Questa pagina è stata tradotta dall'API Cloud Translation.

Esamina e applica i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Questa pagina spiega come visualizzare, comprendere e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni. I suggerimenti sui ruoli consentono di applicare principio del privilegio minimo, garantendo che le entità dispongano le autorizzazioni di cui hanno effettivamente bisogno.

Prima di iniziare

Abilita le API IAM and Recommender.
Abilita le API
Comprendere i suggerimenti per i ruoli.
Esamina il Best practice per i suggerimenti sui ruoli.
(Facoltativo) Se vuoi visualizzare e gestire i suggerimenti sui ruoli per gli strumenti non di base e ruoli personalizzati, assicurati di avere l'attivazione a livello di organizzazione al livello premium di Security Command Center. Per ulteriori informazioni, vedi Domande sulla fatturazione.

Ruoli IAM richiesti

Questa sezione descrive i ruoli e le autorizzazioni IAM che necessarie per lavorare con i suggerimenti sui ruoli.

Visualizza i suggerimenti

Per ottenere le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa per cui vuoi visualizzare suggerimenti (progetto, cartella o organizzazione):

Visualizzatore del ruolo (roles/iam.roleViewer)
Visualizzatore motore per suggerimenti IAM (roles/recommender.iamViewer)
Per visualizzare i suggerimenti a livello di progetto nella console Google Cloud: Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin)
Per visualizzare i suggerimenti a livello di cartella nella console Google Cloud: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Per visualizzare i suggerimenti a livello di organizzazione nella console Google Cloud: Amministratore organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list
recommender.iamPolicyLateralMovementInsights.get
recommender.iamPolicyLateralMovementInsights.list
Per visualizzare i suggerimenti nella console Google Cloud: resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi visualizzare i suggerimenti (projects, folders o organizations)

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Applicare e ignorare i consigli

Per ottenere le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa per cui vuoi gestire i suggerimenti. (progetto, cartella o organizzazione):

Visualizzatore del ruolo (roles/iam.roleViewer)
Amministratore motore per suggerimenti IAM (roles/recommender.iamAdmin)
Per gestire i suggerimenti a livello di progetto: Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin)
Per gestire i suggerimenti a livello di cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Per gestire i suggerimenti a livello di organizzazione: Amministratore organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti Le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare, applicare e ignorare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list
recommender.iamPolicyLateralMovementInsights.get
recommender.iamPolicyLateralMovementInsights.list
recommender.iamPolicyRecommendations.update
resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i suggerimenti (projects, folders o organizations)
resourcemanager.RESOURCE.setIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i suggerimenti (projects, folders o organizations)

Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.

Revisione e applicazione dei suggerimenti

Il modo più semplice per esaminare e applicare i consigli è utilizzare nella console Google Cloud. Inoltre, se vuoi creare automaticamente una quando applichi un suggerimento, devi utilizzare la console Google Cloud.

Puoi anche esaminare e applicare suggerimenti con Google Cloud CLI e API Recommender.

Console

Nella console Google Cloud, vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Nell'elenco delle entità che hanno accesso al tuo progetto, trova Approfondimenti sulla sicurezza colonna.

Nota: la console Google Cloud non mostra automaticamente le concessioni dei ruoli per gli agenti di servizio. Per visualizzare le concessioni di questi ruoli e le relative Suggerimenti, seleziona Includi concessioni dei ruoli fornite da Google.

Per ogni ruolo concesso a un'entità, questa colonna mostra le eventuali insight. Queste informazioni mettono in evidenza gli schemi ricorrenti nel modo in cui le entità accedono alle risorse. Ad esempio, alcuni approfondimenti evidenziano autorizzazioni in eccesso oppure autorizzazioni non necessarie a un'entità. Altro gli approfondimenti mettono in evidenza gli account di servizio con spostamento laterale funzionalità:

Se è disponibile un consiglio per fornire un approfondimento, Nella console Google Cloud viene visualizzato il Suggerimento disponibile. Icona di .

Nota: il motore per suggerimenti non analizza le autorizzazioni per tutte ruoli. Per scoprire quali ruoli vengono analizzati dal motore per suggerimenti, consulta: Disponibilità di suggerimenti sui criteri IAM.
Se sono presenti consigli da esaminare, fai clic su uno dei consigli disponibili. per visualizzare i dettagli del suggerimento.

Se il suggerimento prevede la sostituzione del ruolo, il suggerimento suggerisce sempre un insieme di ruoli predefiniti a cui sono applicabili.

