Halaman ini menjelaskan cara melihat, memahami, dan menerapkan rekomendasi peran untuk project, folder, dan organisasi. Rekomendasi peran membantu Anda menerapkan prinsip hak istimewa terendah dengan memastikan bahwa akun utama hanya memiliki izin yang benar-benar dibutuhkan.
Sebelum memulai
Aktifkan API IAM and Recommender.
Pahami rekomendasi peran.
Peran IAM yang diperlukan
Bagian ini menjelaskan peran dan izin IAM yang Anda butuhkan untuk menangani rekomendasi peran.
Melihat rekomendasi
Untuk mendapatkan izin yang Anda perlukan guna melihat rekomendasi peran, minta administrator untuk memberi Anda peran IAM berikut pada resource yang rekomendasinya ingin Anda lihat (project, folder, atau organisasi):
-
Penonton Peran (
roles/iam.roleViewer
) -
Viewer Pemberi Rekomendasi IAM (
roles/recommender.iamViewer
) -
Untuk melihat rekomendasi level project di Konsol Google Cloud:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin
) -
Untuk melihat rekomendasi tingkat folder di konsol Google Cloud:
Admin IAM Folder (
roles/resourcemanager.folderIamAdmin
) -
Untuk melihat rekomendasi tingkat organisasi di konsol Google Cloud:
Admin Organisasi (
roles/resourcemanager.organizationAdmin
)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.
Peran bawaan ini berisi izin yang diperlukan untuk melihat rekomendasi peran. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk melihat rekomendasi peran:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
recommender.iamPolicyLateralMovementInsights.get
-
recommender.iamPolicyLateralMovementInsights.list
-
Untuk melihat rekomendasi di konsol Google Cloud:
resourcemanager.RESOURCE.getIamPolicy
, denganRESOURCE
adalah jenis resource yang ingin Anda lihat rekomendasinya (projects
,folders
, atauorganizations
)
Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.
Menerapkan dan menolak rekomendasi
Untuk mendapatkan izin yang Anda perlukan untuk melihat, menerapkan, dan menolak rekomendasi peran, minta administrator untuk memberi Anda peran IAM berikut di resource yang rekomendasinya ingin Anda kelola (project, folder, atau organisasi):
-
Penonton Peran (
roles/iam.roleViewer
) -
Admin Pemberi Rekomendasi IAM (
roles/recommender.iamAdmin
) -
Untuk mengelola rekomendasi level project:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin
) -
Untuk mengelola rekomendasi tingkat folder:
Admin IAM Folder (
roles/resourcemanager.folderIamAdmin
) -
Untuk mengelola rekomendasi tingkat organisasi:
Admin Organisasi (
roles/resourcemanager.organizationAdmin
)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.
Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk melihat, menerapkan, dan menolak rekomendasi peran. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk melihat, menerapkan, dan menolak rekomendasi peran:
-
iam.roles.get
-
iam.roles.list
-
recommender.iamPolicyRecommendations.get
-
recommender.iamPolicyRecommendations.list
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
recommender.iamPolicyLateralMovementInsights.get
-
recommender.iamPolicyLateralMovementInsights.list
-
recommender.iamPolicyRecommendations.update
-
resourcemanager.RESOURCE.getIamPolicy
, denganRESOURCE
sebagai jenis resource yang rekomendasinya ingin Anda kelola (projects
,folders
, atauorganizations
) -
resourcemanager.RESOURCE.setIamPolicy
, denganRESOURCE
sebagai jenis resource yang rekomendasinya ingin Anda kelola (projects
,folders
, atauorganizations
)
Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.
Meninjau dan menerapkan rekomendasi
Cara termudah untuk meninjau dan menerapkan rekomendasi Anda adalah menggunakan Konsol Google Cloud. Selain itu, jika ingin membuat peran khusus secara otomatis saat menerapkan rekomendasi, Anda harus menggunakan konsol Google Cloud.
Anda juga dapat meninjau dan menerapkan rekomendasi dengan Google Cloud CLI dan Recommender API.
Konsol
Di konsol Google Cloud, buka halaman IAM.
Pilih project, folder, atau organisasi.
Dalam daftar akun utama yang memiliki akses ke project Anda, temukan kolom Insight keamanan.
