Si cambias la configuración del recomendador de gestión de identidades y accesos, puedes personalizar cómo se generan las recomendaciones de roles. En esta página se explica cómo editar la configuración para cambiar la rapidez con la que se generan las recomendaciones de tu proyecto.
Aunque el recomendador de gestión de identidades y accesos genera recomendaciones de roles para varios recursos, solo puedes editar cómo se generan las recomendaciones de roles para proyectos.
Antes de empezar
-
Enable the Recommender API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. - Consulta cómo genera recomendaciones de roles el recomendador de gestión de identidades y accesos.
- Instala Google Cloud CLI.
Roles obligatorios
Para obtener los permisos que necesitas para configurar las recomendaciones de roles de gestión de identidades y accesos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto cuyo recomendador de gestión de identidades y accesos quieras configurar:
- Para ver los detalles de la configuración, haz lo siguiente: Lector de Recomendador de IAM (roles/recommender.iamViewer)
- Modifica tu configuración: Administrador del recomendador de gestión de identidades y accesos (roles/recommender.iamAdmin)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para configurar las recomendaciones de roles de gestión de identidades y accesos. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para configurar las recomendaciones de roles de gestión de identidades y accesos, se necesitan los siguientes permisos:
-
Para ver los detalles de la configuración, sigue estos pasos:
recommender.iamPolicyRecommenderConfig.get -
Modifica tu configuración:
recommender.iamPolicyRecommenderConfig.update
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Ver la configuración actual
Consulta tu configuración actual para ver cuántos días espera el recomendador de gestión de identidades y accesos antes de generar recomendaciones de roles.
Puedes ver la configuración con la CLI de gcloud o la API REST.
gcloud
Para obtener la configuración del recomendador de gestión de identidades y accesos de un proyecto, usa el comando
gcloud beta recommender recommender-config describe.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, comomy-project.
Ejecuta el comando gcloud beta recommender recommender-config describe:
Linux, macOS o Cloud Shell
gcloud beta recommender recommender-config describe \ google.iam.policy.Recommender \ --project="PROJECT_ID" \ --location="global"
Windows (PowerShell)
gcloud beta recommender recommender-config describe ` google.iam.policy.Recommender ` --project="PROJECT_ID" ` --location="global"
Windows (cmd.exe)
gcloud beta recommender recommender-config describe ^ google.iam.policy.Recommender ^ --project="PROJECT_ID" ^ --location="global"
La respuesta contiene la configuración del recomendador de IAM del proyecto. Por ejemplo, podría tener este aspecto:
etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
params:
minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'
REST
Para obtener la configuración del recomendador de gestión de identidades y accesos de un proyecto, usa el método projects.locations.recommenders.getConfig
de la API Recommender.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
PROJECT_NUMBER: el ID numérico de tu proyecto de Google Cloud .PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, comomy-project.
Método HTTP y URL:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
Para enviar tu solicitud, despliega una de estas opciones:
La respuesta contiene la configuración del recomendador de IAM del proyecto. Por ejemplo, podría tener este aspecto:
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
"recommenderGenerationConfig": {
"params": {
"minimum_observation_period": "P90D"
}
},
"etag": "\"d3e779ee3f34f276\"",
"updateTime": "2022-10-02T22:57:33Z",
"revisionId": "DEFAULT"
}
Entender los detalles de configuración
El contenido de una configuración depende del recomendador al que corresponda. Las configuraciones de las recomendaciones de IAM tienen los siguientes componentes, no necesariamente en este orden:
name: identificador de la configuración, con el formatoprojects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.recommenderGenerationConfig: los parámetros que usa el recomendador de gestión de identidades y accesos al generar recomendaciones. Este campo contiene los siguientes parámetros:minimum_observation_period: número de días de datos de uso de permisos que necesita el recomendador de gestión de identidades y accesos para empezar a generar recomendaciones de roles.
etag: identificador del estado actual de una configuración. Se usa para evitar actualizaciones simultáneas. Cada vez que cambia la configuración, se asigna un nuevo valor de ETag.updateTime: marca de tiempo de la última vez que se actualizó la configuración, en formato UTC (RFC 3339).revisionId: solo salida. Identificador de la revisión actual de la configuración. Este valor se actualiza cada vez que se edita la configuración.
Editar la configuración
Edita la configuración para cambiar la rapidez con la que se generan las recomendaciones de tu proyecto.
gcloud
Para editar la configuración de un recomendador de gestión de identidades y accesos de un proyecto, usa el comando
gcloud beta recommender recommender-config update.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
OBSERVATION_PERIOD: el periodo de observación mínimo que quieras definir. Usa uno de los siguientes valores:P30D(30 días),P60D(60 días) oP90D(90 días). -
ETAG: el etag actual de la configuración, que puedes encontrar obteniendo la configuración actual y copiando el valor del campoetagde la respuesta. PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, comomy-project.
Guarda el siguiente contenido en un archivo llamado request.json:
{ "params": { "minimum_observation_period": "OBSERVATION_PERIOD" } }
Ejecuta el comando gcloud beta recommender recommender-config update:
Linux, macOS o Cloud Shell
gcloud beta recommender recommender-config update \ google.iam.policy.Recommender \ --etag="ETAG" \ --project="PROJECT_ID" \ --location="global" \ --config-file="request.json"
Windows (PowerShell)
gcloud beta recommender recommender-config update ` google.iam.policy.Recommender ` --etag="ETAG" ` --project="PROJECT_ID" ` --location="global" ` --config-file="request.json"
Windows (cmd.exe)
gcloud beta recommender recommender-config update ^ google.iam.policy.Recommender ^ --etag="ETAG" ^ --project="PROJECT_ID" ^ --location="global" ^ --config-file="request.json"
La respuesta contiene la configuración actualizada. Por ejemplo, podría tener este aspecto:
etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
params:
minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'
REST
Para editar la configuración de un recomendador de gestión de identidades y accesos de un proyecto, usa el método projects.locations.recommenders.updateConfig
de la API Recommender.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
PROJECT_NUMBER: el ID numérico de tu proyecto de Google Cloud .-
OBSERVATION_PERIOD: el periodo de observación mínimo que quieras definir. Usa uno de los siguientes valores:P30D(30 días),P60D(60 días) oP90D(90 días). -
ETAG: el etag actual de la configuración, que puedes encontrar obteniendo la configuración actual y copiando el valor del campoetagde la respuesta. Usa barras invertidas para escapar las comillas. Por ejemplo:"\"df7308cca9719dcc\"". PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, comomy-project.
Método HTTP y URL:
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config
Cuerpo JSON de la solicitud:
{
"name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
"recommenderGenerationConfig": {
"params": {
"minimum_observation_period": "OBSERVATION_PERIOD"
}
},
"etag": "ETAG"
}
Para enviar tu solicitud, despliega una de estas opciones:
La respuesta contiene la configuración actualizada. Por ejemplo, podría tener este aspecto:
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
"recommenderGenerationConfig": {
"params": {
"minimum_observation_period": "P60D"
}
},
"etag": "\"2549af0942332910\"",
"updateTime": "2022-10-05T21:26:52.127512Z",
"revisionId": "b5fc0053"
}
Siguientes pasos
- Revisa y aplica las recomendaciones de roles para proyectos, carpetas y organizaciones.
- Revisar y aplicar las recomendaciones de roles para los segmentos de Cloud Storage
- Consulta más información sobre Recommender.