Cloud Storage バケットのロールの推奨事項を確認して適用する

Console

1. Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。

   [バケット] に移動

2. [セキュリティ分析情報] 列を見つけます。列が表示されていない場合は、[列表示オプション] view_column をクリックして [セキュリティ分析情報] を選択します。

   [セキュリティ分析情報] 列には、バケットのすべてのポリシーに関する分析情報の概要が表示されます。各概要は、対象のバケットに付与されているすべてのロールの過剰な権限の合計数を示します。

   

   

   バケットの分析情報に対処できる推奨事項がある場合、Google Cloud コンソールに利用可能な推奨事項 アイコンが表示されます。

3. 確認する推奨事項がある場合は、ポリシー分析情報の概要をクリックして [セキュリティに関する推奨事項] ペインを開きます。このペインには、バケットに対するロールを持つすべてのプリンシパル、それらのロール、およびそれらのロールに関連付けられているポリシーの分析情報が一覧表示されます。

   

   

4. 利用可能な推奨事項がある アイコンをクリックすると、推奨事項の詳細が表示されます。

   ロールの置き換えが推奨されている場合、ロールの推奨事項は、適用可能な事前定義ロール群を必ず提案します。

   場合によっては、ロールの推奨事項はプロジェクト レベルで新しいカスタムロールを作成することも提案します。カスタムロールの推奨事項がある場合は、Google Cloud コンソールにデフォルトで表示されます。事前定義ロールの推奨事項に切り替えるには、[おすすめの事前定義ロールを見る] をクリックします。

5. 推奨事項をよく確認し、プリンシパルによる Google Cloud リソースへのアクセス権がどのように変わるかを確認してください。サービス エージェントへの推奨事項を除き、推奨事項によってプリンシパルのアクセスレベルが向上することはありません。詳細については、ロール推奨事項の生成方法をご覧ください。

   Console で推奨事項を確認する方法については、このページの推奨事項の確認をご覧ください。

6. 省略可: カスタムロールを作成するレコメンデーションである場合は、必要に応じて、タイトル、説明、ID、ロールのリリース ステージを更新します。

   カスタムロールに権限を追加する必要がある場合は、[権限を追加] をクリックします。

   カスタムロールから権限を削除する必要がある場合は、削除する各権限のチェックボックスをオフにします。

7. 推奨事項に基づいて対処します。

   推奨事項を適用するには、[適用] または [作成して適用] をクリックします。90 日以内に変更したい場合は、推奨事項の履歴を使用して選択を元に戻してください。

   推奨事項を閉じるには、[閉じる] をクリックして選択した内容を確認します。レコメンデーションが有効である限りは、非表示にしたレコメンデーションを復元できます。

8. 前の手順を繰り返し、すべての推奨事項を確認します。

gcloud

推奨事項を確認する:

バケットレベルの推奨事項を一覧表示するには、gcloud recommender recommendations list コマンドを実行し、Cloud Storage バケットの推奨事項のみをフィルタします。

gcloud recommender recommendations list \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=json \
    --filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"

次の値を置き換えます。

• LOCATION: Cloud Storage バケットが配置されているリージョン（例: us や us-central1）。
• PROJECT_ID: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。

レスポンスは次の例のようになります。この例では、すべての認証済みユーザー（allAuthenticatedUsers）に、バケット mybucket に対するストレージのレガシー オブジェクト読み取りのロール（roles/storage.legacyObjectReader）が付与されています。ただし、このロールは過去 90 日間使用されていません。そのため、ロールの推奨事項により、次のロールは取り消しが提案されます。

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "associatedResourceNames": [
      "//storage.googleapis.com/my-bucket"
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              },
              "resource": "//storage.googleapis.com/my-bucket",
              "resourceType": "storage.googleapis.com/Bucket"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "etag": "\"7caf4103d7669e12\"",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "priority": "P1",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

推奨事項を慎重に確認し、それによってプリンシパルの Google Cloud リソースへのアクセスがどのように変化するかを見極めてください。gcloud CLI から推奨事項を確認する方法については、このページの推奨事項を確認するをご覧ください。

推奨事項を適用するには:

1. gcloud recommender recommendations mark-claimed コマンドを使用して、推奨事項の状態を CLAIMED, に変更します。これにより、推奨事項を適用している間は変更できなくなります。

   gcloud recommender recommendations mark-claimed \
       RECOMMENDATION_ID \
       --location=LOCATION \
       --recommender=google.iam.policy.Recommender \
       --project=PROJECT_ID \
       --format=FORMAT \
       --etag=ETAG \
       --state-metadata=STATE_METADATA
   

   次の値を置き換えてください。

   • RECOMMENDATION_ID: レコメンデーションの一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。たとえば、name フィールドが projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f の場合、推奨事項 ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
   • LOCATION: Cloud Storage バケットが配置されているリージョン（例: us や us-central1）。
   • PROJECT_ID: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。
   • FORMAT: レスポンスの形式。json または yaml を使用してください。
   • ETAG: レコメンデーションの etag フィールドの値（"dd0686e7136a4cbb" など）。この値には引用符を含めることができます。
   • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータを含むカンマで区切られた Key-Value ペア。たとえば、--state-metadata=reviewedBy=alice,priority=high です。メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

   コマンドが成功した場合、レスポンスは次の例のように CLAIMED ステータスにレコメンデーションを表示します。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

   ...
   "priority": "P1",
   "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
   "stateInfo": {
     "state": "CLAIMED"
   }
   ...

2. バケットの許可ポリシーを取得し、推奨事項が反映されるように許可ポリシーを変更して設定します。

3. レコメンデーションを適用できた場合はレコメンデーションのステータスを SUCCEEDED に更新し、レコメンデーションを適用できない場合は FAILED に更新します。

   gcloud recommender recommendations COMMAND \
       RECOMMENDATION_ID \
       --location=LOCATION \
       --recommender=google.iam.policy.Recommender \
       --project=PROJECT_ID \
       --format=FORMAT \
       --etag=ETAG \
       --state-metadata=STATE_METADATA
   

   次の値を置き換えてください。

   • COMMAND: レコメンデーションを適用できた場合は mark-succeeded を使用し、レコメンデーションを適用できなかった場合は mark-failed を使用します。
   • RECOMMENDATION_ID: レコメンデーションの一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。たとえば、name フィールドが projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f の場合、推奨事項 ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
   • LOCATION: Cloud Storage バケットが配置されているリージョン（例: us や us-central1）。
   • PROJECT_ID: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。
   • FORMAT: レスポンスの形式。json または yaml を使用してください。
   • ETAG: レコメンデーションの etag フィールドの値（"dd0686e7136a4cbb" など）。この値には引用符を含めることができます。
   • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータを含むカンマで区切られた Key-Value ペア。たとえば、--state-metadata=reviewedBy=alice,priority=high です。メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

   たとえば、レコメンデーションを「完了」に設定した場合、レスポンスにより SUCCEEDED ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

   ...
   "priority": "P1",
   "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
   "stateInfo": {
     "state": "SUCCEEDED"
   }
   ...

REST

この手順は、ユーザーが認証済みで、GOOGLE_APPLICATION_CREDENTIALS 環境変数が設定されていることを前提としています。

推奨事項を確認する:

Cloud Storage バケットで利用可能なすべての推奨事項を一覧表示するには、Recommender API の recommendations.list メソッドを使用します。

リクエストのデータを使用する前に、次のように置き換えます。

• PROJECT_ID: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。
• LOCATION: Cloud Storage バケットが配置されているリージョン（例: us や us-central1）。
• PAGE_SIZE: 省略可。このリクエストから返される結果の最大数。指定しなかった場合、サーバーが結果数を決定します。推奨事項の数がページサイズより大きい場合、レスポンスにページ設定トークンが含まれます。このトークンを使用して、結果の次のページを取得できます。
• PAGE_TOKEN: 省略可。以前のレスポンスでこのメソッドから返されたページ設定トークン。指定すると、前のリクエストが終了した時点から推奨事項のリストが開始します。
• PROJECT_ID: Google Cloud プロジェクト IDプロジェクト ID は英数字からなる文字列です（例: my-project）。

HTTP メソッドと URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

リクエストを送信するには、次のいずれかのオプションを展開します。

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

レスポンスは次の例のようになります。この例では、すべての認証済みユーザー（allAuthenticatedUsers）に、バケット mybucket に対するストレージのレガシー オブジェクト読み取りのロール（roles/storage.legacyObjectReader）が付与されています。ただし、このロールは過去 90 日間使用されていません。そのため、ロールの推奨事項により、次のロールは取り消しが提案されます。

