Empfehlungen zu Änderungsrisiken

Mithilfe von Empfehlungen zu Änderungsrisiken können Sie das Risiko von Fehlkonfigurationen für die Cloud-Infrastruktur reduzieren, indem Sie gängige riskante Änderungen an Ihren wichtigsten Ressourcen intelligent kennzeichnen und Empfehlungen zur Vermeidung und Abwehr von Problemen geben.

Einführung

Fehlkonfigurationen sind eine häufige Ursache für Cloud-Vorfälle. Sie können aufgrund von menschlichen Fehlern oder unerwarteten Arbeitslaständerungen auftreten und zu einer Vielzahl von Problemen führen, einschließlich Leistungsproblemen, Zuverlässigkeitsproblemen und sogar Ausfällen. Viele Fehlkonfigurationen können anfangs unbemerkt bleiben, was das Nachverfolgen und Beheben von Fehlern erschwert.

Empfehlungen zu Änderungsrisiken ist eine neue Familie von Active Assist-Empfehlungen und -Statistiken im Recommender-Dienst. Mithilfe von Empfehlungen zu Änderungsrisiken werden riskante Änderungen an Cloud-Ressourcen, die auf ihrer Nutzung und anderen Signalen basieren, automatisch als wichtig gekennzeichnet. Dadurch werden Probleme (z. B. Dienstausfälle) verhindert, erkannt und minimiert, die durch fehlerhafte Konfigurationen dieser wichtigen Cloud-Ressourcen verursacht werden. Wenn Sie beispielsweise versuchen, ein stark verwendetes Projekt zu löschen oder eine IAM-Richtlinie zu ändern, die aufgrund ihrer letzten Nutzungsaktivität eine wesentliche Abhängigkeit sein kann, können Sie Empfehlungen zu Änderungsrisiken nutzen, um unbeabsichtigte Probleme zu vermeiden, indem Sie proaktiv über die mit einer bestimmten Änderung verbundenen Risiken gewarnt werden.

Bereich von Empfehlungen zu Änderungsrisiken

Die Empfehlungen zu Änderungsrisiken werden derzeit nur für die in der folgenden Tabelle aufgeführten Ressourcen und Aktionen unterstützt.

Ressource Aktion Plattformen Kriterien zur Bestimmung der Ressourcenwichtigkeit
Projekt Löschen
  • Google Cloud Console
  • gcloud-CLI
  • Recommender API
  • Projektnutzung (API-Aufrufe, Netzwerktraffic und Google Cloud-Dienstenutzung)
  • Abrechnung
  • Nutzung in den letzten 30 Tagen
Dienstkonto Löschen
  • Google Cloud Console
  • gcloud-CLI
  • Recommender API
  • Anzahl der Authentifizierungen
  • Nutzung in den letzten 90 Tagen
IAM-Richtlinie Ändern
  • Google Cloud Console
  • gcloud-CLI
  • Recommender API
  • Anzahl ausgeübter Berechtigungen
  • Nutzung in den letzten 90 Tagen
  • Zu einem wichtigen Projekt gehören

Hinweise

Bevor Sie dieses Feature verwenden können, müssen Sie den Dienst einrichten:

  1. Aktivieren Sie die Recommender API für ein einzelnes Abrechnungsprojekt. Sie können dann dasselbe Abrechnungsprojekt mit der billing-project-Funktionalität von gcloud/API zu Empfehlungen und Informationen für andere Projekte, die gesamte Organisation oder das Rechnungskonto verwenden.
  2. Gewähren Sie dem Nutzer oder Dienstkonto, das Sie für den Zugriff auf dieses Feature verwenden möchten, die entsprechenden Berechtigungen.

Berechtigungen

Um die Empfehlungen für „Empfehlungen zu Änderungsrisiken“ aufzurufen, benötigen Sie die entsprechenden Berechtigungen für die jeweilige Ressource.

  • Projekt

    • recommender.resourcemanagerProjectChangeRiskRecommendations.get
    • recommender.resourcemanagerProjectChangeRiskRecommendations.list
    • recommender.resourcemanagerProjectChangeRiskInsights.get
    • recommender.resourcemanagerProjectChangeRiskInsights.list

  • Dienstkonto

    • recommender.iamServiceAccountChangeRiskRecommendations.get
    • recommender.iamServiceAccountChangeRiskRecommendations.list
    • recommender.iamServiceAccountChangeRiskInsights.get
    • recommender.iamServiceAccountChangeRiskInsights.list

  • IAM-Richtlinie

    • recommender.iamPolicyChangeRiskRecommendations.get
    • recommender.iamPolicyChangeRiskRecommendations.list
    • recommender.iamPolicyChangeRiskInsights.get
    • recommender.iamPolicyChangeRiskInsights.list

Sie können auch die Rolle roles/recommender.viewer zuweisen, um diese Berechtigungen abzudecken.