Untuk setiap peran yang diberikan kepada akun utama, kolom ini akan menampilkan insight terkait keamanan. Insight ini menyoroti pola terkait cara akun utama Anda mengakses resource. Misalnya, beberapa insight menyoroti izin yang berlebihan, atau izin yang tidak diperlukan akun utama. Insight lain menyoroti akun layanan dengan kemampuan pergerakan lateral:
Jika ada rekomendasi yang tersedia untuk mengatasi insight, Google Cloud Console akan menampilkan ikon Rekomendasi tersedia .
Jika ada rekomendasi untuk ditinjau, klik ikon Rekomendasi tersedia untuk mendapatkan detail tentang rekomendasi tersebut.
Jika rekomendasi tersebut adalah untuk mengganti peran, rekomendasi peran akan selalu menyarankan kumpulan peran standar yang dapat Anda terapkan.
Dalam beberapa kasus, rekomendasi peran juga menyarankan untuk membuat peran khusus baru di level project. Jika rekomendasi peran khusus tersedia, Google Cloud Console akan menampilkannya secara default. Untuk beralih ke rekomendasi peran yang telah ditetapkan, klik Lihat peran bawaan yang direkomendasikan.
Tinjau rekomendasi dengan cermat, dan pastikan Anda memahami bagaimana rekomendasi tersebut akan mengubah akses akun utama ke resource Google Cloud. Kecuali dalam kasus rekomendasi untuk akun layanan yang dikelola Google, rekomendasi tidak akan pernah meningkatkan tingkat akses akun utama. Lihat Cara rekomendasi peran dibuat untuk informasi selengkapnya.
Untuk mempelajari cara meninjau rekomendasi di konsol, lihat Meninjau rekomendasi di halaman ini.
Opsional: Jika rekomendasinya adalah membuat peran khusus, perbarui Judul, Deskripsi, ID, dan Tahap peluncuran peran sesuai kebutuhan.
Jika Anda perlu menambahkan izin ke peran khusus, klik Add permissions.
Jika Anda perlu menghapus izin dari peran khusus tersebut, hapus centang pada kotak untuk setiap izin yang ingin dihapus.
Ambil tindakan berdasarkan rekomendasi.
Untuk menerapkan rekomendasi, klik Terapkan atau Buat dan terapkan. Jika Anda berubah pikiran dalam 90 hari ke depan, gunakan histori rekomendasi untuk mengembalikan pilihan Anda.
Untuk menolak rekomendasi, klik Tolak, lalu konfirmasi pilihan Anda. Anda dapat memulihkan rekomendasi yang ditolak selama rekomendasi tersebut masih valid.
Ulangi langkah sebelumnya sampai Anda meninjau semua rekomendasi.
gcloud
Tinjau rekomendasi Anda:
Untuk menampilkan daftar rekomendasi, jalankan perintah gcloud recommender recommendations list
:
gcloud recommender recommendations list \
--location=global \
--recommender=google.iam.policy.Recommender \
--RESOURCE_TYPE=RESOURCE_ID \
--format=json
Ganti nilai berikut:
RESOURCE_TYPE
: Jenis resource yang ingin Anda cantumkan rekomendasinya. Gunakan nilaiproject
,folder
, atauorganization
.RESOURCE_ID
: ID project, folder, atau organisasi Google Cloud yang ingin Anda cantumkan rekomendasinya. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa numerik, seperti123456789012
.
Responsnya mirip dengan contoh berikut. Dalam contoh ini, akun layanan belum menggunakan izin apa pun dari peran Compute Admin (roles/compute.admin
) dalam 90 hari terakhir. Akibatnya,
rekomendasi peran menyarankan agar Anda mencabut peran tersebut:
[
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilter": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
"/iamPolicy/bindings/*/role": "roles/compute.admin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
]
},
"description": "This role has not been used during the observation window.",
"recommenderSubtype": "REMOVE_ROLE",
"etag": "\"770237e2c0decf40\"",
"lastRefreshTime": "2020-01-09T06:06:17Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 708
}
}
},
"priority": "P4",
"stateInfo": {
"state": "ACTIVE"
}
}
]
Tinjau setiap rekomendasi dengan cermat, dan pertimbangkan bagaimana rekomendasi tersebut akan mengubah akses akun utama ke resource Google Cloud. Untuk mempelajari cara meninjau rekomendasi dari gcloud CLI, lihat Meninjau rekomendasi di halaman ini.