In alcuni casi, il suggerimento sul ruolo suggerisce anche la creazione di una nuova ruolo personalizzato a livello di progetto. Se un modello personalizzato ruolo, la console Google Cloud lo mostra predefinito. Per passare al consiglio sul ruolo predefinito, fai clic su Visualizza ruolo predefinito consigliato.
Leggi attentamente il consiglio e assicurati di comprenderne le caratteristiche modificare l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei nel caso di suggerimenti per gli agenti di servizio, un suggerimento non aumenterà mai il livello di accesso dell'entità. Consulta Come vengono visualizzati i suggerimenti sui ruoli generate per ulteriori informazioni.

Per scoprire come esaminare i suggerimenti nella console, consulta Esamina i consigli consigli in questa pagina.
(Facoltativo) Se il consiglio è di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo a seconda delle esigenze.

Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo per ogni autorizzazione che vuoi rimuovere.
Intervieni in base al consiglio.

Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza cronologia dei consigli per ripristinare la tua scelta.

Per ignorare il consiglio, fai clic su Ignora, poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato a condizione che suggerimento è ancora valido.

Nota: puoi anche applicare e ignorare rapidamente i consigli facendo clic su freccia di espansione successiva a un approfondimento con un consiglio e poi fai clic su Applica consiglio o Ignora consiglio. Non puoi applicare i consigli per creare ruoli personalizzati in questo modo.
Ripeti i passaggi precedenti finché non avrai esaminato tutti i tuoi personalizzati.

gcloud

Esamina i consigli:

Per elencare i suggerimenti, esegui gcloud recommender recommendations list :

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=json

Sostituisci i seguenti valori:

RESOURCE_TYPE: il tipo di risorsa per cui vuoi elencare i consigli. Utilizza il valore project, folder oppure organization.
RESOURCE_ID: l'ID del progetto Google Cloud. cartella o organizzazione per cui vuoi elencare i suggerimenti. ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerico, ad esempio 123456789012.

La risposta è simile all'esempio seguente. In questo esempio, un servizio dell'account non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il suggerimento per il ruolo ti suggerisce di revocare il ruolo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni consiglio e pensa a come cambierà il l'accesso dell'entità alle risorse Google Cloud. Per scoprire come rivedere di gcloud CLI, consulta Esamina consigli in questa pagina.

Per applicare un consiglio:

Utilizza la Comando gcloud recommender recommendations mark-claimed di modificare lo stato del suggerimento in CLAIMED,, impedendo la di cambiare il consiglio quando lo applichi:
```
gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- RECOMMENDATION_ID: l'identificatore univoco del un consiglio per i nostri esperti. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Nell'esempio mostrato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore project, folder oppure organization.
- RESOURCE_ID: l'ID di Google Cloud il progetto, la cartella o l'organizzazione per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Cartelle e Gli ID organizzazione sono numerici, ad esempio 123456789012.
- FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.
- ETAG: il valore del campo etag nella consigliato, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore possono includere le virgolette.
- STATE_METADATA: facoltativo. Chiave-valore separata da virgola che contengono i metadati che hai scelto per il suggerimento. Per ad esempio --state-metadata=reviewedBy=alice,priority=high. La sostituisce il campo stateInfo.stateMetadata in un consiglio per i nostri esperti.
Se il comando ha esito positivo, la risposta mostra il suggerimento in una CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, l'esempio omette la maggior parte dei campi:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"df7308cca9719dcc\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```
Recupera il criterio di autorizzazione per il progetto, quindi modificare e impostare il criterio di autorizzazione in modo che rifletta il un consiglio per i nostri esperti.
Aggiorna lo stato del consiglio a SUCCEEDED, se hai potuto applicarlo il consiglio oppure FAILED se non riesci ad applicarlo:
```
gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- COMMAND: usa mark-succeeded, se sono stati in grado di applicare il consiglio o mark-failed, se non hai potuto applicare il consiglio.
- RECOMMENDATION_ID: l'identificatore univoco del un consiglio per i nostri esperti. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Nell'esempio mostrato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i consigli. Utilizza il valore project, folder oppure organization.
- RESOURCE_ID: l'ID di Google Cloud il progetto, la cartella o l'organizzazione per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Cartelle e Gli ID organizzazione sono numerici, ad esempio 123456789012.
- FORMAT: il formato della risposta. Utilizza le funzionalità di json o yaml.
- ETAG: il valore del campo etag nella consigliato, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore possono includere le virgolette.
- STATE_METADATA: facoltativo. Chiave-valore separata da virgola che contengono i metadati che hai scelto per il suggerimento. Per ad esempio --state-metadata=reviewedBy=alice,priority=high. La sostituisce il campo stateInfo.stateMetadata in un consiglio per i nostri esperti.
Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio in uno stato SUCCEEDED. Per chiarezza, questo omette la maggior parte dei campi nell'esempio seguente:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"dd0686e7136a4cbb\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```

