Questa pagina è stata tradotta dall'API Cloud Translation.

Esamina e applica i suggerimenti sui ruoli per i bucket Cloud Storage

Questa pagina spiega come visualizzare, comprendere e applicare i consigli per i ruoli IAM per i bucket Cloud Storage. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno.

Prima di iniziare

Enable the IAM and Recommender APIs.
Enable the APIs
Assicurati di disporre di un'attivazione a livello di organizzazione del livello Premium di Security Command Center. Per ulteriori informazioni, consulta la sezione Fatturazione domande.
Scopri di più sui suggerimenti sui ruoli.

Ruoli IAM richiesti

Per ottenere le autorizzazioni necessarie per gestire i suggerimenti sui ruoli a livello di bucket, chiedi all'amministratore di concederti seguenti ruoli IAM sul progetto:

Visualizzatore dei ruoli (roles/iam.roleViewer)
Amministratore archiviazione (roles/storage.admin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire i consigli sui ruoli a livello di bucket. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per gestire i consigli sui ruoli a livello di bucket, sono necessarie le seguenti autorizzazioni:

Per visualizzare i consigli:
- iam.roles.get
- iam.roles.list
- recommender.iamPolicyRecommendations.get
- recommender.iamPolicyRecommendations.list
- recommender.iamPolicyInsights.get
- recommender.iamPolicyInsights.list
- storage.buckets.getIamPolicy
Per applicare e ignorare i consigli:
- recommender.iamPolicyRecommendations.update
- storage.buckets.setIamPolicy

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Revisione e applicazione dei suggerimenti

Puoi esaminare e applicare i suggerimenti sul ruolo a livello di bucket con il Google Cloud CLI e l'API Recommender.

Console

Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.

Vai a Bucket
Individua la colonna Approfondimenti sulla sicurezza. Se la colonna non è visibili, fai clic su Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.

La colonna Approfondimenti sulla sicurezza mostra un riepilogo di tutti gli approfondimenti sui criteri per un bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi in quel bucket.

Se è disponibile un consiglio per risolvere uno degli approfondimenti per il bucket, la console Google Cloud mostra l'icona Consiglio disponibile.

Nota: il motore per suggerimenti non analizza le autorizzazioni per tutte ruoli. Per scoprire quali ruoli vengono analizzati dal motore per suggerimenti, consulta Disponibilità dei consigli per i criteri IAM.
Se sono presenti consigli da esaminare, fai clic su un riepilogo degli approfondimenti sui criteri per aprire il riquadro Consigli per la sicurezza. Questo riquadro elenca tutte le entità che hanno un ruolo nel bucket, i relativi ruoli e eventuali approfondimenti sui criteri associati a questi ruoli.
Fai clic su Consiglio disponibile per visualizzare i dettagli del consiglio.

Se il suggerimento prevede la sostituzione del ruolo, il suggerimento suggerisce sempre un insieme di ruoli predefiniti a cui sono applicabili.

In alcuni casi, il suggerimento sul ruolo suggerisce anche la creazione di una nuova ruolo personalizzato a livello di progetto. Se è disponibile un consiglio per un ruolo personalizzato, la console Google Cloud lo mostra per impostazione predefinita. Per passare al consiglio sul ruolo predefinito, fai clic su Visualizza ruolo predefinito consigliato.
Esamina attentamente il consiglio e assicurati di capire in che modo cambierà l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei nel caso di suggerimenti per gli agenti di servizio, un suggerimento non aumenterà mai il livello di accesso dell'entità. Per ulteriori informazioni, consulta Come vengono generati i consigli sui ruoli.

Per scoprire come esaminare i consigli nella console, vedi Esaminare i consigli in questa pagina.
(Facoltativo) Se il consiglio è di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo a seconda delle esigenze.

Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo per ogni autorizzazione che vuoi rimuovere.
Intervieni in base al consiglio.

Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per ripristinare la tua scelta.

