this role binding were used in the past 90 days.
07841f74-02ce-4de8-bbe6-fc4eabb68568  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
07713094-fdee-4475-9c43-cd53d52c9de1  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  2 of the permissions in this role binding were used in the past 90 days.
0a438d19-9d63-4749-aadd-578aa4e77908  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
f4292f55-105b-4744-9dc3-fcacf59685bb  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  4 of the permissions in this role binding were used in the past 90 days.

REST

L'API Recommender insights.list che elenca tutti gli insight sulle norme per progetto, cartella, o organizzazione.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi elencare gli insight. Utilizza il valore projects, folders, o organizations.
  • RESOURCE_ID: l'ID del progetto, cartella, o all'organizzazione per cui vuoi elencare gli insight.
  • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta elenca tutti gli approfondimenti sulle norme per il tuo progetto, cartella, o organizzazione. Ad esempio: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
      "description": "0 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/viewer",
        "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [],
        "inferredPermissions": []
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "PERMISSIONS_USAGE",
      "etag": "\"b153ab487e4ae100\"",
      "severity": "HIGH"
    },
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/f4292f55-105b-4744-9dc3-fcacf59685bb",
      "description": "4 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/owner",
        "member": "serviceAccount:my-service-account2@my-project.iam.gserviceaccount.com",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "iam.roles.create"
          },
          {
            "permission": "iam.roles.delete"
          },
          {
            "permission": "iam.roles.list"
          },
          {
            "permission": "iam.roles.update"
          }
        ],
        "inferredPermissions": []
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/6ab16c1d-edce-45e5-8d82-570fdd49892a"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "PERMISSIONS_USAGE",
      "etag": "\"49bb705553338fc3\"",
      "severity": "HIGH"
    }
  ]
}

Per scoprire di più sui componenti di un approfondimento, consulta Esaminare approfondimenti sulle norme in questa pagina.

Ricevi un unico approfondimento sulle norme

Per ottenere maggiori informazioni su un singolo approfondimento, tra cui la descrizione, lo stato e gli eventuali consigli associati, utilizza i seguenti metodi:

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona un progetto, una cartella o un'organizzazione.

  3. Nella colonna Approfondimenti sulla sicurezza, fai clic su un approfondimento sul criterio. Gli approfondimenti sulle norme hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni nell'attributo non necessario all'entità e TOTAL è il numero totale di autorizzazioni nel ruolo.

La console Google Cloud apre un riquadro che mostra i dettagli dell'insight.

gcloud

Utilizza il comando gcloud recommender insights describe con il tuo ID insight per visualizzare le informazioni su un singolo o approfondimento.

  • INSIGHT_ID: l'ID dell'insight che vuoi vista. Per trovare l'ID, elenca gli approfondimenti relativi alla tua progetto, cartella, o organizzazione.
  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli insight . Utilizza il valore project, folder, o organization.
  • RESOURCE_ID: l'ID del progetto, cartella, o all'organizzazione per cui vuoi gestire gli insight. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

L'output mostra l'insight in dettaglio. Ad esempio, i seguenti insight indicano che my-service-account@my-project.iam.gserviceaccount.com non ha utilizzato autorizzazioni di il ruolo Visualizzatore (roles/viewer) negli ultimi 90 giorni: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  exercisedPermissions: []
  inferredPermissions: []
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/viewer
description: 0 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
severity: HIGH
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Per scoprire di più sui componenti di un approfondimento, consulta Esaminare approfondimenti sulle norme in questa pagina.

REST

L'API Recommender insights.get ottiene un singolo insight.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa che vuoi gestire insight per i nostri clienti. Utilizza il valore projects, folders, o organizations.
  • RESOURCE_ID: l'ID del progetto, cartella, o l'organizzazione che vuoi che gestisca gli insight .
  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elenca gli approfondimenti nel tuo progetto, cartella, o organizzazione. L'ID di un approfondimento è tutto dopo insights/ nel campo name per l'approfondimento.
  • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene l'insight. Ad esempio, i seguenti insight indicano che my-service-account@my-project.iam.gserviceaccount.com non ha utilizzato autorizzazioni di il ruolo Visualizzatore (roles/viewer) negli ultimi 90 giorni: 

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "0 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/viewer",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [],
    "inferredPermissions": []
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"d3cdec23cc712bd0\"",
  "severity": "HIGH"
}

Per scoprire di più sui componenti di un approfondimento, consulta Esaminare approfondimenti sulle norme in questa pagina.

Esamina gli approfondimenti sulle norme

Dopo aver ottenuto un singolo insight, puoi esaminarne i contenuti per comprendere il pattern della risorsa l'utilizzo che mette in evidenza.

Console

Quando fai clic su un approfondimento sui criteri nella console Google Cloud, La console Google Cloud apre un riquadro che mostra i dettagli dell'insight. L'aspetto di questi a seconda che l'insight sia associato a un suggerimento.

