Empfehlungen zu Änderungsrisiken
Mithilfe von Empfehlungen zu Änderungsrisiken können Sie das Risiko von Fehlkonfigurationen für die Cloud-Infrastruktur reduzieren, indem Sie gängige riskante Änderungen an Ihren wichtigsten Ressourcen intelligent kennzeichnen und Empfehlungen zur Vermeidung und Abwehr von Problemen geben.
Einführung
Fehlkonfigurationen sind eine häufige Ursache für Cloud-Vorfälle. Sie können aufgrund von menschlichen Fehlern oder unerwarteten Arbeitslaständerungen auftreten und zu einer Vielzahl von Problemen führen, einschließlich Leistungsproblemen, Zuverlässigkeitsproblemen und sogar Ausfällen. Viele Fehlkonfigurationen können anfangs unbemerkt bleiben, was das Nachverfolgen und Beheben von Fehlern erschwert.
Empfehlungen zu Änderungsrisiken ist eine neue Familie von Active Assist-Empfehlungen und -Statistiken im Recommender-Dienst. Mithilfe von Empfehlungen zu Änderungsrisiken werden riskante Änderungen an Cloud-Ressourcen, die auf ihrer Nutzung und anderen Signalen basieren, automatisch als wichtig gekennzeichnet. Dadurch werden Probleme (z. B. Dienstausfälle) verhindert, erkannt und minimiert, die durch fehlerhafte Konfigurationen dieser wichtigen Cloud-Ressourcen verursacht werden. Wenn Sie beispielsweise versuchen, ein stark verwendetes Projekt zu löschen oder eine IAM-Richtlinie zu ändern, die aufgrund ihrer letzten Nutzungsaktivität eine wesentliche Abhängigkeit sein kann, können Sie Empfehlungen zu Änderungsrisiken nutzen, um unbeabsichtigte Probleme zu vermeiden, indem Sie proaktiv über die mit einer bestimmten Änderung verbundenen Risiken gewarnt werden.
Bereich von Empfehlungen zu Änderungsrisiken
Die Empfehlungen zu Änderungsrisiken werden derzeit nur für die in der folgenden Tabelle aufgeführten Ressourcen und Aktionen unterstützt.
Ressource | Aktion | Plattformen | Kriterien zur Bestimmung der Ressourcenwichtigkeit |
---|---|---|---|
Projekt | Löschen |
|
|
Dienstkonto | Löschen |
|
|
IAM-Richtlinie | Ändern |
|
|
Hinweise
Bevor Sie dieses Feature verwenden können, müssen Sie den Dienst einrichten:
- Aktivieren Sie die Recommender API für ein einzelnes Abrechnungsprojekt. Sie können dann dasselbe Abrechnungsprojekt mit der billing-project-Funktionalität von gcloud/API zu Empfehlungen und Informationen für andere Projekte, die gesamte Organisation oder das Rechnungskonto verwenden.
- Gewähren Sie dem Nutzer oder Dienstkonto, das Sie für den Zugriff auf dieses Feature verwenden möchten, die entsprechenden Berechtigungen.
Berechtigungen
Um die Empfehlungen für „Empfehlungen zu Änderungsrisiken“ aufzurufen, benötigen Sie die entsprechenden Berechtigungen für die jeweilige Ressource.
Projekt
recommender.resourcemanagerProjectChangeRiskRecommendations.get
recommender.resourcemanagerProjectChangeRiskRecommendations.list
recommender.resourcemanagerProjectChangeRiskInsights.get
recommender.resourcemanagerProjectChangeRiskInsights.list
Dienstkonto
recommender.iamServiceAccountChangeRiskRecommendations.get
recommender.iamServiceAccountChangeRiskRecommendations.list
recommender.iamServiceAccountChangeRiskInsights.get
recommender.iamServiceAccountChangeRiskInsights.list
IAM-Richtlinie
recommender.iamPolicyChangeRiskRecommendations.get
recommender.iamPolicyChangeRiskRecommendations.list
recommender.iamPolicyChangeRiskInsights.get
recommender.iamPolicyChangeRiskInsights.list
Sie können auch die Rolle roles/recommender.viewer zuweisen, um diese Berechtigungen abzudecken.
