Empfehlungen zu Organisationsrichtlinien prüfen und anwenden

Auf dieser Seite wird erläutert, wie Sie Empfehlungen für Organisationsrichtlinien aufrufen, verstehen und anwenden. Mithilfe von Empfehlungen für Organisationsrichtlinien können Sie die richtigen Organisationsrichtlinien festlegen, ohne Systeme zu beeinträchtigen.

Hinweise

  • Enable the Organization Policy and Recommender APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  • Richten Sie die Authentifizierung ein.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, verwenden Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.

      Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

      gcloud init

      Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.

  • Empfehlungen für Organisationsrichtlinien

Erforderliche IAM-Rollen

In diesem Abschnitt werden die IAM-Rollen und -Berechtigungen beschrieben, die Sie benötigen, um mit Empfehlungen für Organisationsrichtlinien zu arbeiten.

Um die Berechtigungen zu erhalten, die Sie zum Verwalten von Empfehlungen für Organisationsrichtlinien benötigen, bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Ressource zuzuweisen, für die Sie Empfehlungen verwalten möchten (Projekt, Ordner oder Organisation):

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Empfehlungen für Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Empfehlungen für Organisationsrichtlinien erforderlich:

  • So rufen Sie Empfehlungen für Organisationsrichtlinien auf:
    • recommender.orgPolicyRecommendations.get
    • recommender.orgPolicyRecommendations.list
  • So wenden Sie Empfehlungen für Organisationsrichtlinien an und lehnen sie ab:
    • recommender.orgPolicyRecommendations.get
    • recommender.orgPolicyRecommendations.list
    • recommender.orgPolicyRecommendations.update
  • So verwalten Sie Organisationsrichtlinien:
    • orgpolicy.policy.get
    • orgpolicy.policy.set
    • orgpolicy.constraints.list
    • orgpolicy.policies.create
    • orgpolicy.policies.delete
    • orgpolicy.policies.list
    • orgpolicy.policies.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beschränkungen

Für die Vorschau des Recommenders für Organisationsrichtlinien gelten die folgenden Einschränkungen:

  • Statistiken sind nur für Projekte, Ordner und Organisationen mit Empfehlungen verfügbar.

  • Empfehlungen werden nur für Einschränkungen gegeben, die für eine bestimmte Ressource oder eine ihrer untergeordneten Ressourcen nicht konfiguriert sind.

Unterstützte Einschränkungen

Empfehlungen sind nur für die folgenden Einschränkungen von Organisationsrichtlinien verfügbar:

Empfehlungen prüfen und anwenden

Sie können Empfehlungen für Organisationsrichtlinien mit der Google Cloud CLI und der Recommender API überprüfen und anwenden.

gcloud

Empfehlungen prüfen

Führen Sie den gcloud recommender recommendations list-Befehl aus, um Ihre Empfehlungen aufzulisten:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.orgpolicy.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --filter="recommenderSubtype:RECOMMENDER_SUBTYPE" \
    --format=FORMAT

Ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen auflisten möchten. Verwenden Sie den Wert project, folder oder organization.

  • RESOURCE_ID: Die ID des Google Cloud Projekts, des Ordners oder der Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

  • RECOMMENDER_SUBTYPE: Optional. Die ID des Untertyps, für den Sie Empfehlungen sehen möchten. Gültige Untertypen sind:

    • ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION gibt Empfehlungen für die Einschränkung iam.managed.disableServiceAccountKeyCreation.
    • ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD gibt Empfehlungen für die Einschränkung iam.managed.disableServiceAccountKeyUpload

  • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel werden zwei Ressourcen auf externe Dienstkontoschlüssel analysiert und es werden keine Verstöße erkannt. Daher wird in der Empfehlung vorgeschlagen, die iam.managed.disableServiceAccountKeyCreation festzulegen, um zukünftige Verstöße zu vermeiden.

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/fb927dc1-9695-4436-0000-f0f285007c0f"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "add",
              "path": "/",
              "resource": "//orgpolicy.googleapis.com/projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
              "resourceType": "orgpolicy.googleapis.com/Policy",
              "value": {
                "etag": "",
                "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
                "spec": {
                  "etag": "",
                  "inheritFromParent": false,
                  "reset": false,
                  "rules": [
                    {
                      "enforce": true
                    }
                  ]
                }
              }
            }
          ]
        }
      ],
      "overview": {
        "constraint": {
          "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
          "name": "Disable service account key creation"
        },
        "enforcedResources": [
          {
            "numOfResources": "2",
            "resourceType": "iam.googleapis.com/ServiceAccountKey"
          },
          {
            "numOfResources": "1",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    },
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "ACTIVE",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Komponenten einer Empfehlung

So wenden Sie eine Empfehlung an:

  1. Verwenden Sie den Befehl gcloud recommender recommendations mark-claimed, um den Status der Empfehlung in CLAIMED zu ändern. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.orgpolicy.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Ersetzen Sie die folgenden Werte:

    • RECOMMENDATION_ID: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Im vorherigen Beispiel lautet die Kennung fb927dc1-9695-4436-0000-f0f285007c0f.

