Rollenempfehlungen für Cloud Storage-Buckets prüfen und anwenden

Auf dieser Seite wird erläutert, wie Sie Empfehlungen zu IAM-Rollen für Cloud Storage-Buckets aufrufen, verstehen und anwenden. Mit Rollenempfehlungen können Sie das Prinzip der geringsten Berechtigung erzwingen und so dafür sorgen, dass Hauptkonten nur die Berechtigungen haben, die sie tatsächlich benötigen.

Hinweise

Erforderliche IAM-Rollen

Bitten Sie den Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Verwalten von Rollenempfehlungen auf Bucket-Ebene benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Rollenempfehlungen auf Bucket-Ebene erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Rollenempfehlungen auf Bucket-Ebene zu verwalten:

  • So rufen Sie Empfehlungen auf:
    • iam.roles.get
    • iam.roles.list
    • recommender.iamPolicyRecommendations.get
    • recommender.iamPolicyRecommendations.list
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
    • storage.buckets.getIamPolicy
  • So übernehmen oder ablehnen Sie Empfehlungen:
    • recommender.iamPolicyRecommendations.update
    • storage.buckets.setIamPolicy

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Empfehlungen prüfen und anwenden

Sie können Rollenempfehlungen auf Bucket-Ebene mit der Google Cloud CLI und der Recommender API prüfen und anwenden.

Console

  1. Wechseln Sie in der Google Cloud Console zur Cloud Storage-Seite Buckets.

    Buckets aufrufen

  2. Suchen Sie die Spalte Sicherheitsinformationen. Wenn die Spalte nicht sichtbar ist, klicken Sie auf Spaltenanzeigeoptionen und wählen Sie Sicherheitsinformationen aus.

    Die Spalte Sicherheitsinformationen enthält eine Zusammenfassung aller Richtlinienstatistiken für einen Bucket. Jede Zusammenfassung gibt die Gesamtzahl der nicht erforderlichen Berechtigungen für alle Rollen an, die in diesem Bucket gewährt wurden.

    Wenn eine Empfehlung für eine der Statistiken für den Bucket verfügbar ist, wird in der Google Cloud Console das Symbol Empfehlung verfügbar angezeigt.

  3. Wenn es Empfehlungen gibt, die geprüft werden müssen, klicken Sie auf eine Zusammenfassung der Richtlinienstatistiken, um den Bereich Sicherheitsempfehlungen zu öffnen. In diesem Bereich werden alle Hauptkonten, die eine Rolle für den Bucket haben, ihre Rollen und alle mit diesen Rollen verknüpften Richtlinienstatistiken aufgelistet.

  4. Klicken Sie auf das Symbol für Empfehlung verfügbar , um Details zur Empfehlung aufzurufen.

    Wenn die Empfehlung darin besteht, die Rolle zu ersetzen, schlägt der Rollen-Recommender immer eine Reihe von vordefinierten Rollen vor, die Sie anwenden können.

    In einigen Fällen schlägt die Rollenempfehlung auch vor, eine neue benutzerdefinierte Rolle auf Projektebene zu erstellen. Wenn eine Empfehlung für benutzerdefinierte Rollen verfügbar ist, wird sie in der Google Cloud Console standardmäßig angezeigt. Wenn Sie sich wieder ansehen möchten, welche vordefinierte Rolle empfohlen wurde, klicken Sie auf Empfohlene vordefinierte Rollen ansehen.

  5. Prüfen Sie die Empfehlung eingehend und machen Sie sich klar, wie sich dadurch der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Abgesehen von den Empfehlungen für von Google verwaltete Dienstkonten erhöht eine Empfehlung nie die Zugriffsebene eines Hauptkontos. Weitere Informationen finden Sie unter Rollenempfehlungen generieren.

    Informationen zum Abrufen von Empfehlungen in der Konsole finden Sie auf dieser Seite unter Empfehlungen prüfen.

  6. Optional: Wenn die Empfehlung lautet, eine benutzerdefinierte Rolle zu erstellen, aktualisieren Sie, falls nötig, den Titel, die Beschreibung, die ID und die Phase der Rollenerstellung.

    Wenn Sie der benutzerdefinierten Rolle Berechtigungen hinzufügen möchten, klicken Sie auf Berechtigungen hinzufügen.

    Wenn Sie aus der benutzerdefinierten Rolle Berechtigungen entfernen möchten, entfernen Sie für jede Berechtigung, die Sie entfernen möchten, das Häkchen aus dem entsprechenden Kästchen.

  7. Setzen Sie die Empfehlung um.

    Um die Empfehlung anzuwenden, klicken Sie auf Anwenden oder Erstellen und anwenden. Wenn Sie Ihre Meinung innerhalb der nächsten 90 Tage ändern, verwenden Sie den Empfehlungsverlauf, um Ihre Entscheidung rückgängig zu machen.