Antwort auf Recommender/Statistiken zu Änderungsrisiken
Die folgende Tabelle enthält eine Beschreibung der präsentierten Felder im Empfehlungs- und Statistik-Objekt:
Empfehlung
Feldname | Typ | Beschreibung |
---|---|---|
associatedInsights
|
string
|
Statistiken, die dieser Empfehlung zugeordnet sind.
projects/[project_number]/locations/global/
insightTypes/google.resourcemanager.project.
ChangeRiskInsight/insights/[fingerprint]
|
asset
|
object
|
Enthält den Asset-Namen und den Asset-Typ der zugehörigen Ressource. |
etag
|
string
|
Fingerabdruck der RecommenderConfig. Bietet optimistisches Sperren beim Aktualisieren. |
updateTime
|
string
|
Zeitstempel der letzten Aktualisierung der Empfehlung. Ein Zeitstempel im Format RFC 3339 UTC Zulu in Nanosekunden.
Beispiel: 2022-01-10T22:47:38.421626Z .
|
Insight
Feldname | Typ | Beschreibung |
---|---|---|
associatedRecommendations
|
string
|
Empfehlung, die mit dieser Empfehlung verknüpft ist.
projects/[project_number]/locations/global/
recommenders/google.resourcemanager.project.
ChangeRiskRecommender/recommendations/
[recommendation_id]
|
constraint
|
object
|
Enthält die Einschränkung für die Empfehlungen zu Änderungsrisiken, für die dem Nutzer empfohlen wird.
This project should not be deleted.
|
importance
|
object
|
Enthält die Liste der Gründe, aus denen wir diese Ressource als wichtig eingestuft haben. Beispiel: Hohe Nutzung. |
risk
|
object
|
Enthält Details zur Risikobewertung. Beispielsweise werden Werte der Ressourcennutzungsaktivität verwendet, um die Wichtigkeit zu bestimmen. |
updateTime
|
string
|
Zeitstempel der letzten Aktualisierung der Empfehlung.
Ein Zeitstempel im Format RFC 3339 UTC Zulu in Nanosekunden. Beispiel: 2022-01-10T22:47:38.421626Z .
|
Empfehlungen zu Änderungsrisiken aufrufen
Zusätzlich zum oben beschriebenen Nutzungsmodell können Sie den Standardansatz für den Recommender-Dienst verwenden, um die Empfehlungen zu Änderungsrisiken und die Statistiken für ein Projekt, ein Dienstkonto oder eine IAM-Richtlinie anzuzeigen:
- Google Cloud Console
- API
- gcloud
Google Cloud Console
Sie können Empfehlungen zu Änderungsrisiken und Statistiken auf den Produktseiten selbst ansehen. Die Empfehlungen werden automatisch aktiv, solange Sie die oben genannten Berechtigungen haben.
Active Assist warnt Sie vor dem Löschen einer wichtigen Ressource und gibt an, was in den folgenden Situationen geschehen soll:
gcloud und API
In den folgenden Abschnitten werden die Befehle zum Anfordern von Empfehlungen zu Änderungsrisiken und Statistiken zu gcloud
und der API für ein Projekt, ein Dienstkonto oder eine IAM-Richtlinie beschrieben.
Projekt
Statistiken und Empfehlungen können für alle Kunden über die Google Cloud Console, gcloud
oder die Recommender API aufgerufen werden.
gcloud
So sehen Sie Empfehlungen und Statistiken mit gcloud
an:
Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.
