Mengubah rekomendasi risiko

Rekomendasi risiko perubahan membantu Anda mengurangi risiko kesalahan konfigurasi infrastruktur cloud dengan menandai perubahan berisiko umum yang umum terjadi pada resource terpenting Anda secara cerdas dan memberikan rekomendasi untuk mencegah dan memitigasi masalah.

Pengantar

Kesalahan konfigurasi adalah penyebab umum insiden cloud. Hal ini dapat terjadi karena kesalahan manusia atau perubahan beban kerja yang tidak terduga, dan dapat menyebabkan berbagai masalah, termasuk masalah performa, masalah keandalan, dan bahkan pemadaman. Banyak kesalahan konfigurasi yang awalnya tidak terdeteksi, sehingga sulit dilacak dan diselesaikan.

Rekomendasi risiko perubahan adalah kumpulan baru rekomendasi dan insight Active Assist dalam layanan Recommender. Rekomendasi risiko perubahan akan otomatis menandai perubahan berisiko pada resource cloud yang diidentifikasi sebagai penting berdasarkan penggunaannya dan sinyal lainnya, untuk membantu mencegah, mendeteksi, dan memitigasi masalah (misalnya, pemadaman layanan) yang disebabkan oleh kesalahan konfigurasi resource cloud penting tersebut. Misalnya, jika Anda mencoba menghapus project yang sangat sering digunakan, atau mengubah kebijakan IAM yang dapat menjadi dependensi penting berdasarkan aktivitas penggunaan terbarunya, rekomendasi risiko perubahan dapat membantu mencegah masalah yang tidak diinginkan dengan memperingatkan Anda secara proaktif tentang risiko yang terkait dengan perubahan tertentu.

Mengubah cakupan rekomendasi risiko

Rekomendasi risiko perubahan saat ini hanya didukung untuk resource dan tindakan yang tercantum dalam tabel di bawah.

Resource Tindakan Platform Kriteria yang digunakan untuk menentukan tingkat kepentingan resource
Project Penghapusan
  • Konsol Google Cloud
  • gcloud CLI
  • Recommender API
  • Penggunaan project (panggilan API, traffic jaringan, dan penggunaan layanan Google Cloud)
  • Penagihan
  • Penggunaan dalam 30 hari terakhir
Service account Penghapusan
  • Konsol Google Cloud
  • gcloud CLI
  • Recommender API
  • Jumlah autentikasi
  • Penggunaan dalam 90 hari terakhir
Kebijakan IAM Ubah
  • Konsol Google Cloud
  • gcloud CLI
  • Recommender API
  • Jumlah izin yang digunakan
  • Penggunaan dalam 90 hari terakhir
  • Merupakan bagian dari project penting

Sebelum memulai

Sebelum mulai menggunakan fitur ini, Anda harus menyiapkan layanan terlebih dahulu:

  1. Aktifkan Recommender API di satu project penagihan. Kemudian, Anda dapat menggunakan project penagihan yang sama ini untuk mengambil rekomendasi dan insight untuk project lain, seluruh organisasi, atau akun penagihan, menggunakan fungsi project penagihan gcloud/API.
  2. Berikan izin pada pengguna atau akun layanan yang akan Anda gunakan untuk mengakses fitur ini.

Izin

Untuk melihat rekomendasi Mengubah rekomendasi risiko, Anda harus memiliki izin tertentu untuk resource tertentu.

  • Project

    • recommender.resourcemanagerProjectChangeRiskRecommendations.get
    • recommender.resourcemanagerProjectChangeRiskRecommendations.list
    • recommender.resourcemanagerProjectChangeRiskInsights.get
    • recommender.resourcemanagerProjectChangeRiskInsights.list

  • Akun Layanan

    • recommender.iamServiceAccountChangeRiskRecommendations.get
    • recommender.iamServiceAccountChangeRiskRecommendations.list
    • recommender.iamServiceAccountChangeRiskInsights.get
    • recommender.iamServiceAccountChangeRiskInsights.list

  • Kebijakan IAM

    • recommender.iamPolicyChangeRiskRecommendations.get
    • recommender.iamPolicyChangeRiskRecommendations.list
    • recommender.iamPolicyChangeRiskInsights.get
    • recommender.iamPolicyChangeRiskInsights.list

Anda juga dapat memberikan peran roles/recommender.viewer untuk mencakup izin ini.

