Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Der IAM-Rollen-Recommender verwendet aggregierte IAM-Zugriffsdaten, die bei der Nutzung von Diensten inGoogle Clouderfasst werden, um Empfehlungen zu geben. Diese Daten werden hauptsächlich für Compliance-Zwecke verwendet.
Auf dieser Seite wird erläutert, wie Sie diese Zugriffsdaten mit dem BigQuery Data Transfer Service nach BigQuery exportieren.
Wenn Sie einen Snapshot Ihrer Statistiken und Empfehlungen exportieren möchten, finden Sie weitere Informationen unter Empfehlungen nach BigQuery exportieren.
Hinweise
Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Datenübertragung benötigen:
So veröffentlichen Sie Benachrichtigungen für Ihre Übertragung in einem vorhandenen Pub/Sub-Thema:
Pub/Sub-Betrachter (roles/pubsub.viewer)
für das Projekt, in das Sie Daten exportieren
So veröffentlichen Sie Benachrichtigungen für Ihr Thema in einem neuen Pub/Sub-Thema:
Pub/Sub-Bearbeiter (roles/pubsub.editor)
für das Projekt, in das Sie Daten exportieren
Verwenden Sie zum Exportieren des aggregierten IAM-Zugriffsverlaufs Ihrer Projekte auf BigQuery das Zentrum für Transparenz und Kontrolle, um eine Datenübertragung einzurichten:
Rufen Sie in der Google Cloud Console die Seite Datenschutz & Sicherheit auf.
Wählen Sie Ihre Organisation aus der Drop-down-Liste aus und klicken Sie dann auf Auswählen.
Klicken Sie auf Transparenz und Kontrolle.
Klicken Sie in der Tabelle Datenverarbeitungsgruppe auf IAM.
Klicken Sie im Abschnitt Datenquellen der Seite auf HinzufügenÜbertragung erstellen.
Klicken Sie im Feld Projekt auf Durchsuchen und wählen Sie das Projekt aus, in das Sie Daten exportieren möchten. Wenn die BigQuery Data Transfer Service API für das Projekt nicht aktiviert ist, klicken Sie auf API aktivieren und warten Sie, bis die API aktiviert ist.
Klicken Sie auf Next (Weiter).
Konfigurieren Sie die Datenübertragung:
Geben Sie im Feld Anzeigename einen Anzeigenamen für die Datenübertragung ein.
Wählen Sie im Abschnitt Zeitplanoptionen aus, wann die Datenübertragung beginnen und wie oft sie ausgeführt werden soll.
Sie können für den Start der Übertragung den Standardwert Jetzt starten übernehmen oder auf Zu festgelegter Zeit beginnen klicken.
Wählen Sie im Feld Wiederholungen eine Option aus, um festzulegen, wie oft die Übertragung ausgeführt werden soll. Wenn Sie eine andere Option als "Täglich" auswählen, sind zusätzliche Optionen verfügbar. Wenn Sie beispielsweise Wöchentlich auswählen, wird eine Option zur Auswahl des Wochentags angezeigt.
Geben Sie für Startdatum und Laufzeit das Datum und die Uhrzeit für den Start der Übertragung ein. Wenn Sie Jetzt starten auswählen, ist diese Option deaktiviert.
Wählen Sie im Feld Dataset-ID ein BigQuery-Dataset aus, in das die Daten exportiert werden sollen.
Sie können Daten in ein vorhandenes Dataset exportieren oder ein neues Dataset erstellen:
Um Daten in ein vorhandenes Dataset zu exportieren, klicken Sie auf das Feld Dataset-ID und wählen ein Dataset aus der Drop-down-Liste aus.
Um Daten in ein neues Dataset zu exportieren, klicken Sie auf das Feld Dataset-ID, dann auf Neues Dataset erstellen und füllen die Felder im Bereich Dataset erstellen aus:
Geben Sie im Feld Dataset-ID eine ID für das Dataset ein. Es sind Buchstaben, Ziffern und Unterstriche zulässig.
Wählen Sie in der Drop-down-Liste Speicherort der Daten entweder USA (US) oder Europäische Union (EU) aus.
Optional: Aktivieren Sie den Tabellenablauf durch Auswahl von Tabellenablauf aktivieren.
Optional: Wählen Sie eine Verschlüsselungsmethode aus. Die Standardverschlüsselungsmethode ist Google-managed encryption key. Wenn Sie Vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) auswählen, müssen Sie auch einen vom Kunden verwalteten Schlüssel festlegen.
Die von Ihnen eingerichtete Übertragung befindet sich in derselben Region wie das Dataset und kann nicht verschoben werden.
Geben Sie im Feld project_numbers die Projektnummern für die Projekte ein, deren aggregierte IAM-Zugriffsdaten Sie exportieren möchten. Wenn Sie mehrere Projektnummern auflisten möchten, trennen Sie die Projektnummern durch Kommas. Sie können Daten für bis zu 10 Projekte gleichzeitig exportieren.
