Se usó la API de Cloud Translation para traducir esta página.

Revisa y aplica las recomendaciones de roles para los buckets de Cloud Storage

En esta página, se explica cómo ver, comprender y aplicar el rol de IAM recomendaciones para los buckets de Cloud Storage. Ayuda con las recomendaciones de roles aplicas el principio de privilegio mínimo, ya que te aseguras de que las principales tengan solo los permisos que en realidad necesita.

Antes de comenzar

Enable the IAM and Recommender APIs.
Enable the APIs
Asegúrate de tener una activación a nivel de la organización del nivel premium de Security Command Center. Para obtener más información, consulta Preguntas sobre la facturación.
Aprende sobre las recomendaciones de funciones.

Roles de IAM obligatorios

Para obtener los permisos que necesitas para administrar las recomendaciones de roles a nivel del bucket, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

Visualizador de roles (roles/iam.roleViewer)
Administrador de almacenamiento (roles/storage.admin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para administrar las recomendaciones de roles a nivel del bucket. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para administrar las recomendaciones de roles a nivel de bucket:

Para ver las recomendaciones, sigue estos pasos:
- iam.roles.get
- iam.roles.list
- recommender.iamPolicyRecommendations.get
- recommender.iamPolicyRecommendations.list
- recommender.iamPolicyInsights.get
- recommender.iamPolicyInsights.list
- storage.buckets.getIamPolicy
Para aplicar y descartar recomendaciones, sigue estos pasos:
- recommender.iamPolicyRecommendations.update
- storage.buckets.setIamPolicy

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Revisa y aplica recomendaciones

Puedes revisar y aplicar recomendaciones de roles a nivel de bucket con el Google Cloud CLI y la API de Recommender.

Console

En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.

Ir a Buckets
Busca la columna Estadísticas de seguridad. Si la columna no es visible, haz clic en Opciones de visualización de columnas y selecciona Estadísticas de seguridad.

La columna Estadísticas de seguridad muestra un resumen de todas las estadísticas de políticas de un bucket. Cada resumen indica la cantidad total de permisos no utilizados para todos los roles otorgados en ese bucket.

Si hay una recomendación disponible para abordar alguna de las estadísticas del bucket, la consola de Google Cloud mostrará el ícono Recomendación disponible .

Nota: El recomendador no analiza los permisos de todas las funciones. Para saber qué roles analiza el recomendador, consulta Disponibilidad de las recomendaciones de políticas de IAM.
Si hay recomendaciones para revisar, haz clic en un resumen de estadísticas de políticas para abre el panel Recomendaciones de seguridad. En este panel, se enumeran todas las principales que tienen un rol en el bucket, sus roles y cualquier estadística de la política asociados con esos roles.
Haz clic en el ícono Recomendación disponible para obtener detalles sobre la recomendación.

Si la recomendación es reemplazar la función, el recomendador de funciones siempre sugiere un conjunto de funciones predefinidas que puedes aplicar.

En algunos casos, la recomendación de la función también sugiere crear una nueva función personalizada a nivel de proyecto. Si un cliente una recomendación de rol, la consola de Google Cloud la muestra de forma predeterminada. Para cambiar a la recomendación de función predefinida, haz clic en Ver función predefinida recomendada.
Revisa la recomendación con atención y asegúrate de comprender cómo cambiará el acceso de las principales a los recursos de Google Cloud. Excepto en el caso de las recomendaciones para los agentes de servicio, una recomendación nunca aumentará el nivel de acceso de una principal. Consulta Cómo se generan las recomendaciones de funciones para obtener más información.

Para obtener información sobre cómo revisar las recomendaciones en Console, consulta Revisa las recomendaciones en esta página.
Si la recomendación es crear una función personalizada, actualiza el Título, la Descripción, el ID y la Etapa de lanzamiento de la función según sea necesario (opcional).

Si necesitas agregar permisos a la función personalizada, haz clic en Agregar permisos.

Si necesitas quitar permisos de la función personalizada, desmarca la casilla de verificación de cada permiso que deseas quitar.
Toma medidas con respecto a la recomendación.

