このページでは、Cloud Storage バケットでの IAM のロールに関する推奨事項を表示、理解、適用する方法について説明します。ロールの推奨事項により、プリンシパルが実際に必要な権限のみを持つようにすることで、最小権限の原則を徹底できます。
始める前に
Enable the IAM and Recommender APIs.
Security Command Center のプレミアム ティアが組織レベルで有効になっていることを確認します。詳細については、お支払いについてをご覧ください。
ロールに関する推奨事項について理解する。
必要な IAM のロール
バケットレベルのロールの推奨事項を管理するために必要な権限を取得するには、プロジェクトに対して次の IAM ロールを付与するよう管理者に依頼してください。
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、バケットレベルのロールの推奨事項を管理するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
バケットレベルのロールの推奨事項を管理するには、次の権限が必要です。
-
推奨事項を表示するには:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
storage.buckets.getIamPolicy
-
-
推奨事項を適用、拒否するには:
-
recommender.iamPolicyRecommendations.update
-
storage.buckets.setIamPolicy
-
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
推奨事項の確認と適用
バケットレベルのロールの推奨事項を確認して適用するには、Google Cloud CLI と Recommender API を使用します。
Console
Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。
[セキュリティ分析情報] 列を見つけます。列が表示されていない場合は、[列表示オプション]
をクリックして [セキュリティ分析情報] を選択します。[セキュリティ分析情報] 列には、バケットのすべてのポリシーに関する分析情報の概要が表示されます。各概要は、対象のバケットに付与されているすべてのロールの過剰な権限の合計数を示します。
バケットの分析情報に対処できる推奨事項がある場合、Google Cloud コンソールに利用可能な推奨事項 アイコンが表示されます。
確認する推奨事項がある場合は、ポリシー分析情報の概要をクリックして [セキュリティに関する推奨事項] ペインを開きます。このペインには、バケットに対するロールを持つすべてのプリンシパル、それらのロール、およびそれらのロールに関連付けられているポリシーの分析情報が一覧表示されます。
利用可能な推奨事項がある アイコンをクリックすると、推奨事項の詳細が表示されます。
ロールの置き換えが推奨されている場合、ロールの推奨事項は、適用可能な事前定義ロール群を必ず提案します。
場合によっては、ロールの推奨事項はプロジェクト レベルで新しいカスタムロールを作成することも提案します。カスタムロールの推奨事項がある場合は、Google Cloud コンソールにデフォルトで表示されます。事前定義ロールの推奨事項に切り替えるには、[おすすめの事前定義ロールを見る] をクリックします。
推奨事項をよく確認し、プリンシパルによる Google Cloud リソースへのアクセス権がどのように変わるかを確認してください。サービス エージェントへの推奨事項を除き、推奨事項によってプリンシパルのアクセスレベルが向上することはありません。詳細については、ロール推奨事項の生成方法をご覧ください。
Console で推奨事項を確認する方法については、このページの推奨事項の確認をご覧ください。
省略可: カスタムロールを作成するレコメンデーションである場合は、必要に応じて、タイトル、説明、ID、ロールのリリース ステージを更新します。
カスタムロールに権限を追加する必要がある場合は、[権限を追加] をクリックします。
カスタムロールから権限を削除する必要がある場合は、削除する各権限のチェックボックスをオフにします。
推奨事項に基づいて対処します。
推奨事項を適用するには、[適用] または [作成して適用] をクリックします。90 日以内に変更したい場合は、推奨事項の履歴を使用して選択を元に戻してください。
推奨事項を閉じるには、[閉じる] をクリックして選択した内容を確認します。レコメンデーションが有効である限りは、非表示にしたレコメンデーションを復元できます。
前の手順を繰り返し、すべての推奨事項を確認します。
gcloud
推奨事項を確認する:
バケットレベルの推奨事項を一覧表示するには、gcloud recommender recommendations list
コマンドを実行し、Cloud Storage バケットの推奨事項のみをフィルタします。
gcloud recommender recommendations list \
--location=LOCATION \
--recommender=google.iam.policy.Recommender \
--project=PROJECT_ID \
--format=json \
--filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"
次の値を置き換えます。
LOCATION
: Cloud Storage バケットが配置されているリージョン(例:us
やus-central1
)。PROJECT_ID
: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です(例:my-project
)。
レスポンスは次の例のようになります。この例では、すべての認証済みユーザー(allAuthenticatedUsers
)に、バケット mybucket
に対するストレージのレガシー オブジェクト読み取りのロール(roles/storage.legacyObjectReader
)が付与されています。ただし、このロールは過去 90 日間使用されていません。そのため、ロールの推奨事項により、次のロールは取り消しが提案されます。
