Auf dieser Seite wird erläutert, wie Sie die IAM-Rolle aufrufen, verstehen und anwenden Empfehlungen für Cloud Storage-Buckets. Hilfe zu Rollenempfehlungen Sie setzen das Prinzip der geringsten Berechtigung durch und sorgen dafür, dass Hauptkonten nur die Berechtigungen erstellen, die sie tatsächlich benötigen.
Hinweise
IAM and Recommender APIs aktivieren.
Achten Sie darauf, dass Sie eine Aktivierung der Premium-Stufe auf Organisationsebene haben: Security Command Center. Weitere Informationen finden Sie unter Abrechnung. Fragen.
Informieren Sie sich über Rollenempfehlungen.
Erforderliche IAM-Rollen
So erhalten Sie die Berechtigungen, die Sie zum Verwalten von Rollenempfehlungen auf Bucket-Ebene benötigen: bitten Sie Ihren Administrator, Ihnen folgende IAM-Rollen für das Projekt:
-
Rollenbetrachter (
roles/iam.roleViewer
) -
Storage-Administrator (
roles/storage.admin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierten Rollen enthalten Berechtigungen, die zum Verwalten von Rollenempfehlungen auf Bucket-Ebene erforderlich sind Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind zum Verwalten von Rollenempfehlungen auf Bucket-Ebene erforderlich:
-
So rufen Sie Empfehlungen auf:
<ph type="x-smartling-placeholder">
- </ph>
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
storage.buckets.getIamPolicy
-
-
So übernehmen Sie Empfehlungen oder lehnen sie ab:
<ph type="x-smartling-placeholder">
- </ph>
-
recommender.iamPolicyRecommendations.update
-
storage.buckets.setIamPolicy
-
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Empfehlungen prüfen und anwenden
Sie können Empfehlungen für Rollen auf Bucket-Ebene mit dem Google Cloud CLI und Recommender API
Console
Wechseln Sie in der Google Cloud Console zur Cloud Storage-Seite Buckets.
Suchen Sie die Spalte Sicherheitsinformationen. Wenn die Spalte nicht sichtbar ist, klicken Sie auf Spaltenanzeigeoptionen
und wählen Sie Sicherheitsinformationen aus.Die Spalte Sicherheitsinformationen enthält eine Zusammenfassung aller Richtlinienstatistiken für Bucket. In jeder Zusammenfassung ist die Gesamtzahl der nicht erforderlichen Berechtigungen für allen für diesen Bucket zugewiesenen Rollen.
Wenn eine Empfehlung zur Umsetzung einer der Erkenntnisse für Bucket wird in der Google Cloud Console Empfehlung verfügbar
-Symbol.Wenn es Empfehlungen gibt, die Sie sich ansehen können, klicken Sie auf eine Zusammenfassung der Richtlinienstatistiken, Öffnen Sie den Bereich Sicherheitsempfehlungen. In diesem Bereich werden alle Hauptkonten aufgelistet mit einer Rolle für den Bucket sowie deren Rollen und Richtlinienstatistiken die mit diesen Rollen verknüpft sind.
Klicken Sie auf einen Empfehlung verfügbar
um Details zur Empfehlung aufzurufen.Wenn die Empfehlung darin besteht, die Rolle zu ersetzen, schlägt der Rollen-Recommender immer eine Reihe von vordefinierten Rollen vor, die Sie anwenden können.
In einigen Fällen schlägt die Rollenempfehlung auch vor, eine neue benutzerdefinierte Rolle auf Projektebene zu erstellen. Wenn ein benutzerdefinierter Rollenempfehlung verfügbar ist, wird sie in der Google Cloud Console Standardeinstellung. Wenn Sie sich wieder ansehen möchten, welche vordefinierte Rolle empfohlen wurde, klicken Sie auf Empfohlene vordefinierte Rollen ansehen.
Prüfen Sie die Empfehlung eingehend und machen Sie sich klar, wie sich dadurch der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Mit Ausnahme der Empfehlungen für Kundenservicemitarbeiter Zugriffsebene des Hauptkontos. Weitere Informationen finden Sie unter Rollenempfehlungen generieren.
Informationen zum Abrufen von Empfehlungen in der Konsole finden Sie auf dieser Seite unter Empfehlungen prüfen.
