Cette page a été traduite par l'API Cloud Translation.

Examiner et appliquer les recommandations de rôle pour les buckets Cloud Storage

Cette page explique comment afficher, comprendre et appliquer des rôles IAM pour les buckets Cloud Storage. Aide concernant les recommandations de rôle vous appliquez le principe du moindre privilège en vous assurant que les comptes principaux uniquement les autorisations dont il a réellement besoin.

Avant de commencer

Enable the IAM and Recommender APIs.
Enable the APIs
Assurez-vous que le niveau Premium est activé au niveau de l'organisation Security Command Center. Pour en savoir plus, consultez la section Facturation questions.
Comprenez les recommandations de rôle.

Rôles IAM requis

Pour obtenir les autorisations nécessaires pour gérer les recommandations de rôles au niveau du bucket, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :

Lecteur de rôles (roles/iam.roleViewer)
Administrateur de l'espace de stockage (roles/storage.admin)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour gérer les recommandations de rôles au niveau du bucket. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour gérer les recommandations de rôles au niveau du bucket :

Pour afficher les recommandations:
- iam.roles.get
- iam.roles.list
- recommender.iamPolicyRecommendations.get
- recommender.iamPolicyRecommendations.list
- recommender.iamPolicyInsights.get
- recommender.iamPolicyInsights.list
- storage.buckets.getIamPolicy
Pour appliquer et ignorer des recommandations:
- recommender.iamPolicyRecommendations.update
- storage.buckets.setIamPolicy

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Lire et appliquer les recommandations

Vous pouvez examiner et appliquer les recommandations de rôle au niveau du bucket à l'aide du Google Cloud CLI et l'API Recommender

Console

Dans la console Google Cloud, accédez à la page Buckets Cloud Storage.

Accéder à la page "Buckets"
Recherchez la colonne Insights sur la sécurité. Si la colonne n'est pas visible, cliquez sur Options d'affichage des colonnes , puis sélectionnez Insights de sécurité.

La colonne Insights sur la sécurité affiche un résumé de tous les insights sur les stratégies pour un bucket. Chaque résumé indique le nombre total d'autorisations en excès pour tous les rôles attribués sur ce bucket.

Si une recommandation est disponible pour résoudre l'un des insights du bucket, la console Google Cloud affiche l'icône Recommandation disponible .

Remarque : L'outil de recommandation n'analyse pas les autorisations pour tous les rôles. Pour connaître les rôles que l'outil de recommandation analyse, consultez la section Disponibilité des recommandations de stratégie IAM.
S'il y a des recommandations à examiner, cliquez sur un récapitulatif des insights sur les règles pour ouvrez le volet Recommandations de sécurité. Ce volet liste tous les comptes principaux disposant d'un rôle sur le bucket, leurs rôles et les insights sur les règles associés à ces rôles.
Cliquez sur l'icône Recommandation disponible pour en savoir plus sur la recommandation.

Si la recommandation consiste à remplacer le rôle, la recommandation de rôle vous présente toujours un ensemble de rôles prédéfinis que vous pouvez appliquer.

Dans certains cas, la recommandation de rôle suggère également de créer un rôle personnalisé au niveau du projet. Si une recommandation de rôle personnalisé est disponible, la console Google Cloud l'affiche par défaut. Pour passer à la recommandation de rôle prédéfini, cliquez sur Afficher le rôle prédéfini recommandé.
Lisez attentivement la recommandation et assurez-vous de bien comprendre comment elle modifiera l'accès du compte principal aux ressources Google Cloud. Sauf dans les recommandations pour les agents de service, une recommandation n'augmentera jamais niveau d'accès du compte principal. Pour en savoir plus, consultez la section Générer des recommandations de rôle.

Pour savoir comment consulter les recommandations dans la console, consultez la section Examiner les recommandations sur cette page.
Facultatif : Si la recommandation consiste à créer un rôle personnalisé, mettez à jour les champs Titre, Description, ID et Étape de lancement du rôle si nécessaire.

Si vous devez ajouter des autorisations au rôle personnalisé, cliquez sur Ajouter des autorisations.

Si vous devez supprimer des autorisations du rôle personnalisé, décochez la case correspondant à chaque autorisation à supprimer.
Prenez les mesures qui s'imposent.

Pour appliquer la recommandation, cliquez sur Appliquer ou Créer et appliquer. Si vous changez d'avis au cours des 90 prochains jours, utilisez l'historique des recommandations pour annuler votre choix.

