本页面介绍如何查看、了解和应用 Cloud Storage 存储分区的 Cloud Storage 角色建议。角色建议可确保主帐号仅具有其实际需要的权限,从而强制执行最小权限原则。
准备工作
所需 IAM 角色
本部分介绍处理存储分区级角色建议所需的 IAM 角色和权限。
查看建议
如需获取查看存储分区级角色建议所需的权限,请让管理员授予您项目的以下 IAM 角色:
- Role Viewer (
roles/iam.roleViewer
) - IAM Recommender 查看者 (
roles/recommender.iamViewer
) - Storage Admin (
roles/storage.admin
)
如需详细了解如何授予角色,请参阅管理访问权限。
这些预定义角色包含查看存储分区级角色建议所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
storage.buckets.getIamPolicy
应用和拒绝建议
如需获取查看、应用和拒绝存储分区级角色建议所需的权限,请让管理员授予您项目的以下 IAM 角色:
- Role Viewer (
roles/iam.roleViewer
) - IAM Recommender 管理员 (
roles/recommender.iamAdmin
) - Storage Admin (
roles/storage.admin
)
如需详细了解如何授予角色,请参阅管理访问权限。
这些预定义角色包含查看、应用和拒绝存储分区级角色建议所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
recommender.iamPolicyLateralMovementInsights.get
-
recommender.iamPolicyLateralMovementInsights.list
-
recommender.iamPolicyRecommendations.update
-
storage.buckets.getIamPolicy
-
storage.buckets.setIamPolicy
查看和应用建议
您可以使用 Google Cloud CLI 和 Recommender API 查看和应用存储分区级角色建议。
gcloud
查看您的建议:
如需列出存储分区级建议,请运行 gcloud recommender recommendations list
命令,以便过滤出 Cloud Storage 存储分区建议:
gcloud recommender recommendations list \
--location=LOCATION \
--recommender=google.iam.policy.Recommender \
--project=PROJECT_ID \
--format=FORMAT \
--filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"
替换以下值:
LOCATION
:您的 Cloud Storage 存储分区所在的区域,例如us
或us-central1
。PROJECT_ID
:包含 Cloud Storage 存储分区的 Google Cloud 项目的 ID。项目 ID 是字母数字字符串,如my-project
。FORMAT
:响应的格式。使用json
或yaml
。
响应类似于以下示例。在此示例中,所有经过身份验证的用户 (allAuthenticatedUsers
) 对存储分区 mybucket
都具有 Storage Legacy Object Viewer 角色 (roles/storage.legacyObjectReader
)。不过,此角色在过去 90 天内未曾使用过。因此,角色建议建议您撤消该角色:
[ { "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "associatedResourceNames": [ "//storage.googleapis.com/my-bucket" ], "content": { "operationGroups": [ { "operations": [ { "action": "remove", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" }, "resource": "//storage.googleapis.com/my-bucket", "resourceType": "storage.googleapis.com/Bucket" } ] } ] }, "description": "This role has not been used during the observation window.", "etag": "\"7caf4103d7669e12\"", "lastRefreshTime": "2022-05-24T07:00:00Z", "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "ACTIVE" } } ]
仔细查看每项建议,并思考它将如何改变主帐号对 Google Cloud 资源的访问权限。如需了解如何使用 gcloud CLI 查看建议,请参阅本页面中的查看建议。
如需应用建议,请执行以下操作:
使用
gcloud recommender recommendations mark-claimed
命令将建议的状态更改为CLAIMED,
,这样可以防止建议在您应用它时发生变化:gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
替换以下值:
-
RECOMMENDATION_ID
:建议的唯一标识符。此值显示在建议的name
字段末尾。例如,如果name
字段为projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
,则建议 ID 为fb927dc1-9695-4436-0000-f0f285007c0f
。 -
LOCATION
:您的 Cloud Storage 存储分区所在的区域,例如us
或us-central1
。 -
PROJECT_ID
:包含 Cloud Storage 存储分区的 Google Cloud 项目的 ID。项目 ID 是字母数字字符串,例如my-project
。 -
FORMAT
:响应的格式。请使用json
或yaml
。 -
ETAG
:建议中etag
字段的值,例如"dd0686e7136a4cbb"
。请注意,该值可以包含引号。 -
STATE_METADATA
:可选。以英文逗号分隔的键值对,其中包含您对建议所选择的元数据。例如--state-metadata=reviewedBy=alice,priority=high
。元数据会替换建议中的stateInfo.stateMetadata
字段。
如果命令成功,响应会显示建议处于
CLAIMED
状态,如下例所示。为清楚起见,示例省略了大部分字段:... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "CLAIMED" } ...
