Nesta página, explicamos como visualizar, entender e aplicar recomendações de papéis do IAM para buckets do Cloud Storage. As recomendações de papéis ajudam a aplicar o princípio de privilégio mínimo, garantindo que os principais tenham apenas as permissões de que realmente precisam.
Antes de começar
Ative as APIs IAM and Recommender.
Entenda as recomendações por papel.
Papéis do IAM obrigatórios
Se quiser ter as permissões necessárias para gerenciar recomendações de papéis no nível do bucket, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Leitor de papéis (
roles/iam.roleViewer
) -
Administrador do Storage (
roles/storage.admin
)
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Esses papéis predefinidos contêm as permissões necessárias para gerenciar recomendações de papéis no nível do bucket. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para gerenciar recomendações de papéis no nível do bucket:
-
Para ver as recomendações, faça o seguinte:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
storage.buckets.getIamPolicy
-
-
Para aplicar e dispensar recomendações:
-
recommender.iamPolicyRecommendations.update
-
storage.buckets.setIamPolicy
-
Talvez você também consiga receber essas permissões com papéis personalizados ou outros papéis predefinidos.
Analisar e aplicar recomendações
É possível analisar e aplicar recomendações de papéis no nível do bucket com a Google Cloud CLI e a API Recommender.
Console
No console do Google Cloud, acesse a página Buckets do Cloud Storage.
Encontre a coluna Insights de segurança. Se a coluna não estiver visível, clique em Opções de exibição de colunas
e selecione Insights de segurança.A coluna Insights de segurança mostra um resumo de todos os insights de política de um bucket. Cada resumo indica o número total de permissões excedentes para todos os papéis concedidos no bucket em questão.
Se houver uma recomendação disponível para abordar qualquer um dos insights do bucket, o console do Google Cloud exibirá o ícone Recomendação disponível .
Se houver recomendações para analisar, clique em um resumo de insights de política para abrir o painel Recomendações de segurança. Esse painel lista todos os principais que têm um papel no bucket, os papéis deles e todos os insights de política associados a esses papéis.
Clique em um ícone Recomendação disponível para conferir detalhes sobre a recomendação.
Se a recomendação for substituir o papel, a recomendação do papel sempre irá sugerir um conjunto de papéis predefinidos que é possível aplicar.
Em alguns casos, a recomendação do papel também sugere a criação de um novo papel personalizado no nível do projeto. Se uma recomendação de papel personalizado estiver disponível, o console do Google Cloud a mostrará por padrão. Para alternar para a recomendação de papel predefinido, clique em Visualizar papel predefinido recomendado.
Avalie a recomendação com atenção e entenda como ela irá alterar o acesso do participantes aos recursos do Google Cloud. Exceto no caso de recomendações para contas de serviço gerenciadas pelo Google, uma recomendação nunca aumenta o nível de acesso de um participante. Consulte Como as recomendações de papel são geradas para mais informações.
Para saber como analisar as recomendações no console, consulte Revisar recomendações nesta página.
Opcional: se a recomendação for criar um papel personalizado, atualize o Título, a Descrição, o ID e a Etapa de criação do papel conforme necessário.
Se for necessário adicionar permissões ao papel personalizado, clique em Adicionar permissões.
Se for necessário remover permissões do papel personalizado, desmarque a caixa de seleção de cada permissão que você queira remover.
Tome providências com relação à recomendação.
Para aplicar a recomendação, clique em Aplicar ou Criar e aplicar. Se mudar de ideia nos próximos 90 dias, use o histórico de recomendações para reverter a escolha.
Para dispensar a recomendação, clique em Dispensar e confirme sua escolha. É possível restaurar uma recomendação dispensada, desde que a recomendação ainda seja válida.