Pour ignorer la recommandation, cliquez sur Ignorer, puis confirmez votre choix. Vous pouvez restaurer une recommandation ignorée tant qu'elle reste valide.
Répétez les étapes précédentes jusqu'à ce que vous ayez examiné toutes vos recommandations.

gcloud

Examinez les recommandations :

Pour afficher vos recommandations au niveau du bucket, exécutez la commande gcloud recommender recommendations list en filtrant uniquement les recommandations de bucket Cloud Storage :

gcloud recommender recommendations list \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=json \
    --filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"

Remplacez les valeurs suivantes :

LOCATION : région dans laquelle se trouvent vos buckets Cloud Storage (par exemple, us ou us-central1).
PROJECT_ID : ID du projet Google Cloud contenant vos buckets Cloud Storage. Les ID de projet sont des chaînes alphanumériques, telles que my-project.

La réponse est semblable à l'exemple suivant. Dans cet exemple, tous les utilisateurs authentifiés (allAuthenticatedUsers) disposent du rôle Lecteur d'anciens objets de l'espace de stockage (roles/storage.legacyObjectReader) sur le bucket mybucket. Cependant, ce rôle n'a pas été utilisé au cours des 90 derniers jours. En tant que Par conséquent, la recommandation de rôle vous suggère de révoquer le rôle:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "associatedResourceNames": [
      "//storage.googleapis.com/my-bucket"
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              },
              "resource": "//storage.googleapis.com/my-bucket",
              "resourceType": "storage.googleapis.com/Bucket"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "etag": "\"7caf4103d7669e12\"",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "priority": "P1",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Examinez attentivement la recommandation et réfléchissez à la manière dont elle modifiera l'accès du compte principal aux ressources Google Cloud. Pour savoir comment consulter les recommandations à partir de gcloud CLI, consultez la section Examiner les recommandations sur cette page.

Pour appliquer une recommandation, procédez comme suit :

Utilisez la commande gcloud recommender recommendations mark-claimed pour définir l'état de la recommandation sur CLAIMED,, ce qui empêche la recommandation de changer lorsque vous l'appliquez :
```
gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Remplacez les valeurs suivantes :
- RECOMMENDATION_ID : identifiant unique de la recommandation. Cette valeur apparaît à la fin du champ name de la recommandation. Par exemple, si le champ name est projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID de la recommandation est fb927dc1-9695-4436-0000-f0f285007c0f.
- LOCATION: région dans laquelle Cloud Storage (par exemple, us ou us-central1).
- PROJECT_ID: ID du projet Google Cloud qui contient vos buckets Cloud Storage. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
- FORMAT : format de la réponse. Utilisez json ou yaml.
- ETAG : valeur du champ etag dans la recommandation, telle que "dd0686e7136a4cbb". Notez que cette valeur peut inclure des guillemets.
- STATE_METADATA : facultatif. Paires clé/valeur séparées par des virgules contenant votre choix de métadonnées relatives à la recommandation. Exemple : --state-metadata=reviewedBy=alice,priority=high. Les métadonnées remplacent le champ stateInfo.stateMetadata de la recommandation.
Si la commande aboutit, la réponse affiche la recommandation à l'état CLAIMED, comme indiqué dans l'exemple suivant. Pour plus de clarté, l'exemple omet la plupart des champs :
```
...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "CLAIMED"
}
...
```
Obtenez la stratégie d'autorisation pour le bucket, puis modifiez et définissez la stratégie d'autorisation afin qu'elle reflète la recommandation.
Mettez à jour l'état de la recommandation sur SUCCEEDED si vous avez appliqué la recommandation ou sur FAILED si vous ne pouvez pas appliquer la recommandation :
```
gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Remplacez les valeurs suivantes :
- COMMAND : utilisez mark-succeeded si vous avez appliqué la recommandation, ou mark-failed si vous n'avez pas pu appliquer la recommandation.
- RECOMMENDATION_ID : identifiant unique de la recommandation. Cette valeur apparaît à la fin du champ name de la recommandation. Par exemple, si le champ name est projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID de la recommandation est fb927dc1-9695-4436-0000-f0f285007c0f.
- LOCATION: région dans laquelle Cloud Storage (par exemple, us ou us-central1).
- PROJECT_ID: ID du projet Google Cloud qui contient vos buckets Cloud Storage. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
- FORMAT : format de la réponse. Utilisez json ou yaml.
- ETAG : valeur du champ etag dans la recommandation, telle que "dd0686e7136a4cbb". Notez que cette valeur peut inclure des guillemets.
- STATE_METADATA : facultatif. Paires clé/valeur séparées par des virgules contenant votre choix de métadonnées relatives à la recommandation. Exemple : --state-metadata=reviewedBy=alice,priority=high. Les métadonnées remplacent le champ stateInfo.stateMetadata de la recommandation.
Par exemple, si vous avez marqué la recommandation comme réussie, la réponse affiche la recommandation avec l'état SUCCEEDED. Pour plus de clarté, cet exemple omet la plupart des champs :
```
...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "SUCCEEDED"
}
...
```