    Wenn Sie die Empfehlung verwerfen möchten, klicken Sie auf Verwerfen und bestätigen dann Ihre Auswahl. Sie können eine verworfene Empfehlung wiederherstellen, solange die Empfehlung noch gültig ist.

  8. Wiederholen Sie die vorherigen Schritte, bis Sie alle Empfehlungen geprüft haben.

gcloud

Empfehlungen prüfen

Um Empfehlungen auf Bucket-Ebene aufzulisten, führen Sie den Befehl gcloud recommender recommendations list aus und filtern Sie nur nach Cloud Storage-Bucket-Empfehlungen:

gcloud recommender recommendations list \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=json \
    --filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"

Ersetzen Sie die folgenden Werte:

  • LOCATION: Die Region, in der sich Ihre Cloud Storage-Buckets befinden, z. B. us oder us-central1.
  • PROJECT_ID: Die ID des Google Cloud-Projekts, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wie my-project.

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel haben alle authentifizierten Nutzer (allAuthenticatedUsers) die Rolle „Leser alter Storage-Objekte“ (roles/storage.legacyObjectReader) für den Bucket mybucket. Diese Rolle wurde jedoch in den letzten 90 Tagen nicht verwendet. Daher wird in der Rollenempfehlung vorgeschlagen, die Rolle zu widerrufen:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "associatedResourceNames": [
      "//storage.googleapis.com/my-bucket"
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              },
              "resource": "//storage.googleapis.com/my-bucket",
              "resourceType": "storage.googleapis.com/Bucket"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "etag": "\"7caf4103d7669e12\"",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "priority": "P1",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Prüfen Sie jede Empfehlung sorgfältig und überlegen Sie, wie sich durch die empfohlenen Änderungen der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Informationen zum Prüfen von Empfehlungen mit der gcloud CLI finden Sie auf dieser Seite unter Empfehlungen prüfen.

So wenden Sie eine Empfehlung an:

  1. Verwenden Sie den Befehl gcloud recommender recommendations mark-claimed, um den Status der Empfehlung in CLAIMED, zu ändern. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Ersetzen Sie die folgenden Werte:

    • RECOMMENDATION_ID: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • LOCATION: Die Region, in der sich Ihr Cloud Storage-Bucket befindet, z. B. us oder us-central1.
    • PROJECT_ID: Die ID des Google Cloud-Projekts, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings wie my-project.
    • FORMAT: das Format der Antwort. Verwenden Sie json oder yaml.
    • ETAG: der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.
    • STATE_METADATA: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    Wenn der Befehl erfolgreich ausgeführt wurde, wird die Empfehlung in der Antwort im CLAIMED-Status aufgeführt, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden im Beispiel die meisten Felder weggelassen:

    ...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "CLAIMED"
}
...

  2. Rufen Sie die Zulassungsrichtlinie für den Bucket ab und ändern und legen Sie die Zulassungsrichtlinie so fest, dass sie der Empfehlung entspricht.

  3. Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Ersetzen Sie die folgenden Werte:

    • COMMAND: Verwenden Sie mark-succeeded, wenn Sie die Empfehlung anwenden konnten, oder mark-failed, wenn Sie die Empfehlung nicht anwenden konnten.

    • RECOMMENDATION_ID: die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • LOCATION: Die Region, in der sich Ihr Cloud Storage-Bucket befindet, z. B. us oder us-central1.
    • PROJECT_ID: Die ID des Google Cloud-Projekts, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings wie my-project.
    • FORMAT: das Format der Antwort. Verwenden Sie json oder yaml.
    • ETAG: der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.
    • STATE_METADATA: Optional. Durch Kommas getrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    Wenn Sie beispielsweise die Empfehlung als erfolgreich angewendet markiert haben, wird die Empfehlung in der Antwort im SUCCEEDED-Status angezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:

    ...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "SUCCEEDED"
}
...

REST

Hinweis: Bei dieser Anleitung wird davon ausgegangen, dass Sie die Authentifizierung vorgenommen und die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS festgelegt haben.

