Empfehlungen zu Änderungsrisiken

Mit Empfehlungen zu Änderungsrisiken können Sie das Risiko von Fehlkonfigurationen der Cloud-Infrastruktur verringern. Häufige riskante Änderungen an Ihren wichtigsten Ressourcen werden intelligent gemeldet und Sie erhalten Empfehlungen, wie Sie Probleme verhindern und beheben können.

Einführung

Fehlkonfigurationen sind eine häufige Ursache für Cloud-Vorfälle. Sie können durch menschliche Fehler oder unerwartete Änderungen der Arbeitslast verursacht werden und zu einer Vielzahl von Problemen führen, einschließlich Leistungs-, Zuverlässigkeits- und sogar Ausfallsproblemen. Viele Fehlkonfigurationen bleiben anfangs unbemerkt, sodass sie sich nur schwer aufspüren und beheben lassen.

Empfehlungen zu Änderungsrisiken ist eine neue Familie von Active Assist-Empfehlungen und -Statistiken im Recommender-Dienst. Mithilfe von Empfehlungen zu Änderungsrisiken werden riskante Änderungen an Cloud-Ressourcen, die auf ihrer Nutzung und anderen Signalen basieren, automatisch als wichtig gekennzeichnet. Dadurch werden Probleme (z. B. Dienstausfälle) verhindert, erkannt und minimiert, die durch fehlerhafte Konfigurationen dieser wichtigen Cloud-Ressourcen verursacht werden. Wenn Sie beispielsweise versuchen, ein stark verwendetes Projekt zu löschen oder eine IAM-Richtlinie zu ändern, die aufgrund ihrer letzten Nutzungsaktivität eine wesentliche Abhängigkeit sein kann, können Sie Empfehlungen zu Änderungsrisiken nutzen, um unbeabsichtigte Probleme zu vermeiden, indem Sie proaktiv über die mit einer bestimmten Änderung verbundenen Risiken gewarnt werden.

Bereich von Empfehlungen zu Änderungsrisiken

Die Empfehlungen zu Änderungsrisiken werden derzeit nur für die in der folgenden Tabelle aufgeführten Ressourcen und Aktionen unterstützt.

Ressource Aktion Plattformen Kriterien zur Bestimmung der Ressourcenwichtigkeit
Projekt Löschen
  • Google Cloud Console
  • gcloud-CLI
  • Recommender API
  • Projektnutzung (API-Aufrufe, Netzwerktraffic und Google Cloud-Dienstenutzung)
  • Abrechnung
  • Nutzung in den letzten 30 Tagen
Dienstkonto Löschen
  • Google Cloud Console
  • gcloud-CLI
  • Recommender API
  • Anzahl der Authentifizierungen
  • Nutzung in den letzten 90 Tagen
IAM-Richtlinie Ändern
  • Google Cloud Console
  • gcloud-CLI
  • Recommender API
  • Anzahl der verwendeten Berechtigungen
  • Nutzung in den letzten 90 Tagen
  • Zu einem wichtigen Projekt gehören

Hinweise

Bevor Sie diese Funktion verwenden können, müssen Sie zuerst den Dienst einrichten:

  1. Aktivieren Sie die Recommender API für ein einzelnes Abrechnungsprojekt. Sie können dann dasselbe Abrechnungsprojekt mit der billing-project-Funktionalität von gcloud/API zu Empfehlungen und Informationen für andere Projekte, die gesamte Organisation oder das Rechnungskonto verwenden.
  2. Gewähren Sie dem Nutzer oder Dienstkonto Berechtigungen, das Sie für den Zugriff auf dieses Feature verwenden.

Berechtigungen

Um die Empfehlungen für „Empfehlungen zu Änderungsrisiken“ aufzurufen, benötigen Sie die entsprechenden Berechtigungen für die jeweilige Ressource.

  • Projekt

    • recommender.resourcemanagerProjectChangeRiskRecommendations.get
    • recommender.resourcemanagerProjectChangeRiskRecommendations.list
    • recommender.resourcemanagerProjectChangeRiskInsights.get
    • recommender.resourcemanagerProjectChangeRiskInsights.list

  • Dienstkonto

    • recommender.iamServiceAccountChangeRiskRecommendations.get
    • recommender.iamServiceAccountChangeRiskRecommendations.list
    • recommender.iamServiceAccountChangeRiskInsights.get
    • recommender.iamServiceAccountChangeRiskInsights.list

  • IAM-Richtlinie

    • recommender.iamPolicyChangeRiskRecommendations.get
    • recommender.iamPolicyChangeRiskRecommendations.list
    • recommender.iamPolicyChangeRiskInsights.get
    • recommender.iamPolicyChangeRiskInsights.list

Sie können auch die Rolle roles/recommender.viewer zuweisen, um diese Berechtigungen abzudecken.