Antwort auf Recommender/Statistiken zu Änderungsrisiken

Die folgende Tabelle enthält eine Beschreibung der präsentierten Felder im Empfehlungs- und Statistik-Objekt:

Empfehlung

Feldname Typ Beschreibung
associatedInsights string Statistiken, die dieser Empfehlung zugeordnet sind. projects/[project_number]/locations/global/ insightTypes/google.resourcemanager.project. ChangeRiskInsight/insights/[fingerprint]
asset object Enthält den Asset-Namen und den Asset-Typ der zugehörigen Ressource.
etag string Fingerabdruck der RecommenderConfig. Bietet optimistisches Sperren beim Aktualisieren.
updateTime string Zeitstempel der letzten Aktualisierung der Empfehlung. Ein Zeitstempel im Format RFC 3339 UTC Zulu in Nanosekunden. Beispiel: 2022-01-10T22:47:38.421626Z.

Insight

Feldname Typ Beschreibung
associatedRecommendations string Empfehlung, die mit dieser Empfehlung verknüpft ist. projects/[project_number]/locations/global/ recommenders/google.resourcemanager.project. ChangeRiskRecommender/recommendations/ [recommendation_id]
constraint object Enthält die Einschränkung für die Empfehlungen zu Änderungsrisiken, für die dem Nutzer empfohlen wird. This project should not be deleted.
importance object Enthält die Liste der Gründe, aus denen wir diese Ressource als wichtig eingestuft haben. Beispiel: Hohe Nutzung.
risk object Enthält Details zur Risikobewertung. Beispielsweise werden Werte der Ressourcennutzungsaktivität verwendet, um die Wichtigkeit zu bestimmen.
updateTime string Zeitstempel der letzten Aktualisierung der Empfehlung. Ein Zeitstempel im Format RFC 3339 UTC Zulu in Nanosekunden. Beispiel: 2022-01-10T22:47:38.421626Z.

Empfehlungen zu Änderungsrisiken aufrufen

Zusätzlich zum oben beschriebenen Nutzungsmodell können Sie den Standardansatz für den Recommender-Dienst verwenden, um die Empfehlungen zu Änderungsrisiken und die Statistiken für ein Projekt, ein Dienstkonto oder eine IAM-Richtlinie anzuzeigen:

  • Google Cloud Console
  • API
  • gcloud

Google Cloud Console

Sie können Empfehlungen zu Änderungsrisiken und Statistiken auf den Produktseiten selbst ansehen. Die Empfehlungen werden automatisch aktiv, solange Sie die oben genannten Berechtigungen haben.

Active Assist warnt Sie vor dem Löschen einer wichtigen Ressource und gibt an, was in den folgenden Situationen geschehen soll:

gcloud und API

In den folgenden Abschnitten werden die Befehle zum Anfordern von Empfehlungen zu Änderungsrisiken und Statistiken zu gcloud und der API für ein Projekt, ein Dienstkonto oder eine IAM-Richtlinie beschrieben.

Projekt

Statistiken und Empfehlungen können für alle Kunden über die Google Cloud Console, gcloud oder die Recommender API aufgerufen werden.

gcloud

So sehen Sie Empfehlungen und Statistiken mit gcloud an: Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für das Projekt aufzulisten, in dem Sie die Recommender API aktiviert haben:

gcloud recommender recommendations list
--recommender=google.resourcemanager.project.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

gcloud recommender insights list
--insight-type=google.resourcemanager.project.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID

API

Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl eine Anfrage an die Recommender APIs senden.

Empfehlungen

Führen Sie den folgenden Befehl aus, um Empfehlungen für das Projekt aufzulisten, in dem Sie die Recommender API aktiviert haben:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations"

Ersetzen Sie Folgendes:

  • BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.resourcemanager.project.ChangeRiskInsight/insights"

Ersetzen Sie Folgendes: * BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.

Dienstkonto

Statistiken und Empfehlungen zu einem Dienstkonto können für alle Kunden über die Google Cloud Console, gcloud oder die Recommender API aufgerufen werden.

gcloud

So sehen Sie Empfehlungen und Statistiken mit gcloud an: Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für ein Dienstkonto aufzulisten, in dem Sie die Recommender API aktiviert haben:

gcloud recommender recommendations list
--recommender=google.iam.serviceAccount.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

gcloud recommender insights list
--insight-type=google.iam.serviceAccount.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes: + PROJECT_ID : Die Projekt-ID.

API

Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl eine Anfrage an die Recommender APIs senden.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für ein Dienstkonto aufzulisten, in dem Sie die Recommender API aktiviert haben:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations"

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
  • BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.serviceAccount.ChangeRiskInsight/insights"

Ersetzen Sie Folgendes: + PROJECT_ID : Die Projekt-ID. * : BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.