Empfehlungen:
Führen Sie den folgenden Befehl aus, um Empfehlungen für das Projekt aufzulisten, in dem Sie die Recommender API aktiviert haben:
gcloud recommender recommendations list
--recommender=google.resourcemanager.project.ChangeRiskRecommender
--project=PROJECT_ID --location=global --format=yaml
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID
Erkenntnisse:
Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:
gcloud recommender insights list
--insight-type=google.resourcemanager.project.ChangeRiskInsight
--project=PROJECT_ID --location=global --format=yaml
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID
API
Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl
eine Anfrage an die Recommender APIs senden.
Empfehlungen
Führen Sie den folgenden Befehl aus, um Empfehlungen für das Projekt aufzulisten, in dem Sie die Recommender API aktiviert haben:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations"
Ersetzen Sie Folgendes:
BILLING_PROJECT_ID
: Die ID des Abrechnungsprojekts.
Erkenntnisse:
Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.resourcemanager.project.ChangeRiskInsight/insights"
Ersetzen Sie Folgendes: * BILLING_PROJECT_ID
: Die ID des Abrechnungsprojekts.
Dienstkonto
Statistiken und Empfehlungen zu einem Dienstkonto können für alle Kunden über die Google Cloud Console, gcloud
oder die Recommender API aufgerufen werden.
gcloud
So sehen Sie Empfehlungen und Statistiken mit gcloud
an:
Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.
Empfehlungen:
Führen Sie den folgenden Befehl aus, um Empfehlungen für ein Dienstkonto aufzulisten, in dem Sie die Recommender API aktiviert haben:
gcloud recommender recommendations list
--recommender=google.iam.serviceAccount.ChangeRiskRecommender
--project=PROJECT_ID --location=global --format=yaml
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID
Erkenntnisse:
Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:
gcloud recommender insights list
--insight-type=google.iam.serviceAccount.ChangeRiskInsight
--project=PROJECT_ID --location=global --format=yaml
Ersetzen Sie Folgendes: + PROJECT_ID
: Die Projekt-ID.
API
Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl
eine Anfrage an die Recommender APIs senden.
Empfehlungen:
Führen Sie den folgenden Befehl aus, um Empfehlungen für ein Dienstkonto aufzulisten, in dem Sie die Recommender API aktiviert haben:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations"
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-IDBILLING_PROJECT_ID
: Die ID des Abrechnungsprojekts.
Erkenntnisse:
Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.serviceAccount.ChangeRiskInsight/insights"
Ersetzen Sie Folgendes: + PROJECT_ID
: Die Projekt-ID.
* : BILLING_PROJECT_ID
: Die ID des Abrechnungsprojekts.
IAM-Richtlinie
Statistiken und Empfehlungen zu einer IAM-Richtlinie sind für alle Kunden über die Google Cloud Console, gcloud
oder die Recommender API zugänglich.
gcloud
So sehen Sie Empfehlungen und Statistiken mit gcloud
an:
Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.
Empfehlungen:
Führen Sie den folgenden Befehl aus, um Empfehlungen für eine IAM-Richtlinie aufzulisten, in der Sie die Recommender API aktiviert haben:
gcloud recommender recommendations list --recommender=google.iam.policy.ChangeRiskRecommender --project=PROJECT_ID --location=global --format=yaml
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID
Erkenntnisse:
Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:
gcloud recommender insights list --insight-type=google.iam.policy.ChangeRiskInsight --project=PROJECT_ID --location=global --format=yaml
Ersetzen Sie Folgendes: + PROJECT_ID
: Die Projekt-ID.
API
Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl
eine Anfrage an die Recommender APIs senden.
Empfehlungen:
Führen Sie den folgenden Befehl aus, um Empfehlungen für eine IAM-Richtlinie aufzulisten, in der Sie die Recommender API aktiviert haben:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/\recommenders/google.iam.policy.ChangeRiskRecommender/recommendations"
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID
Erkenntnisse:
Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.policy.ChangeRiskInsight/insights"
Ersetzen Sie Folgendes: + PROJECT_ID
: Die Projekt-ID.
