Mengubah rekomendasi risiko

Rekomendasi risiko perubahan membantu Anda mengurangi risiko kesalahan konfigurasi infrastruktur cloud dengan menandai secara cerdas perubahan berisiko umum pada resource terpenting Anda serta memberikan rekomendasi untuk mencegah dan memitigasi masalah.

Pengantar

Kesalahan konfigurasi adalah penyebab umum insiden cloud. Mereka dapat terjadi karena kesalahan manusia atau perubahan beban kerja yang tidak terduga, dan dapat menyebabkan berbagai masalah, termasuk masalah performa, masalah keandalan, dan bahkan pemadaman layanan. Banyak kesalahan konfigurasi tidak terlihat pada awalnya, sehingga sulit untuk dilacak dan diatasi.

Rekomendasi risiko perubahan adalah kelompok baru rekomendasi dan insight Active Assist dalam layanan Pemberi Rekomendasi. Rekomendasi risiko perubahan otomatis menandai perubahan berisiko pada resource cloud yang diidentifikasi sebagai important berdasarkan penggunaan dan sinyal lainnya, untuk membantu mencegah, mendeteksi, dan memitigasi masalah (misalnya, pemadaman layanan) yang disebabkan oleh kesalahan konfigurasi resource cloud penting tersebut. Misalnya, jika Anda mencoba menghapus project yang sering digunakan, atau mengubah kebijakan IAM yang dapat menjadi dependensi penting berdasarkan aktivitas penggunaan terbaru, rekomendasi perubahan risiko dapat membantu mencegah masalah yang tidak diinginkan dengan secara proaktif memperingatkan Anda tentang risiko terkait perubahan tertentu.

Mengubah cakupan rekomendasi risiko

Rekomendasi risiko perubahan saat ini hanya didukung untuk resource dan tindakan yang tercantum dalam tabel di bawah.

Resource Tindakan Platform Kriteria yang digunakan untuk menentukan tingkat kepentingan resource
Project Penghapusan
  • Konsol Google Cloud
  • gcloud CLI
  • API Pemberi Rekomendasi
  • Penggunaan project (panggilan API, traffic jaringan, dan penggunaan layanan Google Cloud)
  • Penagihan
  • Penggunaan dalam 30 hari terakhir
Service account Penghapusan
  • Konsol Google Cloud
  • gcloud CLI
  • API Pemberi Rekomendasi
  • Jumlah autentikasi
  • Penggunaan dalam 90 hari terakhir
Kebijakan IAM Ubah
  • Konsol Google Cloud
  • gcloud CLI
  • API Pemberi Rekomendasi
  • Jumlah izin yang diterapkan
  • Penggunaan dalam 90 hari terakhir
  • Termasuk dalam proyek penting

Sebelum memulai

Sebelum mulai menggunakan fitur ini, Anda harus menyiapkan layanan terlebih dahulu:

  1. Aktifkan Recommender API pada satu project penagihan. Anda kemudian dapat menggunakan project penagihan yang sama ini untuk mengambil rekomendasi dan insight untuk project lain, seluruh organisasi, atau akun penagihan menggunakan fungsi project penagihan gcloud/API.
  2. Berikan izin pada pengguna atau akun layanan yang akan Anda gunakan untuk mengakses fitur ini.

Izin

Agar dapat melihat rekomendasi untuk rekomendasi risiko Perubahan, Anda harus memiliki izin khusus untuk resource tertentu.

  • Project

    • recommender.resourcemanagerProjectChangeRiskRecommendations.get
    • recommender.resourcemanagerProjectChangeRiskRecommendations.list
    • recommender.resourcemanagerProjectChangeRiskInsights.get
    • recommender.resourcemanagerProjectChangeRiskInsights.list
  • Akun Layanan

    • recommender.iamServiceAccountChangeRiskRecommendations.get
    • recommender.iamServiceAccountChangeRiskRecommendations.list
    • recommender.iamServiceAccountChangeRiskInsights.get
    • recommender.iamServiceAccountChangeRiskInsights.list
  • Kebijakan IAM

    • recommender.iamPolicyChangeRiskRecommendations.get
    • recommender.iamPolicyChangeRiskRecommendations.list
    • recommender.iamPolicyChangeRiskInsights.get
    • recommender.iamPolicyChangeRiskInsights.list

Anda juga dapat memberikan peran roles/recommender.viewer untuk mencakup izin ini.