Antwort auf Recommender/Statistiken zu Änderungsrisiken

Die folgende Tabelle enthält eine Beschreibung der präsentierten Felder im Empfehlungs- und Statistik-Objekt:

Empfehlung

Feldname Typ Beschreibung
associatedInsights string Mit dieser Empfehlung verknüpfte Statistik. projects/[project_number]/locations/global/ insightTypes/google.resourcemanager.project. ChangeRiskInsight/insights/[fingerprint]
asset object Enthält den Asset-Namen und den Asset-Typ der zugehörigen Ressource.
etag string Fingerabdruck von RecommenderConfig. Bietet optimistisches Sperren beim Aktualisieren.
updateTime string Zeitstempel der letzten Aktualisierung der Empfehlung. Ein Zeitstempel im Format RFC 3339 UTC Zulu in Nanosekunden. Beispiel: 2022-01-10T22:47:38.421626Z.

Insight

Feldname Typ Beschreibung
associatedRecommendations string Empfehlung, die dieser Empfehlung zugeordnet ist. projects/[project_number]/locations/global/ recommenders/google.resourcemanager.project. ChangeRiskRecommender/recommendations/ [recommendation_id]
constraint object Enthält die Einschränkung für die Empfehlungen zu Änderungsrisiken, für die dem Nutzer empfohlen wird. This project should not be deleted.
importance object Enthält die Gründe, warum wir diese Ressource als wichtig eingestuft haben. Beispiel: Hohe Nutzung.
risk object Enthält Details zur Risikobewertung. Beispielsweise werden Werte der Ressourcennutzungsaktivität verwendet, um die Wichtigkeit zu bestimmen.
updateTime string Zeitstempel der letzten Aktualisierung der Empfehlung. Ein Zeitstempel im Format RFC 3339 UTC Zulu in Nanosekunden. Beispiel: 2022-01-10T22:47:38.421626Z.

Empfehlungen zu Änderungsrisiken aufrufen

Zusätzlich zum oben beschriebenen Nutzungsmodell können Sie den Standardansatz für den Recommender-Dienst verwenden, um die Empfehlungen zu Änderungsrisiken und die Statistiken für ein Projekt, ein Dienstkonto oder eine IAM-Richtlinie anzuzeigen:

  • Google Cloud Console
  • API
  • gcloud

Google Cloud Console

Sie können Empfehlungen zu Änderungsrisiken und Statistiken auf den Produktseiten selbst ansehen. Die Empfehlungen sind automatisch aktiv, sofern Sie die oben aufgeführten Berechtigungen haben.

Active Assist warnt Sie vor den Gefahren des Löschens einer wichtigen Ressource und zeigt an, was zu tun ist, wenn diese Warnung in den folgenden Situationen angezeigt wird:

gcloud und API

In den folgenden Abschnitten werden die Befehle zum Anfordern von Empfehlungen zu Änderungsrisiken und Statistiken zu gcloud und der API für ein Projekt, ein Dienstkonto oder eine IAM-Richtlinie beschrieben.

Projekt

Alle Kunden können über die Google Cloud Console, gcloud oder die Recommender API auf Statistiken und Empfehlungen zugreifen.

gcloud

So sehen Sie Empfehlungen und Statistiken mit gcloud an: Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für das Projekt aufzulisten, in dem Sie die Recommender API aktiviert haben:

gcloud recommender recommendations list
--recommender=google.resourcemanager.project.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

gcloud recommender insights list
--insight-type=google.resourcemanager.project.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID

API

Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl eine Anfrage an die Recommender APIs senden.

Empfehlungen

Führen Sie den folgenden Befehl aus, um Empfehlungen für das Projekt aufzulisten, in dem Sie die Recommender API aktiviert haben:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations"

Ersetzen Sie Folgendes:

  • BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.resourcemanager.project.ChangeRiskInsight/insights"

Ersetzen Sie Folgendes: * BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.

Dienstkonto

Statistiken und Empfehlungen zu einem Dienstkonto können über die Google Cloud Console, gcloud oder die Recommender API für alle Kunden aufgerufen werden.

gcloud

So sehen Sie Empfehlungen und Statistiken mit gcloud an: Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für ein Servicekonto aufzulisten, in dem Sie die Recommender API aktiviert haben:

gcloud recommender recommendations list
--recommender=google.iam.serviceAccount.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

gcloud recommender insights list
--insight-type=google.iam.serviceAccount.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes: + PROJECT_ID : Die Projekt-ID.

API

Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl eine Anfrage an die Recommender APIs senden.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für ein Servicekonto aufzulisten, in dem Sie die Recommender API aktiviert haben:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations"

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
  • BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.serviceAccount.ChangeRiskInsight/insights"

Ersetzen Sie Folgendes: + PROJECT_ID : Die Projekt-ID. * BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.

