Esamina e applica i suggerimenti sui ruoli per i bucket Cloud Storage

Questa pagina spiega come visualizzare, comprendere e applicare il ruolo IAM per i bucket Cloud Storage. Guida per i suggerimenti sui ruoli di applicare il principio del privilegio minimo assicurando che le entità dispongano ma solo le autorizzazioni di cui hanno effettivamente bisogno.

Prima di iniziare

Ruoli IAM richiesti

Per ottenere le autorizzazioni necessarie per gestire i suggerimenti sui ruoli a livello di bucket, chiedi all'amministratore di concederti seguenti ruoli IAM sul progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti le autorizzazioni necessarie per gestire i suggerimenti sui ruoli a livello di bucket. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire i suggerimenti sui ruoli a livello di bucket sono necessarie le seguenti autorizzazioni:

  • Per visualizzare i consigli:
    • iam.roles.get
    • iam.roles.list
    • recommender.iamPolicyRecommendations.get
    • recommender.iamPolicyRecommendations.list
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
    • storage.buckets.getIamPolicy
  • Per applicare e ignorare i consigli:
    • recommender.iamPolicyRecommendations.update
    • storage.buckets.setIamPolicy

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Revisione e applicazione dei suggerimenti

Puoi esaminare e applicare i suggerimenti sul ruolo a livello di bucket con il Google Cloud CLI e l'API Recommender.

Console

  1. Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.

    Vai a Bucket

  2. Trova la colonna Approfondimenti sulla sicurezza. Se la colonna non è visibili, fai clic su Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.

    La colonna Approfondimenti sulla sicurezza mostra un riepilogo di tutti gli insight sui criteri per in un bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per con tutti i ruoli concessi per quel bucket.

    Se è disponibile un consiglio per fornire informazioni del bucket, nella console Google Cloud vengono visualizzate Consiglio disponibile Icona di .

  3. Se sono presenti consigli da esaminare, fai clic su un riepilogo degli approfondimenti sulle norme per Apri il riquadro Consigli per la sicurezza. Questo riquadro elenca tutte le entità che hanno un ruolo nel bucket, nei loro ruoli e in eventuali insight sui criteri associati a questi ruoli.

  4. Fai clic su Consiglio disponibile per visualizzare i dettagli del consiglio.

    Se il suggerimento prevede la sostituzione del ruolo, il suggerimento suggerisce sempre un insieme di ruoli predefiniti a cui sono applicabili.

    In alcuni casi, il suggerimento sul ruolo suggerisce anche la creazione di una nuova ruolo personalizzato a livello di progetto. Se un modello personalizzato ruolo, la console Google Cloud lo mostra predefinito. Per passare al consiglio sul ruolo predefinito, fai clic su Visualizza ruolo predefinito consigliato.

  5. Leggi attentamente il consiglio e assicurati di comprenderne le caratteristiche modificare l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei nel caso di suggerimenti per gli agenti di servizio, un suggerimento non aumenterà mai il livello di accesso dell'entità. Consulta Come vengono visualizzati i suggerimenti sui ruoli generate per ulteriori informazioni.

    Per scoprire come esaminare i suggerimenti nella console, consulta Esamina i consigli consigli in questa pagina.

  6. (Facoltativo) Se il consiglio è di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo a seconda delle esigenze.

    Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

    Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo per ogni autorizzazione che vuoi rimuovere.

  7. Intervieni in base al consiglio.

    Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza cronologia dei consigli per ripristinare la tua scelta.

    Per ignorare il consiglio, fai clic su Ignora, poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato a condizione che suggerimento è ancora valido.

  8. Ripeti i passaggi precedenti finché non avrai esaminato tutti i tuoi personalizzati.

gcloud

Esamina i consigli:

Per elencare i suggerimenti a livello di bucket, esegui gcloud recommender recommendations list , filtrando solo per i suggerimenti sui bucket Cloud Storage:

gcloud recommender recommendations list \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=json \
    --filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"

Sostituisci i seguenti valori:

  • LOCATION: la regione in cui Cloud Storage in cui si trovano i bucket, ad esempio us o us-central1.
  • PROJECT_ID: l'ID del progetto Google Cloud contenente i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.

