采纳建议

Advisory Notifications 提供 IAM 政策建议，以确保贵组织中的相关人员有权在 Google Cloud 控制台中查看重要的安全通知和隐私通知。这些建议是通过分析您的重要联系人配置和 IAM 政策自动生成的。请按照这些建议操作，确保安全管理员能够接收并快速处理安全通知。

“建议性通知”建议的运作方式

Advisory Notifications 建议会监控您的重要联系人和 IAM 政策配置，并根据前一天的数据提供建议。

建议包括：

• 如果没有任何用户有权查看通知，Advisory Notifications 建议向组织内的相关方授予访问权限。

• 如果某主账号被列为安全重要联系人，但无权在Google Cloud 控制台中查看 Advisory Notifications，则 Advisory Notifications 会建议授予该主账号相应权限。Advisory Notifications 建议不会考虑自定义角色。如果您是通过自定义角色向主账号授予“Advisory Notifications 权限，请忽略或关闭该建议。

查看 Advisory Notifications 建议

通过 Google Cloud CLI、API 或 BigQuery Export 功能，Recommender 可提供 Advisory Notifications、数据分析和建议。

准备工作

您必须先执行以下操作，然后才能查看数据分析和建议：

• 您必须启用 Recommender API。 您只需在单个结算项目上启用该 API。然后，您可以在 gcloud 命令和 API 请求中指定此结算项目，以便使用此结算项目查看其他项目、整个组织或结算账号的建议和数据分析。
• 确保您拥有所需的权限

查看建议

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

根据 Advisory Notifications 建议采取行动

以下部分针对如何根据特定 Advisory Notifications 建议采取行动提供了有针对性的建议。每个部分都对应一个 Advisory Notifications Recommender 子类型。下表列出了推荐器子类型的各个部分。

• SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS
• NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS

授予对 Advisory Notifications 的访问权限

本部分将帮助您根据 SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS Recommender 子类型提供的建议采取行动。

您之所以收到此建议，是因为“安全”和“所有”类别中的某些重要联系人无权查看 Advisory Notifications。 这意味着，这些联系人会收到电子邮件通知，但无法在 Google Cloud 控制台中查看通知。

我们建议您向每个重要联系人授予“Advisory Notifications 的访问权限，而不是通过父群组或网域授予访问权限。 向每位重要联系人授予访问权限可降低未来意外撤消访问权限的可能性。此外，您还可以使用具有自记录功能的 Advisory Notifications Viewer 角色来阐明绑定存在的原因。

如需应用此建议，请执行以下操作：

1. 在重要联系人配置中查找所有组织级安全重要联系人。这些是“安全”和“所有”类别中的联系人。

   进入“重要联系人”

2. 在 Identity and Access Management 管理员页面中，为每位联系人授予查看 Advisory Notifications 的权限，方法是为其分配 Advisory Notifications Viewer (roles/advisorynotifications.viewer) 角色。如果您想了解查看 Advisory Notifications 所需的具体权限，请参阅查看 Advisory Notifications。

   转到 IAM

配置 Advisory Notifications Viewer

本部分将帮助您根据 NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS Recommender 子类型提供的建议采取行动。

您之所以会收到此建议，是因为我们无法确定贵组织中有哪些主账号拥有“Advisory Notifications”的访问权限。

我们建议您配置重要联系人和 Advisory Notifications，以便及时接收重要的安全和隐私权通知。

如需应用此建议，请执行以下操作：

1. 在“重要联系人”页面中配置组织级安全重要联系人。

   进入“重要联系人”

2. 在 Identity and Access Management 管理页面中，为每位联系人分配 Advisory Notifications Viewer 角色 (roles/advisorynotifications.viewer)，以授予他们查看 Advisory Notifications 的权限。如果您想了解查看 Advisory Notifications 所需的具体权限，请参阅查看 Advisory Notifications。

   转到 IAM

如果您不想使用重要联系人，我们仍建议您向组织内的相关方（例如安全管理员）授予 Advisory Notifications 的查看权限。授予 Advisory Notifications 的查看权限而不配置重要联系人，并不能保证相关方收到 Advisory Notifications 的电子邮件通知。

价格

如需了解价格信息，请参阅 Recommender 价格。

后续步骤

• 详细了解咨询通知。
• 详细了解 Recommender 及其 API。