Memahami respons untuk insight/pemberi rekomendasi risiko perubahan

Tabel berikut memberikan deskripsi kolom yang ditampilkan dalam objek rekomendasi dan insight:

Rekomendasi

Nama kolom Jenis Deskripsi
associatedInsights string Analisis yang terkait dengan rekomendasi ini. projects/[project_number]/locations/global/ insightTypes/google.resourcemanager.project. ChangeRiskInsight/insights/[fingerprint]
asset object Berisi nama aset dan jenis aset dari resource terkait.
etag string Sidik jari RecommenderConfig. Menyediakan penguncian optimis saat mengupdate.
updateTime string Stempel waktu terakhir kali rekomendasi diperbarui. Stempel waktu dalam format RFC 3339 UTC Zulu, akurat hingga nanodetik. Contoh: 2022-01-10T22:47:38.421626Z.

Insight

Nama kolom Jenis Deskripsi
associatedRecommendations string Rekomendasi yang terkait dengan rekomendasi ini. projects/[project_number]/locations/global/ recommenders/google.resourcemanager.project. ChangeRiskRecommender/recommendations/ [recommendation_id]
constraint object Berisi batasan rekomendasi risiko perubahan yang tidak disarankan bagi pengguna. This project should not be deleted.
importance object Berisi daftar alasan mengapa kami menetapkan resource ini penting. Misalnya, tingkat penggunaan tinggi.
risk object Berisi detail penilaian risiko. Misalnya,nilai aktivitas penggunaan resource digunakan untuk menentukan tingkat kepentingan.
updateTime string Stempel waktu terakhir kali rekomendasi diperbarui. Stempel waktu dalam format RFC 3339 UTC Zulu, akurat hingga nanodetik. Contoh: 2022-01-10T22:47:38.421626Z.

Melihat rekomendasi risiko perubahan

Selain model penggunaan yang dibahas di atas, Anda dapat menggunakan pendekatan standar bagi layanan Pemberi rekomendasi untuk melihat insight dan rekomendasi risiko perubahan untuk Project, Akun layanan, atau Kebijakan IAM:

  • Konsol Google Cloud
  • API
  • gcloud

Konsol Google Cloud

Anda dapat melihat insight dan rekomendasi risiko perubahan di halaman produk itu sendiri. Rekomendasi akan otomatis aktif selama Anda memiliki izin yang tercantum di atas.

Active Assist memperingatkan Anda akan bahaya penghapusan resource penting, dan menunjukkan tindakan yang harus dilakukan saat peringatan tersebut muncul dalam situasi berikut:

gcloud dan API

Bagian berikut menampilkan perintah untuk meminta insight dan rekomendasi risiko perubahan melalui gcloud dan API untuk Project, Akun layanan, atau Kebijakan IAM.

Project

Insight dan rekomendasi dapat diakses melalui Konsol Google Cloud, gcloud, atau Recommender API untuk semua pelanggan.

gcloud

Untuk melihat rekomendasi dan insight menggunakan gcloud, ikuti langkah-langkah di bawah ini. Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.

Rekomendasi:

Guna mencantumkan rekomendasi untuk project tempat Anda telah mengaktifkan Recommender API, jalankan perintah berikut:

gcloud recommender recommendations list
--recommender=google.resourcemanager.project.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut:

  • PROJECT_ID : Project ID.
Insight:

Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:

gcloud recommender insights list
--insight-type=google.resourcemanager.project.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut:

  • PROJECT_ID : Project ID.

API

Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl untuk mengirim permintaan ke API pemberi rekomendasi.

Rekomendasi

Untuk mencantumkan rekomendasi project tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations"

Ganti kode berikut:

  • BILLING_PROJECT_ID : ID project penagihan.
Insight:

Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.resourcemanager.project.ChangeRiskInsight/insights"

Ganti kolom berikut: * BILLING_PROJECT_ID : Project ID penagihan.

Akun layanan

Insight dan rekomendasi terkait Akun Layanan dapat diakses melalui Google Cloud Console, gcloud, atau Recommender API untuk semua pelanggan.

gcloud

Untuk melihat rekomendasi dan insight menggunakan gcloud, ikuti langkah-langkah di bawah ini. Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.

Rekomendasi:

Untuk menampilkan daftar rekomendasi Akun Layanan tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

gcloud recommender recommendations list
--recommender=google.iam.serviceAccount.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut:

  • PROJECT_ID : Project ID.
Insight:

Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:

gcloud recommender insights list
--insight-type=google.iam.serviceAccount.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

Ganti string berikut: * PROJECT_ID : Project ID.

API

Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl untuk mengirim permintaan ke API pemberi rekomendasi.

Rekomendasi:

Untuk menampilkan daftar rekomendasi Akun Layanan tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations"

Ganti kode berikut:

  • PROJECT_ID : Project ID.
  • BILLING_PROJECT_ID : ID project penagihan.
Insight:

Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.serviceAccount.ChangeRiskInsight/insights"

Ganti string berikut: * PROJECT_ID : Project ID. * BILLING_PROJECT_ID : Project ID penagihan.