Para aplicar la recomendación, haz clic en Aplicar o en Crear y aplicar. Si cambias de opinión en los siguientes 90 días, usa el historial de recomendaciones para revertir tu elección.

Para descartar la recomendación, haz clic en Descartar y, luego, confirma tu elección. Puedes restablecer una recomendación descartada siempre y cuando la recomendación siga siendo válida.
Repite los pasos anteriores hasta que hayas revisado todas las recomendaciones.

gcloud

Revisa las recomendaciones:

Para enumerar tus recomendaciones a nivel de bucket, ejecuta el gcloud recommender recommendations list , filtrar solo las recomendaciones de bucket de Cloud Storage:

gcloud recommender recommendations list \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=json \
    --filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"

Reemplaza los siguientes valores:

LOCATION: Es la región en la que se encuentran tus buckets de Cloud Storage, por ejemplo, us o us-central1.
PROJECT_ID: El ID del proyecto de Google Cloud que contiene tus buckets de Cloud Storage. Los ID de proyecto son strings alfanuméricas, como my-project.

La respuesta es similar al ejemplo a continuación. En este ejemplo, todas los usuarios autenticados (allAuthenticatedUsers) tienen el objeto de almacenamiento heredado Rol de lector (roles/storage.legacyObjectReader) en el bucket mybucket. Sin embargo, este rol no se usó en los últimos 90 días. Como Como resultado, la recomendación de rol sugiere que revoques el rol:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "associatedResourceNames": [
      "//storage.googleapis.com/my-bucket"
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              },
              "resource": "//storage.googleapis.com/my-bucket",
              "resourceType": "storage.googleapis.com/Bucket"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "etag": "\"7caf4103d7669e12\"",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "priority": "P1",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Revisa cada recomendación con atención y considera cómo cambiará el acceso de las principales a los recursos de Google Cloud. Para aprender a revisar las recomendaciones de la CLI de gcloud, consulta Revisa las recomendaciones en esta página.

Para aplicar una recomendación, sigue estos pasos:

Usa el comando gcloud recommender recommendations mark-claimed para cambiar el estado de la recomendación a CLAIMED,, lo que evita que la recomendación cambie mientras la aplicas:
```
gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Reemplaza los siguientes valores:
- RECOMMENDATION_ID: El identificador único de la recomendación. Este valor aparece al final del campo name en la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
- LOCATION: Es la región en la que se almacena se ubica un bucket, por ejemplo, us o us-central1.
- PROJECT_ID: Es el ID del proyecto de Google Cloud que contiene tus buckets de Cloud Storage. Los IDs de proyecto son strings alfanuméricas, como my-project
- FORMAT: El formato de la respuesta. Usa json o yaml
- ETAG: El valor del campo etag en la recomendación, como "dd0686e7136a4cbb". Ten en cuenta que este valor puede incluir comillas
- STATE_METADATA: Opcional. Pares clave-valor separados por comas que contienen la selección de metadatos sobre la recomendación. Por ejemplo: --state-metadata=reviewedBy=alice,priority=high. Los metadatos reemplazan el campo stateInfo.stateMetadata en la recomendación.
Si el comando se ejecuta de forma correcta, la respuesta muestra la recomendación en un estado CLAIMED, como se muestra en el siguiente ejemplo. Para mayor claridad, en el ejemplo, se omiten la mayoría de los campos:
```
...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "CLAIMED"
}
...
```
Obtén la política de permisos del bucket y, luego, modifica y establece la política de permisos para que refleje las recomendación.
Actualiza el estado de la recomendación a SUCCEEDED, si pudiste aplicar la recomendación, o FAILED, si no pudiste aplicarla:
```
gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Reemplaza los siguientes valores:
- COMMAND: Usa mark-succeeded si pudiste aplicar la recomendación o mark-failed si no pudiste aplicarla.
- RECOMMENDATION_ID: El identificador único de la recomendación. Este valor aparece al final del campo name en la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
- LOCATION: Es la región en la que se almacena se ubica un bucket, por ejemplo, us o us-central1.
- PROJECT_ID: Es el ID del proyecto de Google Cloud que contiene tus buckets de Cloud Storage. Los IDs de proyecto son strings alfanuméricas, como my-project
- FORMAT: El formato de la respuesta. Usa json o yaml
- ETAG: El valor del campo etag en la recomendación, como "dd0686e7136a4cbb". Ten en cuenta que este valor puede incluir comillas
- STATE_METADATA: Opcional. Pares clave-valor separados por comas que contienen la selección de metadatos sobre la recomendación. Por ejemplo: --state-metadata=reviewedBy=alice,priority=high. Los metadatos reemplazan el campo stateInfo.stateMetadata en la recomendación.
Por ejemplo, si marcaste la recomendación como correcta, la respuesta muestra la recomendación en un estado SUCCEEDED. Para mayor claridad, en este ejemplo, se omiten la mayoría de los campos:
```
...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "SUCCEEDED"
}
...
```