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert project, folder oder organization.

    • RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

    • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

    • ETAG: Eine Kennung für eine Version der Empfehlung, z. B. "7caf4103d7669e12". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.

    • STATE_METADATA: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    Wenn der Befehl erfolgreich ausgeführt wurde, wird die Empfehlung in der Antwort im CLAIMED-Status aufgeführt, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden im Beispiel die meisten Felder weggelassen:

    
  {
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {\
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }

  2. Aktualisieren und anwenden Sie die Organisationsrichtlinie für das Projekt, den Ordner oder die Organisation, die durch RESOURCE_TYPE und RESOURCE_ID angegeben wird, damit sie der Empfehlung entspricht.

  3. Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Ersetzen Sie die folgenden Werte:

    • COMMAND: Verwenden Sie mark-succeeded, wenn Sie die Empfehlung erfolgreich angewendet haben, oder mark-failed, wenn Sie die Empfehlung nicht anwenden konnten.

    • RECOMMENDATION_ID: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Im vorherigen Beispiel lautet die Kennung fb927dc1-9695-4436-0000-f0f285007c0f.

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert project, folder oder organization.

    • RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

    • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

    • ETAG: Eine Kennung für eine Version der Empfehlung, z. B. "7caf4103d7669e12". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.

    • STATE_METADATA: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    Wenn Sie beispielsweise die Empfehlung als erfolgreich angewendet markiert haben, wird die Empfehlung in der Antwort im SUCCEEDED-Status angezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:

    
  {
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }

    Wenn Sie die Änderungen an der Organisationsrichtlinie rückgängig machen möchten, legen Sie die Organisationsrichtlinie auf die ursprüngliche Konfiguration fest, die im Feld configuredPolicy des zugehörigen Insights angegeben ist.

REST

Empfehlungen prüfen

Verwenden Sie die Methode recommendations.list der Recommender API, um alle verfügbaren Empfehlungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAGE_SIZE: Optional. Die maximale Anzahl von Ergebnissen, die von dieser Anfrage zurückgegeben werden sollen. Wenn nicht angegeben, bestimmt der Server die Anzahl der zurückzugebenden Ergebnisse. Wenn die Anzahl der Empfehlungen die Seitengröße überschreitet, enthält die Antwort ein Seitenumbruchtoken, mit dem Sie die nächste Ergebnisseite abrufen können.
  • PAGE_TOKEN: Optional. Das Seitenumbruchtoken, das in einer früheren Antwort von dieser Methode zurückgegeben wurde. Wenn dieser Wert angegeben wird, beginnt die Liste der Empfehlungen dort, wo die vorherige Anfrage endet.
  • FILTER: Optional. Ein Filterausdruck, mit dem sich die zurückgegebenen Empfehlungen einschränken lassen. Sie können Empfehlungen anhand des Feldes stateInfo.state filtern. Beispiel: stateInfo.state:"DISMISSED" oder stateInfo.state:"FAILED".
  • PROJECT_ID: Ihre Google Cloud -Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel werden zwei Ressourcen auf externe Dienstkontoschlüssel analysiert und es werden keine Verstöße erkannt. Daher wird in der Empfehlung vorgeschlagen, die iam.managed.disableServiceAccountKeyCreation festzulegen, um zukünftige Verstöße zu vermeiden. 

