Questa pagina spiega come visualizzare, comprendere e applicare i suggerimenti sui ruoli IAM per i bucket Cloud Storage. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo garantendo che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno.
Prima di iniziare
Abilita le API IAM and Recommender.
Assicurati di avere un'attivazione a livello di organizzazione del livello Premium di Security Command Center. Per ulteriori informazioni, consulta la sezione Domande sulla fatturazione.
Comprendere i suggerimenti per i ruoli.
Ruoli IAM richiesti
Per ottenere le autorizzazioni necessarie per gestire i suggerimenti sui ruoli a livello di bucket, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Visualizzatore del ruolo (
roles/iam.roleViewer
) -
Storage Admin (
roles/storage.admin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire i suggerimenti sui ruoli a livello di bucket. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire i suggerimenti sui ruoli a livello di bucket sono necessarie le seguenti autorizzazioni:
-
Per visualizzare i suggerimenti:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
storage.buckets.getIamPolicy
-
-
Per applicare e ignorare i consigli:
-
recommender.iamPolicyRecommendations.update
-
storage.buckets.setIamPolicy
-
Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.
Revisione e applicazione dei suggerimenti
Puoi esaminare e applicare i suggerimenti sul ruolo a livello di bucket con Google Cloud CLI e l'API Recommender.
Console
Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.
Trova la colonna Approfondimenti sulla sicurezza. Se la colonna non è visibile, fai clic su Opzioni di visualizzazione delle colonne
e seleziona Approfondimenti sulla sicurezza.La colonna Approfondimenti sulla sicurezza mostra un riepilogo di tutti gli insight sui criteri per un bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi nel bucket.
Se è disponibile un suggerimento per gestire uno qualsiasi degli insight relativi al bucket, nella console Google Cloud viene visualizzata l'icona Suggerimento disponibile
.Se sono presenti suggerimenti da esaminare, fai clic su un riepilogo degli insight sui criteri per aprire il riquadro Suggerimenti per la sicurezza. Questo riquadro elenca tutte le entità con un ruolo nel bucket, i relativi ruoli e gli eventuali insight sui criteri associati a questi ruoli.
Fai clic su un'icona Suggerimento disponibile
per visualizzare i dettagli sul suggerimento.Se il suggerimento prevede la sostituzione del ruolo, il suggerimento sul ruolo suggerisce sempre un insieme di ruoli predefiniti che puoi applicare.
In alcuni casi, il suggerimento sul ruolo suggerisce anche la creazione di un nuovo ruolo personalizzato a livello di progetto. Se è disponibile un suggerimento per il ruolo personalizzato, nella console Google Cloud lo mostra per impostazione predefinita. Per passare al suggerimento sul ruolo predefinito, fai clic su Visualizza il ruolo predefinito consigliato.
Esamina il suggerimento attentamente e assicurati di comprendere come modificherà l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei suggerimenti per gli agenti di servizio, i suggerimenti non aumenterà mai il livello di accesso di un'entità. Per ulteriori informazioni, consulta Come vengono generati i suggerimenti sui ruoli.
Per scoprire come esaminare i consigli nella console, consulta la pagina Esaminare i consigli in questa pagina.
(Facoltativo) Se il consiglio è di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo in base alle necessità.
Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.
Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo per ogni autorizzazione da rimuovere.
Intervieni in base al consiglio.
Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per annullare la scelta.
Per ignorare il consiglio, fai clic su Ignora, poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato finché è ancora valido.
Ripeti i passaggi precedenti finché non avrai esaminato tutti i consigli.
gcloud
Esamina i consigli:
Per elencare i suggerimenti a livello di bucket, esegui il comando gcloud recommender recommendations list
, filtrando solo i suggerimenti per i bucket Cloud Storage:
gcloud recommender recommendations list \
--location=LOCATION \
--recommender=google.iam.policy.Recommender \
--project=PROJECT_ID \
--format=json \
--filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"
Sostituisci i seguenti valori:
LOCATION
: la regione in cui si trovano i bucket Cloud Storage, ad esempious
ous-central1
.PROJECT_ID
: l'ID del progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, comemy-project
.
La risposta è simile all'esempio seguente. In questo esempio, tutti gli utenti autenticati (allAuthenticatedUsers
) hanno il ruolo Lettore di oggetti legacy di Storage (roles/storage.legacyObjectReader
) nel bucket mybucket
.