Per ignorare il consiglio, fai clic su Ignora e poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato a condizione che suggerimento sia ancora valido.
Ripeti i passaggi precedenti finché non hai esaminato tutti i consigli.

gcloud

Esamina i consigli:

Per elencare i suggerimenti a livello di bucket, esegui gcloud recommender recommendations list , filtrando solo per i suggerimenti sui bucket Cloud Storage:

gcloud recommender recommendations list \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=json \
    --filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"

Sostituisci i seguenti valori:

LOCATION: la regione in cui si trovano i bucket Cloud Storage, ad esempio us o us-central1.
PROJECT_ID: l'ID del progetto Google Cloud contenente i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.

La risposta è simile al seguente esempio. In questo esempio, gli utenti autenticati (allAuthenticatedUsers) hanno l'oggetto legacy di Storage Ruolo lettore (roles/storage.legacyObjectReader) nel bucket mybucket. Tuttavia, questo ruolo non è stato utilizzato negli ultimi 90 giorni. Come Di conseguenza, il suggerimento sul ruolo ti suggerisce di revocare il ruolo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "associatedResourceNames": [
      "//storage.googleapis.com/my-bucket"
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              },
              "resource": "//storage.googleapis.com/my-bucket",
              "resourceType": "storage.googleapis.com/Bucket"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "etag": "\"7caf4103d7669e12\"",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "priority": "P1",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni consiglio e pensa a come cambierà il l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i consigli dall'interfaccia a riga di comando gcloud, consulta la sezione Esaminare i consigli in questa pagina.

Per applicare un consiglio:

Utilizza la Comando gcloud recommender recommendations mark-claimed di modificare lo stato del suggerimento in CLAIMED,, impedendo la di cambiare il consiglio quando lo applichi:
```
gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- RECOMMENDATION_ID: l'identificatore univoco del un consiglio per i nostri esperti. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
- LOCATION: la regione in cui Cloud Storage in cui si trova il bucket, ad esempio us o us-central1.
- PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
- FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore possono includere le virgolette.
- STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati sul consiglio. Per ad esempio --state-metadata=reviewedBy=alice,priority=high. La sostituisce il campo stateInfo.stateMetadata in un consiglio per i nostri esperti.
Se il comando va a buon fine, la risposta mostra il consiglio in uno stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, l'esempio omette la maggior parte dei campi:
```
...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "CLAIMED"
}
...
```
Ottieni il criterio di autorizzazione per il bucket, quindi modifica e imposta il criterio di autorizzazione in modo che rifletta il consiglio.
Aggiorna lo stato del consiglio su SUCCEEDED se hai potuto applicarlo o su FAILED se non è stato possibile applicarlo:
```
gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- COMMAND: utilizza mark-succeeded se hai potuto applicare il consiglio o mark-failed se non hai potuto applicarlo.
- RECOMMENDATION_ID: l'identificatore univoco del consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
- LOCATION: la regione in cui Cloud Storage in cui si trova il bucket, ad esempio us o us-central1.
- PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
- FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore possono includere le virgolette.
- STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati sul consiglio. Per ad esempio --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel consiglio.
Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio con lo stato SUCCEEDED. Per chiarezza, questo omette la maggior parte dei campi nell'esempio seguente:
```
...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "SUCCEEDED"
}
...
```

REST

Queste istruzioni presuppongono che tu abbia effettuato l'autenticazione e impostato la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

Esamina i consigli:

Per elencare tutti i consigli disponibili per i tuoi bucket Cloud Storage, utilizza il metodo recommendations.list dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
LOCATION: la regione in cui Si trovano i bucket Cloud Storage, ad esempio us o us-central1.
PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non viene specificato, il server determinerà il numero di risultati da restituire. Se di suggerimenti è maggiore della dimensione della pagina, la risposta contiene un'impaginazione che puoi utilizzare per recuperare la pagina successiva di risultati.
PAGE_TOKEN: facoltativo. Il token di impaginazione restituito in una sessione la risposta desiderata con questo metodo. Se specificato, l'elenco dei consigli inizierà dove è terminata la richiesta precedente.
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