La risposta è simile all'esempio seguente. In questo esempio, gli utenti autenticati (allAuthenticatedUsers) hanno l'oggetto legacy di Storage Ruolo lettore (roles/storage.legacyObjectReader) nel bucket mybucket. Tuttavia, questo ruolo non è stato utilizzato negli ultimi 90 giorni. Come Di conseguenza, il suggerimento sul ruolo ti suggerisce di revocare il ruolo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "associatedResourceNames": [
      "//storage.googleapis.com/my-bucket"
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              },
              "resource": "//storage.googleapis.com/my-bucket",
              "resourceType": "storage.googleapis.com/Bucket"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "etag": "\"7caf4103d7669e12\"",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "priority": "P1",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni consiglio e pensa a come cambierà il l'accesso dell'entità alle risorse Google Cloud. Per scoprire come rivedere di gcloud CLI, consulta Esamina consigli in questa pagina.

Per applicare un consiglio:

  1. Utilizza la Comando gcloud recommender recommendations mark-claimed di modificare lo stato del suggerimento in CLAIMED,, impedendo la di cambiare il consiglio quando lo applichi:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sostituisci i seguenti valori:

    • RECOMMENDATION_ID: l'identificatore univoco del un consiglio per i nostri esperti. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
    • LOCATION: la regione in cui Cloud Storage in cui si trova il bucket, ad esempio us o us-central1.
    • PROJECT_ID: l'ID del progetto Google Cloud contenente i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.
    • ETAG: il valore del campo etag nella consigliato, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore possono includere le virgolette.
    • STATE_METADATA: facoltativo. Chiave-valore separata da virgola che contengono i metadati che hai scelto per il suggerimento. Per ad esempio --state-metadata=reviewedBy=alice,priority=high. La sostituisce il campo stateInfo.stateMetadata in un consiglio per i nostri esperti.

    Se il comando ha esito positivo, la risposta mostra il suggerimento in una CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, l'esempio omette la maggior parte dei campi:

    ...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "CLAIMED"
}
...

  2. Ottieni il criterio di autorizzazione per il bucket, quindi modificare e impostare il criterio di autorizzazione in modo che rifletta il un consiglio per i nostri esperti.

  3. Aggiorna lo stato del consiglio a SUCCEEDED, se hai potuto applicarlo il consiglio oppure FAILED se non riesci ad applicarlo:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sostituisci i seguenti valori:

    • COMMAND: usa mark-succeeded, se sono stati in grado di applicare il consiglio o mark-failed, se non hai potuto applicare il consiglio.

    • RECOMMENDATION_ID: l'identificatore univoco del un consiglio per i nostri esperti. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
    • LOCATION: la regione in cui Cloud Storage in cui si trova il bucket, ad esempio us o us-central1.
    • PROJECT_ID: l'ID del progetto Google Cloud contenente i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.
    • ETAG: il valore del campo etag nella consigliato, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore possono includere le virgolette.
    • STATE_METADATA: facoltativo. Chiave-valore separata da virgola che contengono i metadati che hai scelto per il suggerimento. Per ad esempio --state-metadata=reviewedBy=alice,priority=high. La sostituisce il campo stateInfo.stateMetadata in un consiglio per i nostri esperti.

    Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio in uno stato SUCCEEDED. Per chiarezza, questo omette la maggior parte dei campi nell'esempio seguente:

    ...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "SUCCEEDED"
}
...