{
  "recommendations": [
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "resourceType": "storage.googleapis.com/Bucket",
              "resource": "//storage.googleapis.com/my-bucket",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              }
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    },
    "etag": "\"7caf4103d7669e12\"",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "priority": "P1"
  ]
}

推奨事項を慎重に確認し、それによってプリンシパルの Google Cloud リソースへのアクセスがどのように変化するかを見極めてください。REST API から推奨事項を確認する方法については、このページの推奨事項を確認するをご覧ください。

推奨事項を適用するには、次の手順を行います。

1. レコメンデーションを CLAIMED とマークします。

   推奨事項を CLAIMED としてマークし、適用中に推奨事項を変更できないようにするには、Recommender API の recommendations.markClaimed メソッドを使用します。

   リクエストのデータを使用する前に、次のように置き換えます。

   • PROJECT_ID: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。
   • LOCATION: Cloud Storage バケットが配置されているリージョン（例: us や us-central1）。
   • RECOMMENDATION_ID: 推奨事項の一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。たとえば、name フィールドが projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f の場合、レコメンデーション ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
   • ETAG: レコメンデーションの etag フィールドの値（"dd0686e7136a4cbb" など）。バックスラッシュを使用して引用符をエスケープします（例: "\"df7308cca9719dcc\""）。
   • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例: {"reviewedBy": "alice", "priority": "high"}メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

   HTTP メソッドと URL:

   POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

   リクエストの本文（JSON）:

   {
     "etag": "ETAG",
     "stateMetadata": {
       "STATE_METADATA"
     }
   }
   

   リクエストを送信するには、次のいずれかのオプションを展開します。

   curl（Linux、macOS、Cloud Shell）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "x-goog-user-project: PROJECT_ID" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"

   PowerShell（Windows）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content

   レスポンスでは、次の例のように CLAIMED ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

   ...
   "stateInfo": {
     "state": "CLAIMED"
   },
   "etag": "\"7caf4103d7669e12\"",
   "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
   ...
   

2. プロジェクトの許可ポリシーを取得して、推奨事項が反映されるように許可ポリシーを変更します。

3. レコメンデーションを適用できた場合はレコメンデーションのステータスを SUCCEEDED に更新し、レコメンデーションを適用できない場合は FAILED に更新します。

   SUCCEEDED

   推奨事項を SUCCEEDED としてマークして、適用可能であることを示すには、Recommender API の recommendations.markSucceeded メソッドを使用します。

   リクエストのデータを使用する前に、次のように置き換えます。

   • PROJECT_ID: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。
   • LOCATION: Cloud Storage バケットが配置されているリージョン（例: us や us-central1）。
   • RECOMMENDATION_ID: 推奨事項の一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。たとえば、name フィールドが projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f の場合、レコメンデーション ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
   • ETAG: レコメンデーションの etag フィールドの値（"dd0686e7136a4cbb" など）。バックスラッシュを使用して引用符をエスケープします（例: "\"df7308cca9719dcc\""）。
   • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例: {"reviewedBy": "alice", "priority": "high"}メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

   HTTP メソッドと URL:

   POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

   リクエストの本文（JSON）:

   {
     "etag": "ETAG",
     "stateMetadata": {
       "STATE_METADATA"
     }
   }
   

   リクエストを送信するには、次のいずれかのオプションを展開します。

   curl（Linux、macOS、Cloud Shell）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "x-goog-user-project: PROJECT_ID" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"

   PowerShell（Windows）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content

   レスポンスでは、次の例のように SUCCEEDED ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

   ...
   "stateInfo": {
     "state": "SUCCEEDED"
   },
   "etag": "\"7caf4103d7669e12\"",
   "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
   ...
   

