Auf dieser Seite wird gezeigt, wie Sie Richtlinienstatistiken verwalten. Dies sind ML-basierte Ergebnisse zur Berechtigungsnutzung. Anhand von Richtlinienstatistiken können Sie ermitteln, welche Hauptkonten Berechtigungen haben, die sie nicht benötigen.
Auf dieser Seite geht es um Richtlinienstatistiken für Projekte, Ordner und Organisationen. Der Recommender bietet außerdem Richtlinieninformationen für die folgenden Ressourcentypen:
Richtlinienstatistiken sind manchmal mit Rollenempfehlungen verknüpft. Rollenempfehlungen enthalten Vorschläge für Maßnahmen, mit denen Sie die durch Richtlinieninformationen erkannten Probleme beheben können.
Hinweise
-
Enable the Recommender API.
- Machen Sie sich mit den IAM-Rollenempfehlungen vertraut.
- Die Premium-Stufe von Security Command Center muss auf Organisationsebene aktiviert sein. Weitere Informationen finden Sie unter Fragen zur Abrechnung.
- (Optional) Informieren Sie sich über Recommender-Statistiken.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt, den Ordner oder die Organisation zuzuweisen, für das bzw. die Sie Statistiken verwalten möchten, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Richtlinienstatistiken benötigen:
-
Zum Aufrufen von Richtlinienstatistiken:
IAM Recommender-Betrachter (
roles/recommender.iamViewer
) -
Zum Ändern von Richtlinienstatistiken:
IAM Recommender-Administrator (
roles/recommender.iamAdmin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Richtlinienstatistiken erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Richtlinienstatistiken zu verwalten:
-
Zum Aufrufen von Richtlinienstatistiken:
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
-
Zum Ändern von Richtlinienstatistiken:
recommender.iamPolicyInsights.update
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Richtlinienstatistiken auflisten
Verwenden Sie eine der folgenden Methoden, um alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten:Console
-
Öffnen Sie in der Google Cloud Console die Seite IAM.
- Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
In der Spalte Sicherheitsstatistiken werden alle sicherheitsrelevanten Informationen für Ihr Projekt angezeigt, einschließlich der Richtlinienstatistiken. Richtlinienstatistiken haben das Format EXCESS/TOTAL excess
permissions
, wobei EXCESS
die Anzahl der Berechtigungen in der Rolle ist, die das Hauptkonto nicht benötigt, und TOTAL
die Gesamtzahl der Berechtigungen in der Rolle ist.
gcloud
Verwenden Sie den Befehl gcloud recommender
insights list
, um alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzurufen.
Ersetzen Sie vor dem Ausführen des Befehls die folgenden Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Informationen auflisten möchten. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global
Die Ausgabe listet alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf. Beispiel:
INSIGHT_ID CATEGORY INSIGHT_STATE LAST_REFRESH_TIME SEVERITY INSIGHT_SUBTYPE DESCRIPTION 00133c0b-5431-4b30-9172-7c903aa4af24 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE 9 of the permissions in this role binding were used in the past 90 days. 0161f2eb-acb7-4a5e-ad52-50284beaa312 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE 0 of the permissions in this role binding were used in the past 90 days. 01ea0d0d-e9a1-4073-9367-5a934a857fb4 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE 1 of the permissions in this role binding were used in the past 90 days. 039407bc-a25b-4aeb-b573-5c851f2e9833 SECURITY ACTIVE 2022-05-24T07:00:00Z HIGH PERMISSIONS_USAGE 52 of the permissions in this role binding were used in the past 90 days. 0541df88-8bc3-44b3-ad5d-9cb372630aeb SECURITY ACTIVE 2022-05-24T07:00:00Z HIGH PERMISSIONS_USAGE 31 of the permissions in this role binding were used in the past 90 days. 07841f74-02ce-4de8-bbe6-fc4eabb68568 SECURITY ACTIVE 2022-05-24T07:00:00Z HIGH PERMISSIONS_USAGE 0 of the permissions in this role binding were used in the past 90 days. 07713094-fdee-4475-9c43-cd53d52c9de1 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE 2 of the permissions in this role binding were used in the past 90 days. 0a438d19-9d63-4749-aadd-578aa4e77908 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE 0 of the permissions in this role binding were used in the past 90 days. f4292f55-105b-4744-9dc3-fcacf59685bb SECURITY ACTIVE 2022-05-24T07:00:00Z HIGH PERMISSIONS_USAGE 4 of the permissions in this role binding were used in the past 90 days.