* : BILLING_PROJECT_ID
: Die ID des Abrechnungsprojekts.
Riskante Löschungen mit der gcloud CLI
Beim Löschen von Ressourcen über die gcloud CLI können Sie das optionale ausgeblendete Flag --recommend=yes
in ALPHA Track verwenden, um riskante Änderungen zu unterbrechen. Beispiele für unterstützte riskante Änderungen mit Empfehlungen finden Sie unten. Wenn keine Risikobewertung angezeigt wird, gilt die Änderung nicht als riskant.
Projekte löschen
Mit dem folgenden Befehl wird ein Projekt gelöscht:
gcloud alpha projects delete PROJECT_ID --recommend=yes
Bei Empfehlungen werden die folgenden unterstützten riskanten Änderungen angezeigt:
Shutting down this project will immediately:
- Stop all traffic and billing.
- Start deleting resources.
- Schedule the final deletion of the project after 30 days.
- Block your access to the project.
- Notify the owner of the project.
Learn more about the shutdown process at
https://cloud.google.com/resource-manager/docs/creating-managing-projects#shutting_down_projects
WARNING: If you shut down this project you risk losing data or interrupting your services. In the last 30 days we observed this project had:
- It had significant usage, including 9942 API calls.
- It contains at least 1 highly utilized service account.
- It included at least 211 resources.
We recommend verifying this is the correct project to shut down.
View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000
Do you want to continue (Y/n)? n
Dienstkonto löschen
Mit dem folgenden Befehl wird ein Dienstkonto gelöscht:
gcloud alpha iam service-accounts delete example@PROJECT_ID .iam.gserviceaccount.com --recommend=yes
Bei Empfehlungen werden die folgenden unterstützten riskanten Änderungen angezeigt:
You are about to delete service account [example@PROJECT_ID .iam.gserviceaccount.com]
Deleting this service account (SA) will delete all associated key IDs, and will prevent the account from authenticating to any Google Cloud service API.
You cannot restore or roll back this change easily. We highly recommend disabling the account first, testing for any unexpected impact, and only then deleting.
WARNING: If you delete this SA you risk interrupting your service, as we observed it was substantially used in the last 90 days.
We recommend verifying this is the correct account to delete.
View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000
Do you want to continue (Y/n)? n
Wenn folgende Fehlermeldung angezeigt wird:
ERROR: (gcloud.alpha.iam.service-accounts.delete) NOT_FOUND: Method not found.
- '@type': type.googleapis.com/google.rpc.DebugInfo
detail: 'Method ListInsights not found for service recommender.googleapis.com. Method not visible to labels: {PUBLIC}'
Achten Sie darauf, dass die Projektkonfiguration auf ein Projekt festgelegt ist, das für die Verwendung der Alpha Recommender API auf die Zulassungsliste gesetzt wurde. Verwenden Sie dazu den folgenden Befehl:
gcloud config set project PROJECT_ID
Löschen der IAM-Richtlinienbindung des Projekts
Der folgende Befehl löscht eine Projekt-IAM-Richtlinienbindung:
gcloud alpha projects remove-iam-policy-binding PROJECT_ID --member=YOUR_EMAIL@DOMAIN.COM --role=roles/owner --recommend=yes
Bei Empfehlungen werden die folgenden unterstützten riskanten Änderungen angezeigt:
You are about to delete the role [roles/owner].
WARNING: If you remove the role [roles/owner], there is a high risk that you might cause interruptions because it was used in the last 90 days.
We recommend you verify the details and replace them with less privileged roles, if necessary.
View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.policy.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000
Do you want to continue (Y/n)? n
Feedback und Support
Bei technischen Problemen, Fragen oder Feedback senden Sie eine E-Mail an active-assist-feedback@google.com.