REST

En estas instrucciones, se supone que autenticaste y configuraste la variable de entorno GOOGLE_APPLICATION_CREDENTIALS.

Revisa las recomendaciones:

Si deseas enumerar todas las recomendaciones disponibles para tus buckets de Cloud Storage, usa las APIs de Recommender recommendations.list .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

PROJECT_ID: El ID del proyecto de Google Cloud que contiene tus buckets de Cloud Storage. Los ID de proyecto son strings alfanuméricas, como my-project.
LOCATION: Es la región en la que Se encuentran los buckets de Cloud Storage, por ejemplo, us o us-central1
PAGE_SIZE: Opcional La cantidad máxima de resultados que se mostrarán con esta solicitud. Si no se especifica, el servidor determinará la cantidad de resultados que se mostrarán. Si la cantidad de recomendaciones es mayor que el tamaño de la página, la respuesta contiene un token de paginación que puedes usar para recuperar la siguiente página de resultados.
PAGE_TOKEN: Opcional Es el token de paginación que se mostró en una respuesta anterior de este método. Si se especifica, la lista de recomendaciones comenzará donde finalizó la solicitud anterior.
PROJECT_ID: El ID del proyecto de Google Cloud Los ID de proyecto son strings alfanuméricas, como my-project.

Método HTTP y URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

La respuesta es similar al ejemplo a continuación. En este ejemplo, todos los usuarios autenticados (allAuthenticatedUsers) tienen el rol de lector de objetos heredados de almacenamiento (roles/storage.legacyObjectReader) en el bucket mybucket. Sin embargo, no se usó este rol en los últimos 90 días. Como resultado, la recomendación de función sugiere que revoques la función:

{
  "recommendations": [
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "resourceType": "storage.googleapis.com/Bucket",
              "resource": "//storage.googleapis.com/my-bucket",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              }
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    },
    "etag": "\"7caf4103d7669e12\"",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "priority": "P1"
  ]
}

Revisa cada recomendación con atención y considera cómo cambiará el acceso de las principales a los recursos de Google Cloud. Para obtener información sobre cómo revisar las recomendaciones de la API de REST, consulta Revisa las recomendaciones en esta página.

Para aplicar una recomendación, sigue estos pasos:

Marca la recomendación como CLAIMED:

Para marcar una recomendación como CLAIMED, lo que evita que la recomendación cambie mientras la aplicas, usa las APIs de Recommender recommendations.markClaimed .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- PROJECT_ID: Es el ID del Proyecto de Google Cloud que contiene tus buckets de Cloud Storage. Los ID de proyecto son strings alfanuméricas, como my-project.
- LOCATION: Es la región en la que Se encuentra el bucket de Cloud Storage, por ejemplo, us o us-central1
- RECOMMENDATION_ID: El identificador único de la recomendación. Este valor aparece al final del campo name en la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: El valor del campo etag en la recomendación, como "dd0686e7136a4cbb". Usa barras inversas para escapar las comillas, por ejemplo, "\"df7308cca9719dcc\"".
- STATE_METADATA: Opcional. Un objeto que contiene pares clave-valor con tu elección de metadatos sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos reemplazan el campo stateInfo.stateMetadata en la recomendación.
Método HTTP y URL:
```
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
```
Cuerpo JSON de la solicitud:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Para enviar tu solicitud, expande una de estas opciones:
curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"
```
PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content
```
La respuesta muestra la recomendación en un estado CLAIMED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo, se omiten la mayoría de los campos:
```
...
"stateInfo": {
  "state": "CLAIMED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...
```
Obtén la política de permisos para el proyecto y, luego, modifica la política de permisos a fin de que refleje la recomendación.
Actualiza el estado de la recomendación a SUCCEEDED, si pudiste aplicar la recomendación, o FAILED, si no pudiste aplicarla:
SUCCEEDED