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "add",
              "path": "/",
              "resource": "//orgpolicy.googleapis.com/projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
              "resourceType": "orgpolicy.googleapis.com/Policy",
              "value": {
                "etag": "",
                "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
                "spec": {
                  "etag": "",
                  "inheritFromParent": false,
                  "reset": false,
                  "rules": [
                    {
                      "enforce": true
                    }
                  ]
                }
              }
            }
          ]
        }
      ],
      "overview": {
        "constraint": {
          "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
          "name": "Disable service account key creation"
        },
        "enforcedResources": [
          {
            "numOfResources": "2",
            "resourceType": "iam.googleapis.com/ServiceAccountKey"
          },
          {
            "numOfResources": "1",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    },
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "ACTIVE",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Komponenten einer Empfehlung

So wenden Sie eine Empfehlung an:

  1. Markieren Sie die Empfehlung als CLAIMED:

    Wenn Sie eine Empfehlung als CLAIMED markieren möchten, um zu verhindern, dass sich die Empfehlung ändert, während Sie sie anwenden, verwenden Sie die Methode recommendations.markClaimed der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Ihre Google Cloud -Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im CLAIMED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

  2. Aktualisieren Sie die Organisationsrichtlinie für das Projekt, den Ordner oder die Organisation, die durch RESOURCE_TYPE und RESOURCE_ID angegeben werden, sodass sie der Empfehlung entspricht.

  3. Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:

    SUCCEEDED

    Wenn Sie eine Empfehlung als SUCCEEDED markieren möchten, um anzugeben, dass Sie sie anwenden konnten, verwenden Sie die Methode recommendations.markSucceeded der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Ihre Google Cloud -Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im SUCCEEDED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

    FAILED

    Wenn Sie eine Empfehlung als FAILED markieren möchten, um anzugeben, dass Sie sie nicht anwenden konnten, verwenden Sie die Methode recommendations.markFailed der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Ihre Google Cloud -Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im FAILED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

Empfehlungen verstehen

Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde, sowie Vorschläge für Änderungen an der Konfiguration Ihrer Organisationsrichtlinie. Zu den wichtigsten Attributen gehören:

  • description: Eine menschenlesbare Zusammenfassung der Empfehlung.

  • recommenderSubtype: Die Kennung für einen Untertyp von Empfehlungen. Jede Einschränkung hat eine eindeutige recommenderSubtype.

  • content: Enthält die empfohlenen Änderungen an Ihrer Organisationsrichtlinie.

    • overview: die zusammengefassten Übersichtsinformationen zur Empfehlung.

    • constraint: enthält Informationen zur Einschränkung.

    • enforced_resources: Enthält Informationen zu den Ressourcen, die von dieser Organisationsrichtlinie betroffen sind, wenn Sie die Empfehlung anwenden.

    • operationGroups: Eine Gruppe von einem oder mehreren Vorgängen für die Organisationsrichtlinie, wenn Sie eine Empfehlung anwenden.

  • associatedInsights: Der Ressourcenname der Statistiken, die zu dieser Empfehlung geführt haben.

Weitere Informationen zu den Attributen einer Empfehlung finden Sie in der Empfehlungsreferenz.

Insights und Empfehlungen werden für Ressourcen generiert, für die keine der unterstützten Organisationsrichtlinien oder eine ihrer untergeordneten Ressourcen festgelegt ist. Sehen Sie sich die Organisationsrichtlinienstatistiken für die Empfehlung an, um zu erfahren, auf welcher Konfiguration der Organisationsrichtlinie diese Empfehlung basiert. Diese Statistiken werden im Feld associatedInsights aufgelistet. So rufen Sie eine mit der Empfehlung verknüpfte Organisationsrichtlinie auf:

  1. Ermitteln Sie, welche Statistiken im Feld associatedInsights Statistiken zu Organisationsrichtlinien sind. Statistiken zu Organisationsrichtlinien haben den Statistiktyp google.orgpolicy.policy.Insight. Dieser Typ wird nach insightTypes im Feld insight angezeigt.

  2. Kopieren Sie die ID der Organisationsrichtlinienstatistik. Die ID ist alles nach insights/ im Feld insight. Wenn das Feld „Statistik“ beispielsweise projects/123456789012/locations/us/insightTypes/google.orgpolicy.policy.Insight/insights/fb927dc1-9695-4436-0000-f0f285007c0f enthält, lautet die Statistik-ID fb927dc1-9695-4436-0000-f0f285007c0f.

  3. Folgen Sie der Anleitung, um Statistiken zu Organisationsrichtlinien mit der kopierten Statistik-ID abzurufen.

Empfehlungen in BigQuery exportieren.

Wenn Sie sich tägliche Snapshots aller Empfehlungen für Ihre Organisation ansehen möchten, einschließlich Empfehlungen für Organisationsrichtlinien, können Sie Ihre Empfehlungen nach BigQuery exportieren.

Wenn Sie Ihre Empfehlungen nach BigQuery exportieren möchten, müssen Sie einen Datentransfer mit BigQuery Data Transfer Service einrichten. Informationen zum Einrichten einer Datenübertragung finden Sie unter Empfehlungen nach BigQuery exportieren.

Nächste Schritte