Kebijakan IAM

Insight dan rekomendasi terkait Kebijakan IAM dapat diakses melalui Konsol Google Cloud, gcloud, atau Recommender API untuk semua pelanggan.

gcloud

Untuk melihat rekomendasi dan insight menggunakan gcloud, ikuti langkah-langkah di bawah ini. Untuk informasi selengkapnya, lihat Menggunakan API - Insight dan Menggunakan API - Rekomendasi.

Rekomendasi:

Guna mencantumkan rekomendasi untuk Kebijakan IAM tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

gcloud recommender recommendations list --recommender=google.iam.policy.ChangeRiskRecommender --project=PROJECT_ID  --location=global --format=yaml

Ganti kode berikut:

  • PROJECT_ID : Project ID.
Insight:

Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:

gcloud recommender insights list --insight-type=google.iam.policy.ChangeRiskInsight --project=PROJECT_ID  --location=global --format=yaml

Ganti string berikut: * PROJECT_ID : Project ID.

API

Untuk melihat rekomendasi dan insight, Anda dapat menggunakan curl untuk mengirim permintaan ke API pemberi rekomendasi.

Rekomendasi:

Guna mencantumkan rekomendasi untuk Kebijakan IAM tempat Anda mengaktifkan Recommender API, jalankan perintah berikut:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/\recommenders/google.iam.policy.ChangeRiskRecommender/recommendations"

Ganti kode berikut:

  • PROJECT_ID : Project ID.
Insight:

Serangkaian perintah serupa dapat digunakan untuk mencantumkan insight:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.policy.ChangeRiskInsight/insights"

Ganti string berikut: * PROJECT_ID : Project ID. * BILLING_PROJECT_ID : Project ID penagihan.

Penghapusan berisiko dengan gcloud CLI

Saat menghapus resource melalui gcloud CLI, Anda dapat menggunakan flag tersembunyi opsional --recommend=yes di jalur ALPHA untuk mengganggu perubahan yang berisiko. Contoh perubahan berisiko yang didukung dengan rekomendasi ditunjukkan di bawah ini. Jika tidak ada penilaian risiko yang ditampilkan, perubahan dianggap tidak berisiko.

Penghapusan project

Perintah berikut akan menghapus project:

  gcloud alpha projects delete PROJECT_ID  --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  Shutting down this project will immediately:
    - Stop all traffic and billing.
    - Start deleting resources.
    - Schedule the final deletion of the project after 30 days.
    - Block your access to the project.
    - Notify the owner of the project.

  Learn more about the shutdown process at
  https://cloud.google.com/resource-manager/docs/creating-managing-projects#shutting_down_projects

  WARNING: If you shut down this project you risk losing data or interrupting your services. In the last 30 days we observed this project had:
    - It had significant usage, including 9942 API calls.
    - It contains at least 1 highly utilized service account.
    - It included at least 211 resources.

  We recommend verifying this is the correct project to shut down.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Penghapusan akun layanan

Perintah berikut akan menghapus Akun Layanan:

  gcloud alpha iam service-accounts delete example@PROJECT_ID .iam.gserviceaccount.com --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  You are about to delete service account [example@PROJECT_ID .iam.gserviceaccount.com]

  Deleting this service account (SA) will delete all associated key IDs, and will prevent the account from authenticating to any Google Cloud service API.

  You cannot restore or roll back this change easily. We highly recommend disabling the account first, testing for any unexpected impact, and only then deleting.

  WARNING: If you delete this SA you risk interrupting your service, as we observed it was substantially used in the last 90 days.

  We recommend verifying this is the correct account to delete.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Jika Anda melihat error berikut:

  ERROR: (gcloud.alpha.iam.service-accounts.delete) NOT_FOUND: Method not found.
  - '@type': type.googleapis.com/google.rpc.DebugInfo
    detail: 'Method ListInsights not found for service recommender.googleapis.com. Method not visible to labels: {PUBLIC}'

Pastikan konfigurasi project disetel ke project yang diizinkan untuk menggunakan Alpha Recommender API dengan perintah berikut:

  gcloud config set project PROJECT_ID

Penghapusan binding kebijakan IAM project

Perintah berikut menghapus Project IAM Policy Binding:

  gcloud alpha projects remove-iam-policy-binding PROJECT_ID  --member=YOUR_EMAIL@DOMAIN.COM  --role=roles/owner --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  You are about to delete the role [roles/owner].

  WARNING: If you remove the role [roles/owner], there is a high risk that you might cause interruptions because it was used in the last 90 days.

  We recommend you verify the details and replace them with less privileged roles, if necessary.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.policy.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Masukan dan dukungan

Kirim email ke active-assist-feedback@google.com jika ada masalah teknis, pertanyaan, atau masukan.