Rivedi e applica i suggerimenti sui ruoli per i bucket Cloud Storage

Questa pagina spiega come visualizzare, comprendere e applicare i suggerimenti sui ruoli IAM per i bucket Cloud Storage. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo garantendo che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno.

Prima di iniziare

Ruoli IAM obbligatori

Per ottenere le autorizzazioni necessarie per gestire i suggerimenti sui ruoli a livello di bucket, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

Per saperne di più sulla concessione dei ruoli, vedi Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire i suggerimenti sui ruoli a livello di bucket. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per gestire i suggerimenti sui ruoli a livello di bucket sono necessarie le autorizzazioni seguenti:

  • Per visualizzare i consigli:
    • iam.roles.get
    • iam.roles.list
    • recommender.iamPolicyRecommendations.get
    • recommender.iamPolicyRecommendations.list
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
    • storage.buckets.getIamPolicy
  • Per applicare e ignorare i consigli:
    • recommender.iamPolicyRecommendations.update
    • storage.buckets.setIamPolicy

Potresti anche essere in grado di ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Revisione e applicazione dei suggerimenti

Puoi esaminare e applicare i suggerimenti sui ruoli a livello di bucket con Google Cloud CLI e l'API Recommender.

Console

  1. Nella console Google Cloud, vai alla pagina Bucket in Cloud Storage.

    Vai a Bucket

  2. Individua la colonna Insight sulla sicurezza. Se la colonna non è visibile, fai clic su Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.

    La colonna Insight sulla sicurezza mostra un riepilogo di tutti gli insight sui criteri per un bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi in quel bucket.

    Se è disponibile un suggerimento per gestire uno degli insight relativi al bucket, nella console Google Cloud viene visualizzata l'icona Consiglio disponibile .

  3. Se ci sono suggerimenti da esaminare, fai clic su un riepilogo degli insight sui criteri per aprire il riquadro Suggerimenti per la sicurezza. Questo riquadro elenca tutte le entità che hanno un ruolo nel bucket, i relativi ruoli e tutti gli insight sui criteri associati a questi ruoli.

  4. Fai clic sull'icona Consiglio disponibile per visualizzare i dettagli del consiglio.

    Se si consiglia di sostituire il ruolo, il suggerimento sul ruolo suggerisce sempre un insieme di ruoli predefiniti che puoi applicare.

    In alcuni casi, il suggerimento sul ruolo suggerisce anche di creare un nuovo ruolo personalizzato a livello di progetto. Se è disponibile un suggerimento relativo al ruolo personalizzato, per impostazione predefinita viene visualizzato nella console Google Cloud. Per passare al suggerimento sul ruolo predefinito, fai clic su Visualizza ruolo predefinito consigliato.

  5. Esamina attentamente il suggerimento e assicurati di comprendere come cambierà l'accesso dell'entità alle risorse Google Cloud. Ad eccezione del caso di suggerimenti per gli account di servizio gestiti da Google, un suggerimento non aumenterà mai il livello di accesso di un'entità. Per ulteriori informazioni, consulta Come vengono generati i suggerimenti sui ruoli.

    Per scoprire come esaminare i consigli nella console, vedi Esaminare i consigli in questa pagina.

  6. (Facoltativo) Se si consiglia di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo in base alle esigenze.

    Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

    Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo in corrispondenza di ogni autorizzazione che vuoi rimuovere.

  7. Intervieni in base al consiglio.

    Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per annullare la tua scelta.

    Per ignorare il consiglio, fai clic su Ignora e poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato finché il consiglio è ancora valido.

  8. Ripeti i passaggi precedenti finché non avrai esaminato tutti i consigli.

gcloud

Esamina i consigli:

Per elencare i suggerimenti a livello di bucket, esegui il comando gcloud recommender recommendations list, filtrando solo i suggerimenti relativi ai bucket Cloud Storage:

gcloud recommender recommendations list \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"

Sostituisci i seguenti valori:

  • LOCATION: la regione in cui si trovano i bucket Cloud Storage, ad esempio us o us-central1.
  • PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • FORMAT: il formato della risposta. Utilizza json o yaml.

La risposta è simile all'esempio seguente. In questo esempio, tutti gli utenti autenticati (allAuthenticatedUsers) hanno il ruolo Lettore oggetti legacy di archiviazione (roles/storage.legacyObjectReader) nel bucket mybucket. Tuttavia, questo ruolo non è stato utilizzato negli ultimi 90 giorni. Di conseguenza, il suggerimento sul ruolo suggerisce di revocare il ruolo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "associatedResourceNames": [
      "//storage.googleapis.com/my-bucket"
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              },
              "resource": "//storage.googleapis.com/my-bucket",
              "resourceType": "storage.googleapis.com/Bucket"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "etag": "\"7caf4103d7669e12\"",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "priority": "P1",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni suggerimento e valuta come cambierà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i suggerimenti dallgcloud CLI, consulta Esamina i suggerimenti in questa pagina.