Untuk menerapkan rekomendasi:
Gunakan perintah
gcloud recommender recommendations mark-claimed
untuk mengubah status rekomendasi menjadiCLAIMED,
yang mencegah rekomendasi berubah saat Anda menerapkannya:gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=global \ --recommender=google.iam.policy.Recommender \ --RESOURCE_TYPE=RESOURCE_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Ganti nilai berikut:
-
RECOMMENDATION_ID
: ID unik untuk rekomendasi. Nilai ini muncul di akhir kolomname
dalam rekomendasi. Dalam contoh yang ditunjukkan di atas, ID-nya adalahfb927dc1-9695-4436-0000-f0f285007c0f
. -
RESOURCE_TYPE
: Jenis resource yang rekomendasinya ingin Anda kelola. Gunakan nilaiproject
,folder
, atauorganization
. -
RESOURCE_ID
: ID project, folder, atau organisasi Google Cloud yang ingin Anda kelola rekomendasinya. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
. -
FORMAT
: Format respons. Gunakanjson
atauyaml
. -
ETAG
: Nilai kolometag
dalam rekomendasi, seperti"dd0686e7136a4cbb"
. Perhatikan bahwa nilai ini dapat menyertakan tanda kutip. -
STATE_METADATA
: Opsional. Key-value pair yang dipisahkan koma yang berisi pilihan metadata Anda tentang rekomendasi. Misalnya,--state-metadata=reviewedBy=alice,priority=high
. Metadata tersebut menggantikan kolomstateInfo.stateMetadata
dalam rekomendasi.
Jika perintah berhasil, respons akan menampilkan rekomendasi dalam status
CLAIMED
, seperti yang ditunjukkan pada contoh berikut. Agar lebih jelas, contoh ini menghapus sebagian besar kolom:[ { "description": "This role has not been used during the observation window.", "recommenderSubtype": "REMOVE_ROLE", "etag": "\"df7308cca9719dcc\"", "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "stateInfo": { "state": "CLAIMED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } } } ]
-
Mendapatkan kebijakan izinkan untuk project, lalu ubah dan tetapkan kebijakan izin agar sesuai dengan rekomendasi.
Perbarui status rekomendasi menjadi
SUCCEEDED
, jika Anda dapat menerapkan rekomendasi, atauFAILED
, jika Anda tidak dapat menerapkan rekomendasi:gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=global \ --recommender=google.iam.policy.Recommender \ --RESOURCE_TYPE=RESOURCE_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA
Ganti nilai berikut:
-
COMMAND
: Gunakanmark-succeeded
jika Anda dapat menerapkan rekomendasi, ataumark-failed
jika Anda tidak dapat menerapkan rekomendasi. -
RECOMMENDATION_ID
: ID unik untuk rekomendasi. Nilai ini muncul di akhir kolomname
dalam rekomendasi. Dalam contoh yang ditunjukkan di atas, ID-nya adalahfb927dc1-9695-4436-0000-f0f285007c0f
. -
RESOURCE_TYPE
: Jenis resource yang rekomendasinya ingin Anda kelola. Gunakan nilaiproject
,folder
, atauorganization
. -
RESOURCE_ID
: ID project, folder, atau organisasi Google Cloud yang ingin Anda kelola rekomendasinya. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
. -
FORMAT
: Format respons. Gunakanjson
atauyaml
. -
ETAG
: Nilai kolometag
dalam rekomendasi, seperti"dd0686e7136a4cbb"
. Perhatikan bahwa nilai ini dapat menyertakan tanda kutip. -
STATE_METADATA
: Opsional. Key-value pair yang dipisahkan koma yang berisi pilihan metadata Anda tentang rekomendasi. Misalnya,--state-metadata=reviewedBy=alice,priority=high
. Metadata tersebut menggantikan kolomstateInfo.stateMetadata
dalam rekomendasi.
Misalnya, jika Anda menandai rekomendasi sebagai berhasil, respons akan menampilkan rekomendasi dalam status
SUCCEEDED
. Agar lebih jelas, contoh ini menghilangkan sebagian besar kolom:[ { "description": "This role has not been used during the observation window.", "recommenderSubtype": "REMOVE_ROLE", "etag": "\"dd0686e7136a4cbb\"", "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } } } ]
-
REST
Petunjuk ini mengasumsikan bahwa Anda telah mengautentikasi dan menetapkan variabel lingkungan GOOGLE_APPLICATION_CREDENTIALS
.
