Mengubah rekomendasi risiko
Rekomendasi risiko perubahan membantu Anda mengurangi risiko kesalahan konfigurasi infrastruktur cloud dengan menandai secara cerdas perubahan berisiko umum pada resource terpenting Anda serta memberikan rekomendasi untuk mencegah dan memitigasi masalah.
Pengantar
Kesalahan konfigurasi adalah penyebab umum insiden cloud. Mereka dapat terjadi karena kesalahan manusia atau perubahan beban kerja yang tidak terduga, dan dapat menyebabkan berbagai masalah, termasuk masalah performa, masalah keandalan, dan bahkan pemadaman layanan. Banyak kesalahan konfigurasi tidak terlihat pada awalnya, sehingga sulit untuk dilacak dan diatasi.
Rekomendasi risiko perubahan adalah kelompok baru rekomendasi dan insight Active Assist dalam layanan Pemberi Rekomendasi. Rekomendasi risiko perubahan otomatis menandai perubahan berisiko pada resource cloud yang diidentifikasi sebagai important berdasarkan penggunaan dan sinyal lainnya, untuk membantu mencegah, mendeteksi, dan memitigasi masalah (misalnya, pemadaman layanan) yang disebabkan oleh kesalahan konfigurasi resource cloud penting tersebut. Misalnya, jika Anda mencoba menghapus project yang sering digunakan, atau mengubah kebijakan IAM yang dapat menjadi dependensi penting berdasarkan aktivitas penggunaan terbaru, rekomendasi perubahan risiko dapat membantu mencegah masalah yang tidak diinginkan dengan secara proaktif memperingatkan Anda tentang risiko terkait perubahan tertentu.
Mengubah cakupan rekomendasi risiko
Rekomendasi risiko perubahan saat ini hanya didukung untuk resource dan tindakan yang tercantum dalam tabel di bawah.
Resource | Tindakan | Platform | Kriteria yang digunakan untuk menentukan tingkat kepentingan resource |
---|---|---|---|
Project | Penghapusan |
|
|
Service account | Penghapusan |
|
|
Kebijakan IAM | Ubah |
|
|
Sebelum memulai
Sebelum mulai menggunakan fitur ini, Anda harus menyiapkan layanan terlebih dahulu:
- Aktifkan Recommender API pada satu project penagihan. Anda kemudian dapat menggunakan project penagihan yang sama ini untuk mengambil rekomendasi dan insight untuk project lain, seluruh organisasi, atau akun penagihan menggunakan fungsi project penagihan gcloud/API.
- Berikan izin pada pengguna atau akun layanan yang akan Anda gunakan untuk mengakses fitur ini.
Izin
Agar dapat melihat rekomendasi untuk rekomendasi risiko Perubahan, Anda harus memiliki izin khusus untuk resource tertentu.
Project
recommender.resourcemanagerProjectChangeRiskRecommendations.get
recommender.resourcemanagerProjectChangeRiskRecommendations.list
recommender.resourcemanagerProjectChangeRiskInsights.get
recommender.resourcemanagerProjectChangeRiskInsights.list
Akun Layanan
recommender.iamServiceAccountChangeRiskRecommendations.get
recommender.iamServiceAccountChangeRiskRecommendations.list
recommender.iamServiceAccountChangeRiskInsights.get
recommender.iamServiceAccountChangeRiskInsights.list
Kebijakan IAM
recommender.iamPolicyChangeRiskRecommendations.get
recommender.iamPolicyChangeRiskRecommendations.list
recommender.iamPolicyChangeRiskInsights.get
recommender.iamPolicyChangeRiskInsights.list
Anda juga dapat memberikan peran roles/recommender.viewer untuk mencakup izin ini.
Memahami respons untuk insight/pemberi rekomendasi risiko perubahan
Tabel berikut memberikan deskripsi kolom yang ditampilkan dalam objek rekomendasi dan insight:
Rekomendasi
Nama kolom | Jenis | Deskripsi |
---|---|---|
associatedInsights
|
string
|
Analisis yang terkait dengan rekomendasi ini.
projects/[project_number]/locations/global/
insightTypes/google.resourcemanager.project.
ChangeRiskInsight/insights/[fingerprint]
|
asset
|
object
|
Berisi nama aset dan jenis aset dari resource terkait. |
etag
|
string
|
Sidik jari RecommenderConfig. Menyediakan penguncian optimis saat mengupdate. |
updateTime
|
string
|
Stempel waktu terakhir kali rekomendasi diperbarui. Stempel waktu dalam format RFC 3339 UTC Zulu, akurat hingga nanodetik.
