Questa pagina è stata tradotta dall'API Cloud Translation.

Esamina e applica i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

In questa pagina viene spiegato come visualizzare, comprendere e applicare suggerimenti sui ruoli per progetti, cartelle e organizzazioni. I suggerimenti sui ruoli ti consentono di applicare il principio del privilegio minimo garantendo che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno.

Prima di iniziare

Abilita le API IAM and Recommender.
Abilita le API
Comprendere i suggerimenti per i ruoli.
Consulta le best practice per i suggerimenti sui ruoli.
(Facoltativo) Se vuoi visualizzare e gestire i suggerimenti sui ruoli per i ruoli non di base e personalizzati, assicurati di avere effettuato l'attivazione a livello di organizzazione del livello premium di Security Command Center. Per ulteriori informazioni, consulta la sezione Domande sulla fatturazione.

Ruoli IAM richiesti

Questa sezione descrive i ruoli e le autorizzazioni IAM necessari per utilizzare i suggerimenti sui ruoli.

Visualizza i suggerimenti

Per ottenere le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM per la risorsa per cui vuoi visualizzare i suggerimenti (progetto, cartella o organizzazione):

Visualizzatore del ruolo (roles/iam.roleViewer)
Visualizzatore motore per suggerimenti IAM (roles/recommender.iamViewer)
Per visualizzare i suggerimenti a livello di progetto nella console Google Cloud: Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin)
Per visualizzare i suggerimenti a livello di cartella nella console Google Cloud: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Per visualizzare i suggerimenti a livello di organizzazione nella console Google Cloud: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list
recommender.iamPolicyLateralMovementInsights.get
recommender.iamPolicyLateralMovementInsights.list
Per visualizzare i suggerimenti nella console Google Cloud: resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi visualizzare i suggerimenti (projects, folders o organizations)

Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Applicare e ignorare i consigli

Per ottenere le autorizzazioni necessarie per visualizzare, applicare ed ignorare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM per la risorsa per cui vuoi gestire i suggerimenti (progetto, cartella o organizzazione):

Visualizzatore del ruolo (roles/iam.roleViewer)
Amministratore motore per suggerimenti IAM (roles/recommender.iamAdmin)
Per gestire i suggerimenti a livello di progetto: Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin)
Per gestire i suggerimenti a livello di cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Per gestire i suggerimenti a livello di organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli. Per visualizzare esattamente le autorizzazioni necessarie, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare, applicare e ignorare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list
recommender.iamPolicyLateralMovementInsights.get
recommender.iamPolicyLateralMovementInsights.list
recommender.iamPolicyRecommendations.update
resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i suggerimenti (projects, folders o organizations)
resourcemanager.RESOURCE.setIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i suggerimenti (projects, folders o organizations)

Potresti anche riuscire a ottenere queste autorizzazioni con i ruoli personalizzati o altri ruoli predefiniti.

Revisione e applicazione dei suggerimenti

Il modo più semplice per rivedere e applicare i suggerimenti è utilizzare la console Google Cloud. Inoltre, se vuoi creare automaticamente un ruolo personalizzato quando applichi un suggerimento, devi utilizzare la console Google Cloud.

Puoi anche esaminare e applicare suggerimenti con Google Cloud CLI e l'API Recommender.

Console

Nella console Google Cloud, vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Nell'elenco delle entità che hanno accesso al tuo progetto, individua la colonna Approfondimenti sulla sicurezza.

Nota: la console Google Cloud non mostra automaticamente le concessioni dei ruoli per gli agenti di servizio. Per visualizzare queste concessioni di ruoli e i suggerimenti associati, seleziona Includi concessioni dei ruoli fornite da Google.

Per ogni ruolo concesso a un'entità, questa colonna mostra eventuali insight relativi alla sicurezza. Questi insight evidenziano i pattern di accesso alle risorse. Ad esempio, alcuni insight evidenziano autorizzazioni in eccesso o autorizzazioni non necessarie a un'entità. Altri insight evidenziano gli account di servizio con funzionalità di spostamento laterale:

Se è disponibile un suggerimento per risolvere un insight, nella console Google Cloud viene visualizzata l'icona Suggerimento disponibile .