Tuttavia, questo ruolo non è stato utilizzato negli ultimi 90 giorni. Di conseguenza, il suggerimento sul ruolo ti suggerisce di revocare il ruolo:
[ { "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "associatedResourceNames": [ "//storage.googleapis.com/my-bucket" ], "content": { "operationGroups": [ { "operations": [ { "action": "remove", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" }, "resource": "//storage.googleapis.com/my-bucket", "resourceType": "storage.googleapis.com/Bucket" } ] } ] }, "description": "This role has not been used during the observation window.", "etag": "\"7caf4103d7669e12\"", "lastRefreshTime": "2022-05-24T07:00:00Z", "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "ACTIVE" } } ]
Esamina attentamente ogni suggerimento e valuta come modificherà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i suggerimenti da gcloud CLI, consulta la pagina Rivedi i suggerimenti in questa pagina.
Per applicare un consiglio:
Utilizza il comando
gcloud recommender recommendations mark-claimed
per modificare lo stato del consiglio inCLAIMED,
, in modo da impedire che il consiglio venga modificato durante l'applicazione:gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Sostituisci i seguenti valori:
-
RECOMMENDATION_ID
: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Ad esempio, se il camponame
èprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, l'ID suggerimento èfb927dc1-9695-4436-0000-f0f285007c0f
. -
LOCATION
: la regione in cui si trova il bucket Cloud Storage, ad esempious
ous-central1
. -
PROJECT_ID
: l'ID del progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. -
FORMAT
: il formato della risposta. Utilizzajson
oyaml
. -
ETAG
: il valore del campoetag
nel suggerimento, ad esempio"dd0686e7136a4cbb"
. Tieni presente che questo valore può includere le virgolette. -
STATE_METADATA
: facoltativo. Coppie chiave-valore separate da virgole che contengono metadati a tua scelta relativi al suggerimento. Ad esempio,--state-metadata=reviewedBy=alice,priority=high
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.
Se il comando ha esito positivo, la risposta mostra il suggerimento in stato
CLAIMED
, come mostrato nell'esempio seguente. Per chiarezza, nell'esempio sono omessi la maggior parte dei campi:... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "CLAIMED" } ...
-
Recupera il criterio di autorizzazione per il bucket, quindi modifica e imposta il criterio di autorizzazione in modo che rifletta il suggerimento.
Aggiorna lo stato del consiglio a
SUCCEEDED
, se hai potuto applicare il consiglio oppure aFAILED
, se non hai potuto applicarlo:gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Sostituisci i seguenti valori:
-
COMMAND
: utilizzamark-succeeded
, se hai potuto applicare il consiglio, oppuremark-failed
, se non puoi applicare il consiglio. -
RECOMMENDATION_ID
: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Ad esempio, se il camponame
èprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, l'ID suggerimento èfb927dc1-9695-4436-0000-f0f285007c0f
. -
LOCATION
: la regione in cui si trova il bucket Cloud Storage, ad esempious
ous-central1
. -
PROJECT_ID
: l'ID del progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, comemy-project
. -
FORMAT
: il formato della risposta. Utilizzajson
oyaml
. -
ETAG
: il valore del campoetag
nel suggerimento, ad esempio"dd0686e7136a4cbb"
. Tieni presente che questo valore può includere le virgolette. -
STATE_METADATA
: facoltativo. Coppie chiave-valore separate da virgole che contengono metadati a tua scelta relativi al suggerimento. Ad esempio,--state-metadata=reviewedBy=alice,priority=high
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.
Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio nello stato
SUCCEEDED
. Per chiarezza, questo esempio omette la maggior parte dei campi:... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "SUCCEEDED" } ...
-
REST
Queste istruzioni presuppongono che tu abbia eseguito l'autenticazione e impostato la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS
.
Esamina i consigli:
Per elencare tutti i suggerimenti disponibili per i bucket Cloud Storage, utilizza il metodo recommendations.list
dell'API Recommender.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, comemy-project
.LOCATION
: la regione in cui si trovano i bucket Cloud Storage, ad esempious
ous-central1
.-
PAGE_SIZE
: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di suggerimenti è superiore alla dimensione della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina successiva dei risultati. -
PAGE_TOKEN
: facoltativo. Il token di impaginazione restituito in una risposta precedente di questo metodo. Se specificato, l'elenco dei suggerimenti inizierà dove è terminata la richiesta precedente. PROJECT_ID
: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project
.
Metodo HTTP e URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta è simile all'esempio seguente. In questo esempio, tutti gli utenti autenticati (allAuthenticatedUsers
) hanno il ruolo Lettore oggetti legacy di Storage (roles/storage.legacyObjectReader
) nel bucket mybucket
.
