Esamina gli insight sui criteri per progetti, cartelle e organizzazioni

Questa pagina mostra come gestire gli insight sui criteri, che sono risultati basati sul machine learning sull'utilizzo delle autorizzazioni. Gli insight sui criteri possono aiutarti a identificare le entità con autorizzazioni di cui non hanno bisogno.

Questa pagina è incentrata sugli insight relativi ai criteri per progetti, cartelle e organizzazioni. Il motore per suggerimenti offre anche insight sui criteri per i bucket Cloud Storage.

A volte, gli approfondimenti sulle norme sono collegati ai consigli relativi ai ruoli. I suggerimenti dei ruoli suggeriscono le azioni che puoi intraprendere per risolvere i problemi identificati dalle informazioni sui criteri.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire gli insight sui criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto, nella cartella o nell'organizzazione per cui vuoi gestire gli insight:

  • Per visualizzare gli insight sui criteri: Visualizzatore motore per suggerimenti IAM (roles/recommender.iamViewer)
  • Per modificare gli insight sui criteri: Amministratore motore per suggerimenti IAM (roles/recommender.iamAdmin)

Per maggiori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire gli insight sui criteri. Per visualizzare le autorizzazioni esatte necessarie, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

  • Per visualizzare gli approfondimenti sulle norme:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Per modificare gli approfondimenti sui criteri: recommender.iamPolicyInsights.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Elenco di insight sui criteri

Per elencare tutti gli insight relativi ai criteri per il progetto, la cartella o l'organizzazione, utilizza uno dei seguenti metodi:

console

  1. Nella console, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona un progetto, una cartella o un'organizzazione.

La colonna Insight sulla sicurezza mostra tutti gli insight relativi alla sicurezza per il tuo progetto, inclusi gli insight sui criteri. Gli insight sui criteri hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni del ruolo di cui l'entità non serve e TOTAL è il numero totale di autorizzazioni del ruolo.

gcloud

Utilizza il comando gcloud recommender insights list per visualizzare tutti gli insight sui criteri relativi al tuo progetto, alla cartella o all'organizzazione.

Prima di eseguire il comando, sostituisci i seguenti valori:

  • RESOURCE_TYPE: tipo di risorsa per cui vuoi elencare gli insight. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi elencare gli insight.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

L'output elenca tutti gli insight sui criteri per il progetto, la cartella o l'organizzazione. Ad esempio:

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE    DESCRIPTION
00133c0b-5431-4b30-9172-7c903aa4af24  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  9 of the permissions in this role binding were used in the past 90 days.
0161f2eb-acb7-4a5e-ad52-50284beaa312  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
01ea0d0d-e9a1-4073-9367-5a934a857fb4  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  1 of the permissions in this role binding were used in the past 90 days.
039407bc-a25b-4aeb-b573-5c851f2e9833  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  52 of the permissions in this role binding were used in the past 90 days.
0541df88-8bc3-44b3-ad5d-9cb372630aeb  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  31 of the permissions in this role binding were used in the past 90 days.
07841f74-02ce-4de8-bbe6-fc4eabb68568  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
07713094-fdee-4475-9c43-cd53d52c9de1  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  2 of the permissions in this role binding were used in the past 90 days.
0a438d19-9d63-4749-aadd-578aa4e77908  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
f4292f55-105b-4744-9dc3-fcacf59685bb  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  4 of the permissions in this role binding were used in the past 90 days.

REST

Il metodo insights.list dell'API motore per suggerimenti elenca tutti gli insight sui criteri relativi al tuo progetto, alla cartella o all'organizzazione.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: tipo di risorsa per cui vuoi elencare gli insight. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi elencare gli insight.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta elenca tutti gli insight sui criteri relativi al progetto, alla cartella o all'organizzazione. Ad esempio:

{
  "insights": [
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
      "description": "0 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/viewer",
        "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [],
        "inferredPermissions": []
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "PERMISSIONS_USAGE",
      "etag": "\"b153ab487e4ae100\"",
      "severity": "HIGH"
    },
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/f4292f55-105b-4744-9dc3-fcacf59685bb",
      "description": "4 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/owner",
        "member": "serviceAccount:my-service-account2@my-project.iam.gserviceaccount.com",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "iam.roles.create"
          },
          {
            "permission": "iam.roles.delete"
          },
          {
            "permission": "iam.roles.list"
          },
          {
            "permission": "iam.roles.update"
          }
        ],
        "inferredPermissions": []
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/6ab16c1d-edce-45e5-8d82-570fdd49892a"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "PERMISSIONS_USAGE",
      "etag": "\"49bb705553338fc3\"",
      "severity": "HIGH"
    }
  ]
}

Per scoprire di più sui componenti di un approfondimento, consulta Rivedi gli approfondimenti sulle norme in questa pagina.