So finden Sie die Nummer eines Projekts:
Rufen Sie in der Google Cloud Console die Seite Einstellungen auf.
Kopieren Sie die Projekt-ID aus dem Feld Projektnummer.
Optional: Aktivieren Sie Benachrichtigungen für die Übertragung:
Klicken Sie auf die Ein-/Aus-Schaltfläche E-Mail-Benachrichtigungen, um Benachrichtigungen für fehlgeschlagene Übertragungen zu aktivieren.
Wenn Sie diese Option aktivieren, erhält der Übertragungsadministrator eine E-Mail-Benachrichtigung, wenn eine Übertragung fehlschlägt.
Wählen Sie Ihre Organisation aus der Drop-down-Liste aus und klicken Sie dann auf Auswählen.
Klicken Sie auf Transparenz und Kontrolle.
Klicken Sie in der Tabelle Datenverarbeitungsgruppe auf IAM. Im Abschnitt Datenübertragungen auf der Seite werden alle aggregierten IAM-Zugriffsdaten für Ihre Organisation aufgeführt.
Zum Verwalten einer einzelnen Übertragung klicken Sie auf den Anzeigenamen der Übertragung.
Um alle Datenübertragungen in einem Projekt aufzurufen, einschließlich der Übertragungen aggregierter IAM-Zugriffsdaten, verwenden Sie BigQuery:
Rufen Sie in der Google Cloud Console die Seite Datenübertragungen auf.
Wählen Sie das Projekt aus, in das Sie Daten exportiert haben.
Auf der Seite Datenübertragungen werden alle Datenübertragungen für Ihr Projekt angezeigt, einschließlich der Übertragungen aggregierter IAM-Zugriffsdaten.
Zum Verwalten einer einzelnen Übertragung klicken Sie auf den Anzeigenamen der Übertragung.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-11 (UTC)."],[],[],null,["# Export data for role recommendations\n\nThe [IAM role recommender](/policy-intelligence/docs/role-recommendations-overview) uses aggregated\nIAM access data, collected during the usage of services in\nGoogle Cloud, to provide recommendations. This data is primarily used for\ncompliance purposes.\n\nThis page explains how to export that access data to BigQuery using the\n[BigQuery Data Transfer Service](/bigquery-transfer/docs/introduction).\n\nIf you want to export a snapshot of your insights and recommendations, see\n[Export recommendations to\nBigQuery](/policy-intelligence/docs/export-recommendations).\n\nBefore you begin\n----------------\n\n-\n\n\n Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.\n\n\n [Enable the APIs](https://console.cloud.google.com/flows/enableapi?apiid=iam.googleapis.com,cloudresourcemanager.googleapis.com,recommender.googleapis.com,bigquery.googleapis.com,bigquerydatatransfer.googleapis.com,pubsub.googleapis.com&redirect=https://console.cloud.google.com)\n\n \u003cbr /\u003e\n\n- Read about [role recommendations](/policy-intelligence/docs/role-recommendations-overview).\n\n### Required permissions\n\n\nTo get the permissions that\nyou need to create a data transfer,\n\nask your administrator to grant you the\nfollowing IAM roles:\n\n- [Data Processing Controls Resource Admin](/iam/docs/roles-permissions/dataprocessing#dataprocessing.admin) (`roles/dataprocessing.admin`) on your organization\n- [BigQuery Admin](/iam/docs/roles-permissions/bigquery#bigquery.admin) (`roles/bigquery.admin`) on the project that you will export data to\n- To publish notifications for your transfer to an existing Pub/Sub topic: [Pub/Sub Viewer](/iam/docs/roles-permissions/pubsub#pubsub.viewer) (`roles/pubsub.viewer`) on the project that you will export data to\n- To publish notifications for your topic to a new Pub/Sub topic: [Pub/Sub Editor](/iam/docs/roles-permissions/pubsub#pubsub.editor) (`roles/pubsub.editor`) on the project that you will export data to\n\n\nFor more information about granting roles, see [Manage access to projects, folders, and organizations](/iam/docs/granting-changing-revoking-access).\n\n\nYou might also be able to get\nthe required permissions through [custom\nroles](/iam/docs/creating-custom-roles) or other [predefined\nroles](/iam/docs/roles-overview#predefined).\n\nExport aggregated IAM access data\n---------------------------------\n\nTo export your projects' aggregated IAM access history to\nBigQuery, use the Transparency and Control Center to set up a data\ntransfer:\n\n1. In the Google Cloud console, go to the **Privacy \\& Security** page.\n\n [Go to Privacy \\& Security](https://console.cloud.google.com/projectselector/iam-admin/privacy?supportedpurview=organizationId)\n2. Select your organization from the drop-down list, then click **Select**.\n\n3. Click **Transparency \\& control**.\n\n4. In the **Data processing group** table, click **IAM**.\n\n5. In the **Data sources** section of the page, click\n add **Create transfer**.\n\n6. In the **Project** field, click **Browse** , then select the project that\n you want to export data to. If the project does not have the\n BigQuery Data Transfer Service API enabled, click **Enable API** and wait until the API is\n enabled.\n\n7. Click **Next**.\n\n8. Configure the data transfer:\n\n 1. In the **Display name** field, enter a display name for your data transfer.