REST

Ces instructions partent du principe que vous avez authentifié et défini la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS.

Examinez les recommandations :

Pour répertorier toutes les recommandations disponibles pour vos buckets Cloud Storage, utilisez les API Recommender de l'API Recommender. recommendations.list .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : ID du projet Google Cloud contenant vos buckets Cloud Storage. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
LOCATION : région dans laquelle se trouvent vos buckets Cloud Storage (par exemple, us ou us-central1).
PAGE_SIZE : facultatif. Nombre maximal de résultats à renvoyer pour cette requête. Si cette valeur n'est pas spécifiée, le serveur détermine le nombre de résultats à renvoyer. Si le nombre de recommandations est supérieur à la taille de la page, la réponse contient un jeton de pagination que vous pouvez utiliser pour récupérer la page de résultats suivante.
PAGE_TOKEN : facultatif. Jeton de pagination renvoyé dans une réponse précédente de cette méthode. Si spécifié, la liste de recommandations commence à la fin de la requête précédente.
PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.

Méthode HTTP et URL :

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

La réponse est semblable à l'exemple suivant. Dans cet exemple, tous les utilisateurs authentifiés (allAuthenticatedUsers) disposent du rôle Lecteur des anciens objets de l'espace de stockage (roles/storage.legacyObjectReader) sur le bucket mybucket. Toutefois, ce rôle n'a pas été utilisé au cours des 90 derniers jours. En tant que Par conséquent, la recommandation de rôle vous suggère de révoquer le rôle:

{
  "recommendations": [
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "resourceType": "storage.googleapis.com/Bucket",
              "resource": "//storage.googleapis.com/my-bucket",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              }
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    },
    "etag": "\"7caf4103d7669e12\"",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "priority": "P1"
  ]
}

Examinez attentivement la recommandation et réfléchissez à la manière dont elle modifiera l'accès du compte principal aux ressources Google Cloud. Pour savoir comment consulter les recommandations à partir de l'API REST, consultez la section Examiner les recommandations sur cette page.

Pour appliquer une recommandation, procédez comme suit :

Définissez l'état de la recommandation sur CLAIMED :

Pour marquer une recommandation comme CLAIMED, ce qui évite qu'elle ne soit modifiée lorsque vous l'appliquez, utilisez les API Recommender de l'API Recommender. recommendations.markClaimed .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID : ID du projet Google Cloud contenant vos buckets Cloud Storage. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
- LOCATION: région dans laquelle vos l'emplacement du bucket Cloud Storage (par exemple, us ou us-central1
- RECOMMENDATION_ID : identifiant unique de la recommandation. Cette valeur s'affiche à la fin du champ name de la recommandation. Par exemple, si le champ name est projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID de la recommandation est fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG : valeur du champ etag dans la recommandation, telle que "dd0686e7136a4cbb". Utilisez des barres obliques inverses pour échapper les guillemets (par exemple, "\"df7308cca9719dcc\"").
- STATE_METADATA : facultatif. Objet contenant des paires clé/valeur avec les métadonnées de votre choix concernant la recommandation. Exemple : {"reviewedBy": "alice", "priority": "high"}. Les métadonnées remplacent le champ stateInfo.stateMetadata de la recommandation.
Méthode HTTP et URL :
```
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
```
Corps JSON de la requête :
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Pour envoyer votre requête, développez l'une des options suivantes :
curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"
```
PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content
```
La réponse affiche la recommandation à l'état CLAIMED, comme illustré dans l'exemple suivant. Pour plus de clarté, cet exemple omet la plupart des champs :
```
...
"stateInfo": {
  "state": "CLAIMED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...
```
Obtenez la stratégie d'autorisation pour le projet, puis modifiez la stratégie d'autorisation afin qu'elle reflète la recommandation.
Mettez à jour l'état de la recommandation sur SUCCEEDED si vous avez appliqué la recommandation ou sur FAILED si vous ne pouvez pas appliquer la recommandation :
SUCCEEDED

