匯出角色建議資料

IAM 角色建議工具會使用在Google Cloud服務使用期間收集的匯總 IAM 存取權資料,提供建議。這項資料主要用於法規遵循。

本頁說明如何使用 BigQuery 資料移轉服務,將存取權資料匯出至 BigQuery。

如要匯出洞察和建議的快照,請參閱將建議匯出至 BigQuery

事前準備

  • Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.

    Enable the APIs

  • 請參閱角色建議

所需權限

如要取得建立資料移轉作業所需的權限,請要求管理員授予下列 IAM 角色:

  • 資料處理控管機制資源管理員 (roles/dataprocessing.admin) 機構
  • BigQuery 管理員 (roles/bigquery.admin) 您要將資料匯出至的專案
  • 如要將移轉作業的通知發布至現有 Pub/Sub 主題,請在要匯出資料的專案中,使用 Pub/Sub 檢視器 (roles/pubsub.viewer)。
  • 如要將主題的通知發布至新的 Pub/Sub 主題,請在要匯出資料的專案中,按一下「Pub/Sub Editor」(Pub/Sub 編輯器) (roles/pubsub.editor)。

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

匯出匯總 IAM 存取資料

如要將專案的匯總 IAM 存取記錄匯出至 BigQuery,請使用資訊公開和控制中心設定資料移轉:

  1. 前往 Google Cloud 控制台的「Privacy & Security」(隱私權與安全性) 頁面。

    前往「隱私權與安全性」

  2. 從下拉式清單中選取機構,然後按一下「選取」

  3. 按一下「資訊公開與控管」

  4. 在「資料處理群組」表格中,按一下「IAM」

  5. 在頁面的「資料來源」部分,按一下「新增」「建立轉移」。

  6. 在「Project」(專案) 欄位中,按一下「Browse」(瀏覽),然後選取要匯出資料的專案。如果專案未啟用 BigQuery Data Transfer Service API,請按一下「啟用 API」,然後等待 API 啟用。

  7. 點選「下一步」

  8. 設定資料移轉作業:

    1. 在「顯示名稱」欄位中,輸入資料移轉作業的顯示名稱。

    2. 在「Schedule options」(排程選項) 部分,選擇資料移轉作業的開始時間和執行頻率。

      • 如要選擇開始轉移的時間,可以保留預設值「立即開始」,或按一下「於設定的時間開始」
      • 在「Repeats」(重複時間間隔) 欄位中,選擇多久執行一次移轉作業的選項。如果選擇「Daily」(每天) 以外的選項,還可以選取更多設定。舉例來說,如果選取「每週」,則可選取星期幾。
      • 針對「Start date and run time」(開始日期和執行時間),請輸入開始移轉作業的日期和時間。如果您選擇 [Start now] (立即開始),系統就會停用這個選項。

    3. 在「資料集 ID」欄位中,選擇要將資料匯出至哪個 BigQuery 資料集。

      您可以將資料匯出至現有資料集,或建立新資料集:

      • 如要將資料匯出至現有資料集,請按一下「資料集 ID」欄位,然後從下拉式清單中選取資料集。

      • 如要將資料匯出至新資料集,請按一下「資料集 ID」欄位,然後按一下「建立新資料集」,並填寫「建立資料集」窗格中的欄位:

        1. 在「Dataset ID」(資料集 ID) 欄位中,輸入資料集 ID。可以使用英文字母、數字和底線。
        2. 從「資料位置」下拉式選單中,選取「美國 (US)」或「歐盟 (EU)」
        3. 選用:如要啟用資料表到期時間,請選取「啟用資料表到期時間」
        4. 選用:選取加密方法。預設加密方法為 Google-managed encryption key。如選取「客戶管理的加密金鑰 (CMEK)」,您也必須選取「客戶管理的金鑰」

      您設定的移轉作業會與資料集位於相同區域,且無法移動。

    4. project_numbers 欄位中,輸入要匯出匯總 IAM 存取資料的專案編號。如要列出多個專案編號,請以半形逗號分隔。一次最多可以匯出 10 個專案的資料。

      如要找出專案編號,請按照下列步驟操作:

      1. 前往 Google Cloud 控制台的「Settings」(設定) 頁面。

        前往「設定」

      2. 選取專案。

      3. 從「專案編號」欄位複製專案 ID。

    5. 選用步驟:啟用移轉作業通知:

      • 如要啟用移轉作業執行失敗通知,請點選「Email notifications」(電子郵件通知) 切換按鈕。當您啟用此選項時,移轉管理員會在移轉作業失敗時收到電子郵件通知。
      • 如要為移轉作業啟用 Pub/Sub 通知,請點選「Select a Pub/Sub topic」(選取 Pub/Sub 主題),然後選取或建立主題。

  9. 按一下 [完成]

  10. 如果系統提示,請允許 IAM Recommender Aggregated Access Transfers 存取您的 Google 帳戶。

管理現有資料移轉作業

您可以在資訊公開和控制中心或 BigQuery 中查看及管理轉移作業:

  • 如要查看機構的所有匯總 IAM 存取資料移轉,請使用資訊公開和控制中心:

    1. 前往 Google Cloud 控制台的「Privacy & Security」(隱私權與安全性) 頁面。

      前往「隱私權與安全性」

    2. 從下拉式清單中選取機構,然後按一下「選取」

    3. 按一下「資訊公開與控管」

    4. 在「資料處理群組」表格中,按一下「IAM」。頁面的「資料轉移」部分會列出貴機構所有匯總的 IAM 存取資料轉移作業。

    5. 如要管理個別轉移作業,請按一下轉移作業的顯示名稱。

  • 如要查看專案中的所有資料移轉作業 (包括匯總的 IAM 存取資料移轉作業),請使用 BigQuery:

    1. 前往 Google Cloud 控制台的「資料移轉」頁面。

      前往「資料移轉」

    2. 選取匯出資料的專案。

    3. 「資料轉移」頁面會顯示專案的所有資料轉移作業,包括匯總的 IAM 存取權資料轉移作業。

    4. 如要管理個別轉移作業,請按一下轉移作業的顯示名稱。

後續步驟