Tinjau rekomendasi Anda:
Untuk menampilkan daftar semua rekomendasi yang tersedia untuk project, folder, atau organisasi Anda, gunakan metode recommendations.list
Recommender API.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
RESOURCE_TYPE
: Jenis resource yang rekomendasinya ingin Anda kelola. Gunakan nilaiprojects
,folders
, atauorganizations
.RESOURCE_ID
: ID project, folder, atau organisasi Google Cloud yang ingin Anda kelola rekomendasinya. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa numerik, seperti123456789012
.-
PAGE_SIZE
: Opsional. Jumlah hasil maksimum yang akan ditampilkan dari permintaan ini. Jika tidak ditentukan, server akan menentukan jumlah hasil yang akan ditampilkan. Jika jumlah rekomendasi lebih besar dari ukuran halaman, respons akan berisi token penomoran halaman yang dapat Anda gunakan untuk mengambil halaman hasil berikutnya. -
PAGE_TOKEN
: Opsional. Token penomoran halaman yang ditampilkan dalam respons sebelumnya dari metode ini. Jika ditentukan, daftar rekomendasi akan dimulai dari akhir permintaan sebelumnya. -
FILTER
: Opsional. Ekspresi filter untuk membatasi rekomendasi yang ditampilkan. Anda dapat memfilter rekomendasi berdasarkan kolomstateInfo.state
. Misalnya,stateInfo.state:"DISMISSED"
ataustateInfo.state:"FAILED"
. PROJECT_ID
: Project ID Google Cloud Anda Project ID adalah string alfanumerik, sepertimy-project
.
Metode HTTP dan URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Responsnya mirip dengan contoh berikut. Dalam contoh ini, akun layanan di project example-project
belum menggunakan izin apa pun dari peran Compute Admin (roles/compute.admin
) dalam 90 hari terakhir. Akibatnya,
Pemberi Rekomendasi akan menyarankan Anda untuk mencabut peran tersebut:
{ "recommendations": [ "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "description": "This role has not been used during the observation window.", "lastRefreshTime": "2020-01-09T06:06:17Z", "primaryImpact": { "category": "SECURITY", "securityProjection": { "details": { "revokedIamPermissionsCount": 708 } } }, "priority": "P4", "content": { "operationGroups": [ { "operations": [ { "action": "remove", "path": "/iamPolicy/bindings/*/members/*", "pathFilter": { "/iamPolicy/bindings/*/condition/expression": "", "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com", "/iamPolicy/bindings/*/role": "roles/compute.admin" }, "resource": "//cloudresourcemanager.googleapis.com/projects/example-project", "resourceType": "cloudresourcemanager.googleapis.com/Project" } ] } ] }, "stateInfo": { "state": "ACTIVE" } "etag": "\"770237e2c0decf40\"", "recommenderSubtype": "REMOVE_ROLE", "associatedInsights": [ { "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839" } ] }
Tinjau setiap rekomendasi dengan cermat, dan pertimbangkan bagaimana rekomendasi tersebut akan mengubah akses akun utama ke resource Google Cloud. Untuk mempelajari cara meninjau rekomendasi dari REST API, lihat Meninjau rekomendasi di halaman ini.
Untuk menerapkan rekomendasi:
Tandai rekomendasi sebagai
CLAIMED
:Untuk menandai rekomendasi sebagai
CLAIMED
, yang mencegah rekomendasi berubah saat Anda menerapkannya, gunakan metoderecommendations.markClaimed
dari Recommender API.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
RESOURCE_TYPE
: Jenis resource yang rekomendasinya ingin Anda kelola. Gunakan nilaiprojects
,folders
, atauorganizations
.RESOURCE_ID
: ID project, folder, atau organisasi Google Cloud yang ingin Anda kelola rekomendasinya. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa numerik, seperti123456789012
.RECOMMENDATION_ID
: ID unik untuk rekomendasi. Nilai ini muncul di akhir kolomname
dalam rekomendasi. Misalnya, jika kolomname
adalahprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, ID rekomendasinya adalahfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Nilai kolometag
dalam rekomendasi, seperti"dd0686e7136a4cbb"
. Gunakan garis miring terbalik untuk menghindari tanda kutip, misalnya,"\"df7308cca9719dcc\""
.STATE_METADATA
: Opsional. Objek yang berisi key-value pair dengan pilihan metadata Anda terkait rekomendasi. Misalnya,{"reviewedBy": "alice", "priority": "high"}
. Metadata ini menggantikan kolomstateInfo.stateMetadata
dalam rekomendasi.PROJECT_ID
: Project ID Google Cloud Anda Project ID adalah string alfanumerik, sepertimy-project
.