Optional: Wenn die Empfehlung lautet, eine benutzerdefinierte Rolle zu erstellen, aktualisieren Sie, falls nötig, den Titel, die Beschreibung, die ID und die Phase der Rollenerstellung.
Wenn Sie der benutzerdefinierten Rolle Berechtigungen hinzufügen möchten, klicken Sie auf Berechtigungen hinzufügen.
Wenn Sie aus der benutzerdefinierten Rolle Berechtigungen entfernen möchten, entfernen Sie für jede Berechtigung, die Sie entfernen möchten, das Häkchen aus dem entsprechenden Kästchen.
Setzen Sie die Empfehlung um.
Um die Empfehlung anzuwenden, klicken Sie auf Anwenden oder Erstellen und anwenden. Wenn Sie Ihre Meinung innerhalb der nächsten 90 Tage ändern, verwenden Sie den Empfehlungsverlauf, um Ihre Entscheidung rückgängig zu machen.
Wenn Sie die Empfehlung verwerfen möchten, klicken Sie auf Verwerfen und bestätigen dann Ihre Auswahl. Sie können eine verworfene Empfehlung wiederherstellen, solange die Empfehlung noch gültig ist.
Wiederholen Sie die vorherigen Schritte, bis Sie alle Empfehlungen geprüft haben.
gcloud
Empfehlungen prüfen
Führen Sie den Befehl
gcloud recommender recommendations list
Befehl, um nur nach Empfehlungen für Cloud Storage-Bucket zu filtern:
gcloud recommender recommendations list \
--location=LOCATION \
--recommender=google.iam.policy.Recommender \
--project=PROJECT_ID \
--format=json \
--filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"
Ersetzen Sie die folgenden Werte:
LOCATION
: Die Region, in der sich Ihr Cloud Storage- sich befinden, z. B.us
oderus-central1
.PROJECT_ID
: die ID des Google Cloud-Projekts der Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel sind alle
Authentifizierte Nutzer (allAuthenticatedUsers
) haben das alte Storage-Objekt
Rolle „Leser“ (roles/storage.legacyObjectReader
) für den Bucket mybucket
.
Diese Rolle wurde jedoch in den letzten 90 Tagen nicht verwendet. Als
zu einem Ergebnis führt, schlägt die Rollenempfehlung vor, dass Sie die Rolle widerrufen:
[ { "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "associatedResourceNames": [ "//storage.googleapis.com/my-bucket" ], "content": { "operationGroups": [ { "operations": [ { "action": "remove", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" }, "resource": "//storage.googleapis.com/my-bucket", "resourceType": "storage.googleapis.com/Bucket" } ] } ] }, "description": "This role has not been used during the observation window.", "etag": "\"7caf4103d7669e12\"", "lastRefreshTime": "2022-05-24T07:00:00Z", "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "ACTIVE" } } ]
Prüfen Sie jede Empfehlung sorgfältig und überlegen Sie, wie sich durch die empfohlenen Änderungen der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Informationen zum Prüfen von Empfehlungen mit der gcloud CLI finden Sie auf dieser Seite unter Empfehlungen prüfen.
So wenden Sie eine Empfehlung an:
Verwenden Sie den Befehl
gcloud recommender recommendations mark-claimed
, um den Status der Empfehlung inCLAIMED,
zu ändern. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden:gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Ersetzen Sie die folgenden Werte:
-
RECOMMENDATION_ID
: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Wenn das Feldname
beispielsweiseprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, Die Empfehlungs-ID lautetfb927dc1-9695-4436-0000-f0f285007c0f
. -
LOCATION
: Die Region, in der sich Ihr Cloud Storage- sich befindet, z. B.us
oderus-central1
. -
PROJECT_ID
: die ID des Google Cloud-Projekts der Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings wiemy-project
. -
FORMAT
: das Format der Antwort. Verwenden Siejson
oderyaml
. -
ETAG
: der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann. -
STATE_METADATA
: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel:--state-metadata=reviewedBy=alice,priority=high
. Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.
Wenn der Befehl erfolgreich ausgeführt wurde, wird die Empfehlung in der Antwort im
CLAIMED
-Status aufgeführt, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden im Beispiel die meisten Felder weggelassen:... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "CLAIMED" } ...