Nota: il motore per suggerimenti non analizza le autorizzazioni per tutti i ruoli. Per scoprire quali ruoli vengono analizzati dal motore per suggerimenti, consulta Disponibilità di suggerimenti sui criteri IAM.
Se sono presenti consigli da esaminare, fai clic su un'icona Consiglio disponibile per visualizzare i dettagli del consiglio.

Se il suggerimento prevede la sostituzione del ruolo, il suggerimento sul ruolo suggerisce sempre un insieme di ruoli predefiniti che puoi applicare.

In alcuni casi, il suggerimento sul ruolo suggerisce anche la creazione di un nuovo ruolo personalizzato a livello di progetto. Se è disponibile un suggerimento per il ruolo personalizzato, nella console Google Cloud lo mostra per impostazione predefinita. Per passare al suggerimento sul ruolo predefinito, fai clic su Visualizza il ruolo predefinito consigliato.
Esamina il suggerimento attentamente e assicurati di comprendere come modificherà l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei suggerimenti per gli agenti di servizio, i suggerimenti non aumenterà mai il livello di accesso di un'entità. Per ulteriori informazioni, consulta Come vengono generati i suggerimenti sui ruoli.

Per scoprire come esaminare i consigli nella console, consulta la pagina Esaminare i consigli in questa pagina.
(Facoltativo) Se il consiglio è di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo in base alle necessità.

Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo per ogni autorizzazione da rimuovere.
Intervieni in base al consiglio.

Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per annullare la scelta.

Per ignorare il consiglio, fai clic su Ignora, poi conferma la tua scelta. Puoi ripristinare un consiglio ignorato finché è ancora valido.

Nota: per applicare e ignorare rapidamente i consigli, puoi anche fare clic sulla freccia di espansione accanto a un approfondimento con un consiglio e poi su Applica consiglio o Ignora consiglio. In questo modo, non puoi applicare i suggerimenti per creare ruoli personalizzati.
Ripeti i passaggi precedenti finché non avrai esaminato tutti i consigli.

gcloud

Esamina i consigli:

Per elencare i suggerimenti, esegui il comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=json

Sostituisci i seguenti valori:

RESOURCE_TYPE: il tipo di risorsa per cui vuoi elencare suggerimenti. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi elencare i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

La risposta è simile all'esempio seguente. In questo esempio, un account di servizio non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il suggerimento sul ruolo ti suggerisce di revocare il ruolo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni suggerimento e valuta come modificherà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i suggerimenti da gcloud CLI, consulta la pagina Rivedi i suggerimenti in questa pagina.

Per applicare un consiglio:

Utilizza il comando gcloud recommender recommendations mark-claimed per modificare lo stato del consiglio in CLAIMED,, in modo da impedire che il consiglio venga modificato durante l'applicazione:
```
gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Nell'esempio mostrato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore project, folder o organization.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- FORMAT: il formato della risposta. Utilizza json o yaml.
- ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere le virgolette.
- STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono metadati a tua scelta relativi al suggerimento. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
Se il comando ha esito positivo, la risposta mostra il suggerimento in stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, nell'esempio sono omessi la maggior parte dei campi:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"df7308cca9719dcc\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```
Recupera il criterio di autorizzazione per il progetto, quindi modifica e imposta il criterio di autorizzazione in modo che rifletta il suggerimento.
Aggiorna lo stato del consiglio a SUCCEEDED, se hai potuto applicare il consiglio oppure a FAILED, se non hai potuto applicarlo:
```
gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- COMMAND: utilizza mark-succeeded, se hai potuto applicare il consiglio, oppure mark-failed, se non puoi applicare il consiglio.
- RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Nell'esempio mostrato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore project, folder o organization.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- FORMAT: il formato della risposta. Utilizza json o yaml.
- ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere le virgolette.
- STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono metadati a tua scelta relativi al suggerimento. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio nello stato SUCCEEDED. Per chiarezza, questo esempio omette la maggior parte dei campi:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"dd0686e7136a4cbb\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```

REST

Queste istruzioni presuppongono che tu abbia eseguito l'autenticazione e impostato la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

Esamina i consigli:

Per elencare tutti i suggerimenti disponibili per il progetto, la cartella o l'organizzazione, utilizza il metodo recommendations.list dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di suggerimenti è superiore alla dimensione della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina successiva dei risultati.
PAGE_TOKEN: facoltativo. Il token di impaginazione restituito in una risposta precedente di questo metodo. Se specificato, l'elenco dei suggerimenti inizierà dove è terminata la richiesta precedente.
FILTER: facoltativo. Un'espressione di filtro per limitare i suggerimenti restituiti. Puoi filtrare i consigli in base al campo stateInfo.state. Ad esempio, stateInfo.state:"DISMISSED" o stateInfo.state:"FAILED".
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti fa accedere automaticamente all'interfaccia a riga di comando di gcloud. . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando di gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER" | Select-Object -Expand Content

La risposta è simile all'esempio seguente. In questo esempio, un account di servizio nel progetto example-project non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il motore per suggerimenti suggerisce di revocare il ruolo:

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

Esamina attentamente ogni suggerimento e valuta come modificherà l'accesso dell'entità alle risorse Google Cloud. Per scoprire come esaminare i suggerimenti dell'API REST, consulta la pagina Esamina i consigli in questa pagina.

Per applicare un consiglio:

Contrassegna il consiglio come CLAIMED:

Per contrassegnare un suggerimento come CLAIMED, impedendone la modifica durante l'applicazione, utilizza il metodo recommendations.markClaimed dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci relativi al suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
- PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo HTTP e URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
```
Corpo JSON della richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti fa accedere automaticamente all'interfaccia a riga di comando di gcloud. . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"
```
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando di gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content
```
La risposta mostra il suggerimento in stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio ometti la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
Recupera il criterio di autorizzazione per il progetto, quindi modifica il criterio di autorizzazione in modo che rifletta il suggerimento.
Aggiorna lo stato del consiglio a SUCCEEDED, se hai potuto applicare il consiglio oppure a FAILED, se non hai potuto applicarlo:
SUCCEEDED

Per contrassegnare un suggerimento come SUCCEEDED e indicare che è stato possibile applicarlo, utilizza il metodo recommendations.markSucceeded dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci relativi al suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
- PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo HTTP e URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
```
Corpo JSON della richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti fa accedere automaticamente all'interfaccia a riga di comando di gcloud. . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando di gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content
La risposta mostra il suggerimento in stato SUCCEEDED, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio ometti la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
FAILED