Repita as etapas anteriores até ter avaliado todas as recomendações.
gcloud
Revisar suas recomendações:
Para listar as recomendações no nível do bucket, execute o comando gcloud recommender recommendations list
, filtrando apenas as recomendações de bucket do Cloud Storage:
gcloud recommender recommendations list \
--location=LOCATION \
--recommender=google.iam.policy.Recommender \
--project=PROJECT_ID \
--format=json \
--filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"
Substitua os seguintes valores:
LOCATION
: a região em que os buckets do Cloud Storage estão localizados, por exemplo,us
ouus-central1
.PROJECT_ID
: o ID do projeto do Google Cloud que contém os buckets do Cloud Storage. Os IDs do projeto são strings alfanuméricas, comomy-project
.
A resposta é semelhante ao exemplo a seguir. Neste exemplo, todos
os usuários autenticados (allAuthenticatedUsers
) têm o papel Leitor de objeto legado
do Storage (roles/storage.legacyObjectReader
) no bucket mybucket
.
No entanto, esse papel não foi usado nos últimos 90 dias. Como resultado, a recomendação de papel sugere que você revogue o papel:
[ { "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "associatedResourceNames": [ "//storage.googleapis.com/my-bucket" ], "content": { "operationGroups": [ { "operations": [ { "action": "remove", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" }, "resource": "//storage.googleapis.com/my-bucket", "resourceType": "storage.googleapis.com/Bucket" } ] } ] }, "description": "This role has not been used during the observation window.", "etag": "\"7caf4103d7669e12\"", "lastRefreshTime": "2022-05-24T07:00:00Z", "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "ACTIVE" } } ]
Avalie cada recomendação com cuidado e veja como isso mudará o acesso do participante aos recursos do Google Cloud. Para saber como analisar as recomendações na CLI gcloud, consulte Revisar recomendações nesta página.
Para aplicar uma recomendação:
Use o comando
gcloud recommender recommendations mark-claimed
para alterar o estado da recomendação paraCLAIMED,
, o que impede que a recomendação seja alterada enquanto você a aplica:gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Substitua os seguintes valores:
-
RECOMMENDATION_ID
: o identificador exclusivo da recomendação. Esse valor é exibido no final do camponame
na recomendação. Por exemplo, se o camponame
forprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, o ID da recomendação seráfb927dc1-9695-4436-0000-f0f285007c0f
. -
LOCATION
: a região em que o bucket do Cloud Storage está localizado, por exemplo,us
ouus-central1
. -
PROJECT_ID
: o ID do projeto do Google Cloud que contém os buckets do Cloud Storage. Os IDs do projeto são strings alfanuméricas, comomy-project
. -
FORMAT
: o formato da resposta. Usejson
ouyaml
. -
ETAG
: o valor do campoetag
na recomendação, como"dd0686e7136a4cbb"
. Observe que esse valor pode incluir aspas. -
STATE_METADATA
: opcional. Pares de chave-valor separados por vírgula que contenham a opção de metadados sobre a recomendação. Por exemplo,--state-metadata=reviewedBy=alice,priority=high
. Os metadados substituem o campostateInfo.stateMetadata
na recomendação.
Se o comando for bem-sucedido, a resposta mostrará a recomendação em um estado
CLAIMED
, conforme mostrado no exemplo a seguir. Para esclarecer, o exemplo omite a maioria dos campos:... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "CLAIMED" } ...
-
Consiga a política de permissão do bucket e, em seguida, modifique e defina a política de permissão para que ela reflita a recomendação.
Se tiver conseguido aplicar a recomendação, atualize o estado dela para
SUCCEEDED
. Caso contrário, atualize o estado paraFAILED
:gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Substitua os seguintes valores:
-
COMMAND
: usemark-succeeded
se tiver conseguido aplicar a recomendação. Caso contrário, usemark-failed
. -
RECOMMENDATION_ID
: o identificador exclusivo da recomendação. Esse valor é exibido no final do camponame
na recomendação. Por exemplo, se o camponame
forprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, o ID da recomendação seráfb927dc1-9695-4436-0000-f0f285007c0f
. -
LOCATION
: a região em que o bucket do Cloud Storage está localizado, por exemplo,us
ouus-central1
. -
PROJECT_ID
: o ID do projeto do Google Cloud que contém os buckets do Cloud Storage. Os IDs do projeto são strings alfanuméricas, comomy-project
. -
FORMAT
: o formato da resposta. Usejson
ouyaml
. -
ETAG
: o valor do campoetag
na recomendação, como"dd0686e7136a4cbb"
. Observe que esse valor pode incluir aspas. -
STATE_METADATA
: opcional. Pares de chave-valor separados por vírgula que contenham a opção de metadados sobre a recomendação. Por exemplo,--state-metadata=reviewedBy=alice,priority=high
. Os metadados substituem o campostateInfo.stateMetadata
na recomendação.