-
Rufen Sie die Zulassungsrichtlinie für den Bucket ab und klicken Sie dann die Zulassungsrichtlinie so ändern und festlegen, dass sie den Empfehlung.
Aktualisieren Sie den Empfehlungsstatus auf
SUCCEEDED
, falls Sie die Empfehlung anwenden konnten, oder aufFAILED
, falls Sie die Empfehlung nicht anwenden konnten:gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Ersetzen Sie die folgenden Werte:
COMMAND
: Verwenden Siemark-succeeded
, wenn Sie die Empfehlung anwenden konnten, odermark-failed
, wenn Sie die Empfehlung nicht anwenden konnten.-
RECOMMENDATION_ID
: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Wenn das Feldname
beispielsweiseprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, Die Empfehlungs-ID lautetfb927dc1-9695-4436-0000-f0f285007c0f
. -
LOCATION
: Die Region, in der sich Ihr Cloud Storage- sich befindet, z. B.us
oderus-central1
. -
PROJECT_ID
: die ID des Google Cloud-Projekts der Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings wiemy-project
. -
FORMAT
: das Format der Antwort. Verwenden Siejson
oderyaml
. -
ETAG
: der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann. -
STATE_METADATA
: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel:--state-metadata=reviewedBy=alice,priority=high
. Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.
Wenn Sie beispielsweise die Empfehlung als erfolgreich angewendet markiert haben, wird die Empfehlung in der Antwort im
SUCCEEDED
-Status angezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "SUCCEEDED" } ...
REST
Hinweis: Bei dieser Anleitung wird davon ausgegangen, dass Sie die Authentifizierung vorgenommen und die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS
festgelegt haben.
Empfehlungen prüfen
Verwenden Sie zum Auflisten aller verfügbaren Empfehlungen für Ihre Cloud Storage-Buckets die
recommendations.list
.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Die ID des Google Cloud-Projekt, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wiemy-project
.LOCATION
: Die Region, in der Ihr Cloud Storage-Buckets befinden sich beispielsweise inus
oderus-central1
-
PAGE_SIZE
: Optional. Die maximale Anzahl von Ergebnissen, die von dieser Anfrage zurückgegeben werden sollen. Wenn nicht angegeben, bestimmt der Server die Anzahl der zurückzugebenden Ergebnisse. Wenn die Anzahl der Empfehlungen die Seitengröße überschreitet, enthält die Antwort ein Seitenumbruchtoken, mit dem Sie die nächste Ergebnisseite abrufen können. -
PAGE_TOKEN
: Optional. Das Seitenumbruchtoken, das in einer früheren Antwort von dieser Methode zurückgegeben wurde. Wenn dieser Wert angegeben wird, beginnt die Liste der Empfehlungen dort, wo die vorherige Anfrage endet. PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel sind alle
Authentifizierte Nutzer (allAuthenticatedUsers
) haben das alte Storage-Objekt
Rolle „Leser“ (roles/storage.legacyObjectReader
) für den Bucket mybucket
.
Diese Rolle wurde jedoch in den letzten 90 Tagen nicht verwendet. Als
zu einem Ergebnis führt, schlägt die Rollenempfehlung vor, dass Sie die Rolle widerrufen:
{ "recommendations": [ "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "description": "This role has not been used during the observation window.", "lastRefreshTime": "2022-05-24T07:00:00Z", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "content": { "operationGroups": [ { "operations": [ { "action": "remove", "resourceType": "storage.googleapis.com/Bucket", "resource": "//storage.googleapis.com/my-bucket", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" } } ] } ] }, "stateInfo": { "state": "ACTIVE" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "priority": "P1" ] }
Prüfen Sie jede Empfehlung sorgfältig und überlegen Sie, wie sich durch die empfohlenen Änderungen der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Informationen zum Prüfen von Empfehlungen über die API finden Sie auf dieser Seite unter Empfehlungen prüfen.
So wenden Sie eine Empfehlung an:
Markieren Sie die Empfehlung als
CLAIMED
:Um eine Empfehlung als
CLAIMED
zu markieren, damit sich die Empfehlung nicht ändert, wenn Sie sie anwenden, verwenden Sie dierecommendations.markClaimed
.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Die ID des Google Cloud-Projekt, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wiemy-project
.LOCATION
: Die Region, in der Ihr Der Cloud Storage-Bucket befindet sich, z. B.us
oderus-central1
RECOMMENDATION_ID
: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Wenn das Feldname
beispielsweiseprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
lautet, dann ist die Empfehlungs-IDfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B."\"df7308cca9719dcc\""
.STATE_METADATA
: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel:{"reviewedBy": "alice", "priority": "high"}
. Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.