Metode HTTP dan URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
Meminta isi JSON:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Responsnya menunjukkan rekomendasi dalam status
CLAIMED
, seperti ditunjukkan pada contoh berikut. Agar lebih jelas, contoh ini menghilangkan sebagian besar kolom:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "CLAIMED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
Mendapatkan kebijakan izinkan untuk project, lalu ubah kebijakan izin agar sesuai dengan rekomendasi.
Perbarui status rekomendasi menjadi
SUCCEEDED
, jika Anda dapat menerapkan rekomendasi, atauFAILED
, jika Anda tidak dapat menerapkan rekomendasi:SUCCEEDED
Untuk menandai rekomendasi sebagai
SUCCEEDED
, yang menunjukkan bahwa Anda dapat menerapkannya, gunakan metoderecommendations.markSucceeded
dari Recommender API.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
RESOURCE_TYPE
: Jenis resource yang rekomendasinya ingin Anda kelola. Gunakan nilaiprojects
,folders
, atauorganizations
.RESOURCE_ID
: ID project, folder, atau organisasi Google Cloud yang ingin Anda kelola rekomendasinya. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa numerik, seperti123456789012
.RECOMMENDATION_ID
: ID unik untuk rekomendasi. Nilai ini muncul di akhir kolomname
dalam rekomendasi. Misalnya, jika kolomname
adalahprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, ID rekomendasinya adalahfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Nilai kolometag
dalam rekomendasi, seperti"dd0686e7136a4cbb"
. Gunakan garis miring terbalik untuk menghindari tanda kutip, misalnya,"\"df7308cca9719dcc\""
.STATE_METADATA
: Opsional. Objek yang berisi key-value pair dengan pilihan metadata Anda terkait rekomendasi. Misalnya,{"reviewedBy": "alice", "priority": "high"}
. Metadata ini menggantikan kolomstateInfo.stateMetadata
dalam rekomendasi.PROJECT_ID
: Project ID Google Cloud Anda Project ID adalah string alfanumerik, sepertimy-project
.
Metode HTTP dan URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
Meminta isi JSON:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Responsnya menunjukkan rekomendasi dalam status
SUCCEEDED
, seperti ditunjukkan pada contoh berikut. Agar lebih jelas, contoh ini menghilangkan sebagian besar kolom:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
FAILED
Untuk menandai rekomendasi sebagai
FAILED
, yang menunjukkan bahwa Anda tidak dapat menerapkannya, gunakan metoderecommendations.markFailed
dari Recommender API.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
RESOURCE_TYPE
: Jenis resource yang rekomendasinya ingin Anda kelola. Gunakan nilaiprojects
,folders
, atauorganizations
.RESOURCE_ID
: ID project, folder, atau organisasi Google Cloud yang ingin Anda kelola rekomendasinya. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa numerik, seperti123456789012
.RECOMMENDATION_ID
: ID unik untuk rekomendasi. Nilai ini muncul di akhir kolomname
dalam rekomendasi. Misalnya, jika kolomname
adalahprojects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f
, ID rekomendasinya adalahfb927dc1-9695-4436-0000-f0f285007c0f
.ETAG
: Nilai kolometag
dalam rekomendasi, seperti"dd0686e7136a4cbb"
. Gunakan garis miring terbalik untuk menghindari tanda kutip, misalnya,"\"df7308cca9719dcc\""
.STATE_METADATA
: Opsional. Objek yang berisi key-value pair dengan pilihan metadata Anda terkait rekomendasi. Misalnya,{"reviewedBy": "alice", "priority": "high"}
. Metadata ini menggantikan kolomstateInfo.stateMetadata
dalam rekomendasi.PROJECT_ID
: Project ID Google Cloud Anda Project ID adalah string alfanumerik, sepertimy-project
.