[ { "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "associatedResourceNames": [ "//storage.googleapis.com/my-bucket" ], "content": { "operationGroups": [ { "operations": [ { "action": "remove", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" }, "resource": "//storage.googleapis.com/my-bucket", "resourceType": "storage.googleapis.com/Bucket" } ] } ] }, "description": "This role has not been used during the observation window.", "etag": "\"7caf4103d7669e12\"", "lastRefreshTime": "2022-05-24T07:00:00Z", "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "ACTIVE" } } ]
推奨事項を慎重に確認し、それによってプリンシパルの Google Cloud リソースへのアクセスがどのように変化するかを見極めてください。gcloud CLI から推奨事項を確認する方法については、このページの推奨事項を確認するをご覧ください。
推奨事項を適用するには:
gcloud recommender recommendations mark-claimed
コマンドを使用して、推奨事項の状態をCLAIMED,
に変更します。これにより、推奨事項を適用している間は変更できなくなります。gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
次の値を置き換えてください。
-
RECOMMENDATION_ID
: レコメンデーションの一意の識別子。この値は、レコメンデーションのname
フィールドの最後に表示されます。たとえば、name
フィールドがprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
の場合、推奨事項 ID はfb927dc1-9695-4436-0000-f0f285007c0f
です。 -
LOCATION
: Cloud Storage バケットが配置されているリージョン(例:us
やus-central1
)。 -
PROJECT_ID
: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です(例:my-project
)。 -
FORMAT
: レスポンスの形式。json
またはyaml
を使用してください。 -
ETAG
: レコメンデーションのetag
フィールドの値("dd0686e7136a4cbb"
など)。この値には引用符を含めることができます。 -
STATE_METADATA
: 省略可。レコメンデーションに関する任意のメタデータを含むカンマで区切られた Key-Value ペア。たとえば、--state-metadata=reviewedBy=alice,priority=high
です。メタデータにより、レコメンデーションのstateInfo.stateMetadata
フィールドが置き換わります。
コマンドが成功した場合、レスポンスは次の例のように
CLAIMED
ステータスにレコメンデーションを表示します。この例では、わかりやすくするためにほとんどのフィールドを省略しています。... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "CLAIMED" } ...
-
バケットの許可ポリシーを取得し、推奨事項が反映されるように許可ポリシーを変更して設定します。
レコメンデーションを適用できた場合はレコメンデーションのステータスを
SUCCEEDED
に更新し、レコメンデーションを適用できない場合はFAILED
に更新します。gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
次の値を置き換えてください。
COMMAND
: レコメンデーションを適用できた場合はmark-succeeded
を使用し、レコメンデーションを適用できなかった場合はmark-failed
を使用します。-
RECOMMENDATION_ID
: レコメンデーションの一意の識別子。この値は、レコメンデーションのname
フィールドの最後に表示されます。たとえば、name
フィールドがprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
の場合、推奨事項 ID はfb927dc1-9695-4436-0000-f0f285007c0f
です。 -
LOCATION
: Cloud Storage バケットが配置されているリージョン(例:us
やus-central1
)。 -
PROJECT_ID
: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です(例:my-project
)。 -
FORMAT
: レスポンスの形式。json
またはyaml
を使用してください。 -
ETAG
: レコメンデーションのetag
フィールドの値("dd0686e7136a4cbb"
など)。この値には引用符を含めることができます。 -
STATE_METADATA
: 省略可。レコメンデーションに関する任意のメタデータを含むカンマで区切られた Key-Value ペア。たとえば、--state-metadata=reviewedBy=alice,priority=high
です。メタデータにより、レコメンデーションのstateInfo.stateMetadata
フィールドが置き換わります。
たとえば、レコメンデーションを「完了」に設定した場合、レスポンスにより
SUCCEEDED
ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "SUCCEEDED" } ...