HTTP-Methode und URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
JSON-Text anfordern:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort zeigt die Empfehlung im
CLAIMED
-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:... "stateInfo": { "state": "CLAIMED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
Rufen Sie die Zulassungsrichtlinie für das Projekt ab und klicken Sie dann die Zulassungsrichtlinie so ändern, dass sie den Empfehlung.
Aktualisieren Sie den Empfehlungsstatus auf
SUCCEEDED
, falls Sie die Empfehlung anwenden konnten, oder aufFAILED
, falls Sie die Empfehlung nicht anwenden konnten:SUCCEEDED
Um eine Empfehlung als
SUCCEEDED
zu markieren, was darauf hinweist, dass Sie sie anwenden konnten, verwenden Sie dierecommendations.markSucceeded
.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Die ID des Google Cloud-Projekt, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wiemy-project
.LOCATION
: Die Region, in der Ihr Der Cloud Storage-Bucket befindet sich, z. B.us
oderus-central1
RECOMMENDATION_ID
: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Wenn das Feldname
beispielsweiseprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
lautet, dann ist die Empfehlungs-IDfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B."\"df7308cca9719dcc\""
.STATE_METADATA
: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel:{"reviewedBy": "alice", "priority": "high"}
. Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.
HTTP-Methode und URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
JSON-Text anfordern:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort zeigt die Empfehlung im
SUCCEEDED
-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:... "stateInfo": { "state": "SUCCEEDED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
FAILED
Um eine Empfehlung als
FAILED
zu markieren, was darauf hinweist, dass Sie sie nicht anwenden konnten, verwenden Sie dierecommendations.markFailed
.Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Die ID des Google Cloud-Projekt, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wiemy-project
.LOCATION
: Die Region, in der Ihr Der Cloud Storage-Bucket befindet sich, z. B.us
oderus-central1
RECOMMENDATION_ID
: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldesname
in der Empfehlung angezeigt. Wenn das Feldname
beispielsweiseprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
lautet, dann ist die Empfehlungs-IDfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Der Wert des Feldesetag
in der Empfehlung, z. B."dd0686e7136a4cbb"
. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B."\"df7308cca9719dcc\""
.STATE_METADATA
: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel:{"reviewedBy": "alice", "priority": "high"}
. Die Metadaten ersetzen in der Empfehlung das FeldstateInfo.stateMetadata
.
HTTP-Methode und URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
JSON-Text anfordern:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort zeigt die Empfehlung im
FAILED
-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:... "stateInfo": { "state": "FAILED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
Empfehlungen verstehen
Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde.
Console
Damit Sie den Grund für die Empfehlung besser verstehen, In der Google Cloud Console wird die Berechtigungsnutzung des Hauptkontos angezeigt, Die Richtlinienstatistik, die der Empfehlung zugeordnet ist.
Damit Sie die Auswirkungen der Empfehlung besser verstehen, In der Google Cloud Console wird auch eine Liste von Berechtigungen mit Farben und Symbolen angezeigt. Diese Liste gibt an, wie sich die Berechtigungen des Hauptkontos ändern, wenn Sie die Empfehlung übernehmen. Es kann beispielsweise eine Liste wie die folgende angezeigt werden:
Die einzelnen Farben und Symbole stehen für folgende Berechtigungen:
Grau ohne Symbol: Berechtigungen, die sowohl in der aktuellen Rolle des Hauptkontos als auch in den empfohlenen Rollen enthalten sind.
Rot mit Minuszeichen
: Berechtigungen, die in der aktuellen Rolle des Hauptkontos, aber nicht in den empfohlenen Rollen enthalten sind, da das Hauptkonto sie in den letzten 90 Tagen nicht genutzt hat.Grün mit einem Pluszeichen Empfehlungen für den Dienst angezeigt. Agents.