REST
Die Methode insights.list
der Recommender API listet alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Statistiken auflisten möchten. Verwenden Sie den Wertprojects
,folders
oderorganizations
. -
RESOURCE_ID
: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten. PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
In der Antwort werden alle Richtlinienstatistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufgelistet. Beispiel:
{ "insights": [ { "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568", "description": "0 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/viewer", "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [], "inferredPermissions": [] }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7776000s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656" } ], "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ], "insightSubtype": "PERMISSIONS_USAGE", "etag": "\"b153ab487e4ae100\"", "severity": "HIGH" }, { "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/f4292f55-105b-4744-9dc3-fcacf59685bb", "description": "4 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/owner", "member": "serviceAccount:my-service-account2@my-project.iam.gserviceaccount.com", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "iam.roles.create" }, { "permission": "iam.roles.delete" }, { "permission": "iam.roles.list" }, { "permission": "iam.roles.update" } ], "inferredPermissions": [] }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7776000s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/6ab16c1d-edce-45e5-8d82-570fdd49892a" } ], "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ], "insightSubtype": "PERMISSIONS_USAGE", "etag": "\"49bb705553338fc3\"", "severity": "HIGH" } ] }
Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.
Einzelne Richtlinienstatistik abrufen
Wenn Sie weitere Informationen zu einer einzelnen Statistik abrufen möchten, einschließlich der Beschreibung, des Status und aller mit ihr verknüpften Empfehlungen, verwenden Sie eine der folgenden Methoden:
Console
-
Öffnen Sie in der Google Cloud Console die Seite IAM.
- Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
-
Klicken Sie in der Spalte Sicherheitsstatistiken auf eine Richtlinienstatistik. Richtlinienstatistiken haben das Format
EXCESS/TOTAL excess permissions
, wobeiEXCESS
die Anzahl der Berechtigungen in der Rolle ist, die das Hauptkonto nicht benötigt, undTOTAL
die Gesamtzahl der Berechtigungen in der Rolle ist.
In der Google Cloud Console wird ein Feld mit den Details der Statistik geöffnet.
gcloud
Verwenden Sie den Befehl gcloud recommender
insights describe
mit Ihrer Statistik-ID, um Informationen zu einer einzelnen Statistik aufzurufen.
-
INSIGHT_ID
: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf. -
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
gcloud recommender insights describe INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global
In der Ausgabe sehen Sie die Statistik im Detail. Die folgende Statistik zeigt beispielsweise, dass my-service-account@my-project.iam.gserviceaccount.com
innerhalb der letzten 90 Tage keine Berechtigungen der Rolle „Betrachter“ (roles/viewer
) verwendet hat:
associatedRecommendations: - recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f category: SECURITY content: condition: description: '' expression: '' location: '' title: '' exercisedPermissions: [] inferredPermissions: [] member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com role: roles/viewer description: 0 of the permissions in this role binding were used in the past 90 days. etag: '"d3cdec23cc712bd0"' insightSubtype: PERMISSIONS_USAGE lastRefreshTime: '2020-07-11T07:00:00Z' name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040 observationPeriod: 7776000s severity: HIGH stateInfo: state: ACTIVE targetResources: - //cloudresourcemanager.googleapis.com/projects/123456789012
Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.
REST
Die Methode insights.get
der Recommender API ruft eine einzelne Statistik ab.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wertprojects
,folders
, oderorganizations
. -
RESOURCE_ID
: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten. -
INSIGHT_ID
: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die Statistik-ID nicht kennen, können Sie sie in Ihrem Projekt, Ordner oder Ihrer Organisation finden, indem Sie die Statistiken auflisten. Die ID einer Statistik entspricht allen Angaben nachinsights/
imname
-Feld der Statistik. PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Statistik. Die folgende Statistik zeigt beispielsweise, dass my-service-account@my-project.iam.gserviceaccount.com
innerhalb der letzten 90 Tage keine Berechtigungen der Rolle „Betrachter“ (roles/viewer
) verwendet hat:
{ "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568", "description": "0 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/viewer", "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [], "inferredPermissions": [] }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7776000s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656" } ], "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ], "insightSubtype": "PERMISSIONS_USAGE", "etag": "\"d3cdec23cc712bd0\"", "severity": "HIGH" }
Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.
Richtlinienstatistiken prüfen
Nachdem Sie eine einzelne Statistik erhalten haben, können Sie deren Inhalt prüfen, um das durch sie hervorgehobene Muster der Ressourcennutzung zu verstehen.
Console
Wenn Sie in der Google Cloud Console auf eine Richtlinienstatistik klicken, wird in der Google Cloud Console ein Feld mit den Details der Statistik geöffnet. Die Darstellung dieser Details hängt davon ab, ob die Statistik mit einer Empfehlung verknüpft ist.
Wenn die Statistik mit einer Empfehlung verknüpft ist, werden in dem Bereich die Details der Empfehlung angezeigt.