REST

Queste istruzioni presuppongono che tu abbia eseguito l'autenticazione e imposta la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

Esamina i consigli:

Per elencare tutti i suggerimenti disponibili per il progetto, la cartella o l'organizzazione, utilizza lo strumento recommendations.list .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di e la risorsa di cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerico, ad esempio 123456789012.
PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questo richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se di suggerimenti è maggiore della dimensione della pagina, la risposta contiene un'impaginazione che puoi utilizzare per recuperare la pagina successiva di risultati.
PAGE_TOKEN: facoltativo. Il token di impaginazione restituito in una sessione la risposta desiderata con questo metodo. Se specificato, l'elenco dei consigli inizierà dove richiesta precedente terminata.
FILTER: facoltativo. Un'espressione di filtro per limitare i suggerimenti restituito. Puoi filtrare i consigli in base al campo stateInfo.state. Per ad esempio stateInfo.state:"DISMISSED" o stateInfo.state:"FAILED".
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER" | Select-Object -Expand Content

La risposta è simile all'esempio seguente. In questo esempio, un account di servizio il progetto example-project non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, Il motore per suggerimenti suggerisce di revocare il ruolo:

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

Esamina attentamente ogni consiglio e pensa a come cambierà il l'accesso dell'entità alle risorse Google Cloud. Per scoprire come rivedere consigli dell'API REST, consulta la sezione in basso. consigli in questa pagina.

Per applicare un consiglio:

Contrassegna il consiglio come CLAIMED:

Per contrassegnare un consiglio come CLAIMED in modo da evitare che venga modificato durante l'applicazione, utilizza lo strumento dell'API Recommender recommendations.markClaimed .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di e la risorsa di cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerico, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.
- PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo HTTP e URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
```
Corpo JSON della richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"
```
PowerShell (Windows)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content
```
La risposta mostra il consiglio in uno stato CLAIMED, come mostrato di seguito esempio. Per chiarezza, in questo esempio ometti la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
Recupera il criterio di autorizzazione per il progetto, quindi modificare il criterio di autorizzazione in modo che rifletta il un consiglio per i nostri esperti.
Aggiorna lo stato del consiglio a SUCCEEDED, se hai potuto applicarlo il consiglio oppure FAILED se non riesci ad applicarlo:
SUCCEEDED

Per contrassegnare un consiglio come SUCCEEDED e indicare che è stato possibile applicarlo, utilizza lo strumento recommendations.markSucceeded .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di e la risorsa di cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerico, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.
- PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo HTTP e URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
```
Corpo JSON della richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"
PowerShell (Windows)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content
La risposta mostra il consiglio in uno stato SUCCEEDED, come mostrato di seguito esempio. Per chiarezza, in questo esempio ometti la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
FAILED

Per contrassegnare un consiglio come FAILED e indicare che non è stato possibile applicarlo, utilizza lo strumento recommendations.markFailed .

