Empfehlungen zu Organisationsrichtlinien prüfen und anwenden

Auf dieser Seite wird erläutert, wie Sie Empfehlungen zu Richtlinien für Organisationen aufrufen, verstehen und anwenden. Empfehlungen für Organisationsrichtlinien helfen Ihnen, die richtigen Organisationsrichtlinien festzulegen, ohne die Systeme zu beeinträchtigen.

Hinweise

  • Enable the Organization Policy and Recommender APIs.

    Enable the APIs

  • Richten Sie die Authentifizierung ein.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

      Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init

    Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

  • Empfehlungen zu Organisationsrichtlinien

Erforderliche IAM-Rollen

In diesem Abschnitt werden die IAM-Rollen und -Berechtigungen beschrieben, die Sie benötigen, um mit Empfehlungen zu Organisationsrichtlinien zu arbeiten.

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Ressource zuzuweisen, für die Sie Empfehlungen verwalten möchten (Projekt, Ordner oder Organisation), um die Berechtigungen abzurufen, die Sie zum Verwalten von Empfehlungen zu Richtlinien für Organisationen benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Empfehlungen zu Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Empfehlungen zu Organisationsrichtlinien erforderlich:

  • So rufen Sie Empfehlungen zu Richtlinien für Organisationen auf:
    • recommender.orgPolicyRecommendations.get
    • recommender.orgPolicyRecommendations.list
  • So wenden Sie Empfehlungen für Organisationsrichtlinien an und lehnen sie ab:
    • recommender.orgPolicyRecommendations.get
    • recommender.orgPolicyRecommendations.list
    • recommender.orgPolicyRecommendations.update
  • So verwalten Sie Organisationsrichtlinien:
    • orgpolicy.policy.get
    • orgpolicy.policy.set
    • orgpolicy.constraints.list
    • orgpolicy.policies.create
    • orgpolicy.policies.delete
    • orgpolicy.policies.list
    • orgpolicy.policies.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beschränkungen

Die Vorabversion des Empfehlungstools für Organisationsrichtlinien unterliegt den folgenden Einschränkungen:

  • Statistiken sind nur für Projekte, Ordner und Organisationen verfügbar, für die Empfehlungen vorliegen.

  • Empfehlungen werden nur für Einschränkungen gegeben, die für eine bestimmte Ressource oder eine ihrer untergeordneten Ressourcen nicht konfiguriert sind.

Unterstützte Einschränkungen

Empfehlungen sind nur für die folgenden Einschränkungen von Organisationsrichtlinien verfügbar:

Empfehlungen prüfen und anwenden

Sie können Empfehlungen zu Richtlinien für Organisationen mit der Google Cloud CLI und der Recommender API überprüfen und anwenden.

gcloud

Empfehlungen prüfen

Führen Sie den gcloud recommender recommendations list-Befehl aus, um Ihre Empfehlungen aufzulisten:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.orgpolicy.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --filter="recommenderSubtype:RECOMMENDER_SUBTYPE" \
    --format=FORMAT

Ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen auflisten möchten. Verwenden Sie den Wert project, folder oder organization.

  • RESOURCE_ID: Die ID des Google Cloud -Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

  • RECOMMENDER_SUBTYPE: Optional. Die ID des Untertyps, für den Sie Empfehlungen erhalten möchten. Gültige Untertypen:

    • ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION enthält Empfehlungen für die Einschränkung iam.managed.disableServiceAccountKeyCreation.
    • ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD bietet Empfehlungen für die iam.managed.disableServiceAccountKeyUpload-Einschränkung

  • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel werden zwei Ressourcen auf externe Dienstkontoschlüssel analysiert und es werden keine Verstöße erkannt. Daher wird empfohlen, iam.managed.disableServiceAccountKeyCreation so einzustellen, dass zukünftige Verstöße vermieden werden.

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/fb927dc1-9695-4436-0000-f0f285007c0f"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "add",
              "path": "/",
              "resource": "//orgpolicy.googleapis.com/projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
              "resourceType": "orgpolicy.googleapis.com/Policy",
              "value": {
                "etag": "",
                "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
                "spec": {
                  "etag": "",
                  "inheritFromParent": false,
                  "reset": false,
                  "rules": [
                    {
                      "enforce": true
                    }
                  ]
                }
              }
            }
          ]
        }
      ],
      "overview": {
        "constraint": {
          "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
          "name": "Disable service account key creation"
        },
        "enforcedResources": [
          {
            "numOfResources": "2",
            "resourceType": "iam.googleapis.com/ServiceAccountKey"
          },
          {
            "numOfResources": "1",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    },
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "ACTIVE",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Komponenten einer Empfehlung finden Sie unter Empfehlungen.