Wenn die Statistik nicht mit einer Empfehlung verknüpft ist, wird im Bereich eine Liste aller Berechtigungen in der Rolle angezeigt. Die vom Hauptkonto verwendeten Berechtigungen werden ganz oben in der Liste angezeigt, gefolgt von den nicht erforderlichen Berechtigungen.
gcloud
Der Inhalt einer Statistik wird durch die Untertypen bestimmt.
Richtlinienstatistiken (google.iam.policy.Insight
) haben den Untertyp PERMISSIONS_USAGE
.
PERMISSIONS_USAGE
-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:
-
associatedRecommendations
: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer. category
: Die Kategorie für IAM-Statistiken ist immerSECURITY
.-
content
: Gibt die Nutzung von Berechtigungen für eine bestimmte Rolle durch ein Hauptkonto an. Dieses Feld enthält die folgenden Komponenten:condition
: Alle Bedingungen, die mit einer Bindung verknüpft sind, durch die dem Hauptkonto die Rolle zugewiesen wird. Wenn keine Bedingungen vorhanden sind, enthält dieses Feld eine leere Bedingung.exercisedPermissions
: Die Berechtigungen der Rolle, die das Hauptkonto während des Beobachtungszeitraums verwendet hat.inferredPermissions
: Die Berechtigungen der Rolle, die das Hauptkonto gemäß der ML-basierten Analyse durch den IAM Recommender und basierend auf den vom Hauptkonto verwendeten Berechtigungen wahrscheinlich benötigt.member
: Das Hauptkonto, dessen Nutzung von Berechtigungen analysiert wurde.role
: Die Rolle, für die die Nutzung von Berechtigungen analysiert wurde.
-
description
: Eine menschenlesbare Zusammenfassung der Statistik. -
etag
: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neueretag
-Wert zugewiesen.Zum Ändern des Status einer Statistik müssen Sie das
etag
der vorhandenen Statistik angeben. Durch die Verwendung vonetag
wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde. -
insightSubtype
: Der Statistikuntertyp. -
lastRefreshTime
: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden. -
name
: Der Name der Statistik im folgenden Format:RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Die Platzhalter haben folgende Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, für den der Insight generiert wurde. -
RESOURCE_ID
: Die ID des Projekts, des Ordners oder der Organisation, in der die Statistik generiert wurde. INSIGHT_ID
: Eine eindeutige ID für die Statistik.
-
-
observationPeriod
: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt vonlastRefreshTime
und beginnen beilastRefreshTime
minusobservationPeriod
. -
stateInfo
: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:-
ACTIVE
: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern. -
ACCEPTED
: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung alsCLAIMED
,SUCCEEDED
oderFAILED
gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den StatusACCEPTED
hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
-
-
targetResources
: Der vollständige Ressourcenname des Projekts, des Ordners oder der Organisation, für die die Statistik bestimmt ist. Beispiel://cloudresourcemanager.googleapis.com/projects/123456789012
REST
Der Inhalt einer Statistik wird durch die Untertypen bestimmt.
Richtlinienstatistiken (google.iam.policy.Insight
) haben den Untertyp PERMISSIONS_USAGE
.
PERMISSIONS_USAGE
-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:
-
associatedRecommendations
: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer. category
: Die Kategorie für IAM-Statistiken ist immerSECURITY
.-
content
: Gibt die Nutzung von Berechtigungen für eine bestimmte Rolle durch ein Hauptkonto an. Dieses Feld enthält die folgenden Komponenten:condition
: Alle Bedingungen, die mit einer Bindung verknüpft sind, durch die dem Hauptkonto die Rolle zugewiesen wird. Wenn keine Bedingungen vorhanden sind, enthält dieses Feld eine leere Bedingung.exercisedPermissions
: Die Berechtigungen der Rolle, die das Hauptkonto während des Beobachtungszeitraums verwendet hat.inferredPermissions
: Die Berechtigungen der Rolle, die das Hauptkonto gemäß der ML-basierten Analyse durch den IAM Recommender und basierend auf den vom Hauptkonto verwendeten Berechtigungen wahrscheinlich benötigt.member
: Das Hauptkonto, dessen Nutzung von Berechtigungen analysiert wurde.role
: Die Rolle, für die die Nutzung von Berechtigungen analysiert wurde.
-
description
: Eine menschenlesbare Zusammenfassung der Statistik. -
etag
: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neueretag
-Wert zugewiesen.Zum Ändern des Status einer Statistik müssen Sie das
etag
der vorhandenen Statistik angeben. Durch die Verwendung vonetag
wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde. -
insightSubtype
: Der Statistikuntertyp. -
lastRefreshTime
: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden. -
name
: Der Name der Statistik im folgenden Format:RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Die Platzhalter haben folgende Werte:
-
RESOURCE_TYPE
: Der Ressourcentyp, für den der Insight generiert wurde. -
RESOURCE_ID
: Die ID des Projekts, des Ordners oder der Organisation, in der die Statistik generiert wurde. INSIGHT_ID
: Eine eindeutige ID für die Statistik.