Para marcar una recomendación como SUCCEEDED, lo que indica que pudiste aplicarla, usa las APIs de Recommender recommendations.markSucceeded .

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- PROJECT_ID: Es el ID del Proyecto de Google Cloud que contiene tus buckets de Cloud Storage. Los ID de proyecto son strings alfanuméricas, como my-project.
- LOCATION: Es la región en la que Se encuentra el bucket de Cloud Storage, por ejemplo, us o us-central1
- RECOMMENDATION_ID: El identificador único de la recomendación. Este valor aparece al final del campo name en la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: El valor del campo etag en la recomendación, como "dd0686e7136a4cbb". Usa barras inversas para escapar las comillas, por ejemplo, "\"df7308cca9719dcc\"".
- STATE_METADATA: Opcional. Un objeto que contiene pares clave-valor con tu elección de metadatos sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos reemplazan el campo stateInfo.stateMetadata en la recomendación.
Método HTTP y URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
Cuerpo JSON de la solicitud:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Para enviar tu solicitud, expande una de estas opciones:
curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"
PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content
La respuesta muestra la recomendación en un estado SUCCEEDED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo, se omiten la mayoría de los campos:
... "stateInfo": { "state": "SUCCEEDED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
FAILED

Para marcar una recomendación como FAILED, lo que indica que no pudiste aplicarla, usa el método recommendations.markFailed de la API de Recommender.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- PROJECT_ID: Es el ID del Proyecto de Google Cloud que contiene tus buckets de Cloud Storage. Los ID de proyecto son strings alfanuméricas, como my-project.
- LOCATION: Es la región en la que Se encuentra el bucket de Cloud Storage, por ejemplo, us o us-central1
- RECOMMENDATION_ID: El identificador único de la recomendación. Este valor aparece al final del campo name en la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: El valor del campo etag en la recomendación, como "dd0686e7136a4cbb". Usa barras inversas para escapar las comillas, por ejemplo, "\"df7308cca9719dcc\"".
- STATE_METADATA: Opcional. Un objeto que contiene pares clave-valor con tu elección de metadatos sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos reemplazan el campo stateInfo.stateMetadata en la recomendación.
Método HTTP y URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
Cuerpo JSON de la solicitud:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Para enviar tu solicitud, expande una de estas opciones:
curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"
PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content
La respuesta muestra la recomendación en un estado FAILED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo, se omiten la mayoría de los campos:
... "stateInfo": { "state": "FAILED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...

Comprende las recomendaciones

Cada recomendación incluye información para ayudarte a comprender por qué se hizo la recomendación.

Console

Para ayudarte a comprender por qué se hizo la recomendación, la consola de Google Cloud muestra el uso de permisos de la principal, como lo informa la estadística de políticas asociada con la recomendación.