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di e la risorsa di cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del Il progetto, la cartella o l'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerico, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nella sezione un consiglio per i nostri esperti. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID suggerimento è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del parametro etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le funzionalità di barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto contiene coppie chiave-valore con metadati di tua scelta relativi al suggerimento. Ad esempio: {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il valore Campo stateInfo.stateMetadata nel consiglio.
- PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo HTTP e URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
```
Corpo JSON della richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"
PowerShell (Windows)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content
La risposta mostra il consiglio in uno stato FAILED, come mostrato di seguito esempio. Per chiarezza, in questo esempio ometti la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```

Comprendere i consigli

Ogni consiglio include informazioni che ti aiutano a capire perché è stato fatto un suggerimento.

Console

Per aiutarti a capire perché è stato dato il consiglio, La console Google Cloud mostra l'utilizzo delle autorizzazioni dell'entità, come segnalato da gli approfondimenti sulle norme associati al consiglio. Per ad esempio, potrebbe mostrare un elenco simile al seguente:

Per aiutarti a comprendere l'impatto dell'applicazione del consiglio, La console Google Cloud mostra anche un elenco di autorizzazioni con colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il metodo un consiglio per i nostri esperti. Ad esempio, potrebbe mostrare un elenco simile al seguente:

I tipi di autorizzazioni associati a ogni colore e simbolo sono i seguenti:

Grigio senza simbolo: le autorizzazioni che si trovano nello spazio di archiviazione attuale dell'entità e i ruoli consigliati.
Lucchetto rosso con un segno meno : autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non in quelli consigliati perché l'entità non li ha utilizzati in passato per 90 giorni.
Verde con un segno più : Autorizzazioni che non sono nel ruolo attuale dell'entità, ma sono nei campi consigliati ruoli. Questo tipo di autorizzazione appare solo nei suggerimenti per il servizio agenti.
Blu con un'icona Machine learning : Autorizzazioni incluse sia nel ruolo attuale dell'entità che in quelle consigliate ruoli, non perché in passato l'entità ha utilizzato le autorizzazioni 90 giorni, ma poiché il motore per suggerimenti determinato mediante il machine learning che probabilmente in futuro.

Alcuni consigli sono associati anche al spostamento laterale e insight. Gli insight sul movimento laterale identificano i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro progetto. Se un consiglio è associato a un movimento laterale insight, la console Google Cloud mostra anche quanto segue:

Progetto di origine dell'account di servizio: il progetto con cui il servizio con autorizzazioni di rappresentazione.
Account di servizio che possono essere rappresentati in questo progetto: un elenco di tutti gli account di servizio nel progetto corrente a cui l'account di servizio con autorizzazioni di rappresentazione.

gcloud

Per maggiori dettagli sui campi di un suggerimento, consulta Riferimento Recommendation.

Per vedere l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza il approfondimenti sulle norme associati al consiglio. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un criterio insight associato al suggerimento:

Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sulle norme. Gli approfondimenti sulle norme sono di tipo google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel insight. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight copiato.

Alcuni consigli sono associati anche a approfondimenti sul movimento laterale, che identificano i ruoli che consentono agli account di servizio di un progetto di simulare l'identità degli account di servizio in un altro progetto. Questi approfondimenti sono elencati anche in associatedInsights . Per visualizzare informazioni sul movimento laterale associato al consigliato, procedi nel seguente modo:

Identificare quali insight nel campo associatedInsights sono movimenti laterali le analisi approfondite. Gli insight sui movimenti laterali hanno il tipo di insight google.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel insight. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per eseguire un movimento laterale insight utilizzando l'ID insight copiato.

REST

Per maggiori dettagli sui campi di un suggerimento, consulta Riferimento Recommendation.

Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sulle norme. Gli approfondimenti sulle norme sono di tipo google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel insight. Ad esempio, se il campo insight projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839, l'ID insight sarà 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight copiato.

Identificare quali insight nel campo associatedInsights sono movimenti laterali le analisi approfondite. Gli insight sui movimenti laterali hanno il tipo di insight google.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel insight. Ad esempio, se il campo insight projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860, l'ID insight sarà 13088eec-9573-415f-81a7-46e1a260e860.
Segui le istruzioni per eseguire un movimento laterale insight utilizzando l'ID insight copiato.

Visualizza, ripristina e ripristina le modifiche

Dopo aver applicato o ignorato un suggerimento per un'associazione dei ruoli a livello di progetto, l'azione viene visualizzata nella cronologia dei consigli.

Per visualizzare la cronologia dei consigli:

Nella console Google Cloud, vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Nella parte superiore dello schermo, fai clic su Cronologia consigli.

La console Google Cloud mostra un elenco delle azioni precedenti sul tuo i suggerimenti di ruolo.
Per visualizzare i dettagli di un consiglio, fai clic sul Espansione freccia.

La console Google Cloud mostra i dettagli dell'azione intrapresa. inclusa l'entità che ha eseguito l'azione:
(Facoltativo) Se necessario, puoi ripristinare il consiglio, annullando così la modifiche al suggerimento o ripristinarne uno che ignorata.

Per annullare una modifica applicata in precedenza a un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche apportate ruoli dell'entità. Il consiglio non viene più visualizzato nella nella console Google Cloud.

Nota: se la modifica applicata in precedenza ha creato un ruolo personalizzato, il ripristino la modifica non elimina il ruolo personalizzato. Puoi disabilita o elimina il un ruolo personalizzato se non ne hai più bisogno.

Per ripristinare un consiglio ignorato, fai clic su Ripristina. La diventa visibile nella pagina IAM nel nella console Google Cloud. Non sono stati modificati ruoli o autorizzazioni.

Passaggi successivi

Scopri di più sul motore per suggerimenti.
Scopri come utilizzare consentire gli approfondimenti sulle norme.
Scopri come utilizzare le informazioni sul movimento laterale.

Esamina e applica i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Prima di iniziare

Ruoli IAM richiesti

Visualizza i suggerimenti

Autorizzazioni obbligatorie

Applicare e ignorare i consigli

Autorizzazioni obbligatorie

Revisione e applicazione dei suggerimenti

Console

gcloud

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`SUCCEEDED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`FAILED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Comprendere i consigli

Console

gcloud

REST

Visualizza, ripristina e ripristina le modifiche

Passaggi successivi