Memahami respons untuk rekomendasi/insight risiko perubahan

Tabel berikut memberikan deskripsi kolom yang ditampilkan dalam objek rekomendasi dan insight:

Rekomendasi

Nama kolom Jenis Deskripsi
associatedInsights string Insight yang terkait dengan rekomendasi ini. projects/[project_number]/locations/global/ insightTypes/google.resourcemanager.project. ChangeRiskInsight/insights/[fingerprint]
asset object Berisi nama aset dan jenis aset dari resource terkait.
etag string Sidik jari RecommenderConfig. Memberikan penguncian optimis saat mengupdate.
updateTime string Stempel waktu terakhir kali rekomendasi diperbarui. Stempel waktu dalam format Zulu UTC RFC 3339, akurat hingga nanodetik. Contoh: 2022-01-10T22:47:38.421626Z.

Insight

Nama kolom Jenis Deskripsi
associatedRecommendations string Rekomendasi yang terkait dengan rekomendasi ini. projects/[project_number]/locations/global/ recommenders/google.resourcemanager.project. ChangeRiskRecommender/recommendations/ [recommendation_id]
constraint object Berisi batasan rekomendasi risiko perubahan yang tidak disarankan untuk dilakukan pengguna. This project should not be deleted.
importance object Berisi daftar alasan mengapa kami menentukan bahwa referensi ini penting. Misalnya, penggunaan yang tinggi.
risk object Berisi detail penilaian risiko. Misalnya,nilai aktivitas penggunaan resource digunakan untuk menentukan tingkat kepentingan.
updateTime string Stempel waktu terakhir kali rekomendasi diperbarui. Stempel waktu dalam format RFC 3339 UTC Zulu, akurat hingga nanodetik. Contoh: 2022-01-10T22:47:38.421626Z.

Melihat rekomendasi risiko perubahan

Selain model penggunaan yang dibahas di atas, Anda dapat menggunakan pendekatan standar untuk layanan Pemberi rekomendasi guna melihat rekomendasi dan insight risiko perubahan untuk Project, Akun layanan, atau Kebijakan IAM:

  • Konsol Google Cloud
  • API
  • gcloud

Konsol Google Cloud

Anda dapat melihat rekomendasi dan insight risiko perubahan di halaman produk itu sendiri. Rekomendasi akan otomatis aktif selama Anda memiliki izin yang tercantum di atas.

Active Assist memperingatkan Anda tentang bahaya menghapus resource penting, dan menunjukkan tindakan yang harus dilakukan saat peringatan tersebut muncul dalam situasi berikut:

gcloud dan API

Bagian berikut menyajikan perintah untuk meminta rekomendasi dan insight risiko perubahan melalui gcloud dan API untuk Project, Akun layanan, atau Kebijakan IAM.

Project

Insight dan rekomendasi dapat diakses melalui konsol Google Cloud, gcloud, atau Recommender API untuk semua pelanggan.

gcloud

Untuk melihat rekomendasi dan insight menggunakan gcloud, ikuti langkah-langkah di bawah. Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.

Rekomendasi:

Untuk menampilkan rekomendasi untuk project tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

gcloud recommender recommendations list
--recommender=google.resourcemanager.project.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut:

  • PROJECT_ID : Project ID.
Insight:

Kumpulan perintah serupa dapat digunakan untuk mencantumkan insight:

gcloud recommender insights list
--insight-type=google.resourcemanager.project.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut:

  • PROJECT_ID : Project ID.

API

Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl untuk mengirim permintaan ke recommender API.

Rekomendasi

Untuk menampilkan rekomendasi untuk project tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations"

Ganti kode berikut:

  • BILLING_PROJECT_ID : Project ID penagihan.
Insight:

Kumpulan perintah serupa dapat digunakan untuk mencantumkan insight:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.resourcemanager.project.ChangeRiskInsight/insights"

Ganti kode berikut: * BILLING_PROJECT_ID : Project ID penagihan.

Akun layanan

Insight dan rekomendasi tentang Akun Layanan dapat diakses melalui konsol Google Cloud, gcloud, atau Recommender API untuk semua pelanggan.

gcloud

Untuk melihat rekomendasi dan insight menggunakan gcloud, ikuti langkah-langkah di bawah. Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.

Rekomendasi:

Untuk menampilkan rekomendasi untuk Akun Layanan tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

gcloud recommender recommendations list
--recommender=google.iam.serviceAccount.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut:

  • PROJECT_ID : Project ID.
Insight:

Kumpulan perintah serupa dapat digunakan untuk mencantumkan insight:

gcloud recommender insights list
--insight-type=google.iam.serviceAccount.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut: * PROJECT_ID : Project ID.

API

Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl untuk mengirim permintaan ke recommender API.

Rekomendasi:

Untuk menampilkan rekomendasi untuk Akun Layanan tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations"

Ganti kode berikut:

  • PROJECT_ID : Project ID.
  • BILLING_PROJECT_ID : Project ID penagihan.
Insight:

Kumpulan perintah serupa dapat digunakan untuk mencantumkan insight:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.serviceAccount.ChangeRiskInsight/insights"

Ganti kode berikut: * PROJECT_ID : Project ID. * BILLING_PROJECT_ID : Project ID penagihan.