Un unico approfondimento sulle norme

Per ottenere maggiori informazioni su un singolo approfondimento, tra cui la descrizione, lo stato e gli eventuali suggerimenti a cui è associato, utilizza uno dei seguenti metodi:

console

  1. Nella console, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona un progetto, una cartella o un'organizzazione.
  3. Nella colonna Informazioni sulla sicurezza, fai clic su un approfondimento del criterio. Gli insight sui criteri hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni del ruolo di cui l'entità non serve e TOTAL è il numero totale di autorizzazioni del ruolo.

Nella console si apre un riquadro che mostra i dettagli dell'approfondimento.

gcloud

Utilizza il comando gcloud recommender insights describe con il tuo ID approfondimento per visualizzare le informazioni su un singolo approfondimento.

  • INSIGHT_ID: l'ID dell'approfondimento che vuoi visualizzare. Per trovare l'ID, elenca gli insight per il tuo progetto, la cartella o l'organizzazione.
  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli insight. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli insight.
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

L'output mostra l'approfondimento. Ad esempio, il seguente approfondimento indica che my-service-account@my-project.iam.gserviceaccount.com ha utilizzato zero autorizzazioni dal ruolo Visualizzatore (roles/viewer) negli ultimi 90 giorni:

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  exercisedPermissions: []
  inferredPermissions: []
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/viewer
description: 0 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
severity: HIGH
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Per scoprire di più sui componenti di un approfondimento, consulta Rivedi gli approfondimenti sulle norme in questa pagina.

REST

Il metodo insights.get del motore per suggerimenti riceve un singolo approfondimento.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli insight. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli insight.
  • INSIGHT_ID: l'ID dell'approfondimento che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencando gli insight nel tuo progetto, nella cartella o nell'organizzazione. L'ID di un approfondimento è tutto dopo insights/ nel campo name per l'approfondimento.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene l'approfondimento. Ad esempio, il seguente approfondimento indica che my-service-account@my-project.iam.gserviceaccount.com ha utilizzato zero autorizzazioni dal ruolo Visualizzatore (roles/viewer) negli ultimi 90 giorni:

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "0 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/viewer",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [],
    "inferredPermissions": []
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"d3cdec23cc712bd0\"",
  "severity": "HIGH"
}

Per scoprire di più sui componenti di un approfondimento, consulta Rivedi gli approfondimenti sulle norme in questa pagina.

Esaminare gli approfondimenti sulle norme

Dopo aver ricevuto un singolo insight, puoi esaminarne i contenuti per comprendere lo schema di utilizzo delle risorse evidenziato.

console

Quando fai clic su un insight sui criteri nella console, la console apre un riquadro che mostra i dettagli degli insight. L'aspetto di questi dettagli dipende dal fatto che l'approfondimento sia associato a un consiglio.

Se le informazioni sono associate a un consiglio, il riquadro mostra i dettagli del consiglio.

Se l'approfondimento non è associato a un consiglio, il riquadro mostra un elenco di tutte le autorizzazioni nel ruolo. Le autorizzazioni utilizzate dall'entità vengono mostrate all'inizio dell'elenco, seguite dalle autorizzazioni in eccesso.

gcloud

I contenuti di un approfondimento sono determinati dai relativi sottotipi. Gli insight relativi ai criteri (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE.