Per applicare un consiglio:

  1. Utilizza il comando gcloud recommender recommendations mark-claimed per modificare lo stato del suggerimento in CLAIMED,, impedendone la modifica durante l'applicazione:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sostituisci i seguenti valori:

    • RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
    • LOCATION: la regione in cui si trova il bucket Cloud Storage, ad esempio us o us-central1.
    • PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • FORMAT: il formato della risposta. Usa json o yaml.
    • ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere le virgolette.
    • STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati per il suggerimento. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.

    Se il comando ha esito positivo, la risposta mostra il suggerimento in stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, l'esempio omette la maggior parte dei campi:

    ...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "CLAIMED"
}
...

  2. Recupera il criterio di autorizzazione per il bucket, quindi modifica e imposta il criterio di autorizzazione in modo che rifletta il suggerimento.

  3. Aggiorna lo stato del consiglio su SUCCEEDED, se hai potuto applicare il consiglio, oppure su FAILED, se non hai potuto applicare il consiglio:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sostituisci i seguenti valori:

    • COMMAND: utilizza mark-succeeded se hai potuto applicare il consiglio oppure mark-failed se non hai potuto applicare il consiglio.

    • RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
    • LOCATION: la regione in cui si trova il bucket Cloud Storage, ad esempio us o us-central1.
    • PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • FORMAT: il formato della risposta. Usa json o yaml.
    • ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere le virgolette.
    • STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la tua scelta di metadati per il suggerimento. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.

    Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio con lo stato SUCCEEDED. Per chiarezza, in questo esempio la maggior parte dei campi omette:

    ...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "SUCCEEDED"
}
...

REST

Queste istruzioni presuppongono che tu abbia eseguito l'autenticazione e impostato la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

Esamina i consigli:

Per elencare tutti i suggerimenti disponibili per i bucket Cloud Storage, utilizza il metodo recommendations.list dell'API Recommender.

Prima di utilizzare qualsiasi dato della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
  • LOCATION: la regione in cui si trovano i bucket Cloud Storage, ad esempio us o us-central1.
  • PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di suggerimenti è maggiore delle dimensioni della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina dei risultati successiva.
  • PAGE_TOKEN: facoltativo. Il token di impaginazione restituito in una risposta precedente da questo metodo. Se specificato, l'elenco dei suggerimenti inizierà dove è terminata la richiesta precedente.
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, come my-project.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una di queste opzioni:

La risposta è simile all'esempio seguente. In questo esempio, tutti gli utenti autenticati (allAuthenticatedUsers) hanno il ruolo Lettore oggetti legacy Storage (roles/storage.legacyObjectReader) nel bucket mybucket. Tuttavia, questo ruolo non è stato utilizzato negli ultimi 90 giorni. Di conseguenza, il suggerimento sul ruolo suggerisce di revocare il ruolo: 

{
  "recommendations": [
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "resourceType": "storage.googleapis.com/Bucket",
              "resource": "//storage.googleapis.com/my-bucket",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              }
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    },
    "etag": "\"7caf4103d7669e12\"",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "priority": "P1"
  ]
}

Esamina attentamente ogni suggerimento e valuta come cambierà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come rivedere i suggerimenti dell'API REST, vedi Esamina i consigli in questa pagina.

Per applicare un consiglio:

  1. Contrassegna il consiglio come CLAIMED:

    Per contrassegnare un consiglio come CLAIMED, in modo da impedire che venga modificato durante l'applicazione, utilizza il metodo recommendations.markClaimed dell'API Recommender.

    Prima di utilizzare qualsiasi dato della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • LOCATION: la regione in cui si trova il bucket Cloud Storage, ad esempio us o us-central1.
    • RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che hai scelto per il suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    La risposta mostra il suggerimento in stato CLAIMED, come mostrato nell'esempio seguente. Per maggiore chiarezza, in questo esempio la maggior parte dei campi omette: 

    ...
"stateInfo": {
  "state": "CLAIMED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

  2. Recupera il criterio di autorizzazione per il progetto, quindi modifica il criterio di autorizzazione in modo che rifletta il suggerimento.

  3. Aggiorna lo stato del consiglio su SUCCEEDED, se hai potuto applicare il consiglio, oppure su FAILED, se non hai potuto applicare il consiglio:

    SUCCEEDED

    Per contrassegnare un consiglio come SUCCEEDED, a indicare che sei stato in grado di applicarlo, utilizza il metodo recommendations.markSucceeded dell'API Recommender.

    Prima di utilizzare qualsiasi dato della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • LOCATION: la regione in cui si trova il bucket Cloud Storage, ad esempio us o us-central1.
    • RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che hai scelto per il suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    La risposta mostra il suggerimento in stato SUCCEEDED, come mostrato nell'esempio seguente. Per maggiore chiarezza, in questo esempio la maggior parte dei campi omette: 

    ...
"stateInfo": {
  "state": "SUCCEEDED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

    FAILED

    Per contrassegnare un consiglio come FAILED, a indicare che non hai potuto applicarlo, utilizza il metodo recommendations.markFailed dell'API Recommender.