Metode HTTP dan URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
Meminta isi JSON:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Responsnya menunjukkan rekomendasi dalam status
FAILED
, seperti ditunjukkan pada contoh berikut. Agar lebih jelas, contoh ini menghilangkan sebagian besar kolom:{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "FAILED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
Memahami rekomendasi
Setiap rekomendasi menyertakan informasi untuk membantu Anda memahami alasan rekomendasi tersebut dibuat.
Konsol
Untuk membantu Anda memahami alasan rekomendasi tersebut dibuat, Google Cloud Console menampilkan penggunaan izin akun utama, seperti yang dilaporkan oleh insight kebijakan yang terkait dengan rekomendasi tersebut. Misalnya, aplikasi mungkin menampilkan daftar seperti berikut:
Untuk membantu Anda memahami dampak penerapan rekomendasi, Konsol Google Cloud juga menampilkan daftar izin yang berkode warna dan berkode simbol. Daftar ini menunjukkan perubahan izin akun utama jika Anda menerapkan rekomendasi tersebut. Misalnya, mungkin menampilkan daftar seperti berikut:
Jenis izin yang terkait dengan setiap warna dan simbol adalah sebagai berikut:
Abu-abu tanpa simbol: Izin yang ada dalam peran akun utama saat ini dan peran yang direkomendasikan.
Merah dengan tanda minus
: Izin yang ada dalam peran akun utama saat ini, tetapi tidak dalam peran yang direkomendasikan karena akun utama belum menggunakannya dalam 90 hari terakhir.Hijau dengan tanda plus rekomendasi untuk akun layanan yang dikelola Google.
: Izin yang tidak dalam peran akun utama saat ini, tetapi berada dalam peran yang direkomendasikan. Jenis izin ini hanya muncul dalamBiru dengan ikon Machine learning machine learning bahwa mereka mungkin memerlukan izin tersebut di masa mendatang.
: Izin yang ada dalam peran akun utama saat ini dan peran yang direkomendasikan, bukan karena akun utama telah menggunakan izin tersebut dalam 90 hari terakhir, tetapi karena Pemberi rekomendasi telah menentukan melalui
Beberapa rekomendasi juga terkait dengan insight pergerakan lateral. Insight gerakan lateral mengidentifikasi peran yang memungkinkan akun layanan di satu project untuk meniru akun layanan di project lain. Jika rekomendasi dikaitkan dengan insight gerakan lateral, Konsol Google Cloud juga akan menampilkan hal berikut:
Project origin akun layanan: Project tempat akun layanan dengan izin peniruan identitas dibuat.
Akun layanan yang dapat ditiru identitasnya dalam project ini: Daftar semua akun layanan dalam project saat ini yang dapat ditiru oleh akun layanan yang memiliki izin peniruan identitas.
gcloud
Untuk mengetahui detail tentang kolom rekomendasi, lihat referensi Recommendation
.
Untuk melihat penggunaan izin yang menjadi dasar rekomendasi ini, lihat
insight kebijakan yang terkait dengan rekomendasi tersebut.
Insight ini tercantum di kolom associatedInsights
. Untuk melihat insight kebijakan yang terkait dengan rekomendasi, lakukan tindakan berikut:
- Identifikasi insight mana di kolom
associatedInsights
yang merupakan insight kebijakan. Insight kebijakan memiliki jenis insightgoogle.iam.policy.insight
. Jenis ini muncul setelahinsightTypes
di kolominsight
. - Salin ID insight kebijakan. ID adalah semuanya setelah
insights/
di kolominsight
. Pada contoh sebelumnya, ID insight adalah279ef748-408f-44db-9a4a-1ff8865b9839
. - Ikuti petunjuk untuk mendapatkan insight kebijakan, menggunakan ID insight yang Anda salin.