REST

Queste istruzioni presuppongono che tu abbia eseguito l'autenticazione e imposta la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

Esamina i consigli:

Per elencare tutti i suggerimenti disponibili per i bucket Cloud Storage, utilizza l'API Recommender recommendations.list .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: l'ID del Progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • LOCATION: la regione in cui Si trovano i bucket Cloud Storage, ad esempio us o us-central1.
  • PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questo richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se di suggerimenti è maggiore della dimensione della pagina, la risposta contiene un'impaginazione che puoi utilizzare per recuperare la pagina successiva di risultati.
  • PAGE_TOKEN: facoltativo. Il token di impaginazione restituito in una sessione la risposta desiderata con questo metodo. Se specificato, l'elenco dei consigli inizierà dove richiesta precedente terminata.
  • PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta è simile all'esempio seguente. In questo esempio, gli utenti autenticati (allAuthenticatedUsers) hanno l'oggetto legacy di Storage Ruolo lettore (roles/storage.legacyObjectReader) nel bucket mybucket. Tuttavia, questo ruolo non è stato utilizzato negli ultimi 90 giorni. Come Di conseguenza, il suggerimento sul ruolo ti suggerisce di revocare il ruolo: 

{
  "recommendations": [
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "resourceType": "storage.googleapis.com/Bucket",
              "resource": "//storage.googleapis.com/my-bucket",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              }
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    },
    "etag": "\"7caf4103d7669e12\"",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "priority": "P1"
  ]
}

Esamina attentamente ogni consiglio e pensa a come cambierà il l'accesso dell'entità alle risorse Google Cloud. Per scoprire come rivedere consigli dell'API REST, consulta la sezione in basso. consigli in questa pagina.

Per applicare un consiglio:

  1. Contrassegna il consiglio come CLAIMED:

    Per contrassegnare un consiglio come CLAIMED in modo da evitare che venga modificato durante l'applicazione, utilizza lo strumento dell'API Recommender recommendations.markClaimed .

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del Progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • LOCATION: la regione in cui Si trova il bucket Cloud Storage, ad esempio us o us-central1.
    • RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    La risposta mostra il consiglio in uno stato CLAIMED, come mostrato di seguito esempio. Per chiarezza, in questo esempio ometti la maggior parte dei campi: 

    ...
"stateInfo": {
  "state": "CLAIMED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

  2. Recupera il criterio di autorizzazione per il progetto, quindi modificare il criterio di autorizzazione in modo che rifletta il un consiglio per i nostri esperti.

  3. Aggiorna lo stato del consiglio a SUCCEEDED, se hai potuto applicarlo il consiglio oppure FAILED se non riesci ad applicarlo:

    SUCCEEDED

    Per contrassegnare un consiglio come SUCCEEDED e indicare che è stato possibile applicarlo, utilizza lo strumento recommendations.markSucceeded .

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del Progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • LOCATION: la regione in cui Si trova il bucket Cloud Storage, ad esempio us o us-central1.
    • RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    La risposta mostra il consiglio in uno stato SUCCEEDED, come mostrato di seguito esempio. Per chiarezza, in questo esempio ometti la maggior parte dei campi: 

    ...
"stateInfo": {
  "state": "SUCCEEDED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

    FAILED

    Per contrassegnare un consiglio come FAILED e indicare che non è stato possibile applicarlo, utilizza lo strumento recommendations.markFailed .

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del Progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • LOCATION: la regione in cui Si trova il bucket Cloud Storage, ad esempio us o us-central1.
    • RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    La risposta mostra il consiglio in uno stato FAILED, come mostrato di seguito esempio. Per chiarezza, in questo esempio ometti la maggior parte dei campi: 

    ...
"stateInfo": {
  "state": "FAILED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

Comprendere i consigli

Ogni consiglio include informazioni che ti aiutano a capire perché è stato fatto un suggerimento.

Console

Per aiutarti a capire perché è stato dato il consiglio, La console Google Cloud mostra l'utilizzo delle autorizzazioni dell'entità, come segnalato da gli approfondimenti sulle norme associati al consiglio.

