Esta página se ha traducido con Cloud Translation API.

Exportar datos para recomendaciones de roles

El recomendador de roles de gestión de identidades y accesos usa datos agregados de acceso de gestión de identidades y accesos, recogidos durante el uso de los servicios enGoogle Cloud, para ofrecer recomendaciones. Estos datos se usan principalmente para cumplir los requisitos.

En esta página se explica cómo exportar esos datos de acceso a BigQuery mediante BigQuery Data Transfer Service.

Si quieres exportar una instantánea de tus estadísticas y recomendaciones, consulta Exportar recomendaciones a BigQuery.

Antes de empezar

Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the APIs
Consulta información sobre las recomendaciones de roles.

Permisos obligatorios

Para obtener los permisos que necesitas para crear una transferencia de datos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Administrador de recursos de los controles de tratamiento de datos (roles/dataprocessing.admin) en tu organización
Administrador de BigQuery (roles/bigquery.admin) en el proyecto al que exportará los datos
Para publicar notificaciones de tu transferencia en un tema de Pub/Sub: Visor de Pub/Sub (roles/pubsub.viewer) en el proyecto al que vas a exportar los datos
Para publicar notificaciones de tu tema en un nuevo tema de Pub/Sub, sigue estos pasos: Editor de Pub/Sub (roles/pubsub.editor) en el proyecto al que exportarás los datos

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Exportar datos de acceso de gestión de identidades y accesos agregados

Para exportar el historial de acceso de gestión de identidades y accesos agregado de tus proyectos a BigQuery, usa el Centro de Transparencia y Control para configurar una transferencia de datos:

En la Google Cloud consola, ve a la página Privacidad y seguridad.

Ir a Privacidad y seguridad
Selecciona tu organización en la lista desplegable y, a continuación, haz clic en Seleccionar.
Haz clic en Transparencia y control.
En la tabla Grupo de procesamiento de datos, haga clic en IAM.
En la sección Fuentes de datos de la página, haga clic en Añadir Crear transferencia.
En el campo Proyecto, haga clic en Examinar y, a continuación, seleccione el proyecto al que quiera exportar los datos. Si el proyecto no tiene habilitada la API BigQuery Data Transfer Service, haga clic en Habilitar API y espere hasta que se habilite.
Haz clic en Siguiente.
Configure la transferencia de datos:
1. En el campo Nombre visible, introduce un nombre visible para tu transferencia de datos.
2. En la sección Opciones de programación, elija cuándo se iniciará la transferencia de datos y con qué frecuencia se ejecutará.
  - Para elegir cuándo quieres iniciar la transferencia, puedes dejar el valor predeterminado Empezar ahora o hacer clic en Empezar a una hora determinada.
  - En el campo Se repite, elige una opción para determinar la frecuencia con la que se realizará la transferencia. Si elige una opción que no sea Diaria, tendrá otras opciones disponibles. Por ejemplo, si elige Semanalmente, aparecerá una opción para que seleccione el día de la semana.
  - En Fecha de inicio y tiempo de ejecución, introduce la fecha y la hora en las que quieres que empiece la transferencia. Si eliges Empezar ahora, esta opción se inhabilita.
3. En el campo ID de conjunto de datos, elija un conjunto de datos de BigQuery al que exportar los datos.
  
  Importante: Este conjunto de datos debe estar ubicado en Estados Unidos (EE. UU.) o en la Unión Europea (UE). No se admiten otras regiones.
  
  Puede exportar datos a un conjunto de datos que ya tenga o crear uno nuevo:
  - Para exportar datos a un conjunto de datos, haga clic en el campo ID del conjunto de datos y, a continuación, seleccione un conjunto de datos de la lista desplegable.
  - Para exportar datos a un conjunto de datos nuevo, haga clic en el campo ID del conjunto de datos, haga clic en Crear conjunto de datos y rellene los campos del panel Crear conjunto de datos:
    1. En el campo ID del conjunto de datos, introduzca el ID del conjunto de datos. Se admiten letras, números y guiones bajos.
    2. En la lista desplegable Ubicación de los datos, seleccione Estados Unidos (EE. UU.) o Unión Europea (UE).
    3. Opcional: Habilita la caducidad de la tabla seleccionando Habilitar la caducidad de la tabla.
    4. Opcional: Selecciona un método de cifrado. El método de cifrado predeterminado es Google-managed encryption key. Si seleccionas Clave de cifrado gestionada por el cliente (CMEK), también debes seleccionar una clave gestionada por el cliente.
  La transferencia que configures estará en la misma región que el conjunto de datos y no se podrá mover.
4. En el campo project_numbers, introduce los números de los proyectos cuyos datos de acceso de gestión de identidades y accesos agregados quieras exportar. Si indica varios números de proyecto, sepárelos con comas. Puedes exportar datos de hasta 10 proyectos a la vez.
  
  Para encontrar el número de un proyecto, sigue estos pasos:
  1. En la Google Cloud consola, ve a la página Configuración.
    
    Ir a Ajustes
  2. Selecciona el proyecto.
  3. Copia el ID del proyecto del campo Número de proyecto.
5. Opcional: Habilita las notificaciones de tu transferencia:
  - Para habilitar las notificaciones de transferencias fallidas, haga clic en el interruptor Notificaciones por correo. Si habilitas esta opción, el administrador de la transferencia recibirá una notificación por correo cuando falle una ejecución de transferencia.
  - Para habilitar las notificaciones de Pub/Sub para tu transferencia, haz clic en Seleccionar un tema de Pub/Sub y, a continuación, selecciona o crea un tema.
Haz clic en Listo.
Si se te pide, permite que IAM Recommender Aggregated Access Transfers acceda a tu cuenta de Google.

Gestionar transferencias de datos

Puede ver y gestionar sus transferencias en el Centro de transparencia y control, o bien en BigQuery:

Para ver todas las transferencias de datos de acceso de gestión de identidades y accesos agregados de tu organización, usa el Centro de Transparencia y Control:
1. En la Google Cloud consola, ve a la página Privacidad y seguridad.
  
  Ir a Privacidad y seguridad
2. Selecciona tu organización en la lista desplegable y, a continuación, haz clic en Seleccionar.
3. Haz clic en Transparencia y control.
4. En la tabla Grupo de procesamiento de datos, haga clic en IAM. En la sección Transferencias de datos de la página se muestran todas las transferencias de datos de acceso de gestión de identidades y accesos agregados de tu organización.
5. Para gestionar una transferencia concreta, haz clic en el nombre visible de la transferencia.
Para ver todas las transferencias de datos de un proyecto, incluidas las transferencias de datos de acceso de gestión de identidades y accesos agregadas, usa BigQuery:
1. En la Google Cloud consola, ve a la página Transferencias de datos.
  
  Ir a Transferencias de datos
2. Selecciona el proyecto al que exportaste los datos.
3. En la página Transferencias de datos se muestran todas las transferencias de datos de tu proyecto, incluidas las transferencias de datos de acceso de gestión de identidades y accesos agregados.
4. Para gestionar una transferencia concreta, haz clic en el nombre visible de la transferencia.

Siguientes pasos

Consulta cómo exportar una captura de tus recomendaciones y estadísticas.
Consulta las prácticas recomendadas para usar las recomendaciones de roles.
Consulta cómo revisar y aplicar recomendaciones.
Consulta cómo inhabilitar las recomendaciones de roles.