: Berechtigungen, die nicht in der aktuellen Rolle des Hauptkontos enthalten sind, sich aber in den empfohlenen Rollen befinden. Diese Art von Berechtigung wird nur in denBlau mit Symbol für maschinelles Lernen maschinelles Lernen festgestellt hat, dass es diese Berechtigungen in Zukunft vermutlich benötigt.
: Berechtigungen, die sowohl in der aktuellen Rolle des Hauptkontos als auch in den empfohlenen Rollen enthalten sind, und zwar nicht, weil das Hauptkonto die Berechtigungen in den letzten 90 Tagen genutzt hat, sondern weil Recommender durch
gcloud
Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde.
Weitere Informationen zu den Feldern einer Empfehlung finden Sie in der Referenz zu Recommendation
.
Sehen Sie sich die Richtlinienstatistiken für die Empfehlung an, um zu erfahren, auf welcher Berechtigungsnutzung diese Empfehlung basiert.
Diese Nachrichten werden im Feld associatedInsights
aufgelistet. So rufen Sie eine mit der Empfehlung verknüpfte Richtlinie auf:
- Kopieren Sie die ID der verknüpften Statistik. Die ID ist alles nach
insights/
im Feldinsight
. Wenn das Feldinsight
beispielsweiseprojects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
, lautet die Statistik-ID7849add9-73c0-419e-b169-42b3671173fb
. - Folgen Sie der Anleitung zum Abrufen einer Richtlinienstatistik mithilfe der kopierten Statistik-ID.
REST
Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde.
Weitere Informationen zu den Feldern einer Empfehlung finden Sie in der Referenz zu Recommendation
.
Sehen Sie sich die Richtlinienstatistiken für die Empfehlung an, um zu erfahren, auf welcher Berechtigungsnutzung diese Empfehlung basiert.
Diese Nachrichten werden im Feld associatedInsights
aufgelistet. So rufen Sie eine mit der Empfehlung verknüpfte Richtlinie auf:
- Kopieren Sie die ID der verknüpften Statistik. Die ID ist alles nach
insights/
im Feldinsight
. Wenn das Feldinsight
beispielsweiseprojects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
, lautet die Statistik-ID7849add9-73c0-419e-b169-42b3671173fb
. - Folgen Sie der Anleitung zum Abrufen einer Richtlinienstatistik mithilfe der kopierten Statistik-ID.
Änderungen ansehen, zurücksetzen und wiederherstellen
Nachdem Sie eine Empfehlung für eine Rollenbindung auf Projektebene angewendet oder abgelehnt haben, wird diese Aktion im Empfehlungsverlauf angezeigt.
Den Empfehlungsverlauf für einen Bucket finden Sie in der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Buckets auf.
Suchen Sie die Spalte Sicherheitsinformationen. Wenn die Spalte nicht sichtbar ist, klicken Sie auf Spaltenanzeigeoptionen
und wählen Sie Sicherheitsinformationen aus.Suchen Sie den Bucket, dessen Empfehlungsverlauf Sie aufrufen möchten, und klicken Sie auf die Zusammenfassung der Sicherheitsinformationen in dieser Zeile.
Klicken Sie im Bereich Sicherheitsempfehlungen auf das Tab Empfehlungsverlauf.
In der Google Cloud Console wird eine Liste der bisherigen Aktionen Rollenempfehlungen.
Klicken Sie auf den Pfeil zum Maximieren
, um Details zu einer Empfehlung aufzurufen.In der Google Cloud Console werden Details zur ausgeführten Aktion angezeigt. einschließlich des Auftraggebers, der die Aktion ausgeführt hat:
Optional: Bei Bedarf können Sie die Empfehlung zurücksetzen, wodurch die oder eine Empfehlung wiederherstellen, geschlossen.
Um eine zuvor für eine Empfehlung angewendete Änderung rückgängig zu machen, klicken Sie auf Wiederherstellen. Die Google Cloud Console macht die Änderungen auf den des Hauptkontos. Die Empfehlung wird nicht mehr in der Google Cloud Console
Klicken Sie zum Wiederherstellen einer verworfenen Empfehlung auf Wiederherstellen. Die wird die Empfehlung auf der Seite IAM Google Cloud Console Es wurden keine Rollen oder Berechtigungen geändert.
Nächste Schritte
- Recommender
- Informationen zum Zulassen von Richtlinienstatistiken für Cloud Storage verwenden Buckets.