So wenden Sie eine Empfehlung an:

  1. Verwenden Sie den Befehl gcloud recommender recommendations mark-claimed, um den Status der Empfehlung in CLAIMED zu ändern. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.orgpolicy.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Ersetzen Sie die folgenden Werte:

    • RECOMMENDATION_ID: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Im vorherigen Beispiel lautet die Kennung fb927dc1-9695-4436-0000-f0f285007c0f.

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert project, folder oder organization.

    • RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

    • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

    • ETAG: Eine Kennung für eine Version der Empfehlung, z. B. "7caf4103d7669e12". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.

    • STATE_METADATA: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    Wenn der Befehl erfolgreich ausgeführt wurde, wird die Empfehlung in der Antwort im CLAIMED-Status aufgeführt, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden im Beispiel die meisten Felder weggelassen:

    
  {
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {\
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }

  2. Aktualisieren und anwenden Sie die Organisationsrichtlinie für das Projekt, den Ordner oder die Organisation, die mit RESOURCE_TYPE und RESOURCE_ID angegeben wurde, sodass sie der Empfehlung entspricht.

  3. Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Ersetzen Sie die folgenden Werte:

    • COMMAND: Verwenden Sie mark-succeeded, wenn Sie die Empfehlung anwenden konnten, oder mark-failed, wenn Sie die Empfehlung nicht anwenden konnten.

    • RECOMMENDATION_ID: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Im vorherigen Beispiel lautet die Kennung fb927dc1-9695-4436-0000-f0f285007c0f.

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert project, folder oder organization.

    • RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

    • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

    • ETAG: Eine Kennung für eine Version der Empfehlung, z. B. "7caf4103d7669e12". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.

    • STATE_METADATA: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    Wenn Sie beispielsweise die Empfehlung als erfolgreich angewendet markiert haben, wird die Empfehlung in der Antwort im SUCCEEDED-Status angezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:

    
  {
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }

    Wenn Sie die Änderungen an der Organisationsrichtlinie rückgängig machen möchten, setzen Sie die Organisationsrichtlinie auf die ursprüngliche Konfiguration zurück. Diese finden Sie im Feld configuredPolicy der zugehörigen Statistik.

REST

Empfehlungen prüfen

Verwenden Sie die Methode recommendations.list der Recommender API, um alle verfügbaren Empfehlungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID desGoogle Cloud -Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAGE_SIZE: Optional. Die maximale Anzahl von Ergebnissen, die von dieser Anfrage zurückgegeben werden sollen. Wenn nicht angegeben, bestimmt der Server die Anzahl der zurückzugebenden Ergebnisse. Wenn die Anzahl der Empfehlungen die Seitengröße überschreitet, enthält die Antwort ein Seitenumbruchtoken, mit dem Sie die nächste Ergebnisseite abrufen können.
  • PAGE_TOKEN: Optional. Das Seitenumbruchtoken, das in einer früheren Antwort von dieser Methode zurückgegeben wurde. Wenn dieser Wert angegeben wird, beginnt die Liste der Empfehlungen dort, wo die vorherige Anfrage endet.
  • FILTER: Optional. Ein Filterausdruck, mit dem sich die zurückgegebenen Empfehlungen einschränken lassen. Sie können Empfehlungen anhand des Feldes stateInfo.state filtern. Beispiel: stateInfo.state:"DISMISSED" oder stateInfo.state:"FAILED".
  • PROJECT_ID: Die Projekt-ID Ihrer Google Cloud . Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel werden zwei Ressourcen auf externe Dienstkontoschlüssel analysiert und es werden keine Verstöße erkannt. Daher wird empfohlen, iam.managed.disableServiceAccountKeyCreation so einzustellen, dass zukünftige Verstöße vermieden werden. 

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "add",
              "path": "/",
              "resource": "//orgpolicy.googleapis.com/projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
              "resourceType": "orgpolicy.googleapis.com/Policy",
              "value": {
                "etag": "",
                "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
                "spec": {
                  "etag": "",
                  "inheritFromParent": false,
                  "reset": false,
                  "rules": [
                    {
                      "enforce": true
                    }
                  ]
                }
              }
            }
          ]
        }
      ],
      "overview": {
        "constraint": {
          "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
          "name": "Disable service account key creation"
        },
        "enforcedResources": [
          {
            "numOfResources": "2",
            "resourceType": "iam.googleapis.com/ServiceAccountKey"
          },
          {
            "numOfResources": "1",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    },
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "ACTIVE",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Komponenten einer Empfehlung finden Sie unter Empfehlungen.