Contoh: 2022-01-10T22:47:38.421626Z .
|
Insight
Nama kolom | Jenis | Deskripsi |
---|---|---|
associatedRecommendations
|
string
|
Rekomendasi yang terkait dengan rekomendasi ini.
projects/[project_number]/locations/global/
recommenders/google.resourcemanager.project.
ChangeRiskRecommender/recommendations/
[recommendation_id]
|
constraint
|
object
|
Berisi batasan rekomendasi risiko perubahan yang tidak disarankan bagi pengguna.
This project should not be deleted.
|
importance
|
object
|
Berisi daftar alasan mengapa kami menetapkan resource ini penting. Misalnya, tingkat penggunaan tinggi. |
risk
|
object
|
Berisi detail penilaian risiko. Misalnya,nilai aktivitas penggunaan resource digunakan untuk menentukan tingkat kepentingan. |
updateTime
|
string
|
Stempel waktu terakhir kali rekomendasi diperbarui.
Stempel waktu dalam format RFC 3339 UTC Zulu, akurat hingga nanodetik. Contoh: 2022-01-10T22:47:38.421626Z .
|
Melihat rekomendasi risiko perubahan
Selain model penggunaan yang dibahas di atas, Anda dapat menggunakan pendekatan standar bagi layanan Pemberi rekomendasi untuk melihat insight dan rekomendasi risiko perubahan untuk Project, Akun layanan, atau Kebijakan IAM:
- Konsol Google Cloud
- API
- gcloud
Konsol Google Cloud
Anda dapat melihat insight dan rekomendasi risiko perubahan di halaman produk itu sendiri. Rekomendasi akan otomatis aktif selama Anda memiliki izin yang tercantum di atas.
Active Assist memperingatkan Anda akan bahaya penghapusan resource penting, dan menunjukkan tindakan yang harus dilakukan saat peringatan tersebut muncul dalam situasi berikut:
gcloud dan API
Bagian berikut menampilkan perintah untuk meminta insight dan rekomendasi risiko perubahan melalui gcloud
dan API untuk Project, Akun layanan, atau Kebijakan IAM.
Project
Insight dan rekomendasi dapat diakses melalui Konsol Google Cloud, gcloud
, atau Recommender API untuk semua pelanggan.
gcloud
Untuk melihat rekomendasi dan insight menggunakan gcloud
, ikuti langkah-langkah di bawah ini.
Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.
Rekomendasi:
Guna mencantumkan rekomendasi untuk project tempat Anda telah mengaktifkan Recommender API, jalankan perintah berikut:
gcloud recommender recommendations list
--recommender=google.resourcemanager.project.ChangeRiskRecommender
--project=PROJECT_ID --location=global --format=yaml
Ganti kode berikut:
PROJECT_ID
: Project ID.
Insight:
Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:
gcloud recommender insights list
--insight-type=google.resourcemanager.project.ChangeRiskInsight
--project=PROJECT_ID --location=global --format=yaml
Ganti kode berikut:
PROJECT_ID
: Project ID.
API
Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl
untuk mengirim permintaan ke API pemberi rekomendasi.
Rekomendasi
Untuk mencantumkan rekomendasi project tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations"
Ganti kode berikut:
BILLING_PROJECT_ID
: ID project penagihan.
Insight:
Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.resourcemanager.project.ChangeRiskInsight/insights"
Ganti kolom berikut:
* BILLING_PROJECT_ID
: Project ID penagihan.
Akun layanan
Insight dan rekomendasi terkait Akun Layanan dapat diakses melalui Google Cloud Console, gcloud
, atau Recommender API untuk semua pelanggan.
gcloud
Untuk melihat rekomendasi dan insight menggunakan gcloud
, ikuti langkah-langkah di bawah ini.
Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.
Rekomendasi:
Untuk menampilkan daftar rekomendasi Akun Layanan tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:
gcloud recommender recommendations list
--recommender=google.iam.serviceAccount.ChangeRiskRecommender
--project=PROJECT_ID --location=global --format=yaml
Ganti kode berikut:
PROJECT_ID
: Project ID.
Insight:
Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:
gcloud recommender insights list
--insight-type=google.iam.serviceAccount.ChangeRiskInsight
--project=PROJECT_ID --location=global --format=yaml
Ganti string berikut:
* PROJECT_ID
: Project ID.
API
Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl
untuk mengirim permintaan ke API pemberi rekomendasi.
Rekomendasi:
Untuk menampilkan daftar rekomendasi Akun Layanan tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations"
Ganti kode berikut:
PROJECT_ID
: Project ID.BILLING_PROJECT_ID
: ID project penagihan.
Insight:
Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.serviceAccount.ChangeRiskInsight/insights"
Ganti string berikut:
* PROJECT_ID
: Project ID.