Se l'insight è associato a un suggerimento, il riquadro mostra dettagli del suggerimento.

Se l'insight non è associato a un suggerimento, il riquadro mostra un elenco di tutte le autorizzazioni nel ruolo. Le autorizzazioni utilizzate dall'entità vengono visualizzate in cima all'elenco, seguite da le autorizzazioni in eccesso.

gcloud

I contenuti di un approfondimento sono determinati dai suoi sottotipi. Approfondimenti sulle norme (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE.

PERMISSIONS_USAGE insight includono i seguenti componenti, non necessariamente in questo ordine:

  • associatedRecommendations: gli identificatori di eventuali consigli associati con l'insight. Se non ci sono suggerimenti associati all'insight, questo campo è vuoto.
  • category: la categoria per gli insight IAM è sempre SECURITY.

  • content: segnala l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene il parametro i seguenti componenti:

    • condition: tutte le condizioni associate all'associazione che concede il ruolo all'entità. Se ci sono non ci sono condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzate dall'entità durante la di osservazione.
    • inferredPermissions: le autorizzazioni nel ruolo del motore per suggerimenti determinato, mediante ML, che l'entità di cui avranno bisogno in base alle autorizzazioni esercitate.
    • member: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.
    • role: il ruolo per cui è stato analizzato l'utilizzo delle autorizzazioni.
  • description: un riepilogo leggibile dell'approfondimento.

  • etag: un identificatore univoco per lo stato attuale di un approfondimento. Ogni volta che l'insight cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un approfondimento, devi fornire il etag del insight esistente. L'utilizzo dell'etag contribuisce a garantire che tutte le operazioni vengano solo se l'insight non è cambiato dall'ultima volta che l'hai recuperato.

  • insightSubtype: il sottotipo di approfondimento.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'insight. Indica l'aggiornamento dei dati utilizzati per generare l'insight.

  • name: il nome dell'approfondimento, nel seguente formato:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • RESOURCE_TYPE: il tipo di risorsa per cui è stato generato l'insight .
    • RESOURCE_ID: l'ID del progetto, cartella, o all'organizzazione in cui è stato generato l'insight.
    • INSIGHT_ID: un ID univoco per l'insight.
  • observationPeriod: il periodo di tempo che ha portato all'approfondimento. La i dati di origine utilizzati per generare l'insight terminano alle ore lastRefreshTime e inizia alle ore lastRefreshTime meno observationPeriod.

  • stateInfo: gli insight vengono sottoposti a più transizioni di stato dopo viene proposto:

    • ACTIVE: l'insight è stato generato, ma non è stata eseguita alcuna azione. o è stata eseguita un'azione senza aggiornare lo stato dell'insight. Attivo gli insight vengono aggiornati quando i dati sottostanti cambiano.
    • ACCEPTED: sono state intraprese azioni in base alle informazioni. Insight vengono accettati quando un consiglio associato è stato contrassegnato come CLAIMED SUCCEEDED, o FAILED, oppure l'insight è stato accettato direttamente. Quando un approfondimento è nello stato ACCEPTED, i contenuti dell'insight non possono modifica. Gli insight accettati vengono conservati per 90 giorni dopo vengono accettati.
  • targetResources: il nome completo della risorsa del progetto, della cartella o dell'organizzazione a cui sono destinati l'insight. Ad esempio: //cloudresourcemanager.googleapis.com/projects/123456789012.

REST

I contenuti di un approfondimento sono determinati dai suoi sottotipi. Approfondimenti sulle norme (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE.

PERMISSIONS_USAGE insight includono i seguenti componenti, non necessariamente in questo ordine:

  • associatedRecommendations: gli identificatori di eventuali consigli associati con l'insight. Se non ci sono suggerimenti associati all'insight, questo campo è vuoto.
  • category: la categoria per gli insight IAM è sempre SECURITY.

  • content: segnala l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene il parametro i seguenti componenti:

    • condition: tutte le condizioni associate all'associazione che concede il ruolo all'entità. Se ci sono non ci sono condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzate dall'entità durante la di osservazione.
    • inferredPermissions: le autorizzazioni nel ruolo del motore per suggerimenti determinato, mediante ML, che l'entità di cui avranno bisogno in base alle autorizzazioni esercitate.
    • member: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.
    • role: il ruolo per cui è stato analizzato l'utilizzo delle autorizzazioni.
  • description: un riepilogo leggibile dell'approfondimento.

  • etag: un identificatore univoco per lo stato attuale di un approfondimento. Ogni volta che l'insight cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un approfondimento, devi fornire il etag del insight esistente. L'utilizzo dell'etag contribuisce a garantire che tutte le operazioni vengano solo se l'insight non è cambiato dall'ultima volta che l'hai recuperato.