IAM-Richtlinie

Statistiken und Empfehlungen zu einer IAM-Richtlinie sind für alle Kunden über die Google Cloud Console, gcloud oder die Recommender API zugänglich.

gcloud

So sehen Sie Empfehlungen und Statistiken mit gcloud an: Weitere Informationen finden Sie unter API verwenden – Statistiken und API verwenden – Empfehlungen.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für eine IAM-Richtlinie aufzulisten, in der Sie die Recommender API aktiviert haben:

gcloud recommender recommendations list --recommender=google.iam.policy.ChangeRiskRecommender --project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

gcloud recommender insights list --insight-type=google.iam.policy.ChangeRiskInsight --project=PROJECT_ID  --location=global --format=yaml

Ersetzen Sie Folgendes: + PROJECT_ID : Die Projekt-ID.

API

Wenn Sie Empfehlungen und Statistiken sehen möchten, können Sie mit curl eine Anfrage an die Recommender APIs senden.

Empfehlungen:

Führen Sie den folgenden Befehl aus, um Empfehlungen für eine IAM-Richtlinie aufzulisten, in der Sie die Recommender API aktiviert haben:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/\recommenders/google.iam.policy.ChangeRiskRecommender/recommendations"

Ersetzen Sie Folgendes:

  • PROJECT_ID : die Projekt-ID
Erkenntnisse:

Es können ähnliche Befehle verwendet werden, um Statistiken aufzulisten:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.policy.ChangeRiskInsight/insights"

Ersetzen Sie Folgendes: + PROJECT_ID : Die Projekt-ID. * : BILLING_PROJECT_ID : Die ID des Abrechnungsprojekts.

Riskante Löschungen mit der gcloud CLI

Beim Löschen von Ressourcen über die gcloud CLI können Sie das optionale ausgeblendete Flag --recommend=yes in ALPHA Track verwenden, um riskante Änderungen zu unterbrechen. Beispiele für unterstützte riskante Änderungen mit Empfehlungen finden Sie unten. Wenn keine Risikobewertung angezeigt wird, gilt die Änderung nicht als riskant.

Projekte löschen

Mit dem folgenden Befehl wird ein Projekt gelöscht:

  gcloud alpha projects delete PROJECT_ID  --recommend=yes

Bei Empfehlungen werden die folgenden unterstützten riskanten Änderungen angezeigt:

  Shutting down this project will immediately:
    - Stop all traffic and billing.
    - Start deleting resources.
    - Schedule the final deletion of the project after 30 days.
    - Block your access to the project.
    - Notify the owner of the project.

  Learn more about the shutdown process at
  https://cloud.google.com/resource-manager/docs/creating-managing-projects#shutting_down_projects

  WARNING: If you shut down this project you risk losing data or interrupting your services. In the last 30 days we observed this project had:
    - It had significant usage, including 9942 API calls.
    - It contains at least 1 highly utilized service account.
    - It included at least 211 resources.

  We recommend verifying this is the correct project to shut down.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Dienstkonto löschen

Mit dem folgenden Befehl wird ein Dienstkonto gelöscht:

  gcloud alpha iam service-accounts delete example@PROJECT_ID .iam.gserviceaccount.com --recommend=yes

Bei Empfehlungen werden die folgenden unterstützten riskanten Änderungen angezeigt:

  You are about to delete service account [example@PROJECT_ID .iam.gserviceaccount.com]

  Deleting this service account (SA) will delete all associated key IDs, and will prevent the account from authenticating to any Google Cloud service API.

  You cannot restore or roll back this change easily. We highly recommend disabling the account first, testing for any unexpected impact, and only then deleting.

  WARNING: If you delete this SA you risk interrupting your service, as we observed it was substantially used in the last 90 days.

  We recommend verifying this is the correct account to delete.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Wenn folgende Fehlermeldung angezeigt wird:

  ERROR: (gcloud.alpha.iam.service-accounts.delete) NOT_FOUND: Method not found.
  - '@type': type.googleapis.com/google.rpc.DebugInfo
    detail: 'Method ListInsights not found for service recommender.googleapis.com. Method not visible to labels: {PUBLIC}'

Achten Sie darauf, dass die Projektkonfiguration auf ein Projekt festgelegt ist, das für die Verwendung der Alpha Recommender API auf die Zulassungsliste gesetzt wurde. Verwenden Sie dazu den folgenden Befehl:

  gcloud config set project PROJECT_ID

Löschen der IAM-Richtlinienbindung des Projekts

Der folgende Befehl löscht eine Projekt-IAM-Richtlinienbindung:

  gcloud alpha projects remove-iam-policy-binding PROJECT_ID  --member=YOUR_EMAIL@DOMAIN.COM  --role=roles/owner --recommend=yes

Bei Empfehlungen werden die folgenden unterstützten riskanten Änderungen angezeigt:

  You are about to delete the role [roles/owner].

  WARNING: If you remove the role [roles/owner], there is a high risk that you might cause interruptions because it was used in the last 90 days.

  We recommend you verify the details and replace them with less privileged roles, if necessary.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.policy.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Feedback und Support

Bei technischen Problemen, Fragen oder Feedback senden Sie eine E-Mail an active-assist-feedback@google.com.