Por exemplo, se você tiver marcado a recomendação como bem-sucedida, a resposta mostrará a recomendação em um estado
SUCCEEDED
. Para esclarecer, este exemplo omite a maioria dos campos:... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "SUCCEEDED" } ...
-
REST
Estas instruções presumem que você tenha se autenticado
e definido a variável de ambiente GOOGLE_APPLICATION_CREDENTIALS
.
Revisar suas recomendações:
Para listar todas as recomendações disponíveis para os buckets do Cloud Storage, use o método recommendations.list
da API Recommender.
Antes de usar os dados da solicitação, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud que contém os buckets do Cloud Storage. Os IDs do projeto são strings alfanuméricas, comomy-project
.LOCATION
: a região em que os buckets do Cloud Storage estão localizados, por exemplo,us
ouus-central1
.-
PAGE_SIZE
: opcional. O número máximo de resultados a serem retornados a partir dessa solicitação. Se não especificado, o servidor determinará o número de resultados a serem retornados. Se o número de recomendações for maior que o tamanho da página, a resposta conterá um token de paginação que é possível usar para recuperar a próxima página de resultados. -
PAGE_TOKEN
: opcional. O token de paginação retornado em uma resposta anterior desse método. Se especificada, a lista de recomendações começará onde a solicitação anterior foi finalizada. PROJECT_ID
: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, comomy-project
.
Método HTTP e URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Para enviar a solicitação, expanda uma destas opções:
A resposta é semelhante ao exemplo a seguir. Neste exemplo, todos os usuários autenticados (allAuthenticatedUsers
) têm o papel Leitor de objeto legado do Storage (roles/storage.legacyObjectReader
) no bucket mybucket
.
No entanto, esse papel não foi usado nos últimos 90 dias. Como resultado, a recomendação de papel sugere que você revogue o papel:
{ "recommendations": [ "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "description": "This role has not been used during the observation window.", "lastRefreshTime": "2022-05-24T07:00:00Z", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "content": { "operationGroups": [ { "operations": [ { "action": "remove", "resourceType": "storage.googleapis.com/Bucket", "resource": "//storage.googleapis.com/my-bucket", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" } } ] } ] }, "stateInfo": { "state": "ACTIVE" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "priority": "P1" ] }
Avalie cada recomendação com cuidado e veja como isso mudará o acesso do participante aos recursos do Google Cloud. Para saber como analisar as recomendações da API REST, consulte Revisar recomendações nesta página.
Para aplicar uma recomendação:
Marque a recomendação como
CLAIMED
:Para marcar uma recomendação como
CLAIMED
, o que impede que ela seja alterada enquanto você a aplica, use o métodorecommendations.markClaimed
da API Recommender.Antes de usar os dados da solicitação, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud que contém os buckets do Cloud Storage. Os IDs do projeto são strings alfanuméricas, comomy-project
.LOCATION
: a região em que o bucket do Cloud Storage está localizado, por exemplo,us
ouus-central1
.RECOMMENDATION_ID
: o identificador exclusivo da recomendação. Esse valor é exibido no final do camponame
na recomendação. Por exemplo, se o camponame
forprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, o ID de recomendação seráfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: o valor do campoetag
na recomendação, como"dd0686e7136a4cbb"
. Use barras invertidas para escapar das aspas, por exemplo,"\"df7308cca9719dcc\""
.STATE_METADATA
: opcional. Um objeto que contém pares de chave-valor com a opção de metadados sobre a recomendação. Por exemplo,{"reviewedBy": "alice", "priority": "high"}
. Os metadados substituem o campostateInfo.stateMetadata
na recomendação.