Tuttavia, questo ruolo non è stato utilizzato negli ultimi 90 giorni. Di conseguenza, il suggerimento sul ruolo ti suggerisce di revocare il ruolo:
{ "recommendations": [ "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "description": "This role has not been used during the observation window.", "lastRefreshTime": "2022-05-24T07:00:00Z", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "content": { "operationGroups": [ { "operations": [ { "action": "remove", "resourceType": "storage.googleapis.com/Bucket", "resource": "//storage.googleapis.com/my-bucket", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" } } ] } ] }, "stateInfo": { "state": "ACTIVE" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "priority": "P1" ] }
Esamina attentamente ogni suggerimento e valuta come modificherà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i suggerimenti dell'API REST, consulta la pagina Esamina i consigli in questa pagina.
Per applicare un consiglio:
Contrassegna il consiglio come
CLAIMED
:Per contrassegnare un suggerimento come
CLAIMED
, impedendone la modifica durante l'applicazione, utilizza il metodorecommendations.markClaimed
dell'API Recommender.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, comemy-project
.LOCATION
: la regione in cui si trova il bucket Cloud Storage, ad esempious
ous-central1
.RECOMMENDATION_ID
: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Ad esempio, se il camponame
èprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, l'ID consiglio èfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: il valore del campoetag
nel consiglio, ad esempio"dd0686e7136a4cbb"
. Utilizza le barre rovesciate per evitare le virgolette, ad esempio"\"df7308cca9719dcc\""
.STATE_METADATA
: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci relativi al suggerimento. Ad esempio,{"reviewedBy": "alice", "priority": "high"}
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta mostra il suggerimento in stato
CLAIMED
, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio ometti la maggior parte dei campi:... "stateInfo": { "state": "CLAIMED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
Recupera il criterio di autorizzazione per il progetto, quindi modifica il criterio di autorizzazione in modo che rifletta il suggerimento.
Aggiorna lo stato del consiglio a
SUCCEEDED
, se hai potuto applicare il consiglio oppure aFAILED
, se non hai potuto applicarlo:SUCCEEDED
Per contrassegnare un suggerimento come
SUCCEEDED
e indicare che è stato possibile applicarlo, utilizza il metodorecommendations.markSucceeded
dell'API Recommender.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, comemy-project
.LOCATION
: la regione in cui si trova il bucket Cloud Storage, ad esempious
ous-central1
.RECOMMENDATION_ID
: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Ad esempio, se il camponame
èprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, l'ID consiglio èfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: il valore del campoetag
nel consiglio, ad esempio"dd0686e7136a4cbb"
. Utilizza le barre rovesciate per evitare le virgolette, ad esempio"\"df7308cca9719dcc\""
.STATE_METADATA
: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci relativi al suggerimento. Ad esempio,{"reviewedBy": "alice", "priority": "high"}
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta mostra il suggerimento in stato
SUCCEEDED
, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio ometti la maggior parte dei campi:... "stateInfo": { "state": "SUCCEEDED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
FAILED
Per contrassegnare un suggerimento come
FAILED
e indicare che non è stato possibile applicarlo, utilizza il metodorecommendations.markFailed
dell'API Recommender.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID
: l'ID del progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, comemy-project
.LOCATION
: la regione in cui si trova il bucket Cloud Storage, ad esempious
ous-central1
.RECOMMENDATION_ID
: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del camponame
nel suggerimento. Ad esempio, se il camponame
èprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, l'ID consiglio èfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: il valore del campoetag
nel consiglio, ad esempio"dd0686e7136a4cbb"
. Utilizza le barre rovesciate per evitare le virgolette, ad esempio"\"df7308cca9719dcc\""
.STATE_METADATA
: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci relativi al suggerimento. Ad esempio,{"reviewedBy": "alice", "priority": "high"}
. I metadati sostituiscono il campostateInfo.stateMetadata
nel suggerimento.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta mostra il suggerimento in stato
FAILED
, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio ometti la maggior parte dei campi:... "stateInfo": { "state": "FAILED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
Comprendere i consigli
Ogni suggerimento include informazioni che ti aiutano a capire perché è stato fatto.
Console
Per aiutarti a capire perché è stato fatto il suggerimento, la console Google Cloud mostra l'utilizzo delle autorizzazioni dell'entità, come riportato dall'insight sul criterio associato al suggerimento.