  • insightSubtype: il sottotipo di approfondimento.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'insight. Indica l'aggiornamento dei dati utilizzati per generare l'insight.

  • name: il nome dell'approfondimento, nel seguente formato:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • RESOURCE_TYPE: il tipo di risorsa per cui è stato generato l'insight .
    • RESOURCE_ID: l'ID del progetto, cartella, o all'organizzazione in cui è stato generato l'insight.
    • INSIGHT_ID: un ID univoco per l'insight.
  • observationPeriod: il periodo di tempo che ha portato all'approfondimento. La i dati di origine utilizzati per generare l'insight terminano alle ore lastRefreshTime e inizia alle ore lastRefreshTime meno observationPeriod.

  • stateInfo: gli insight vengono sottoposti a più transizioni di stato dopo viene proposto:

    • ACTIVE: l'insight è stato generato, ma non è stata eseguita alcuna azione. o è stata eseguita un'azione senza aggiornare lo stato dell'insight. Attivo gli insight vengono aggiornati quando i dati sottostanti cambiano.
    • ACCEPTED: sono state intraprese azioni in base alle informazioni. Insight vengono accettati quando un consiglio associato è stato contrassegnato come CLAIMED SUCCEEDED, o FAILED, oppure l'insight è stato accettato direttamente. Quando un approfondimento è nello stato ACCEPTED, i contenuti dell'insight non possono modifica. Gli insight accettati vengono conservati per 90 giorni dopo vengono accettati.
  • targetResources: il nome completo della risorsa del progetto, della cartella o dell'organizzazione a cui sono destinati l'insight. Ad esempio: //cloudresourcemanager.googleapis.com/projects/123456789012.

Contrassegna un insight sul criterio come ACCEPTED

Se intervieni sulla base di un approfondimento attivo, puoi contrassegnarlo come ACCEPTED. Lo stato ACCEPTED indica API Recommender che hai intrapreso in base a questo informazioni, che aiutano a perfezionare i consigli.

Gli insight accettati vengono conservati per 90 giorni dopo sono contrassegnati come ACCEPTED.

Console

Se un insight è associato a un suggerimento, applicazione del consiglio modifica lo stato dell'insight in ACCEPTED.

Per contrassegnare un approfondimento come ACCEPTED senza applicare un consiglio, utilizza la con gcloud CLI o l'API REST.

gcloud

Utilizza la Comando gcloud recommender insights mark-accepted con il tuo ID insight da contrassegnare un approfondimento come ACCEPTED.

  • INSIGHT_ID: l'ID dell'insight che vuoi vista. Per trovare l'ID, elenca gli approfondimenti relativi alla tua progetto, cartella, o organizzazione.
  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli insight . Utilizza il valore project, folder, o organization.
  • RESOURCE_ID: l'ID del progetto, cartella, o all'organizzazione per cui vuoi gestire gli insight.

  • ETAG: un identificatore di una versione dell'insight. A scarica etag, procedi nel seguente modo:

    1. Ottieni l'insight usando il comando gcloud recommender insights describe.
    2. Trova e copia il valore etag dall'output, incluso il relativo citazioni. Ad esempio, "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --etag=ETAG

L'output mostra l'insight, ora con lo stato ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  exercisedPermissions: []
  inferredPermissions: []
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/viewer
description: 0 of the permissions in this role binding were used in the past 90 days.
etag: '"b153ab487e4ae100"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
severity: HIGH
stateInfo:
  state: ACCEPTED
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Per scoprire di più sulle informazioni sullo stato di un approfondimento, consulta la sezione Esaminare approfondimenti sulle norme in questa pagina.

REST

L'API Recommender insights.markAccepted contrassegna un insight come ACCEPTED.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa che vuoi gestire insight per i nostri clienti. Utilizza il valore projects, folders, o organizations.
  • RESOURCE_ID: l'ID del progetto, cartella, o l'organizzazione che vuoi che gestisca gli insight .
  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elenca gli approfondimenti nel tuo progetto, cartella, o organizzazione. L'ID di un approfondimento è tutto dopo insights/ nel campo name per l'approfondimento.
  • ETAG: un identificatore di una versione dell'insight. A scarica etag, procedi nel seguente modo:
    1. Ottieni informazioni utilizzando insights.get.
    2. Trova e copia il valore etag dalla risposta.
  • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Corpo JSON della richiesta: 

{
  "etag": "ETAG"
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene l'insight, ora con lo stato ACCEPTED: 

{
  "name": "projects/1234567890/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "0 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/viewer",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [],
    "inferredPermissions": []
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACCEPTED"
    },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/1234567890/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"b153ab487e4ae100\"",
  "severity": "HIGH"
}

Per scoprire di più sulle informazioni sullo stato di un approfondimento, consulta la sezione Esaminare approfondimenti sulle norme in questa pagina.

Passaggi successivi