Método HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
Corpo JSON da solicitação:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Para enviar a solicitação, expanda uma destas opções:
A resposta mostra a recomendação em um estado
CLAIMED
, conforme mostrado no exemplo a seguir. Para esclarecer, este exemplo omite a maioria dos campos:... "stateInfo": { "state": "CLAIMED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
Verifique a política de permissão do projeto e modifique a política de permissão para que ela reflita a recomendação.
Se tiver conseguido aplicar a recomendação, atualize o estado dela para
SUCCEEDED
. Caso contrário, atualize o estado paraFAILED
:SUCCEEDED
Para marcar uma recomendação como
SUCCEEDED
, indicando que você conseguiu aplicá-la, use o métodorecommendations.markSucceeded
da API Recommender.Antes de usar os dados da solicitação, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud que contém os buckets do Cloud Storage. Os IDs do projeto são strings alfanuméricas, comomy-project
.LOCATION
: a região em que o bucket do Cloud Storage está localizado, por exemplo,us
ouus-central1
.RECOMMENDATION_ID
: o identificador exclusivo da recomendação. Esse valor é exibido no final do camponame
na recomendação. Por exemplo, se o camponame
forprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, o ID de recomendação seráfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: o valor do campoetag
na recomendação, como"dd0686e7136a4cbb"
. Use barras invertidas para escapar das aspas, por exemplo,"\"df7308cca9719dcc\""
.STATE_METADATA
: opcional. Um objeto que contém pares de chave-valor com a opção de metadados sobre a recomendação. Por exemplo,{"reviewedBy": "alice", "priority": "high"}
. Os metadados substituem o campostateInfo.stateMetadata
na recomendação.
Método HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
Corpo JSON da solicitação:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Para enviar a solicitação, expanda uma destas opções:
A resposta mostra a recomendação em um estado
SUCCEEDED
, conforme mostrado no exemplo a seguir. Para esclarecer, este exemplo omite a maioria dos campos:... "stateInfo": { "state": "SUCCEEDED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
FAILED
Para marcar uma recomendação como
FAILED
, indicando que não foi possível aplicá-la, use o métodorecommendations.markFailed
da API Recommender.Antes de usar os dados da solicitação, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud que contém os buckets do Cloud Storage. Os IDs do projeto são strings alfanuméricas, comomy-project
.LOCATION
: a região em que o bucket do Cloud Storage está localizado, por exemplo,us
ouus-central1
.RECOMMENDATION_ID
: o identificador exclusivo da recomendação. Esse valor é exibido no final do camponame
na recomendação. Por exemplo, se o camponame
forprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, o ID de recomendação seráfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: o valor do campoetag
na recomendação, como"dd0686e7136a4cbb"
. Use barras invertidas para escapar das aspas, por exemplo,"\"df7308cca9719dcc\""
.STATE_METADATA
: opcional. Um objeto que contém pares de chave-valor com a opção de metadados sobre a recomendação. Por exemplo,{"reviewedBy": "alice", "priority": "high"}
. Os metadados substituem o campostateInfo.stateMetadata
na recomendação.
Método HTTP e URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
Corpo JSON da solicitação:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Para enviar a solicitação, expanda uma destas opções:
A resposta mostra a recomendação em um estado
FAILED
, conforme mostrado no exemplo a seguir. Para esclarecer, este exemplo omite a maioria dos campos:... "stateInfo": { "state": "FAILED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
Noções básicas sobre as recomendações
Cada recomendação inclui informações para ajudar você a entender por que ela foi feita.
Console
Para ajudar você a entender por que a recomendação foi feita, o console do Google Cloud mostra o uso da permissão do principal, conforme relatado pelo insights de política associados à recomendação.