\n 2. In **Schedule options** section, choose when the data transfer will start\n and how often it will run.\n\n - To choose when to start the transfer, you can leave the default value of **Start now** , or click **Start at a set time**.\n - In the **Repeats** field, choose an option for how often to run the transfer. If you choose an option other than Daily, additional options are available. For example, if you choose **Weekly**, an option appears for you to select the day of the week.\n - For **Start date and run time** , enter the date and time to start the transfer. If you choose **Start now**, this option is disabled.\n 3. In the **Dataset ID** field, choose a BigQuery dataset\n to export the data to.\n\n | **Important:** This dataset must have a location of **United States (US)** or **European Union (EU)**. No other regions are supported.\n\n You can export data to an existing dataset, or create a new dataset:\n - To export data to an existing dataset, click the **Dataset ID** field, then select a dataset from the drop-down list.\n - To export data to a new dataset, click the **Dataset ID** field, click\n **Create new dataset** , and fill out the fields in the **Create\n dataset** pane:\n\n 1. In the **Dataset ID** field, enter an ID for the dataset. Letters, numbers, and underscores are allowed.\n 2. From the **Data location** drop-down list, select either **United\n States (US)** or **European Union (EU)**.\n 3. Optional: Enable [table expiration](/bigquery/docs/managing-tables#updating_a_tables_expiration_time) by selecting **Enable table expiration**.\n 4. Optional: Select an encryption method. The default encryption method is **Google-managed encryption key** . If you select **Customer-managed encryption key (CMEK)** , you must also select a [customer-managed key](/kms/docs/cmek).\n\n The transfer you set up will be in the same region as the dataset, and\n cannot be moved.\n 4. In the **project_numbers** field, enter the project numbers for the\n projects whose aggregated IAM access data you want to\n export. If you list multiple project numbers, separate the project\n numbers with commas. You can export data for up to 10 projects at a time.\n\n To find a project's number, do the following:\n 1. In the Google Cloud console, go to the **Settings** page.\n\n [Go to Settings](https://console.cloud.google.com/projectselector/iam-admin/settings?supportedpurview=project)\n 2. Select your project.\n\n 3. Copy the project ID from the **Project number** field.\n\n 5. Optional: Enable notifications for your transfer:\n\n - To enable notifications for failed transfer runs, click the **Email notifications** toggle. When you enable this option, the transfer administrator receives an email notification when a transfer run fails.\n - To enable [Pub/Sub notifications for your\n transfer](/bigquery-transfer/docs/transfer-run-notifications), click **Select a Pub/Sub\n topic**, then select or create a topic.\n9. Click **Done**.\n\n10. If prompted, allow **IAM Recommender Aggregated Access Transfers** access\n to your Google account.\n\nManage existing data transfers\n------------------------------\n\nYou can view and manage your transfers in the Transparency and Control Center, or\nin BigQuery:\n\n- To view all aggregated IAM access data transfers for your\n organization, use the Transparency and Control Center:\n\n 1. In the Google Cloud console, go to the **Privacy \\& Security** page.\n\n [Go to Privacy \\& Security](https://console.cloud.google.com/projectselector/iam-admin/privacy?supportedpurview=organizationId)\n 2. Select your organization from the drop-down list, then click **Select**.\n\n 3. Click **Transparency \\& control**.\n\n 4. In the **Data processing group** table, click **IAM** . The **Data\n transfers** section of the page lists all aggregated IAM\n access data transfers for your organization.\n\n 5. To manage an individual transfer, click the transfer's display name.\n\n- To view all data transfers in a project, including aggregated\n IAM access data transfers, use BigQuery:\n\n 1. In the Google Cloud console, go to the **Data transfers** page.\n\n [Go to Data transfers](https://console.cloud.google.com/projectselector/bigquery/transfers?supportedpurview=project)\n 2. Select the project that you exported data to.\n\n 3. The **Data transfers** page shows all data transfers for your project,\n including aggregated IAM access data transfers.\n\n 4. To manage an individual transfer, click the transfer's display name.\n\nWhat's next\n-----------\n\n- Learn how to [export a snapshot of your recommendations and\n insights](/policy-intelligence/docs/export-recommendations).\n- Understand [best practices for using role recommendations](/policy-intelligence/docs/role-recommendations-best-practices).\n- Find out how to [review and apply recommendations](/policy-intelligence/docs/review-apply-role-recommendations).\n- Learn how to [disable role recommendations](/recommender/docs/opting-out)."]]