Per contrassegnare un suggerimento come FAILED e indicare che non è stato possibile applicarlo, utilizza il metodo recommendations.markFailed dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel suggerimento. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per evitare le virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati che preferisci relativi al suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
- PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo HTTP e URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
```
Corpo JSON della richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti fa accedere automaticamente all'interfaccia a riga di comando di gcloud. . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando di gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content
La risposta mostra il suggerimento in stato FAILED, come mostrato nell'esempio seguente. Per chiarezza, in questo esempio ometti la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```

Comprendere i consigli

Ogni suggerimento include informazioni che ti aiutano a capire perché è stato fatto.

Console

Per aiutarti a capire perché è stato fatto il suggerimento, la console Google Cloud mostra l'utilizzo delle autorizzazioni dell'entità, come riportato dall'insight sul criterio associato al suggerimento. Ad esempio, potrebbe mostrare un elenco simile al seguente:

Per aiutarti a comprendere l'impatto dell'applicazione del suggerimento, la console Google Cloud mostra anche un elenco di autorizzazioni codificate con colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il suggerimento. Ad esempio, potrebbe mostrare un elenco simile al seguente:

I tipi di autorizzazioni associati a ogni colore e simbolo sono i seguenti:

Grigio senza simbolo: autorizzazioni incluse sia nel ruolo attuale dell'entità sia nei ruoli consigliati.
Lucchetto rosso con il segno meno : autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non nei ruoli consigliati perché l'entità non le ha utilizzate negli ultimi 90 giorni.
Verde con un segno più : autorizzazioni che non appartengono al ruolo attuale dell'entità, ma che appartengono ai ruoli consigliati. Questo tipo di autorizzazione viene visualizzato solo nei suggerimenti per gli agenti di servizio.
Blu con un'icona Machine learning : Autorizzazioni che sono sia nel ruolo attuale dell'entità che in quelli consigliati, non perché l'entità ha utilizzato le autorizzazioni negli ultimi 90 giorni, ma perché il motore per suggerimenti ha stabilito tramite il machine learning che potrebbero richiedere queste autorizzazioni in futuro.

Alcuni consigli sono associati anche a approfondimenti sul movimento laterale. Gli insight sugli spostamenti laterali identificano i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro progetto. Se un suggerimento è associato a un'immagine del movimento laterale, la console Google Cloud mostra anche quanto segue:

Progetto di origine dell'account di servizio: il progetto in cui è stato creato l'account di servizio con autorizzazioni di rappresentazione.
Account di servizio che possono essere rappresentati in questo progetto: un elenco di tutti gli account di servizio nel progetto corrente che possono essere rappresentati dall'account di servizio con autorizzazioni di rappresentazione.

gcloud

Per maggiori dettagli sui campi di un suggerimento, consulta la documentazione di riferimento di Recommendation.

Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza gli approfondimenti sui criteri associati al suggerimento. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sui criteri associato al suggerimento:

Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sulle norme. Gli approfondimenti sulle norme sono di tipo google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel campo insight. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight che hai copiato.

Alcuni suggerimenti sono associati anche a insight sui movimenti laterali, che identificano i ruoli che consentono agli account di servizio di un progetto di impersonare gli account di servizio in un altro progetto. Questi insight sono elencati anche nel campo associatedInsights. Per visualizzare gli insight sul movimento laterale associato al suggerimento:

Identifica quali insight nel campo associatedInsights sono insight sui movimenti laterali. Gli insight sui movimenti laterali sono di tipo google.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel campo insight. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ottenere un approfondimento del movimento laterale, utilizzando l'ID insight che hai copiato.

REST

Per maggiori dettagli sui campi di un suggerimento, consulta la documentazione di riferimento di Recommendation.

Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sulle norme. Gli approfondimenti sulle norme sono di tipo google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel campo insight. Ad esempio, se il campo insight indica projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839, l'ID approfondimento è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ricevere un approfondimento sui criteri utilizzando l'ID insight che hai copiato.

Identifica quali insight nel campo associatedInsights sono insight sui movimenti laterali. Gli insight sui movimenti laterali sono di tipo google.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sul criterio. L'ID è tutto ciò che segue insights/ nel campo insight. Ad esempio, se il campo insight indica projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860, l'ID approfondimento è 13088eec-9573-415f-81a7-46e1a260e860.
Segui le istruzioni per ottenere un approfondimento del movimento laterale, utilizzando l'ID insight che hai copiato.

Visualizza, ripristina e ripristina le modifiche

Dopo aver applicato o ignorato un suggerimento per un'associazione dei ruoli a livello di progetto, l'azione viene visualizzata nella cronologia dei suggerimenti.

Per visualizzare la cronologia dei consigli:

Nella console Google Cloud, vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Nella parte superiore dello schermo, fai clic su Cronologia consigli.

La console Google Cloud mostra un elenco delle azioni precedenti sui suggerimenti per i ruoli.
Per visualizzare i dettagli di un suggerimento, fai clic sulla freccia di espansione .

La console Google Cloud mostra i dettagli dell'azione intrapresa, inclusa l'entità che ha eseguito l'azione:
(Facoltativo) Se necessario, puoi ripristinare il suggerimento annullando le modifiche al suggerimento oppure ripristinare un suggerimento che hai ignorato.

Per annullare una modifica applicata in precedenza a un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche ai ruoli dell'entità. Il suggerimento non viene più visualizzato nella console Google Cloud.

Nota: se la modifica applicata in precedenza ha creato un ruolo personalizzato, il ripristino della modifica non comporta l'eliminazione del ruolo personalizzato. Puoi disabilitare o eliminare il ruolo personalizzato se non ti serve più.

Per ripristinare un consiglio ignorato, fai clic su Ripristina. Il suggerimento diventa visibile nella pagina IAM della console Google Cloud. Non sono stati modificati ruoli o autorizzazioni.

Passaggi successivi

Scopri di più sul motore per suggerimenti.
Scopri come utilizzare consentire gli approfondimenti sulle norme.
Scopri come utilizzare le informazioni sul movimento laterale.

Esamina e applica i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Prima di iniziare

Ruoli IAM richiesti

Visualizza i suggerimenti

Autorizzazioni obbligatorie

Applicare e ignorare i consigli

Autorizzazioni obbligatorie

Revisione e applicazione dei suggerimenti

Console

gcloud

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`SUCCEEDED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`FAILED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Comprendere i consigli

Console

gcloud

REST

Visualizza, ripristina e ripristina le modifiche

Passaggi successivi