Gli approfondimenti PERMISSIONS_USAGE hanno i seguenti componenti, non necessariamente in questo ordine:

  • associatedRecommendations: gli identificatori per eventuali consigli associati all'approfondimento. Se non sono disponibili suggerimenti associati all'approfondimento, questo campo è vuoto.
  • category: la categoria degli insight IAM è sempre SECURITY.
  • content: segnala l'utilizzo dell'autorizzazione di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:

    • condition: qualsiasi condizione associata all'associazione che concede l'entità al ruolo. Se non ci sono condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzato dall'entità durante il periodo di osservazione.
    • inferredPermissions: le autorizzazioni del ruolo che il motore per suggerimenti ha determinato, tramite ML, di cui probabilmente l'entità ha bisogno in base alle autorizzazioni che ha utilizzato.
    • member: l'entità il cui utilizzo dell'autorizzazione è stato analizzato.
    • role: il ruolo per cui è stato analizzato l'utilizzo dell'autorizzazione.
  • description: un riepilogo leggibile degli insight.
  • etag: un identificatore univoco per lo stato corrente di un approfondimento. Ogni volta che l'approfondimento cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un approfondimento, devi fornire il etag dell'approfondimento esistente. L'uso dell'etag garantisce che le operazioni vengano eseguite solo se l'approfondimento non è cambiato dall'ultimo recupero.

  • insightSubtype: il sottotipo di approfondimento.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'approfondimento, che indica l'aggiornamento dei dati utilizzati per generare l'approfondimento.
  • name: il nome dell'approfondimento, nel seguente formato:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • RESOURCE_TYPE: il tipo di risorsa per cui è stato generato l'approfondimento.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione in cui è stato generato l'approfondimento.
    • INSIGHT_ID: un ID univoco per l'approfondimento.
  • observationPeriod: periodo di tempo che precede l'approfondimento. L'origine dati utilizzata per generare l'approfondimento termina alle ore lastRefreshTime e inizia da lastRefreshTime meno observationPeriod.
  • stateInfo: gli insight vengono sottoposti a più transizioni di stato dopo che vengono proposti:

    • ACTIVE: l'approfondimento è stato generato, ma non sono state eseguite azioni oppure è stata eseguita un'azione senza aggiornare lo stato dell'approfondimento. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano.
    • ACCEPTED: sono state intraprese alcune azioni in base alle informazioni ottenute. Gli approfondimenti vengono accettati quando un consiglio associato è stato contrassegnato come CLAIMED, SUCCEEDED o FAILED oppure quando l'approfondimento è stato accettato direttamente. Quando un approfondimento è nello stato ACCEPTED, il contenuto dell'approfondimento non può cambiare. Gli approfondimenti accettati vengono conservati per 90 giorni dopo essere stati accettati.
  • targetResources: il nome completo della risorsa del progetto, della cartella o dell'organizzazione a cui è destinato l'approfondimento. Ad esempio: //cloudresourcemanager.googleapis.com/projects/123456789012.

REST

I contenuti di un approfondimento sono determinati dai relativi sottotipi. Gli insight relativi ai criteri (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE.

Gli approfondimenti PERMISSIONS_USAGE hanno i seguenti componenti, non necessariamente in questo ordine:

  • associatedRecommendations: gli identificatori per eventuali consigli associati all'approfondimento. Se non sono disponibili suggerimenti associati all'approfondimento, questo campo è vuoto.
  • category: la categoria degli insight IAM è sempre SECURITY.
  • content: segnala l'utilizzo dell'autorizzazione di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:

    • condition: qualsiasi condizione associata all'associazione che concede l'entità al ruolo. Se non ci sono condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzato dall'entità durante il periodo di osservazione.
    • inferredPermissions: le autorizzazioni del ruolo che il motore per suggerimenti ha determinato, tramite ML, di cui probabilmente l'entità ha bisogno in base alle autorizzazioni che ha utilizzato.
    • member: l'entità il cui utilizzo dell'autorizzazione è stato analizzato.
    • role: il ruolo per cui è stato analizzato l'utilizzo dell'autorizzazione.
  • description: un riepilogo leggibile degli insight.
  • etag: un identificatore univoco per lo stato corrente di un approfondimento. Ogni volta che l'approfondimento cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un approfondimento, devi fornire il etag dell'approfondimento esistente. L'uso dell'etag garantisce che le operazioni vengano eseguite solo se l'approfondimento non è cambiato dall'ultimo recupero.