-
获取存储分区的允许政策,然后修改并设置允许政策,以便反映建议。
如果能够应用建议,请将建议的状态更新为
SUCCEEDED
;否则,请更新为FAILED
:gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=LOCATION \ --recommender=google.iam.policy.Recommender \ --project=PROJECT_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
替换以下值:
-
COMMAND
:如果您可以应用建议,请使用mark-succeeded
;否则,请使用mark-failed
。 -
RECOMMENDATION_ID
:建议的唯一标识符。此值显示在建议的name
字段末尾。例如,如果name
字段为projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
,则建议 ID 为fb927dc1-9695-4436-0000-f0f285007c0f
。 -
LOCATION
:您的 Cloud Storage 存储分区所在的区域,例如us
或us-central1
。 -
PROJECT_ID
:包含 Cloud Storage 存储分区的 Google Cloud 项目的 ID。项目 ID 是字母数字字符串,例如my-project
。 -
FORMAT
:响应的格式。请使用json
或yaml
。 -
ETAG
:建议中etag
字段的值,例如"dd0686e7136a4cbb"
。请注意,该值可以包含引号。 -
STATE_METADATA
:可选。以英文逗号分隔的键值对,其中包含您对建议所选择的元数据。例如--state-metadata=reviewedBy=alice,priority=high
。元数据会替换建议中的stateInfo.stateMetadata
字段。
例如,如果您将建议标记为成功,响应会显示建议处于
SUCCEEDED
状态。为清楚起见,此示例省略了大部分字段:... "priority": "P1", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "stateInfo": { "state": "SUCCEEDED" } ...
-
REST
以下说明假定您已通过身份验证并设置了 GOOGLE_APPLICATION_CREDENTIALS
环境变量。
查看您的建议:
如需列出 Cloud Storage 存储分区的所有可用建议,请使用 Recommender API 的 recommendations.list
方法。
在使用任何请求数据之前,请先进行以下替换:
PROJECT_ID
:包含 Cloud Storage 存储分区的 Google Cloud 项目的 ID。项目 ID 是字母数字字符串,如my-project
。LOCATION
:您的 Cloud Storage 存储分区所在的区域,例如us
或us-central1
。-
PAGE_SIZE
:可选。要从此请求返回的最大结果数。如果未指定,则服务器将决定要返回的结果数。如果建议的数量大于页面大小,则响应会包含用于检索下一页结果的分页令牌。 -
PAGE_TOKEN
:可选。此方法之前的响应中返回的分页令牌。如果已指定,则建议列表将从上一个请求结束的位置开始。
HTTP 方法和网址:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
如需发送您的请求,请展开以下选项之一:
响应类似于以下示例。在此示例中,所有经过身份验证的用户 (allAuthenticatedUsers
) 对存储分区 mybucket
都具有 Storage Legacy Object Reader 角色 (roles/storage.legacyObjectReader
)。不过,此角色在过去 90 天内未曾使用过。因此,角色建议建议您撤消该角色:
{ "recommendations": [ "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257", "description": "This role has not been used during the observation window.", "lastRefreshTime": "2022-05-24T07:00:00Z", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 1 } } }, "content": { "operationGroups": [ { "operations": [ { "action": "remove", "resourceType": "storage.googleapis.com/Bucket", "resource": "//storage.googleapis.com/my-bucket", "path": "/iamPolicy/bindings/*/members/*", "pathFilters": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers", "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader" } } ] } ] }, "stateInfo": { "state": "ACTIVE" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", "associatedInsights": [ { "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb" } ], "priority": "P1" ] }
仔细查看每项建议,并思考它将如何改变主帐号对 Google Cloud 资源的访问权限。如需了解如何通过 REST API 查看建议,请参阅本页面上的查看建议。
如需应用建议,请执行以下操作:
将建议标记为
CLAIMED
:如需将建议标记为
CLAIMED
,这样可以防止建议在您应用它时发生变化,请使用 Recommender API 的recommendations.markClaimed
方法。在使用任何请求数据之前,请先进行以下替换:
PROJECT_ID
:包含 Cloud Storage 存储分区的 Google Cloud 项目的 ID。项目 ID 是字母数字字符串,如my-project
。LOCATION
:您的 Cloud Storage 存储分区所在的区域,例如us
或us-central1
。RECOMMENDATION_ID