IAM-Richtlinie

Statistiken und Empfehlungen zu einer IAM-Richtlinie können über die Google Cloud Console, gcloud oder die Recommender API für alle Kunden aufgerufen werden.

gcloud

So sehen Sie Empfehlungen und Statistiken mit gcloud an: Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für eine IAM-Richtlinie aufzulisten, in der Sie die Recommender API aktiviert haben:

gcloud recommender recommendations list --recommender=google.iam.policy.ChangeRiskRecommender --project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

gcloud recommender insights list --insight-type=google.iam.policy.ChangeRiskInsight --project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes: + PROJECT_ID : Die Projekt-ID.

API

Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl eine Anfrage an die Recommender APIs senden.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für eine IAM-Richtlinie aufzulisten, in der Sie die Recommender API aktiviert haben:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/\recommenders/google.iam.policy.ChangeRiskRecommender/recommendations"

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.policy.ChangeRiskInsight/insights"

Ersetzen Sie Folgendes: + PROJECT_ID : Die Projekt-ID. * BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.

Riskante Löschvorgänge mit der gcloud CLI

Wenn Sie Ressourcen über die gcloud CLI löschen, können Sie das optionale, ausgeblendete Flag --recommend=yes im ALPHA-Track verwenden, um riskante Änderungen zu unterbrechen. Beispiele für unterstützte riskante Änderungen mit Empfehlungen finden Sie unten. Wenn keine Risikobewertung angezeigt wird, gilt die Änderung als nicht riskant.

Projekte löschen

Mit dem folgenden Befehl wird ein Projekt gelöscht:

  gcloud alpha projects delete PROJECT_ID  --recommend=yes

Sie sehen die folgenden unterstützten riskanten Änderungen mit Empfehlungen:

  Shutting down this project will immediately:
    - Stop all traffic and billing.
    - Start deleting resources.
    - Schedule the final deletion of the project after 30 days.
    - Block your access to the project.
    - Notify the owner of the project.

  Learn more about the shutdown process at
  https://cloud.google.com/resource-manager/docs/creating-managing-projects#shutting_down_projects

  WARNING: If you shut down this project you risk losing data or interrupting your services. In the last 30 days we observed this project had:
    - It had significant usage, including 9942 API calls.
    - It contains at least 1 highly utilized service account.
    - It included at least 211 resources.

  We recommend verifying this is the correct project to shut down.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Dienstkonto löschen

Mit dem folgenden Befehl wird ein Dienstkonto gelöscht:

  gcloud alpha iam service-accounts delete example@PROJECT_ID .iam.gserviceaccount.com --recommend=yes

Sie sehen die folgenden unterstützten riskanten Änderungen mit Empfehlungen:

  You are about to delete service account [example@PROJECT_ID .iam.gserviceaccount.com]

  Deleting this service account (SA) will delete all associated key IDs, and will prevent the account from authenticating to any Google Cloud service API.

  You cannot restore or roll back this change easily. We highly recommend disabling the account first, testing for any unexpected impact, and only then deleting.

  WARNING: If you delete this SA you risk interrupting your service, as we observed it was substantially used in the last 90 days.

  We recommend verifying this is the correct account to delete.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Wenn folgende Fehlermeldung angezeigt wird:

  ERROR: (gcloud.alpha.iam.service-accounts.delete) NOT_FOUND: Method not found.
  - '@type': type.googleapis.com/google.rpc.DebugInfo
    detail: 'Method ListInsights not found for service recommender.googleapis.com. Method not visible to labels: {PUBLIC}'

Prüfen Sie mit dem folgenden Befehl, ob die Projektkonfiguration auf ein Projekt festgelegt ist, das für die Verwendung der Alpha Recommender API auf der Zulassungsliste steht:

  gcloud config set project PROJECT_ID

Löschen von IAM-Richtlinienbindungen für Projekte

Mit dem folgenden Befehl wird eine IAM-Richtlinienbindung für ein Projekt gelöscht:

  gcloud alpha projects remove-iam-policy-binding PROJECT_ID  --member=YOUR_EMAIL@DOMAIN.COM  --role=roles/owner --recommend=yes

Sie sehen die folgenden unterstützten riskanten Änderungen mit Empfehlungen:

  You are about to delete the role [roles/owner].

  WARNING: If you remove the role [roles/owner], there is a high risk that you might cause interruptions because it was used in the last 90 days.

  We recommend you verify the details and replace them with less privileged roles, if necessary.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.policy.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Feedback und Support

Bei technischen Problemen, Fragen oder Feedback senden Sie eine E-Mail an active-assist-feedback@google.com.