* BILLING_PROJECT_ID
: Project ID penagihan.
Kebijakan IAM
Insight dan rekomendasi terkait Kebijakan IAM dapat diakses melalui Konsol Google Cloud, gcloud
, atau Recommender API untuk semua pelanggan.
gcloud
Untuk melihat rekomendasi dan insight menggunakan gcloud
, ikuti langkah-langkah di bawah ini.
Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.
Rekomendasi:
Guna mencantumkan rekomendasi untuk Kebijakan IAM tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:
gcloud recommender recommendations list --recommender=google.iam.policy.ChangeRiskRecommender --project=PROJECT_ID --location=global --format=yaml
Ganti kode berikut:
PROJECT_ID
: Project ID.
Insight:
Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:
gcloud recommender insights list --insight-type=google.iam.policy.ChangeRiskInsight --project=PROJECT_ID --location=global --format=yaml
Ganti string berikut:
* PROJECT_ID
: Project ID.
API
Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl
untuk mengirim permintaan ke API pemberi rekomendasi.
Rekomendasi:
Guna mencantumkan rekomendasi untuk Kebijakan IAM tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/\recommenders/google.iam.policy.ChangeRiskRecommender/recommendations"
Ganti kode berikut:
PROJECT_ID
: Project ID.
Insight:
Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:
curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.policy.ChangeRiskInsight/insights"
Ganti string berikut:
* PROJECT_ID
: Project ID.
* BILLING_PROJECT_ID
: Project ID penagihan.
Penghapusan berisiko dengan gcloud CLI
Saat menghapus resource melalui gcloud CLI, Anda dapat menggunakan flag tersembunyi opsional --recommend=yes
di jalur ALPHA untuk mengganggu perubahan yang berisiko. Contoh perubahan berisiko yang didukung dengan rekomendasi ditunjukkan di bawah ini. Jika tidak ada penilaian risiko yang ditampilkan, perubahan dianggap tidak berisiko.
Penghapusan project
Perintah berikut akan menghapus project:
gcloud alpha projects delete PROJECT_ID --recommend=yes
Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:
Shutting down this project will immediately:
- Stop all traffic and billing.
- Start deleting resources.
- Schedule the final deletion of the project after 30 days.
- Block your access to the project.
- Notify the owner of the project.
Learn more about the shutdown process at
https://cloud.google.com/resource-manager/docs/creating-managing-projects#shutting_down_projects
WARNING: If you shut down this project you risk losing data or interrupting your services. In the last 30 days we observed this project had:
- It had significant usage, including 9942 API calls.
- It contains at least 1 highly utilized service account.
- It included at least 211 resources.
We recommend verifying this is the correct project to shut down.
View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000
Do you want to continue (Y/n)? n
Penghapusan akun layanan
Perintah berikut akan menghapus Akun Layanan:
gcloud alpha iam service-accounts delete example@PROJECT_ID .iam.gserviceaccount.com --recommend=yes
Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:
You are about to delete service account [example@PROJECT_ID .iam.gserviceaccount.com]
Deleting this service account (SA) will delete all associated key IDs, and will prevent the account from authenticating to any Google Cloud service API.
You cannot restore or roll back this change easily. We highly recommend disabling the account first, testing for any unexpected impact, and only then deleting.
WARNING: If you delete this SA you risk interrupting your service, as we observed it was substantially used in the last 90 days.
We recommend verifying this is the correct account to delete.
View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000
Do you want to continue (Y/n)? n
Jika Anda melihat error berikut:
ERROR: (gcloud.alpha.iam.service-accounts.delete) NOT_FOUND: Method not found.
- '@type': type.googleapis.com/google.rpc.DebugInfo
detail: 'Method ListInsights not found for service recommender.googleapis.com. Method not visible to labels: {PUBLIC}'
Pastikan konfigurasi project disetel ke project yang diizinkan untuk menggunakan Alpha Recommender API dengan perintah berikut:
gcloud config set project PROJECT_ID
Penghapusan binding kebijakan IAM project
Perintah berikut menghapus Project IAM Policy Binding:
gcloud alpha projects remove-iam-policy-binding PROJECT_ID --member=YOUR_EMAIL@DOMAIN.COM --role=roles/owner --recommend=yes
Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:
You are about to delete the role [roles/owner].
WARNING: If you remove the role [roles/owner], there is a high risk that you might cause interruptions because it was used in the last 90 days.
We recommend you verify the details and replace them with less privileged roles, if necessary.
View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.policy.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000
Do you want to continue (Y/n)? n
Masukan dan dukungan
Kirim email ke active-assist-feedback@google.com jika ada masalah teknis, pertanyaan, atau masukan.