:建议的唯一标识符。此值显示在建议的name
字段末尾。例如,如果name
字段为projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
,则建议 ID 为fb927dc1-9695-4436-0000-f0f285007c0f
。ETAG
:建议中etag
字段的值,例如"dd0686e7136a4cbb"
。使用反斜杠可转义引号,例如"\"df7308cca9719dcc\""
。STATE_METADATA
:可选。包含键值对的对象,其中包含您对建议所选择的元数据。例如{"reviewedBy": "alice", "priority": "high"}
。元数据会替换建议中的stateInfo.stateMetadata
字段。
HTTP 方法和网址:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
请求 JSON 正文:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
如需发送您的请求,请展开以下选项之一:
响应会显示
CLAIMED
状态的建议,如以下示例所示。为清楚起见,此示例省略了大部分字段:... "stateInfo": { "state": "CLAIMED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
如果能够应用建议,请将建议的状态更新为
SUCCEEDED
;否则,请更新为FAILED
:SUCCEEDED
如需将建议标记为
SUCCEEDED
,表示您可以采纳该建议,请使用 Recommender API 的recommendations.markSucceeded
方法。在使用任何请求数据之前,请先进行以下替换:
PROJECT_ID
:包含 Cloud Storage 存储分区的 Google Cloud 项目的 ID。项目 ID 是字母数字字符串,如my-project
。LOCATION
:您的 Cloud Storage 存储分区所在的区域,例如us
或us-central1
。RECOMMENDATION_ID
:建议的唯一标识符。此值显示在建议的name
字段末尾。例如,如果name
字段为projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
,则建议 ID 为fb927dc1-9695-4436-0000-f0f285007c0f
。ETAG
:建议中etag
字段的值,例如"dd0686e7136a4cbb"
。使用反斜杠可转义引号,例如"\"df7308cca9719dcc\""
。STATE_METADATA
:可选。包含键值对的对象,其中包含您对建议所选择的元数据。例如{"reviewedBy": "alice", "priority": "high"}
。元数据会替换建议中的stateInfo.stateMetadata
字段。
HTTP 方法和网址:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
请求 JSON 正文:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
如需发送您的请求,请展开以下选项之一:
响应会显示
SUCCEEDED
状态的建议,如以下示例所示。为清楚起见,此示例省略了大部分字段:... "stateInfo": { "state": "SUCCEEDED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
FAILED
如需将建议标记为
FAILED
,表示您无法应用建议,请使用 Recommender API 的recommendations.markFailed
方法。在使用任何请求数据之前,请先进行以下替换:
PROJECT_ID
:包含 Cloud Storage 存储分区的 Google Cloud 项目的 ID。项目 ID 是字母数字字符串,如my-project
。LOCATION
:您的 Cloud Storage 存储分区所在的区域,例如us
或us-central1
。RECOMMENDATION_ID
:建议的唯一标识符。此值显示在建议的name
字段末尾。例如,如果name
字段为projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
,则建议 ID 为fb927dc1-9695-4436-0000-f0f285007c0f
。ETAG
:建议中etag
字段的值,例如"dd0686e7136a4cbb"
。使用反斜杠可转义引号,例如"\"df7308cca9719dcc\""
。STATE_METADATA
:可选。包含键值对的对象,其中包含您对建议所选择的元数据。例如{"reviewedBy": "alice", "priority": "high"}
。元数据会替换建议中的stateInfo.stateMetadata
字段。
HTTP 方法和网址:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
请求 JSON 正文:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
如需发送您的请求,请展开以下选项之一:
响应会显示
FAILED
状态的建议,如以下示例所示。为清楚起见,此示例省略了大部分字段:... "stateInfo": { "state": "FAILED" }, "etag": "\"7caf4103d7669e12\"", "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET", ...
了解建议
每条建议都包含可帮助您了解提出该建议原因的信息。
如需详细了解建议的各个字段,请参阅 Recommendation
参考文档。
如要查看此建议基于的权限使用情况,请查看与建议相关的政策数据分析。这些数据分析在 associatedInsights
字段中列出。如需查看与建议相关的政策数据分析,请执行以下操作:
- 复制关联的数据分析 ID。该 ID 是
insight
字段中insights/
后面的所有内容。例如,如果insight
字段显示projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb
,则数据分析 ID 为7849add9-73c0-419e-b169-42b3671173fb
。 - 按照说明使用您复制的数据分析 ID 来获取政策数据分析。
后续步骤
- 详细了解 Recommender。
- 了解如何为 Cloud Storage 存储分区使用允许的政策数据分析。