Kebijakan IAM

Insight dan rekomendasi tentang Kebijakan IAM dapat diakses melalui konsol Google Cloud, gcloud, atau Recommender API untuk semua pelanggan.

gcloud

Untuk melihat rekomendasi dan insight menggunakan gcloud, ikuti langkah-langkah di bawah. Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.

Rekomendasi:

Untuk mencantumkan rekomendasi untuk Kebijakan IAM tempat Anda telah mengaktifkan Recommender API, jalankan perintah berikut:

gcloud recommender recommendations list --recommender=google.iam.policy.ChangeRiskRecommender --project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut:

  • PROJECT_ID : Project ID.
Insight:

Kumpulan perintah serupa dapat digunakan untuk mencantumkan insight:

gcloud recommender insights list --insight-type=google.iam.policy.ChangeRiskInsight --project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut: * PROJECT_ID : Project ID.

API

Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl untuk mengirim permintaan ke recommender API.

Rekomendasi:

Untuk mencantumkan rekomendasi untuk Kebijakan IAM tempat Anda telah mengaktifkan Recommender API, jalankan perintah berikut:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/\recommenders/google.iam.policy.ChangeRiskRecommender/recommendations"

Ganti kode berikut:

  • PROJECT_ID : Project ID.
Insight:

Kumpulan perintah serupa dapat digunakan untuk mencantumkan insight:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.policy.ChangeRiskInsight/insights"

Ganti kode berikut: * PROJECT_ID : Project ID. * BILLING_PROJECT_ID : Project ID penagihan.

Penghapusan berisiko dengan gcloud CLI

Saat menghapus resource melalui gcloud CLI, Anda dapat menggunakan flag tersembunyi opsional --recommend=yes di jalur ALPHA untuk mengganggu perubahan berisiko. Contoh perubahan berisiko yang didukung dengan rekomendasi ditampilkan di bawah. Jika tidak ada penilaian risiko yang ditampilkan, perubahan tersebut dianggap tidak berisiko.

Penghapusan project

Perintah berikut akan menghapus project:

  gcloud alpha projects delete PROJECT_ID  --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  Shutting down this project will immediately:
    - Stop all traffic and billing.
    - Start deleting resources.
    - Schedule the final deletion of the project after 30 days.
    - Block your access to the project.
    - Notify the owner of the project.

  Learn more about the shutdown process at
  https://cloud.google.com/resource-manager/docs/creating-managing-projects#shutting_down_projects

  WARNING: If you shut down this project you risk losing data or interrupting your services. In the last 30 days we observed this project had:
    - It had significant usage, including 9942 API calls.
    - It contains at least 1 highly utilized service account.
    - It included at least 211 resources.

  We recommend verifying this is the correct project to shut down.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Penghapusan akun layanan

Perintah berikut akan menghapus Akun Layanan:

  gcloud alpha iam service-accounts delete example@PROJECT_ID .iam.gserviceaccount.com --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  You are about to delete service account [example@PROJECT_ID .iam.gserviceaccount.com]

  Deleting this service account (SA) will delete all associated key IDs, and will prevent the account from authenticating to any Google Cloud service API.

  You cannot restore or roll back this change easily. We highly recommend disabling the account first, testing for any unexpected impact, and only then deleting.

  WARNING: If you delete this SA you risk interrupting your service, as we observed it was substantially used in the last 90 days.

  We recommend verifying this is the correct account to delete.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Jika Anda melihat error berikut:

  ERROR: (gcloud.alpha.iam.service-accounts.delete) NOT_FOUND: Method not found.
  - '@type': type.googleapis.com/google.rpc.DebugInfo
    detail: 'Method ListInsights not found for service recommender.googleapis.com. Method not visible to labels: {PUBLIC}'

Pastikan konfigurasi project ditetapkan ke project yang diizinkan untuk menggunakan Alpha Recommender API dengan perintah berikut:

  gcloud config set project PROJECT_ID

Penghapusan binding kebijakan IAM project

Perintah berikut akan menghapus Binding Kebijakan IAM Project:

  gcloud alpha projects remove-iam-policy-binding PROJECT_ID  --member=YOUR_EMAIL@DOMAIN.COM  --role=roles/owner --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  You are about to delete the role [roles/owner].

  WARNING: If you remove the role [roles/owner], there is a high risk that you might cause interruptions because it was used in the last 90 days.

  We recommend you verify the details and replace them with less privileged roles, if necessary.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.policy.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Masukan dan dukungan

Kirim email ke active-assist-feedback@google.com jika ada masalah teknis, pertanyaan, atau masukan.