Para ayudarte a comprender el impacto de aplicar la recomendación, la La consola de Google Cloud también muestra una lista de permisos codificada por colores y símbolos. En esta lista, se indica cómo cambiarán los permisos de la principal si aplicas la recomendación. Por ejemplo, puede mostrar una lista como la siguiente:

Los tipos de permisos asociados con cada color y símbolo son los siguientes:

Color gris sin símbolo: Son permisos que se encuentran en la función actual de la principal y en las funciones recomendadas.
Color rojo con un signo menos : Son permisos que se encuentran en la función actual de la principal, pero no en las funciones recomendadas, ya que la principal no las usó en los últimos 90 días.
Color verde con un signo más : son permisos que no se encuentran en la función actual de la principal, pero que están en las funciones recomendadas. Este tipo de permiso solo aparece en recomendaciones para agentes.
Color azul con un ícono de aprendizaje automático : Son permisos que se encuentran en la función actual de la principal y en las funciones recomendadas, no porque la principal los haya usado en los últimos 90 días, sino porque el recomendador determinó mediante el aprendizaje automático que es probable que la principal necesite esos permisos en el futuro.

gcloud

Cada recomendación incluye información para ayudarte a comprender por qué se hizo la recomendación.

Para obtener detalles sobre los campos de una recomendación, consulta la referencia de Recommendation.

Para ver el uso de permisos en el que se basa esta recomendación, consulta las estadísticas de políticas asociadas con la recomendación. Estas estadísticas se enumeran en el campo associatedInsights. Para ver una estadística de políticas asociada con la recomendación, haz lo siguiente:

Copia el ID de la estadística asociada. El ID es todo lo que se encuentra después de insights/ en el campo insight. Por ejemplo, si el campo insight dice projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, el ID de la estadística es 7849add9-73c0-419e-b169-42b3671173fb.
Sigue las instrucciones para obtener una estadística de política con el ID de estadística que copiaste.

REST

Cada recomendación incluye información para ayudarte a comprender por qué se hizo la recomendación.

Para obtener detalles sobre los campos de una recomendación, consulta la referencia de Recommendation.

Copia el ID de la estadística asociada. El ID es todo lo que se encuentra después de insights/ en el campo insight. Por ejemplo, si el campo insight lee projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, el ID de la estadística es 7849add9-73c0-419e-b169-42b3671173fb.
Sigue las instrucciones para obtener una estadística de política con el ID de estadística que copiaste.

Visualiza, revierte y restablece cambios

Después de aplicar o descartar una recomendación para una vinculación de función a nivel de proyecto, esa acción aparece en el historial de recomendaciones.

Puedes ver el historial de recomendaciones de un bucket en la Consola de Google Cloud:

En la consola de Google Cloud, ve a la página Buckets.

Ir a Buckets
Busca la columna Estadísticas de seguridad. Si la columna no es visible, haz clic en Opciones de visualización de columnas y selecciona Estadísticas de seguridad.
Busca el bucket cuyo historial de recomendaciones deseas ver y, luego, haz clic en el resumen de estadísticas de seguridad de esa fila.
En el panel Recomendaciones de seguridad que aparece, haz clic en el La pestaña Historial de recomendaciones

La consola de Google Cloud muestra una lista de acciones anteriores en tu recomendaciones de roles.
Para ver los detalles de una recomendación, haz clic en la flecha de expansión .

En la consola de Google Cloud, se muestran detalles sobre la acción que se realizó, incluido el director que realizó la acción:
Opcional: Si es necesario, puedes revertir la recomendación, lo que deshace los cambios en la recomendación o restablece una recomendación que descartaste.

Para revertir un cambio aplicado antes a una recomendación, haz clic en Revertir. La consola de Google Cloud revierte los cambios al roles de la principal. La recomendación ya no aparece Consola de Google Cloud

Para restablecer una recomendación que se descartó, haz clic en Restablecer. La recomendación se hace visible en la página de IAM en la consola de Google Cloud. No se cambiaron las funciones ni los permisos.

¿Qué sigue?

Obtén más información sobre el recomendador.
Más información sobre cómo permitir las estadísticas de políticas para Cloud Storage buckets.

Revisa y aplica las recomendaciones de roles para los buckets de Cloud Storage

Antes de comenzar

Roles de IAM obligatorios

Permisos necesarios

Revisa y aplica recomendaciones

Console

gcloud

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`SUCCEEDED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`FAILED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Comprende las recomendaciones

Console

gcloud

REST

Visualiza, revierte y restablece cambios

¿Qué sigue?