{
  "recommendations": [
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "resourceType": "storage.googleapis.com/Bucket",
              "resource": "//storage.googleapis.com/my-bucket",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              }
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    },
    "etag": "\"7caf4103d7669e12\"",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "priority": "P1"
  ]
}

Esamina attentamente ogni consiglio e pensa a come cambierà il l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i consigli dall'API REST, consulta la sezione Esaminare i consigli in questa pagina.

Per applicare un consiglio:

Contrassegna il consiglio come CLAIMED:

Per contrassegnare un consiglio come CLAIMED, in modo da impedirne la modifica durante l'applicazione, utilizza il metodo recommendations.markClaimed dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
- PROJECT_ID: l'ID del Progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
- LOCATION: la regione in cui Si trova il bucket Cloud Storage, ad esempio us o us-central1.
- RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza i backslash per eseguire l'escapismo delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il stateInfo.stateMetadata campo nel consiglio.
Metodo HTTP e URL:
```
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
```
Corpo JSON della richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"
```
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content
```
La risposta mostra il consiglio in uno stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio ometti la maggior parte dei campi:
```
...
"stateInfo": {
  "state": "CLAIMED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...
```
Ottieni il criterio di autorizzazione per il progetto, quindi modifica il criterio di autorizzazione in modo che rifletta il consiglio.
Aggiorna lo stato del consiglio su SUCCEEDED se hai potuto applicarlo o su FAILED se non è stato possibile applicarlo:
SUCCEEDED

Per contrassegnare un consiglio come SUCCEEDED, a indicare che hai potuto applicarlo, utilizza il metodo recommendations.markSucceeded dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
- PROJECT_ID: l'ID del Progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
- LOCATION: la regione in cui Si trova il bucket Cloud Storage, ad esempio us o us-central1.
- RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza i backslash per eseguire l'escapismo delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il stateInfo.stateMetadata campo nel consiglio.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content
La risposta mostra il consiglio in uno stato SUCCEEDED, come mostrato di seguito esempio. Per chiarezza, questo esempio omette la maggior parte dei campi:
... "stateInfo": { "state": "SUCCEEDED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
FAILED

Per contrassegnare un consiglio come FAILED, a indicare che non è stato possibile applicarlo, utilizza il metodo recommendations.markFailed dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del Progetto Google Cloud che contiene i tuoi bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
- LOCATION: la regione in cui Si trova il bucket Cloud Storage, ad esempio us o us-central1.
- RECOMMENDATION_ID: l'identificatore univoco per il consiglio. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza i backslash per eseguire l'escapismo delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il stateInfo.stateMetadata campo nel consiglio.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"
PowerShell (Windows)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content
La risposta mostra il consiglio in uno stato FAILED, come mostrato di seguito esempio. Per chiarezza, questo esempio omette la maggior parte dei campi:
... "stateInfo": { "state": "FAILED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...

Comprendere i consigli

Ogni consiglio include informazioni che ti aiutano a capire perché è stato fatto un suggerimento.

Console

Per aiutarti a capire il motivo per cui è stato fornito il consiglio, la console Google Cloud mostra l'utilizzo delle autorizzazioni del principale, come indicato dall'approfondimento sui criteri associato al consiglio.