  • insightSubtype: il sottotipo di approfondimento.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'approfondimento, che indica l'aggiornamento dei dati utilizzati per generare l'approfondimento.
  • name: il nome dell'approfondimento, nel seguente formato:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • RESOURCE_TYPE: il tipo di risorsa per cui è stato generato l'approfondimento.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione in cui è stato generato l'approfondimento.
    • INSIGHT_ID: un ID univoco per l'approfondimento.
  • observationPeriod: periodo di tempo che precede l'approfondimento. L'origine dati utilizzata per generare l'approfondimento termina alle ore lastRefreshTime e inizia da lastRefreshTime meno observationPeriod.
  • stateInfo: gli insight vengono sottoposti a più transizioni di stato dopo che vengono proposti:

    • ACTIVE: l'approfondimento è stato generato, ma non sono state eseguite azioni oppure è stata eseguita un'azione senza aggiornare lo stato dell'approfondimento. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano.
    • ACCEPTED: sono state intraprese alcune azioni in base alle informazioni ottenute. Gli approfondimenti vengono accettati quando un consiglio associato è stato contrassegnato come CLAIMED, SUCCEEDED o FAILED oppure quando l'approfondimento è stato accettato direttamente. Quando un approfondimento è nello stato ACCEPTED, il contenuto dell'approfondimento non può cambiare. Gli approfondimenti accettati vengono conservati per 90 giorni dopo essere stati accettati.
  • targetResources: il nome completo della risorsa del progetto, della cartella o dell'organizzazione a cui è destinato l'approfondimento. Ad esempio: //cloudresourcemanager.googleapis.com/projects/123456789012.

Contrassegna l'approfondimento sulle norme come ACCEPTED

Se intervieni in base a un insight attivo, puoi contrassegnare questo insight come ACCEPTED. Lo stato ACCEPTED indica all'API motore per suggerimenti che hai intrapreso un'azione in base a queste informazioni, il che aiuta a perfezionare i consigli per te.

Gli approfondimenti accettati vengono conservati per 90 giorni dopo che sono stati contrassegnati come ACCEPTED.

console

Se un approfondimento è associato a un consiglio, l'applicazione del consiglio modifica lo stato dell'approfondimento in ACCEPTED.

Per contrassegnare un approfondimento come ACCEPTED senza applicare un consiglio, utilizza l'interfaccia a riga di comando gcloud o l'API REST.

gcloud

Utilizza il comando gcloud recommender insights mark-accepted con il tuo ID approfondimento per contrassegnare un approfondimento come ACCEPTED.

  • INSIGHT_ID: l'ID dell'approfondimento che vuoi visualizzare. Per trovare l'ID, elenca gli insight per il tuo progetto, la cartella o l'organizzazione.
  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli insight. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli insight.
  • ETAG: un identificatore per una versione degli insight. Per ottenere etag, procedi nel seguente modo:

    1. Acquisisci informazioni utilizzando il comando gcloud recommender insights describe.
    2. Trova e copia il valore etag dall'output, comprese le virgolette. Ad esempio, "d3cdec23cc712bd0".
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --etag=ETAG

L'output mostra l'approfondimento, ora con lo stato ACCEPTED:

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  exercisedPermissions: []
  inferredPermissions: []
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/viewer
description: 0 of the permissions in this role binding were used in the past 90 days.
etag: '"b153ab487e4ae100"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
severity: HIGH
stateInfo:
  state: ACCEPTED
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Per scoprire di più sulle informazioni sullo stato relative a un approfondimento, consulta Rivedi gli approfondimenti sulle norme in questa pagina.

REST

L'API insights.markAccepted del motore per suggerimenti contrassegna un insight come ACCEPTED.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli insight. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli insight.
  • INSIGHT_ID: l'ID dell'approfondimento che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencando gli insight nel tuo progetto, nella cartella o nell'organizzazione. L'ID di un approfondimento è tutto dopo insights/ nel campo name per l'approfondimento.
  • ETAG: un identificatore per una versione degli insight. Per ottenere etag, procedi nel seguente modo:
    1. Ottieni insight utilizzando il metodo insights.get.
    2. Trova e copia il valore etag dalla risposta.

Metodo HTTP e URL:

POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Corpo JSON richiesta:

{
  "etag": "ETAG"
}

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene l'approfondimento, ora con lo stato ACCEPTED:

{
  "name": "projects/1234567890/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "0 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/viewer",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [],
    "inferredPermissions": []
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACCEPTED"
    },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/1234567890/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"b153ab487e4ae100\"",
  "severity": "HIGH"
}

Per scoprire di più sulle informazioni sullo stato relative a un approfondimento, consulta Rivedi gli approfondimenti sulle norme in questa pagina.

Passaggi successivi