   FAILED

   推奨事項を適用できなかったことを示す FAILED とマークするには、Recommender API の recommendations.markFailed メソッドを使用します。

   リクエストのデータを使用する前に、次のように置き換えます。

   • PROJECT_ID: Cloud Storage バケットを含む Google Cloud プロジェクトの ID。プロジェクト ID は英数字からなる文字列です（例: my-project）。
   • LOCATION: Cloud Storage バケットが配置されているリージョン（例: us や us-central1）。
   • RECOMMENDATION_ID: 推奨事項の一意の識別子。この値は、レコメンデーションの name フィールドの最後に表示されます。たとえば、name フィールドが projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f の場合、レコメンデーション ID は fb927dc1-9695-4436-0000-f0f285007c0f です。
   • ETAG: レコメンデーションの etag フィールドの値（"dd0686e7136a4cbb" など）。バックスラッシュを使用して引用符をエスケープします（例: "\"df7308cca9719dcc\""）。
   • STATE_METADATA: 省略可。レコメンデーションに関する任意のメタデータと Key-Value ペアを含むオブジェクト。例: {"reviewedBy": "alice", "priority": "high"}メタデータにより、レコメンデーションの stateInfo.stateMetadata フィールドが置き換わります。

   HTTP メソッドと URL:

   POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

   リクエストの本文（JSON）:

   {
     "etag": "ETAG",
     "stateMetadata": {
       "STATE_METADATA"
     }
   }
   

   リクエストを送信するには、次のいずれかのオプションを展開します。

   curl（Linux、macOS、Cloud Shell）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "x-goog-user-project: PROJECT_ID" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"

   PowerShell（Windows）

   リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content

   レスポンスでは、次の例のように FAILED ステータスにレコメンデーションが表示されます。この例では、わかりやすくするためにほとんどのフィールドを省略しています。

   ...
   "stateInfo": {
     "state": "FAILED"
   },
   "etag": "\"7caf4103d7669e12\"",
   "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
   ...
   

Console

推奨事項が作られた理由を理解できるように、Google Cloud コンソールには、推奨事項に関連付けられたポリシーの分析情報によって報告されたプリンシパルの権限の使用状況が表示されます。

推奨事項の適用による影響を容易に把握するため、Google Cloud コンソールでは、権限のリストを色と記号で分類して表示します。このリストは、推奨事項を適用した場合にプリンシパルの権限がどのように変化するかを示しています。たとえば、次のようなリストが表示されます。

それぞれの色と記号に関連付けられている権限の種類は次のとおりです。

• グレー、記号なし: プリンシパルの現在のロールと推奨されるロールの両方に含まれる権限。

  

• 赤、マイナス記号（-）付き: プリンシパルの現在のロールに含まれている権限のうち、過去 90 日間に使用されなかったため推奨ロールに含まれない権限。

  

• 緑、プラス記号（+）: プリンシパルの現在のロールにはなく、推奨ロールには含まれる権限。この種類の権限は、サービス エージェントへの推奨事項にのみ表示されます。

  

• 青色、機械学習アイコン（）付き: プリンシパルの現在のロールと推奨ロールの両方にある権限のうち、プリンシパルが過去 90 日間にその権限を使用したからではなく、機械学習を通じて今後必要になると判断されたために推奨事項に含まれている権限。

  

gcloud

各推奨事項には、それが作られた理由の理解に役立つ情報が含まれます。

推奨事項のフィールドの詳細については、Recommendation リファレンスをご覧ください。

この推奨事項のベースとなる権限の使用状況を確認するには、推奨事項に関連付けられたポリシー分析情報を表示します。これらの分析情報は associatedInsights フィールドにリストされています。推奨事項に関連付けられたポリシー分析情報を表示するには、次のようにします。

1. 関連付けられた分析情報の ID をコピーします。ID は、insight フィールドの insights/ より後の部分です。たとえば、insight フィールドが projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb の場合、分析情報 ID は 7849add9-73c0-419e-b169-42b3671173fb です。
2. コピーした分析情報 ID を使用して、手順どおりに操作を行い、ポリシーの分析情報を取得します。

REST

各推奨事項には、それが作られた理由の理解に役立つ情報が含まれます。

推奨事項のフィールドの詳細については、Recommendation リファレンスをご覧ください。

この推奨事項のベースとなる権限の使用状況を確認するには、推奨事項に関連付けられたポリシー分析情報を表示します。これらの分析情報は associatedInsights フィールドにリストされています。推奨事項に関連付けられたポリシー分析情報を表示するには、次のようにします。

1. 関連付けられた分析情報の ID をコピーします。ID は、insight フィールドの insights/ より後の部分です。たとえば、insight フィールドが projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb の場合、分析情報 ID は 7849add9-73c0-419e-b169-42b3671173fb です。
2. コピーした分析情報 ID を使用して、手順どおりに操作を行い、ポリシーの分析情報を取得します。