Beberapa rekomendasi juga terkait dengan
Insight pergerakan lateral, yang mengidentifikasi peran
yang memungkinkan akun layanan dalam satu project untuk meniru akun layanan di
project lain. Insight ini juga tercantum di kolom
associatedInsights
. Untuk melihat insight gerakan lateral yang terkait dengan
rekomendasi, lakukan tindakan berikut:
- Identifikasi insight mana dalam kolom
associatedInsights
yang merupakan insight gerakan lateral. Insight gerakan lateral memiliki jenis insightgoogle.iam.policy.LateralMovementInsight
. Jenis ini muncul setelahinsightTypes
di kolominsight
. - Salin ID insight kebijakan. ID adalah semuanya setelah
insights/
di kolominsight
. Pada contoh sebelumnya, ID insight adalah279ef748-408f-44db-9a4a-1ff8865b9839
. - Ikuti petunjuk untuk mendapatkan insight gerakan lateral, menggunakan ID insight yang Anda salin.
REST
Untuk mengetahui detail tentang kolom rekomendasi, lihat referensi Recommendation
.
Untuk melihat penggunaan izin yang menjadi dasar rekomendasi ini, lihat
insight kebijakan yang terkait dengan rekomendasi tersebut.
Insight ini tercantum di kolom associatedInsights
. Untuk melihat insight kebijakan yang terkait dengan rekomendasi, lakukan tindakan berikut:
- Identifikasi insight mana di kolom
associatedInsights
yang merupakan insight kebijakan. Insight kebijakan memiliki jenis insightgoogle.iam.policy.insight
. Jenis ini muncul setelahinsightTypes
di kolominsight
. - Salin ID insight kebijakan. ID adalah semuanya setelah
insights/
di kolominsight
. Misalnya, jika kolominsight
terbacaprojects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839
, ID insight adalah279ef748-408f-44db-9a4a-1ff8865b9839
. - Ikuti petunjuk untuk mendapatkan insight kebijakan, menggunakan ID insight yang Anda salin.
Beberapa rekomendasi juga terkait dengan
Insight pergerakan lateral, yang mengidentifikasi peran
yang memungkinkan akun layanan dalam satu project untuk meniru akun layanan di
project lain. Insight ini juga tercantum di kolom
associatedInsights
. Untuk melihat insight gerakan lateral yang terkait dengan
rekomendasi, lakukan tindakan berikut:
- Identifikasi insight mana dalam kolom
associatedInsights
yang merupakan insight gerakan lateral. Insight gerakan lateral memiliki jenis insightgoogle.iam.policy.LateralMovementInsight
. Jenis ini muncul setelahinsightTypes
di kolominsight
. - Salin ID insight kebijakan. ID adalah semuanya setelah
insights/
di kolominsight
. Misalnya, jika kolominsight
terbacaprojects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
, ID insight adalah13088eec-9573-415f-81a7-46e1a260e860
. - Ikuti petunjuk untuk mendapatkan insight gerakan lateral, menggunakan ID insight yang Anda salin.
Melihat, mengembalikan, dan memulihkan perubahan
Setelah Anda menerapkan atau menolak rekomendasi untuk binding peran level project, tindakan tersebut akan muncul dalam histori rekomendasi.
Untuk melihat histori rekomendasi:
Di konsol Google Cloud, buka halaman IAM.
Pilih project, folder, atau organisasi.
Di dekat bagian atas layar, klik Histori rekomendasi.
Konsol Google Cloud menampilkan daftar tindakan sebelumnya pada rekomendasi peran Anda.
Untuk melihat detail tentang rekomendasi, klik panah luaskan
.Konsol Google Cloud menampilkan detail tindakan yang dilakukan, termasuk akun utama yang melakukan tindakan tersebut:
(Opsional) Jika perlu, Anda dapat mengembalikan rekomendasi, yang akan mengurungkan perubahan dalam rekomendasi, atau memulihkan rekomendasi yang telah Anda tolak.
Untuk mengembalikan perubahan yang sebelumnya diterapkan untuk rekomendasi, klik Kembalikan. Konsol Google Cloud akan mengembalikan perubahan pada peran akun utama. Rekomendasi ini tidak lagi muncul di Konsol Google Cloud.
Untuk memulihkan rekomendasi yang ditolak, klik Pulihkan. Rekomendasi akan terlihat di halaman IAM di Google Cloud Console. Tidak ada peran atau izin yang diubah.
Langkah selanjutnya
- Pelajari Pemberi Rekomendasi lebih lanjut.
- Pelajari cara menggunakan izinkan insight kebijakan.
- Pelajari cara menggunakan analisis gerakan lateral.