So wenden Sie eine Empfehlung an:

  1. Markieren Sie die Empfehlung als CLAIMED:

    Wenn Sie eine Empfehlung als CLAIMED markieren möchten, damit sie sich nicht ändert, während Sie sie anwenden, verwenden Sie die Methode recommendations.markClaimed der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud -Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Die Projekt-ID Ihrer Google Cloud . Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im CLAIMED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

  2. Aktualisieren Sie die Organisationsrichtlinie für das Projekt, den Ordner oder die Organisation, die mit RESOURCE_TYPE und RESOURCE_ID angegeben wurde, sodass sie der Empfehlung entspricht.

  3. Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:

    SUCCEEDED

    Wenn Sie eine Empfehlung als SUCCEEDED markieren möchten, was darauf hinweist, dass Sie sie anwenden konnten, verwenden Sie die Methode recommendations.markSucceeded der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud -Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Die Projekt-ID Ihrer Google Cloud . Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im SUCCEEDED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

    FAILED

    Wenn Sie eine Empfehlung als FAILED markieren möchten, was darauf hinweist, dass Sie sie nicht anwenden konnten, verwenden Sie die Methode recommendations.markFailed der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud -Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Die Projekt-ID Ihrer Google Cloud . Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im FAILED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

Empfehlungen

Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde, sowie Vorschläge für Änderungen an der Konfiguration Ihrer Organisationsrichtlinien. Zu den wichtigsten Attributen gehören:

  • description: Eine menschenlesbare Zusammenfassung der Empfehlung.

  • recommenderSubtype: Die Kennung für einen Untertyp von Empfehlungen. Jede Einschränkung hat eine eindeutige recommenderSubtype.

  • content: Enthält die empfohlenen Änderungen an Ihrer Organisationsrichtlinie.

    • overview: die komprimierte Übersichtsinformation zur Empfehlung.

    • constraint: enthält Informationen zur Einschränkung.

    • enforced_resources: Hier finden Sie Informationen zu den Ressourcen, auf die sich diese Organisationsrichtlinie auswirkt, wenn Sie die Empfehlung anwenden.

    • operationGroups: Eine Reihe von Vorgängen an der Organisationsrichtlinie, wenn Sie eine Empfehlung anwenden.

  • associatedInsights: Der Ressourcenname der Statistiken, die zu dieser Empfehlung geführt haben.

Weitere Informationen zu den Attributen einer Empfehlung finden Sie in der Referenz zu Empfehlungen.

Statistiken und Empfehlungen werden für Ressourcen generiert, für die oder für deren untergeordnete Ressourcen keine der unterstützten Organisationsrichtlinien festgelegt ist. Sehen Sie sich die Statistiken zu Organisationsrichtlinien für die Empfehlung an, um zu erfahren, auf welcher Konfiguration der Organisationsrichtlinie diese Empfehlung basiert. Diese Statistiken werden im Feld associatedInsights aufgelistet. So rufen Sie eine Statistik zu Organisationsrichtlinien auf, die mit der Empfehlung verknüpft ist:

  1. Ermitteln Sie, welche Statistiken im Feld associatedInsights Statistiken zu Richtlinienverstößen sind. Statistiken zu Organisationsrichtlinien haben den Statistiktyp google.orgpolicy.policy.Insight. Dieser Typ wird nach insightTypes im Feld insight angezeigt.

  2. Kopieren Sie die ID der Richtlinienstatistik für die Organisation. Die ID ist alles nach insights/ im Feld insight. Wenn das Statistikfeld beispielsweise projects/123456789012/locations/us/insightTypes/google.orgpolicy.policy.Insight/insights/fb927dc1-9695-4436-0000-f0f285007c0f lautet, ist fb927dc1-9695-4436-0000-f0f285007c0f die Statistik-ID.

  3. Folgen Sie der Anleitung, um eine Statistik zu Richtlinien für Organisationen mit der kopierten Statistik-ID abzurufen.

Empfehlungen in BigQuery exportieren.

Wenn Sie sich tägliche Snapshots aller Empfehlungen für Ihre Organisation ansehen möchten, einschließlich Empfehlungen zu Organisationsrichtlinien, können Sie Ihre Empfehlungen nach BigQuery exportieren.

Wenn Sie Ihre Empfehlungen nach BigQuery exportieren möchten, müssen Sie eine Datenübertragung mit BigQuery Data Transfer Service einrichten. Informationen zum Einrichten einer Datenübertragung finden Sie unter Empfehlungen nach BigQuery exportieren.

Nächste Schritte