Para ajudar você a entender o impacto da aplicação da recomendação, o console do Google Cloud também mostra uma lista de permissões codificadas por cores e símbolos. Essa lista indica como as permissões do principal serão alteradas se você aplicar a recomendação. Por exemplo, ele mostrará uma lista como a seguinte:
Os tipos de permissão associados a cada cor e símbolo são os seguintes:
cinza sem símbolo: permissões que estão no papel atual do participante e nos papéis recomendados.
Vermelho com um sinal de menos
: permissões que estão no papel atual do membro, mas não nos papéis recomendados porque o participante não os usou nos últimos 90 dias.Verde com um sinal de adição recomendações para contas de serviço gerenciadas pelo Google.
: permissões que não estão no papel atual do participante, mas estão nos papéis recomendados. Esse tipo de permissão aparece somente emAzul com um ícone de Machine learning machine learning que ele provavelmente precisará dessas permissões no futuro.
: permissões que estão no papel atual do participante e nos papéis recomendados, não porque o participante usou as permissões nos últimos 90 dias, mas porque o recomendador determinou por meio do
gcloud
Cada recomendação inclui informações para ajudar você a entender por que ela foi feita.
Para detalhes sobre os campos de
uma recomendação, consulte a referência Recommendation
.
Para ver o uso da permissão na qual essa recomendação se baseia, consulte os
insights associados a ela.
Esses insights
são listados no campo associatedInsights
. Para visualizar um insight de política associado à recomendação, faça o seguinte:
- Copie o ID do insight associado. O ID é tudo depois de
insights/
no campoinsight
. Por exemplo, se o campoinsight
mostrarprojects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
, o ID do insight será7849add9-73c0-419e-b169-42b3671173fb
. - Siga as instruções para receber um insight de política usando o ID do insight que você copiou.
REST
Cada recomendação inclui informações para ajudar você a entender por que ela foi feita.
Para detalhes sobre os campos de
uma recomendação, consulte a referência Recommendation
.
Para ver o uso da permissão na qual essa recomendação se baseia, consulte os
insights associados a ela.
Esses insights
são listados no campo associatedInsights
. Para visualizar um insight de política associado à recomendação, faça o seguinte:
- Copie o ID do insight associado. O ID é tudo depois de
insights/
no campoinsight
. Por exemplo, se o campoinsight
mostrarprojects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
, o ID do insight será7849add9-73c0-419e-b169-42b3671173fb
. - Siga as instruções para receber um insight de política usando o ID do insight que você copiou.
Ver, reverter e restaurar alterações
Depois de aplicar ou descartar uma recomendação para vinculação no nível do projeto, essa ação será exibida no histórico de recomendações.
É possível visualizar o histórico de recomendações de um bucket no Console do Google Cloud:
No console do Google Cloud, acesse a página Buckets.
Encontre a coluna Insights de segurança. Se a coluna não estiver visível, clique em Opções de exibição de colunas
e selecione Insights de segurança.Encontre o bucket cujo histórico de recomendações você quer visualizar e clique no resumo do insight de segurança nessa linha.
No painel Recomendações de segurança que é exibido, clique na guia Histórico de recomendações.
O console do Google Cloud mostra uma lista de ações anteriores nas recomendações de papéis.
Para visualizar detalhes sobre uma recomendação, clique na seta expansora
.O console do Google Cloud mostra detalhes sobre a ação que foi realizada, incluindo o principal que realizou a ação:
Opcional: se necessário, é possível reverter a recomendação, o que desfará as alterações feitas, ou restaurar uma recomendação dispensada.
Para reverter uma alteração aplicada anteriormente a uma recomendação, clique em Reverter. O console do Google Cloud reverte as alterações para os papéis do principal. A recomendação não aparece mais no console do Google Cloud.
Para restaurar uma recomendação dispensada, clique em Restaurar. A recomendação fica visível na página IAM do console do Google Cloud. Nem papéis nem permissões são alterados.
A seguir
- Saiba mais sobre o Recomendador.
- Saiba como usar insights de política de permissão para buckets do Cloud Storage.