Pour marquer une recommandation comme SUCCEEDED, ce qui indique que vous avez pu l'appliquer, utilisez les API Recommender de l'API Recommender. recommendations.markSucceeded .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID : ID du projet Google Cloud contenant vos buckets Cloud Storage. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
- LOCATION: région dans laquelle vos l'emplacement du bucket Cloud Storage (par exemple, us ou us-central1
- RECOMMENDATION_ID : identifiant unique de la recommandation. Cette valeur s'affiche à la fin du champ name de la recommandation. Par exemple, si le champ name est projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID de la recommandation est fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG : valeur du champ etag dans la recommandation, telle que "dd0686e7136a4cbb". Utilisez des barres obliques inverses pour échapper les guillemets (par exemple, "\"df7308cca9719dcc\"").
- STATE_METADATA : facultatif. Objet contenant des paires clé/valeur avec les métadonnées de votre choix concernant la recommandation. Exemple : {"reviewedBy": "alice", "priority": "high"}. Les métadonnées remplacent le champ stateInfo.stateMetadata de la recommandation.
Méthode HTTP et URL :
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
Corps JSON de la requête :
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Pour envoyer votre requête, développez l'une des options suivantes :
curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"
PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content
La réponse affiche la recommandation à l'état SUCCEEDED, comme illustré dans l'exemple suivant. Pour plus de clarté, cet exemple omet la plupart des champs :
... "stateInfo": { "state": "SUCCEEDED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
FAILED

Pour marquer une recommandation comme FAILED, ce qui indique que vous n'avez pas pu l'appliquer, utilisez les fonctionnalités de l'API Recommender. recommendations.markFailed .

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID : ID du projet Google Cloud contenant vos buckets Cloud Storage. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
- LOCATION: région dans laquelle vos l'emplacement du bucket Cloud Storage (par exemple, us ou us-central1
- RECOMMENDATION_ID : identifiant unique de la recommandation. Cette valeur s'affiche à la fin du champ name de la recommandation. Par exemple, si le champ name est projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID de la recommandation est fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG : valeur du champ etag dans la recommandation, telle que "dd0686e7136a4cbb". Utilisez des barres obliques inverses pour échapper les guillemets (par exemple, "\"df7308cca9719dcc\"").
- STATE_METADATA : facultatif. Objet contenant des paires clé/valeur avec les métadonnées de votre choix concernant la recommandation. Exemple : {"reviewedBy": "alice", "priority": "high"}. Les métadonnées remplacent le champ stateInfo.stateMetadata de la recommandation.
Méthode HTTP et URL :
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
Corps JSON de la requête :
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Pour envoyer votre requête, développez l'une des options suivantes :
curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"
PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content
La réponse affiche la recommandation à l'état FAILED, comme illustré dans l'exemple suivant. Pour plus de clarté, cet exemple omet la plupart des champs :
... "stateInfo": { "state": "FAILED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...

Comprendre les recommandations

Chaque recommandation inclut des informations pour vous aider à comprendre pourquoi elle a été émise.

Console

Pour vous aider à comprendre pourquoi cette recommandation a été faite, le La console Google Cloud indique l'utilisation des autorisations du compte principal, telle qu'indiquée par L'insight sur les stratégies associé à la recommandation

Pour vous aider à comprendre l'impact de l'application de la recommandation, la console Google Cloud affiche également une liste d'autorisations codées par couleur et par symbole. Cette liste indique les modifications qui seront apportées aux autorisations du compte principal si vous appliquez la recommandation. Par exemple, une liste semblable à celle-ci peut s'afficher :

Les types d'autorisations associés à chaque couleur et symbole sont les suivants :