Per aiutarti a comprendere l'impatto dell'applicazione del suggerimento, la console Google Cloud mostra anche un elenco di autorizzazioni codificate con colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il suggerimento. Ad esempio, potrebbe mostrare un elenco simile al seguente:
I tipi di autorizzazioni associati a ogni colore e simbolo sono i seguenti:
Grigio senza simbolo: autorizzazioni incluse sia nel ruolo attuale dell'entità sia nei ruoli consigliati.
Lucchetto rosso con il segno meno
: autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non nei ruoli consigliati perché l'entità non le ha utilizzate negli ultimi 90 giorni.Verde con un segno più suggerimenti per gli agenti di servizio.
: autorizzazioni che non appartengono al ruolo attuale dell'entità, ma che appartengono ai ruoli consigliati. Questo tipo di autorizzazione viene visualizzato solo neiBlu con un'icona Machine learning machine learning che potrebbero richiedere queste autorizzazioni in futuro.
: Autorizzazioni che sono sia nel ruolo attuale dell'entità che in quelli consigliati, non perché l'entità ha utilizzato le autorizzazioni negli ultimi 90 giorni, ma perché il motore per suggerimenti ha stabilito tramite il
gcloud
Ogni suggerimento include informazioni che ti aiutano a capire perché è stato fatto.
Per maggiori dettagli sui campi di un suggerimento, consulta la documentazione di riferimento di Recommendation
.
Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza gli approfondimenti sui criteri associati al suggerimento.
Questi approfondimenti sono elencati nel campo associatedInsights
. Per visualizzare un approfondimento sui criteri associato al suggerimento:
- Copia l'ID dell'insight associato. L'ID è tutto ciò che segue
insights/
nel campoinsight
. Ad esempio, se il campoinsight
indicaprojects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
, l'ID approfondimento è7849add9-73c0-419e-b169-42b3671173fb
. - Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight che hai copiato.
REST
Ogni suggerimento include informazioni che ti aiutano a capire perché è stato fatto.
Per maggiori dettagli sui campi di un suggerimento, consulta la documentazione di riferimento di Recommendation
.
Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza gli approfondimenti sui criteri associati al suggerimento.
Questi approfondimenti sono elencati nel campo associatedInsights
. Per visualizzare un approfondimento sui criteri associato al suggerimento:
- Copia l'ID dell'insight associato. L'ID è tutto ciò che segue
insights/
nel campoinsight
. Ad esempio, se il campoinsight
indicaprojects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
, l'ID approfondimento è7849add9-73c0-419e-b169-42b3671173fb
. - Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight che hai copiato.
Visualizza, ripristina e ripristina le modifiche
Dopo aver applicato o ignorato un suggerimento per un'associazione dei ruoli a livello di progetto, l'azione viene visualizzata nella cronologia dei suggerimenti.
Puoi visualizzare la cronologia dei suggerimenti per un bucket nella console Google Cloud:
Nella console Google Cloud, vai alla pagina Bucket.
Trova la colonna Approfondimenti sulla sicurezza. Se la colonna non è visibile, fai clic su Opzioni di visualizzazione delle colonne
e seleziona Approfondimenti sulla sicurezza.Individua il bucket di cui vuoi visualizzare la cronologia dei suggerimenti, poi fai clic sul riepilogo degli insight sulla sicurezza nella riga corrispondente.
Nel riquadro Suggerimenti per la sicurezza visualizzato, fai clic sulla scheda Cronologia suggerimenti.
La console Google Cloud mostra un elenco delle azioni precedenti sui suggerimenti per i ruoli.
Per visualizzare i dettagli di un suggerimento, fai clic sulla freccia di espansione
.La console Google Cloud mostra i dettagli dell'azione intrapresa, inclusa l'entità che ha eseguito l'azione:
(Facoltativo) Se necessario, puoi ripristinare il suggerimento annullando le modifiche al suggerimento oppure ripristinare un suggerimento che hai ignorato.
Per annullare una modifica applicata in precedenza a un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche ai ruoli dell'entità. Il suggerimento non viene più visualizzato nella console Google Cloud.
Per ripristinare un consiglio ignorato, fai clic su Ripristina. Il suggerimento diventa visibile nella pagina IAM della console Google Cloud. Non sono stati modificati ruoli o autorizzazioni.
Passaggi successivi
- Scopri di più sul motore per suggerimenti.
- Scopri come utilizzare consentire gli insight sui criteri per i bucket Cloud Storage.