REST
この手順は、ユーザーが認証済みで、GOOGLE_APPLICATION_CREDENTIALS
環境変数が設定されていることを前提としています。
推奨事項を確認する:
Cloud Storage バケットで利用可能なすべての推奨事項を一覧表示するには、Recommender API の recommendations.list
メソッドを使用します。
リクエストのデータを使用する前に、次のように置き換えます。
PROJECT_ID
: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です(例:my-project
)。LOCATION
: Cloud Storage バケットが配置されているリージョン(例:us
やus-central1
)。-
PAGE_SIZE
: 省略可。このリクエストから返される結果の最大数。指定しなかった場合、サーバーが結果数を決定します。推奨事項の数がページサイズより大きい場合、レスポンスにページ設定トークンが含まれます。このトークンを使用して、結果の次のページを取得できます。 -
PAGE_TOKEN
: 省略可。以前のレスポンスでこのメソッドから返されたページ設定トークン。指定すると、前のリクエストが終了した時点から推奨事項のリストが開始します。 PROJECT_ID
: Google Cloud プロジェクト IDプロジェクト ID は英数字からなる文字列です(例:my-project
)。
HTTP メソッドと URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
リクエストを送信するには、次のいずれかのオプションを展開します。
レスポンスは次の例のようになります。この例では、すべての認証済みユーザー(allAuthenticatedUsers
)に、バケット mybucket
に対するストレージのレガシー オブジェクト読み取りのロール(roles/storage.legacyObjectReader
)が付与されています。ただし、このロールは過去 90 日間使用されていません。そのため、ロールの推奨事項により、次のロールは取り消しが提案されます。
{ "recommendations": [ "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "description": "This role has not been used during the observation window.", "lastRefreshTime": "2022-05-24T07:00:00Z", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "content": { "operationGroups": [ { "operations": [ { "action": "remove", "resourceType": "storage.googleapis.com/Bucket", "resource": "//storage.googleapis.com/my-bucket", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" } } ] } ] }, "stateInfo": { "state": "ACTIVE" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "priority": "P1" ] }
推奨事項を慎重に確認し、それによってプリンシパルの Google Cloud リソースへのアクセスがどのように変化するかを見極めてください。REST API から推奨事項を確認する方法については、このページの推奨事項を確認するをご覧ください。
推奨事項を適用するには、次の手順を行います。
レコメンデーションを
CLAIMED
とマークします。推奨事項を
CLAIMED
としてマークし、適用中に推奨事項を変更できないようにするには、Recommender API のrecommendations.markClaimed
メソッドを使用します。リクエストのデータを使用する前に、次のように置き換えます。
PROJECT_ID
: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です(例:my-project
)。LOCATION
: Cloud Storage バケットが配置されているリージョン(例:us
やus-central1
)。RECOMMENDATION_ID
: 推奨事項の一意の識別子。この値は、レコメンデーションのname
フィールドの最後に表示されます。たとえば、name
フィールドがprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
の場合、レコメンデーション ID はfb927dc1-9695-4436-0000-f0f285007c0f
です。ETAG
: レコメンデーションのetag
フィールドの値("dd0686e7136a4cbb"
など)。バックスラッシュを使用して引用符をエスケープします(例:"\"df7308cca9719dcc\""
)。STATE_METADATA
: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例:{"reviewedBy": "alice", "priority": "high"}
メタデータにより、レコメンデーションのstateInfo.stateMetadata
フィールドが置き換わります。