Per aiutarti a comprendere l'impatto dell'applicazione del consiglio, la console Google Cloud mostra anche un elenco di autorizzazioni codificate in base a colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il metodo un consiglio per i nostri esperti. Ad esempio, potrebbe essere visualizzato un elenco come il seguente:

I tipi di autorizzazioni associate a ciascun colore e simbolo sono i seguenti:

Grigio senza simbolo: autorizzazioni presenti sia nel ruolo attuale dell'entità sia nei ruoli consigliati.
Lucchetto rosso con un segno meno : autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non in quelli consigliati perché l'entità non li ha utilizzati in passato per 90 giorni.
Verde con un segno Più : autorizzazioni che non sono nel ruolo corrente dell'entità, ma sono nei ruoli consigliati. Questo tipo di autorizzazione appare solo nei suggerimenti per il servizio agenti.
Blu con un'icona di machine learning : Autorizzazioni presenti sia nel ruolo corrente del principale sia nei ruoli consigliati, non perché il principale le abbia utilizzate negli ultimi 90 giorni, ma perché Recommender ha determinato tramite il machine learning che è probabile che abbia bisogno di queste autorizzazioni in futuro.

gcloud

Ogni consiglio include informazioni che ti aiutano a capire perché è stato fornito.

Per informazioni dettagliate sui campi di un consiglio, consulta il riferimento Recommendation.

Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo consiglio, consulta gli approfondimenti sui criteri associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio:

Copia l'ID dell'informazione associata. L'ID è tutto ciò che segue insights/ nel insight. Ad esempio, se il campo insight riporta projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, l'ID informazione è 7849add9-73c0-419e-b169-42b3671173fb.
Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight copiato.

REST

Ogni consiglio include informazioni che ti aiutano a capire perché è stato fornito.

Per informazioni dettagliate sui campi di un consiglio, consulta il riferimento Recommendation.

Per vedere l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza il approfondimenti sulle norme associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio:

Copia l'ID dell'approfondimento associato. L'ID è tutto ciò che segue insights/ nel insight. Ad esempio, se il campo insight projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, l'ID insight è 7849add9-73c0-419e-b169-42b3671173fb.
Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight copiato.

Visualizza, ripristina e ripristina le modifiche

Dopo aver applicato o ignorato un consiglio per un'associazione di ruoli a livello di progetto, l'azione viene visualizzata nella cronologia dei consigli.

Puoi visualizzare la cronologia dei suggerimenti per un bucket nel Console Google Cloud:

Nella console Google Cloud, vai alla pagina Bucket.

Vai a Bucket
Trova la colonna Approfondimenti sulla sicurezza. Se la colonna non è visibile, fai clic su Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.
Individua il bucket di cui vuoi visualizzare la cronologia dei suggerimenti, fai clic sul riepilogo degli insight sulla sicurezza nella riga corrispondente.
Nel riquadro Suggerimenti per la sicurezza visualizzato, fai clic sulla scheda Cronologia dei suggerimenti.

La console Google Cloud mostra un elenco delle azioni precedenti sul tuo i suggerimenti di ruolo.
Per visualizzare i dettagli di un consiglio, fai clic sulla freccia di espansione .

La console Google Cloud mostra i dettagli dell'azione intrapresa. inclusa l'entità che ha eseguito l'azione:
(Facoltativo) Se necessario, puoi annullare il consiglio, annullando così le modifiche apportate, o ripristinare un consiglio che hai ignorato.

Per annullare una modifica applicata in precedenza a un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche ai ruoli del principale. Il consiglio non viene più visualizzato nella nella console Google Cloud.

Per ripristinare un consiglio ignorato, fai clic su Ripristina. La diventa visibile nella pagina IAM nel nella console Google Cloud. Non sono stati modificati ruoli o autorizzazioni.

Passaggi successivi

Scopri di più su Recommender.
Scopri come utilizzare consentire gli insight sui criteri per Cloud Storage bucket.

Esamina e applica i suggerimenti sui ruoli per i bucket Cloud Storage

Prima di iniziare

Ruoli IAM richiesti

Autorizzazioni obbligatorie

Revisione e applicazione dei suggerimenti

Console

gcloud

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`SUCCEEDED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`FAILED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Comprendere i consigli

Console

gcloud

REST

Visualizza, ripristina e ripristina le modifiche

Passaggi successivi