Per aiutarti a comprendere l'impatto dell'applicazione del consiglio, La console Google Cloud mostra anche un elenco di autorizzazioni con colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il metodo un consiglio per i nostri esperti. Ad esempio, potrebbe mostrare un elenco simile al seguente:

I tipi di autorizzazioni associati a ogni colore e simbolo sono i seguenti:

  • Grigio senza simbolo: le autorizzazioni che si trovano nello spazio di archiviazione attuale dell'entità e i ruoli consigliati.

  • Lucchetto rosso con un segno meno : autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non in quelli consigliati perché l'entità non li ha utilizzati in passato per 90 giorni.

  • Verde con un segno più : Autorizzazioni che non sono nel ruolo attuale dell'entità, ma sono nei campi consigliati ruoli. Questo tipo di autorizzazione appare solo nei suggerimenti per il servizio agenti.

  • Blu con un'icona Machine learning : Autorizzazioni incluse sia nel ruolo attuale dell'entità che in quelle consigliate ruoli, non perché in passato l'entità ha utilizzato le autorizzazioni 90 giorni, ma poiché il motore per suggerimenti determinato mediante il machine learning che probabilmente in futuro.

gcloud

Ogni consiglio include informazioni che ti aiutano a capire perché è stato fatto un suggerimento.

Per maggiori dettagli sui campi di un suggerimento, consulta Riferimento Recommendation.

Per vedere l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza il approfondimenti sulle norme associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un criterio insight associato al suggerimento:

  1. Copia l'ID dell'insight associato. L'ID è tutto ciò che segue insights/ nel insight. Ad esempio, se il campo insight projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, l'ID insight è 7849add9-73c0-419e-b169-42b3671173fb.
  2. Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight copiato.

REST

Ogni consiglio include informazioni che ti aiutano a capire perché è stato fatto un suggerimento.

Per maggiori dettagli sui campi di un suggerimento, consulta Riferimento Recommendation.

Per vedere l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza il approfondimenti sulle norme associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un criterio insight associato al suggerimento:

  1. Copia l'ID dell'insight associato. L'ID è tutto ciò che segue insights/ nel insight. Ad esempio, se il campo insight projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, l'ID insight è 7849add9-73c0-419e-b169-42b3671173fb.
  2. Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight copiato.

Visualizza, ripristina e ripristina le modifiche

Dopo aver applicato o ignorato un suggerimento per un'associazione dei ruoli a livello di progetto, l'azione viene visualizzata nella cronologia dei consigli.

Puoi visualizzare la cronologia dei suggerimenti per un bucket nel Console Google Cloud:

  1. Nella console Google Cloud, vai alla pagina Bucket.

    Vai a Bucket

  2. Trova la colonna Approfondimenti sulla sicurezza. Se la colonna non è visibili, fai clic su Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.

  3. Individua il bucket di cui vuoi visualizzare la cronologia dei suggerimenti, fai clic sul riepilogo degli insight sulla sicurezza nella riga corrispondente.

  4. Nel riquadro Suggerimenti per la sicurezza che viene visualizzato, fai clic sull'icona Scheda Cronologia dei consigli.

    La console Google Cloud mostra un elenco delle azioni precedenti sul tuo i suggerimenti di ruolo.

  5. Per visualizzare i dettagli di un consiglio, fai clic sul Espansione freccia.

    La console Google Cloud mostra i dettagli dell'azione intrapresa. inclusa l'entità che ha eseguito l'azione:

  6. (Facoltativo) Se necessario, puoi ripristinare il consiglio, annullando così la modifiche al suggerimento o ripristinarne uno che ignorata.

    Per annullare una modifica applicata in precedenza a un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche apportate ruoli dell'entità. Il consiglio non viene più visualizzato nella nella console Google Cloud.

    Per ripristinare un consiglio ignorato, fai clic su Ripristina. La diventa visibile nella pagina IAM nel nella console Google Cloud. Non sono stati modificati ruoli o autorizzazioni.

Passaggi successivi