-
-
observationPeriod
: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt vonlastRefreshTime
und beginnen beilastRefreshTime
minusobservationPeriod
. -
stateInfo
: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:-
ACTIVE
: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern. -
ACCEPTED
: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung alsCLAIMED
,SUCCEEDED
oderFAILED
gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den StatusACCEPTED
hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
-
-
targetResources
: Der vollständige Ressourcenname des Projekts, des Ordners oder der Organisation, für die die Statistik bestimmt ist. Beispiel://cloudresourcemanager.googleapis.com/projects/123456789012
Richtlinienstatistiken als ACCEPTED
markieren
Wenn Sie eine Aktion gemäß einer aktiven Statistik durchführen, können Sie diese Statistik als ACCEPTED
markieren. Durch den Status ACCEPTED
wird der Recommender API mitgeteilt, dass Sie gemäß dieser Statistik Aktionen durchgeführt haben, wodurch sich die Empfehlungen optimieren lassen.
Akzeptierte Statistiken werden 90 Tage lang aufbewahrt, nachdem sie als ACCEPTED
markiert wurden.
Console
Wenn eine Statistik mit einer Empfehlung verknüpft ist, wird durch Anwenden der Empfehlung der Status der Statistik in ACCEPTED
geändert.
Wenn Sie eine Statistik als ACCEPTED
markieren möchten, ohne eine Empfehlung anzuwenden, verwenden Sie die gcloud CLI oder die REST API.
gcloud
Verwenden Sie den Befehl
gcloud recommender insights mark-accepted
mit Ihrer Statistik-ID, um eine Statistik als ACCEPTED
zu markieren.
-
INSIGHT_ID
: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf. -
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wertproject
,folder
oderorganization
. -
RESOURCE_ID
: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten. -
ETAG
: Eine Kennung für eine Version der Statistik. So rufen Sie dasetag
ab:-
Rufen Sie die Statistik mit dem Befehl
gcloud recommender insights describe
ab. -
Suchen Sie in der Ausgabe den
etag
-Wert und kopieren Sie ihn einschließlich der Anführungszeichen. Beispiel:"d3cdec23cc712bd0"
.
-
Rufen Sie die Statistik mit dem Befehl
gcloud recommender insights mark-accepted INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --RESOURCE_TYPE=RESOURCE_ID \ --location=global \ --etag=ETAG
Die Ausgabe enthält jetzt die Statistik mit dem Status ACCEPTED
:
associatedRecommendations: - recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f category: SECURITY content: condition: description: '' expression: '' location: '' title: '' exercisedPermissions: [] inferredPermissions: [] member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com role: roles/viewer description: 0 of the permissions in this role binding were used in the past 90 days. etag: '"b153ab487e4ae100"' insightSubtype: PERMISSIONS_USAGE lastRefreshTime: '2020-07-11T07:00:00Z' name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040 observationPeriod: 7776000s severity: HIGH stateInfo: state: ACCEPTED targetResources: - //cloudresourcemanager.googleapis.com/projects/123456789012
Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.
REST
Die Methode insights.markAccepted
der Recommender API markiert eine Statistik als ACCEPTED
.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE
: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wertprojects
,folders
, oderorganizations
. -
RESOURCE_ID
: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten. -
INSIGHT_ID
: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die Statistik-ID nicht kennen, können Sie sie in Ihrem Projekt, Ordner oder Ihrer Organisation finden, indem Sie die Statistiken auflisten. Die ID einer Statistik entspricht allen Angaben nachinsights/
imname
-Feld der Statistik. -
ETAG
: Eine Kennung für eine Version der Statistik. So rufen Sie dasetag
ab:- Rufen Sie die Statistik mit der Methode
insights.get
ab. - Suchen und kopieren Sie den
etag
-Wert aus der Antwort.
- Rufen Sie die Statistik mit der Methode
PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.
HTTP-Methode und URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted
JSON-Text anfordern:
{ "etag": "ETAG" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält jetzt die Statistik mit dem Status ACCEPTED
:
{ "name": "projects/1234567890/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568", "description": "0 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/viewer", "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [], "inferredPermissions": [] }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7776000s", "stateInfo": { "state": "ACCEPTED" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/1234567890/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656" } ], "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ], "insightSubtype": "PERMISSIONS_USAGE", "etag": "\"b153ab487e4ae100\"", "severity": "HIGH" }
Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Richtlinienstatistiken prüfen.
Nächste Schritte
- Hier erfahren Sie mehr zum Aufrufen und Anwenden von Empfehlungen.
- Im Empfehlungs-Hub können Sie alle Empfehlungen für Ihr Projekt, einschließlich IAM-Empfehlungen, aufrufen und verwalten.