Empfehlungen prüfen

Verwenden Sie die Methode recommendations.list der Recommender API, um alle verfügbaren Empfehlungen für Ihre Cloud Storage-Buckets aufzulisten.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

  • PROJECT_ID: Die ID des Google Cloud-Projekts, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • LOCATION: Die Region, in der sich Ihre Cloud Storage-Buckets befinden, z. B. us oder us-central1.
  • PAGE_SIZE: Optional. Die maximale Anzahl von Ergebnissen, die von dieser Anfrage zurückgegeben werden sollen. Wenn nicht angegeben, bestimmt der Server die Anzahl der zurückzugebenden Ergebnisse. Wenn die Anzahl der Empfehlungen die Seitengröße überschreitet, enthält die Antwort ein Seitenumbruchtoken, mit dem Sie die nächste Ergebnisseite abrufen können.
  • PAGE_TOKEN: Optional. Das Seitenumbruchtoken, das in einer früheren Antwort von dieser Methode zurückgegeben wurde. Wenn dieser Wert angegeben wird, beginnt die Liste der Empfehlungen dort, wo die vorherige Anfrage endet.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel haben alle authentifizierten Nutzer (allAuthenticatedUsers) die Rolle „Leser alter Storage-Objekte“ (roles/storage.legacyObjectReader) für den Bucket mybucket. Diese Rolle wurde jedoch in den letzten 90 Tagen nicht verwendet. Daher wird in der Rollenempfehlung vorgeschlagen, die Rolle zu widerrufen: 

{
  "recommendations": [
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "resourceType": "storage.googleapis.com/Bucket",
              "resource": "//storage.googleapis.com/my-bucket",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              }
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    },
    "etag": "\"7caf4103d7669e12\"",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "priority": "P1"
  ]
}

Prüfen Sie jede Empfehlung sorgfältig und überlegen Sie, wie sich durch die empfohlenen Änderungen der Zugriff des Hauptkontos auf Google Cloud-Ressourcen ändert. Informationen zum Prüfen von Empfehlungen über die API finden Sie auf dieser Seite unter Empfehlungen prüfen.

So wenden Sie eine Empfehlung an:

  1. Markieren Sie die Empfehlung als CLAIMED:

    Verwenden Sie die Methode recommendations.markClaimed der Recommender API, um eine Empfehlung als CLAIMED zu markieren. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden.

    Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

    • PROJECT_ID: Die ID des Google Cloud-Projekts, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wie my-project.
    • LOCATION: Die Region, in der sich Ihr Cloud Storage-Bucket befindet, z. B. us oder us-central1.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"} Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    HTTP-Methode und URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    JSON-Text der Anfrage: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im CLAIMED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    ...
"stateInfo": {
  "state": "CLAIMED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

  2. Rufen Sie die Zulassungsrichtlinie für das Projekt ab und ändern Sie die Zulassungsrichtlinie so, dass sie der Empfehlung entspricht.

  3. Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:

    SUCCEEDED

    Verwenden Sie die Methode recommendations.markSucceeded der Recommender API, um eine Empfehlung als SUCCEEDED zu markieren und so anzuzeigen, dass Sie sie anwenden konnten.

    Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

    • PROJECT_ID: Die ID des Google Cloud-Projekts, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wie my-project.
    • LOCATION: Die Region, in der sich Ihr Cloud Storage-Bucket befindet, z. B. us oder us-central1.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"} Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    HTTP-Methode und URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    JSON-Text der Anfrage: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im SUCCEEDED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    ...
"stateInfo": {
  "state": "SUCCEEDED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

    FAILED

    Wenn Sie eine Empfehlung als FAILED markieren möchten, um darauf hinzuweisen, dass Sie sie nicht anwenden konnten, verwenden Sie die Methode recommendations.markFailed der Recommender API.

    Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

    • PROJECT_ID: Die ID des Google Cloud-Projekts, das Ihre Cloud Storage-Buckets enthält. Projekt-IDs sind alphanumerische Strings, wie my-project.
    • LOCATION: Die Region, in der sich Ihr Cloud Storage-Bucket befindet, z. B. us oder us-central1.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"} Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    HTTP-Methode und URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    JSON-Text der Anfrage: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im FAILED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    ...
"stateInfo": {
  "state": "FAILED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

Empfehlungen

Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde.

Console

Damit Sie besser nachvollziehen können, warum die Empfehlung gegeben wurde, wird in der Google Cloud Console die Nutzung von Berechtigungen durch das Hauptkonto angezeigt, wie in den mit der Empfehlung verknüpften Richtlinienstatistiken angegeben.

Damit Sie die Auswirkungen der Anwendung der Empfehlung besser nachvollziehen können, wird in der Google Cloud Console auch eine farb- und symbolcodierte Liste der Berechtigungen angezeigt. Diese Liste gibt an, wie sich die Berechtigungen des Hauptkontos ändern, wenn Sie die Empfehlung übernehmen. Es kann beispielsweise eine Liste wie die folgende angezeigt werden:

Die einzelnen Farben und Symbole stehen für folgende Berechtigungen:

  • Grau ohne Symbol: Berechtigungen, die sowohl in der aktuellen Rolle des Hauptkontos als auch in den empfohlenen Rollen enthalten sind.

  • Rot mit Minuszeichen : Berechtigungen, die in der aktuellen Rolle des Hauptkontos, aber nicht in den empfohlenen Rollen enthalten sind, da das Hauptkonto sie in den letzten 90 Tagen nicht genutzt hat.

