导出角色建议数据

IAM Role Recommender 会使用在 Google Cloud 服务使用期间收集的汇总 IAM 访问数据来提供建议。这些数据主要用于合规性目的。

本页介绍了如何使用 BigQuery Data Transfer Service 将该访问数据导出到 BigQuery。

如果您想导出数据分析和建议的快照,请参阅将建议导出到 BigQuery

准备工作

  • Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.

    Enable the APIs

  • 了解角色建议

所需权限

如需获得创建数据传输作业所需的权限,请让管理员向您授予以下 IAM 角色:

  • 组织的 Data Processing Controls Resource Admin (roles/dataprocessing.admin)
  • 导出数据的目标项目的 BigQuery Admin (roles/bigquery.admin) 角色
  • 您要向其中导出数据的项目的 Pub/Sub Viewer (roles/pubsub.viewer)(如需向现有 Pub/Sub 主题发布转移作业通知)
  • 如需将主题通知发布到新的 Pub/Sub 主题,请使用您要将数据导出到的项目的 Pub/Sub Editor (roles/pubsub.editor)

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

导出汇总的 IAM 访问权限数据

要将项目的汇总 IAM 访问历史记录导出到 BigQuery,请使用透明度和控制中心设置数据传输作业:

  1. 在 Google Cloud Console 中,转到隐私权和安全页面。

    转到“隐私权和安全”

  2. 从下拉列表中选择您的组织,然后点击选择

  3. 点击透明度和控制

  4. 数据处理组表中,点击 IAM

  5. 在页面的数据源部分中,依次点击添加 创建传输作业

  6. 项目字段中,点击浏览,然后选择要向其中导出数据的项目。如果项目未启用 BigQuery Data Transfer Service API,请点击启用 API,然后等待该 API 启用。

  7. 点击下一步

  8. 配置数据传输:

    1. Display name 字段中,输入数据传输的显示名。

    2. 时间表选项部分,选择数据传输的开始时间和频率。

      • 要选择何时开始传输,您可以保留默认值立即开始,或点击在设置的时间开始
      • 重复频率字段中,选择传输作业的运行频率选项。如果您选择除"每日一次以外"的选项,则系统还会提供其他选项。例如,如果您选择每周一次,则系统会显示一个选项,供您选择星期几。
      • 开始日期和运行时间部分,输入开始转移作业的日期和时间。如果您选择的是立即开始,则系统会停用此选项。

    3. 数据集 ID 字段中,选择要导出数据的 BigQuery 数据集。

      您可以将数据导出到现有数据集,或创建新的数据集:

      • 要将数据导出到现有数据集,请点击数据集 ID 字段,然后从下拉列表中选择一个数据集。

      • 要将数据导出到新数据集,请点击数据集 ID字段,点击创建新数据集,然后填写创建数据集窗格:

        1. 数据集 ID 字段中,输入数据集的 ID。允许使用字母、数字和下划线。
        2. 数据位置下拉列表中,选择美国 (US)欧盟 (EU)
        3. 可选:选择启用表过期时间,以启用表过期时间
        4. 可选:选择加密方法。默认加密方法是 Google 管理的加密密钥。如果您选择客户管理的加密密钥 (CMEK),则还必须选择客户管理的密钥

      您设置的传输作业将与数据集位于同一地区,并且无法移动。

    4. project_numbers 字段中,输入要导出的汇总 IAM 访问数据的项目编号。如果列出了多个项目编号,请使用英文逗号分隔项目编号。您一次最多可以导出 10 个项目的数据。

      要查找项目编号,请执行以下操作:

      1. 在 Google Cloud 控制台中,转到设置页面。

        转到“设置”

      2. 选择您的项目。

      3. 项目编号字段中复制项目 ID。

    5. 可选:为传输作业启用通知:

      • 如需为失败的传输作业运行启用通知,请点击电子邮件通知切换开关。启用此选项后,传输作业管理员会在传输作业运行失败时收到电子邮件通知。
      • 如需为传输作业启用 Pub/Sub 通知,请点击选择 Pub/Sub 主题,然后选择或创建主题。

  9. 点击完成

  10. 如果系统提示,请允许 IAM 推荐程序汇总访问权限转移访问您的 Google 账号。

管理现有数据传输

您可以在透明度和控制中心或 BigQuery 中查看和管理传输:

  • 如需查看贵组织的所有汇总的 IAM 访问权限数据传输,请使用透明度和控制中心:

    1. 在 Google Cloud Console 中,转到隐私权和安全页面。

      转到“隐私权和安全”

    2. 从下拉列表中选择您的组织,然后点击选择

    3. 点击透明度和控制

    4. 数据处理组表中,点击 IAM。页面的数据传输部分列出了所有汇总的 IAM 访问数据传输。

    5. 要管理单个传输作业,请点击传输作业的显示名。

  • 如需查看项目中的所有数据传输(包括汇总的 IAM 访问数据传输),请使用 BigQuery:

    1. 在 Google Cloud 控制台中,转到数据传输页面。

      转到“数据传输”

    2. 选择要向其中导出数据的项目。

    3. 数据传输作业页面会显示项目的所有数据传输作业,包括汇总的 IAM 访问权限数据传输作业。

    4. 要管理单个传输作业,请点击传输作业的显示名。

后续步骤