HTTP メソッドと URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
リクエストの本文(JSON):
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
リクエストを送信するには、次のいずれかのオプションを展開します。
レスポンスでは、次の例のように
CLAIMED
ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。... "stateInfo": { "state": "CLAIMED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
レコメンデーションを適用できた場合はレコメンデーションのステータスを
SUCCEEDED
に更新し、レコメンデーションを適用できない場合はFAILED
に更新します。SUCCEEDED
推奨事項を
SUCCEEDED
としてマークして、適用可能であることを示すには、Recommender API のrecommendations.markSucceeded
メソッドを使用します。リクエストのデータを使用する前に、次のように置き換えます。
PROJECT_ID
: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です(例:my-project
)。LOCATION
: Cloud Storage バケットが配置されているリージョン(例:us
やus-central1
)。RECOMMENDATION_ID
: 推奨事項の一意の識別子。この値は、レコメンデーションのname
フィールドの最後に表示されます。たとえば、name
フィールドがprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
の場合、レコメンデーション ID はfb927dc1-9695-4436-0000-f0f285007c0f
です。ETAG
: レコメンデーションのetag
フィールドの値("dd0686e7136a4cbb"
など)。バックスラッシュを使用して引用符をエスケープします(例:"\"df7308cca9719dcc\""
)。STATE_METADATA
: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例:{"reviewedBy": "alice", "priority": "high"}
メタデータにより、レコメンデーションのstateInfo.stateMetadata
フィールドが置き換わります。
HTTP メソッドと URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
リクエストの本文(JSON):
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
リクエストを送信するには、次のいずれかのオプションを展開します。
レスポンスでは、次の例のように
SUCCEEDED
ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。... "stateInfo": { "state": "SUCCEEDED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
FAILED
推奨事項を適用できなかったことを示す
FAILED
とマークするには、Recommender API のrecommendations.markFailed
メソッドを使用します。リクエストのデータを使用する前に、次のように置き換えます。
PROJECT_ID
: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です(例:my-project
)。LOCATION
: Cloud Storage バケットが配置されているリージョン(例:us
やus-central1
)。RECOMMENDATION_ID
: 推奨事項の一意の識別子。この値は、レコメンデーションのname
フィールドの最後に表示されます。たとえば、name
フィールドがprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
の場合、レコメンデーション ID はfb927dc1-9695-4436-0000-f0f285007c0f
です。ETAG
: レコメンデーションのetag
フィールドの値("dd0686e7136a4cbb"
など)。バックスラッシュを使用して引用符をエスケープします(例:"\"df7308cca9719dcc\""
)。STATE_METADATA
: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例:{"reviewedBy": "alice", "priority": "high"}
メタデータにより、レコメンデーションのstateInfo.stateMetadata
フィールドが置き換わります。
HTTP メソッドと URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
リクエストの本文(JSON):
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
リクエストを送信するには、次のいずれかのオプションを展開します。
レスポンスでは、次の例のように
FAILED
ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。... "stateInfo": { "state": "FAILED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
推奨事項について
各推奨事項には、それが作られた理由の理解に役立つ情報が含まれます。
Console
推奨事項が作られた理由を理解できるように、Google Cloud コンソールには、推奨事項に関連付けられたポリシーの分析情報によって報告されたプリンシパルの権限の使用状況が表示されます。
推奨事項の適用による影響を容易に把握するため、Google Cloud コンソールでは、権限のリストを色と記号で分類して表示します。このリストは、推奨事項を適用した場合にプリンシパルの権限がどのように変化するかを示しています。たとえば、次のようなリストが表示されます。
それぞれの色と記号に関連付けられている権限の種類は次のとおりです。
グレー、記号なし: プリンシパルの現在のロールと推奨されるロールの両方に含まれる権限。
赤、マイナス記号
付き: プリンシパルの現在のロールに含まれている権限のうち、過去 90 日間に使用されなかったため推奨ロールに含まれない権限。緑、プラス記号サービス エージェントへの推奨事項にのみ表示されます。
: プリンシパルの現在のロールにはなく、推奨ロールには含まれる権限。この種類の権限は、青色、機械学習アイコン機械学習を通じて今後必要になると判断されたために推奨事項に含まれている権限。
付き: プリンシパルの現在のロールと推奨ロールの両方にある権限のうち、プリンシパルが過去 90 日間にその権限を使用したからではなく、
gcloud
各推奨事項には、それが作られた理由の理解に役立つ情報が含まれます。
推奨事項のフィールドの詳細については、Recommendation
リファレンスをご覧ください。
この推奨事項のベースとなる権限の使用状況を確認するには、推奨事項に関連付けられたポリシー分析情報を表示します。これらの分析情報は associatedInsights
フィールドにリストされています。推奨事項に関連付けられたポリシー分析情報を表示するには、次のようにします。
- 関連付けられた分析情報の ID をコピーします。ID は、
insight
フィールドのinsights/
より後の部分です。たとえば、insight
フィールドがprojects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
の場合、分析情報 ID は7849add9-73c0-419e-b169-42b3671173fb
です。 - コピーした分析情報 ID を使用して、手順どおりに操作を行い、ポリシーの分析情報を取得します。
REST
各推奨事項には、それが作られた理由の理解に役立つ情報が含まれます。
推奨事項のフィールドの詳細については、Recommendation
リファレンスをご覧ください。
この推奨事項のベースとなる権限の使用状況を確認するには、推奨事項に関連付けられたポリシー分析情報を表示します。これらの分析情報は associatedInsights
フィールドにリストされています。推奨事項に関連付けられたポリシー分析情報を表示するには、次のようにします。
- 関連付けられた分析情報の ID をコピーします。ID は、
insight
フィールドのinsights/
より後の部分です。たとえば、insight
フィールドがprojects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
の場合、分析情報 ID は7849add9-73c0-419e-b169-42b3671173fb
です。 - コピーした分析情報 ID を使用して、手順どおりに操作を行い、ポリシーの分析情報を取得します。
変更を表示する / 元に戻す / 復元する
プロジェクト レベルのロール バインディングに対する推奨事項を適用または拒否すると、その操作が推奨事項履歴に表示されます。
バケットの推奨事項の履歴は、Google Cloud コンソールで確認できます。
Google Cloud コンソールの [バケット] ページに移動します。
[セキュリティ分析情報] 列を見つけます。列が表示されていない場合は、[列表示オプション]
をクリックして [セキュリティ分析情報] を選択します。推奨事項の履歴を表示するバケットを探して、対象行のセキュリティ分析情報の概要をクリックします。
表示された [セキュリティに関する推奨事項] ペインで、[推奨事項の履歴] タブをクリックします。
Google Cloud コンソールには、ロールの推奨事項に対する以前のアクションの一覧が表示されます。
推奨事項の詳細を表示するには、
展開矢印をクリックします。Google Cloud コンソールには、アクションを実行したプリンシパルを含む、実行されたアクションの詳細が表示されます。
省略可: 必要に応じて、レコメンデーションの変更の取り消しや、レコメンデーションを復元して、レコメンデーションを元に戻すことができます。
以前に適用した推奨事項の変更を元に戻すには、[元に戻す] をクリックします。Google Cloud コンソールでは、プリンシパルのロールの変更が元に戻されます。Google Cloud コンソールに推奨事項が表示されなくなります。
閉じたレコメンデーションを復元するには、[復元] をクリックします。推奨事項は、Google Cloud コンソールの IAM ページに表示されます。ロールや権限は変更されません。
次のステップ
- Recommender の詳細を確認する。
- Cloud Storage バケット用の許可ポリシーの分析情報の使用方法を確認する。