  • Grün mit einem Pluszeichen : Berechtigungen, die nicht in der aktuellen Rolle des Hauptkontos enthalten sind, sich aber in den empfohlenen Rollen befinden. Diese Art von Berechtigung wird nur in den Empfehlungen für von Google verwaltete Dienstkonten angezeigt.

  • Blau mit Symbol für maschinelles Lernen : Berechtigungen, die sowohl in der aktuellen Rolle des Hauptkontos als auch in den empfohlenen Rollen enthalten sind, und zwar nicht, weil das Hauptkonto die Berechtigungen in den letzten 90 Tagen genutzt hat, sondern weil Recommender durch maschinelles Lernen festgestellt hat, dass es diese Berechtigungen in Zukunft vermutlich benötigt.

gcloud

Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde.

Weitere Informationen zu den Feldern einer Empfehlung finden Sie in der Referenz zu Recommendation.

Sehen Sie sich die Richtlinienstatistiken für die Empfehlung an, um zu erfahren, auf welcher Berechtigungsnutzung diese Empfehlung basiert. Diese Nachrichten werden im Feld associatedInsights aufgelistet. So rufen Sie eine mit der Empfehlung verknüpfte Richtlinie auf:

  1. Kopieren Sie die ID der verknüpften Statistik. Die ID ist alles nach insights/ im Feld insight. Wenn im Feld insight beispielsweise projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb angezeigt wird, lautet die Statistik-ID 7849add9-73c0-419e-b169-42b3671173fb.
  2. Folgen Sie der Anleitung zum Abrufen einer Richtlinienstatistik mithilfe der kopierten Statistik-ID.

REST

Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde.

Weitere Informationen zu den Feldern einer Empfehlung finden Sie in der Referenz zu Recommendation.

Sehen Sie sich die Richtlinienstatistiken für die Empfehlung an, um zu erfahren, auf welcher Berechtigungsnutzung diese Empfehlung basiert. Diese Nachrichten werden im Feld associatedInsights aufgelistet. So rufen Sie eine mit der Empfehlung verknüpfte Richtlinie auf:

  1. Kopieren Sie die ID der verknüpften Statistik. Die ID ist alles nach insights/ im Feld insight. Wenn im Feld insight beispielsweise projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb angezeigt wird, lautet die Statistik-ID 7849add9-73c0-419e-b169-42b3671173fb.
  2. Folgen Sie der Anleitung zum Abrufen einer Richtlinienstatistik mithilfe der kopierten Statistik-ID.

Änderungen ansehen, zurücksetzen und wiederherstellen

Nachdem Sie eine Empfehlung für eine Rollenbindung auf Projektebene angewendet oder abgelehnt haben, wird diese Aktion im Empfehlungsverlauf angezeigt.

Sie können den Empfehlungsverlauf für einen Bucket in der Google Cloud Console ansehen:

  1. Rufen Sie in der Google Cloud Console die Seite Buckets auf.

    Buckets aufrufen

  2. Suchen Sie die Spalte Sicherheitsinformationen. Wenn die Spalte nicht sichtbar ist, klicken Sie auf Spaltenanzeigeoptionen und wählen Sie Sicherheitsinformationen aus.

  3. Suchen Sie den Bucket, dessen Empfehlungsverlauf Sie aufrufen möchten, und klicken Sie dann auf die Zusammenfassung der Sicherheitsinformationen in dieser Zeile.

  4. Klicken Sie im angezeigten Bereich Sicherheitsempfehlungen auf den Tab Empfehlungsverlauf.

    Die Google Cloud Console zeigt eine Liste der bisherigen Aktionen für Ihre Rollenempfehlungen an.

  5. Klicken Sie auf den Pfeil zum Maximieren , um Details zu einer Empfehlung aufzurufen.

    In der Google Cloud Console werden Details zur ausgeführten Aktion angezeigt, einschließlich des Hauptkontos, das die Aktion ausgeführt hat:

  6. Optional: Bei Bedarf können Sie die Empfehlung zurücksetzen. Dadurch werden die Änderungen in der Empfehlung rückgängig gemacht oder eine Empfehlung wiederherstellen, die Sie abgelehnt haben.

    Um eine zuvor für eine Empfehlung angewendete Änderung rückgängig zu machen, klicken Sie auf Wiederherstellen. In der Google Cloud Console werden die Änderungen an den Rollen des Hauptkontos rückgängig gemacht. Die Empfehlung wird nicht mehr in der Google Cloud Console angezeigt.

    Klicken Sie zum Wiederherstellen einer verworfenen Empfehlung auf Wiederherstellen. Die Empfehlung wird dann in der Google Cloud Console auf der Seite IAM angezeigt. Es wurden keine Rollen oder Berechtigungen geändert.

Nächste Schritte