    Prima di utilizzare qualsiasi dato della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID del progetto Google Cloud che contiene i bucket Cloud Storage. Gli ID progetto sono stringhe alfanumeriche, come my-project.
    • LOCATION: la regione in cui si trova il bucket Cloud Storage, ad esempio us o us-central1.
    • RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
    • STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che hai scelto per il suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.

    Metodo HTTP e URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    Corpo JSON della richiesta: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Per inviare la richiesta, espandi una di queste opzioni:

    La risposta mostra il suggerimento in stato FAILED, come mostrato nell'esempio seguente. Per maggiore chiarezza, in questo esempio la maggior parte dei campi omette: 

    ...
"stateInfo": {
  "state": "FAILED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

Comprendere i consigli

Ogni consiglio include informazioni per aiutarti a capire il motivo.

Console

Per aiutarti a capire perché è stato fornito il suggerimento, la console Google Cloud mostra l'utilizzo delle autorizzazioni dell'entità, come riportato dall'insight sui criteri associato al suggerimento.

Per aiutarti a comprendere l'impatto dell'applicazione del suggerimento, la console Google Cloud mostra anche un elenco di autorizzazioni codificato con colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il consiglio. Ad esempio, potrebbe essere visualizzato un elenco simile al seguente:

I tipi di autorizzazioni associati a ogni colore e simbolo sono i seguenti:

  • Grigio senza simbolo: autorizzazioni che rientrano sia nel ruolo attuale dell'entità sia nei ruoli consigliati.

  • Rosso con un segno meno : autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non nei ruoli consigliati perché non le ha utilizzate negli ultimi 90 giorni.

  • Verde con un segno più : autorizzazioni che non rientrano nel ruolo attuale dell'entità, ma che rientrano nei ruoli consigliati. Questo tipo di autorizzazione viene visualizzato solo nei suggerimenti per gli account di servizio gestiti da Google.

  • Blu con un'icona Machine learning : Autorizzazioni che rientrano sia nel ruolo attuale dell'entità che nei ruoli consigliati, non perché l'entità abbia utilizzato le autorizzazioni negli ultimi 90 giorni, ma perché il motore per suggerimenti ha determinato tramite il machine learning che potrebbero ne avere bisogno in futuro.

gcloud

Ogni consiglio include informazioni per aiutarti a capire il motivo.

Per maggiori dettagli sui campi di un consiglio, consulta la documentazione di riferimento Recommendation.

Per vedere l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza gli approfondimenti sui criteri associati al suggerimento. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio:

  1. Copia l'ID dell'insight associato. L'ID è tutto ciò che segue insights/ nel campo insight. Ad esempio, se il campo insight indica projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, l'ID approfondimento è 7849add9-73c0-419e-b169-42b3671173fb.
  2. Segui le istruzioni per ottenere un insight sui criteri utilizzando l'ID approfondimento che hai copiato.

REST

Ogni consiglio include informazioni per aiutarti a capire il motivo.

Per maggiori dettagli sui campi di un consiglio, consulta la documentazione di riferimento Recommendation.

Per vedere l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza gli approfondimenti sui criteri associati al suggerimento. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio:

  1. Copia l'ID dell'insight associato. L'ID è tutto ciò che segue insights/ nel campo insight. Ad esempio, se il campo insight indica projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, l'ID approfondimento è 7849add9-73c0-419e-b169-42b3671173fb.
  2. Segui le istruzioni per ottenere un insight sui criteri utilizzando l'ID approfondimento che hai copiato.

Visualizza, annulla e ripristina le modifiche

Dopo aver applicato o ignorato un consiglio per un'associazione di ruoli a livello di progetto, l'azione viene visualizzata nella cronologia dei suggerimenti.

Puoi visualizzare la cronologia dei suggerimenti per un bucket nella console Google Cloud:

  1. Nella console Google Cloud, vai alla pagina Bucket.

    Vai a Bucket

  2. Individua la colonna Insight sulla sicurezza. Se la colonna non è visibile, fai clic su Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.

  3. Trova il bucket di cui vuoi visualizzare la cronologia dei suggerimenti, poi fai clic sul riepilogo degli insight sulla sicurezza in quella riga.

  4. Nel riquadro Consigli per la sicurezza visualizzato, fai clic sulla scheda Cronologia consigli.

    La console Google Cloud mostra un elenco di azioni precedenti sui suggerimenti relativi ai ruoli.

  5. Per visualizzare i dettagli di un consiglio, fai clic sulla freccia di espansione .

    La console Google Cloud mostra i dettagli dell'azione che è stata eseguita, inclusa l'entità che ha eseguito l'azione:

  6. (Facoltativo) Se necessario, puoi ripristinare il consiglio, che annulla le modifiche al suggerimento, oppure ripristinare un consiglio che hai ignorato.

    Per annullare una modifica applicata in precedenza a un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche ai ruoli dell'entità. Il suggerimento non viene più visualizzato nella console Google Cloud.

    Per ripristinare un consiglio ignorato, fai clic su Ripristina. Il suggerimento diventa visibile nella pagina IAM della console Google Cloud. Non vengono modificati ruoli o autorizzazioni.

Passaggi successivi