Gris sans symbole : autorisations qui figurent à la fois dans le rôle actuel du compte principal et dans les rôles recommandés.
Rouge avec un signe moins : autorisations qui figurent dans le rôle actuel du compte principal, mais pas dans les rôles recommandés, car le compte principal ne les a pas utilisées au cours des 90 derniers jours.
Vert avec un signe plus : autorisations qui ne figurent pas dans le rôle actuel du compte principal, mais qui appartiennent aux rôles recommandés. Ce type d'autorisation n'apparaît que dans les recommandations pour les agents de service.
Bleu avec une icône Machine learning : autorisations qui figurent à la fois dans le rôle actuel du compte principal et dans les rôles recommandés, non pas parce que le compte principal a utilisé ces autorisations au cours des 90 derniers jours, mais parce que l'outil de recommandation a déterminé par le biais du machine learning qu'il en aura probablement besoin à l'avenir.

gcloud

Chaque recommandation inclut des informations pour vous aider à comprendre pourquoi elle a été émise.

Pour en savoir plus sur les champs d'une recommandation, consultez la documentation de référence Recommendation.

Pour afficher l'utilisation des autorisations sur laquelle cette recommandation est fondée, consultez les insights sur les stratégies associés à la recommandation. Ces insights sont répertoriés dans le champ associatedInsights. Pour afficher un insight de stratégie associé à la recommandation, procédez comme suit :

Copiez l'ID de l'insight associé. L'ID d'insight correspond à tout ce qui suit insights/ dans le champ insight. Par exemple, si le champ insight indique projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, l'ID de l'insight est 7849add9-73c0-419e-b169-42b3671173fb.
Suivez les instructions pour obtenir un insight sur les stratégies en utilisant l'ID d'insight que vous avez copié.

REST

Chaque recommandation inclut des informations pour vous aider à comprendre pourquoi elle a été émise.

Pour en savoir plus sur les champs d'une recommandation, consultez la documentation de référence Recommendation.

Copiez l'ID de l'insight associé. L'ID d'insight correspond à tout ce qui suit insights/ dans le champ insight. Par exemple, si le champ insight indique projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, l'ID de l'insight est 7849add9-73c0-419e-b169-42b3671173fb.
Suivez les instructions pour obtenir un insight sur les stratégies en utilisant l'ID d'insight que vous avez copié.

Afficher, annuler et restaurer des modifications

Une fois que vous avez appliqué ou ignoré une recommandation pour une liaison de rôle au niveau du projet, cette action apparaît dans l'historique des recommandations.

Vous pouvez consulter l'historique des recommandations d'un bucket dans la console Google Cloud :

Dans la console Google Cloud, accédez à la page Buckets.

Accéder à la page "Buckets"
Recherchez la colonne Insights sur la sécurité. Si la colonne n'est pas visible, cliquez sur Options d'affichage des colonnes et sélectionnez Insights sur la sécurité.
Recherchez le bucket dont vous souhaitez consulter l'historique des recommandations, puis cliquez sur le récapitulatif des insights de sécurité sur cette ligne.
Dans le volet Recommandations de sécurité qui s'affiche, cliquez sur l'icône Onglet Historique des recommandations

La console Google Cloud affiche une liste des actions précédentes sur vos recommandations de rôles.
Pour afficher les détails d'une recommandation, cliquez sur la flèche de développement .

La console Google Cloud affiche les détails de l'action effectuée, y compris le compte principal qui a effectué l'action:
Facultatif : Si nécessaire, vous pouvez rétablir la recommandation, ce qui annule les modifications effectuées au sein de la recommandation, ou restaurer une recommandation que vous avez ignorée.

Pour annuler une modification précédemment appliquée sur une recommandation, cliquez sur Rétablir. La console Google Cloud annule les modifications apportées au de votre compte principal. La recommandation n'apparaît plus dans le console Google Cloud.

Pour restaurer une recommandation qui a été ignorée, cliquez sur Restaurer. La recommandation devient visible sur la page IAM de la console Google Cloud. Aucun rôle ni aucune autorisation n'a été modifié.

Étape suivante

Apprenez-en plus sur l'outil de recommandation.
Découvrez comment utiliser les insights sur les stratégies d'autorisation pour les buckets Cloud Storage.

Examiner et appliquer les recommandations de rôle pour les buckets Cloud Storage

Avant de commencer

Rôles IAM requis

Autorisations requises

Lire et appliquer les recommandations

Console

gcloud

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

`SUCCEEDED`

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

`FAILED`

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Comprendre les recommandations

Console

gcloud

REST

Afficher, annuler et restaurer des modifications

Étape suivante