L'outil de recommandation de rôle Cloud IAM exploite les données d'accès IAM agrégées, collectées lors de l'utilisation des services dans Google Cloud, pour fournir des recommandations. Ces données sont principalement utilisées à des fins de conformité.
Cette page explique comment exporter ces données d'accès vers BigQuery à l'aide du service de transfert de données BigQuery.
Si vous souhaitez exporter un instantané de vos insights et recommandations, consultez la page Exporter des recommandations vers BigQuery.
Avant de commencer
Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.
Consultez la présentation des recommandations de rôles.
Autorisations requises
Pour obtenir les autorisations nécessaires pour créer un transfert de données, demandez à votre administrateur de vous accorder les rôles IAM suivants:
-
Administrateur de ressources de contrôles de traitement des données (
roles/dataprocessing.admin
) dans votre organisation -
Administrateur BigQuery (
roles/bigquery.admin
) sur le projet vers lequel vous allez exporter des données -
Pour publier des notifications relatives à votre transfert dans un sujet Pub/Sub existant : Lecteur Pub/Sub (
roles/pubsub.viewer
), sur le projet vers lequel vous allez exporter des données. -
Pour publier des notifications relatives à votre sujet dans un nouveau sujet Pub/Sub : Éditeur Pub/Sub (
roles/pubsub.editor
), sur le projet vers lequel vous allez exporter des données.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Exporter des données d'accès IAM agrégées
Pour exporter l'historique des données d'accès IAM agrégées de vos projets vers BigQuery, configurez un transfert de données à l'aide du centre de contrôle et de transparence :
Dans Google Cloud Console, accédez à la page Confidentialité et sécurité.
Sélectionnez votre organisation dans la liste déroulante, puis cliquez sur Sélectionner.
Cliquez sur Transparence et contrôle.
Dans le tableau Groupe de traitement des données, cliquez sur IAM.
Dans la section Sources de données de la page, cliquez sur
Créer un transfert.Dans le champ Projet, cliquez sur Parcourir, puis sélectionnez le projet vers lequel vous souhaitez exporter les données. Si l'API du service de transfert de données BigQuery n'est pas activée sur le projet, cliquez sur Activer l'API et attendez que l'API soit activée.
Cliquez sur Next (Suivant).
Configurez le transfert de données :
- Dans le champ Nom à afficher, saisissez le nom à afficher pour votre transfert de données.
Dans la section Options de programmation, choisissez quand démarrer le transfert de données et la fréquence d'exécution.
- Pour choisir quand démarrer le transfert, vous pouvez conserver la valeur par défaut Démarrer maintenant ou cliquer sur Démarrer à l'heure définie.
- Dans le champ Périodicité, choisissez l'une des options suivantes pour la fréquence d'exécution du transfert : Si vous choisissez une option autre que "Tous les jours", des options supplémentaires sont disponibles. Par exemple, si vous choisissez Toutes les semaines, une option vous permet de sélectionner le jour de la semaine.
- Pour Start date and run time (Date de début et heure d'exécution), saisissez la date et l'heure de début du transfert. Cette option est désactivée si vous choisissez Start now (Commencer).
Dans le champ ID de l'ensemble de données, choisissez un ensemble de données BigQuery vers lequel exporter les données.
Vous pouvez exporter des données vers un ensemble de données existant ou en créer un :
- Pour exporter des données vers un ensemble de données existant, cliquez sur le champ ID de l'ensemble de données, puis sélectionnez un ensemble de données dans la liste déroulante.
Pour exporter des données vers un nouvel ensemble de données, cliquez sur le champ ID de l'ensemble de données, puis surCréer un ensemble de données, et remplissez les champs du volet Créer un ensemble de données :
- Dans le champ ID de l'ensemble de données, saisissez un ID pour l'ensemble de données. Les lettres, les chiffres et les traits de soulignement sont autorisés.
- Dans la liste déroulante Emplacement des données, sélectionnez États-Unis (US) ou Union européenne (UE).
- (Facultatif) Activez l'option Expiration de la table en sélectionnant l'option Activer l'expiration de la table.
- (Facultatif) Sélectionnez une méthode de chiffrement. La méthode de chiffrement par défaut est la clé de chiffrement gérée par Google. Si vous sélectionnez Clé de chiffrement gérée par le client (CMEK), vous devez également sélectionner une clé gérée par le client.
Le transfert que vous configurez se trouve dans la même région que l'ensemble de données et ne peut pas être déplacé.
Dans le champ project_numbers, saisissez les numéros des projets dont vous souhaitez exporter les données d'accès IAM agrégées. Si vous répertoriez plusieurs numéros de projet, séparez les numéros de projet par une virgule. Vous pouvez exporter les données pour un maximum de 10 projets à la fois.
Pour rechercher le numéro d'un projet, procédez comme suit :
Accédez à la page Paramètres dans Google Cloud Console.
Sélectionnez votre projet.
Copiez l'ID du projet à partir du champ Numéro du projet.
(Facultatif) Activez les notifications pour votre transfert :
- Pour activer les notifications pour les exécutions de transfert ayant échoué, cliquez sur le bouton Notifications par e-mail. Lorsque vous activez cette option, l'administrateur de transfert reçoit une notification par e-mail en cas d'échec de l'exécution du transfert.
- Pour activer les notifications Pub/Sub pour votre transfert, cliquez sur Sélectionner un sujet Pub/Sub, puis sélectionnez ou créez un sujet.
Cliquez sur OK.
Si vous y êtes invité, autorisez IAM Recommender Aggregated Access Transfers à accéder à votre compte Google.
Gérer les transferts de données existants
Vous pouvez afficher et gérer vos transferts dans le centre de contrôle et de transparence, ou dans BigQuery :
Pour afficher tous les transferts de données d'accès IAM agrégées pour votre organisation, utilisez le Centre de contrôle et de transparence :
Dans Google Cloud Console, accédez à la page Confidentialité et sécurité.
Sélectionnez votre organisation dans la liste déroulante, puis cliquez sur Sélectionner.
Cliquez sur Transparence et contrôle.
Dans le tableau Groupe de traitement des données, cliquez sur IAM. La section Transferts de données de la page répertorie tous les transferts de données d'accès IAM agrégées pour votre organisation.
Pour gérer un transfert individuel, cliquez sur son nom à afficher.
Pour afficher tous les transferts de données d'un projet, y compris les transferts de données d'accès IAM agrégées, utilisez BigQuery :
Dans la console Google Cloud, accédez à la page Transferts de données.
Sélectionnez le projet dans lequel vous avez exporté les données.
La page Transferts de données affiche tous les transferts de données de votre projet, y compris les transferts de données d'accès IAM agrégées.
Pour gérer un transfert individuel, cliquez sur son nom à afficher.
Étape suivante
- Découvrez comment exporter un instantané de vos recommandations et de vos insights.
- Découvrez les bonnes pratiques d'utilisation des recommandations de rôle.
- Découvrez comment examiner et appliquer des recommandations.
- Découvrez comment désactiver les recommandations de rôle.