Consultar estadísticas de políticas de segmentos de Cloud Storage

En esta página se explica cómo gestionar las estadísticas de las políticas a nivel de segmento, que son resultados basados en aprendizaje automático sobre el uso de permisos de tus segmentos de Cloud Storage. Las estadísticas de políticas pueden ayudarte a identificar qué principales tienen permisos que no necesitan.

En esta página se explica cómo obtener información valiosa sobre las políticas de los contenedores. Recomendador también ofrece estadísticas de políticas para los siguientes tipos de recursos:

En ocasiones, las estadísticas de políticas a nivel de contenedor están vinculadas a recomendaciones de roles. Las recomendaciones de roles sugieren acciones que puedes llevar a cabo para solucionar los problemas identificados por las estadísticas de políticas a nivel de contenedor.

Antes de empezar

Roles obligatorios

Para obtener los permisos que necesitas para gestionar las estadísticas de políticas a nivel de segmento, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:

  • Administrador de almacenamiento (roles/storage.admin)
  • Gestiona las estadísticas de las políticas a nivel de contenedor con la CLI de gcloud o la API REST: Consumidor de uso de servicio (`roles/serviceusage.serviceUsageConsumer`)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para gestionar las estadísticas de políticas a nivel de contenedor. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las estadísticas de las políticas a nivel de segmento, se necesitan los siguientes permisos:

  • Para ver estadísticas de las políticas a nivel de contenedor, siga estos pasos:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Para modificar las estadísticas de las políticas a nivel de segmento, sigue estos pasos: recommender.iamPolicyInsights.update
  • Para gestionar las estadísticas de políticas a nivel de contenedor en la Google Cloud consola, sigue estos pasos:
    • resourcemanager.projects.get
    • storage.buckets.list
  • Gestiona las estadísticas de las políticas a nivel de contenedor con la CLI de gcloud o la API REST: serviceusage.services.use

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Mostrar estadísticas de políticas a nivel de segmento

Para enumerar todas las estadísticas de políticas a nivel de contenedor de tu proyecto, usa uno de los siguientes métodos:

Consola

  1. En la Google Cloud consola, ve a la página Buckets.

    Ir a Contenedores

  2. Busca la columna Novedades sobre seguridad en la tabla. Si no ve la columna Estadísticas de seguridad, haga clic en  Opciones de visualización de columnas y seleccione Estadísticas de seguridad.

    En esta columna se muestra un resumen de todas las estadísticas de políticas del segmento. Cada resumen indica el número total de permisos excesivos de todos los roles concedidos en ese segmento.

  3. Busca el segmento cuyos estadísticas quieras ver y haz clic en el resumen de estadísticas de la política de esa fila. Con esta acción, se abre el panel Recomendaciones de seguridad, que muestra todos los principales que tienen un rol en el cubo, sus roles y las estadísticas de políticas asociadas a esos roles.

    En esta tabla, las estadísticas de la política tienen el formato EXCESS/TOTAL excess permissions, donde EXCESS es el número de permisos del rol que no necesita la entidad y TOTAL es el número total de permisos del rol.

gcloud

Usa el comando gcloud recommender insights list para ver todos los consejos sobre políticas a nivel de contenedor de tu proyecto.

Antes de ejecutar el comando, sustituye los siguientes valores:

  • PROJECT_ID: ID del proyecto del que quieres obtener una lista de estadísticas.
  • LOCATION: la ubicación de los contenedores de los que quieres obtener estadísticas. 
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION\
    --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"

En el resultado se muestran todas las estadísticas de las políticas a nivel de contenedor de tu proyecto en la ubicación especificada. Por ejemplo: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                   DESCRIPTION
00dd7eb5-15c2-4fb3-a9b2-1a85f842462b  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04307297-f57c-416d-9323-38abac450db0  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04845da5-74ba-46b4-a0f3-47d83095c261  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0a39f643-d7a8-4c11-b490-fecd74290fb5  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
0a4cee48-777b-4dea-a2b0-702b70da4b6f  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b2d147c-b26e-4afe-8fab-449c6e793750  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0bb3032d-721c-44e8-b464-5293f235281c  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  3 of the permissions in this role binding were used in the past 90 days.

REST

El método insights.list de la API Recommender muestra todos los consejos sobre políticas a nivel de segmento de tu proyecto.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: ID del proyecto del que quieres obtener una lista de estadísticas.
  • LOCATION: la ubicación de los contenedores de los que quieres obtener estadísticas.

Método HTTP y URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta muestra todos los consejos sobre políticas a nivel de segmento de tu proyecto en la ubicación especificada. Por ejemplo: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "allUsers",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-1"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"2a8784e529b80aea\"",
      "severity": "CRITICAL"
    },
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "projectViewer:my-project",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-2"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"5b60b935f27caf2c\"",
      "severity": "LOW"
    }
  ]
}

Para obtener más información sobre los componentes de una estadística, consulta la sección Revisar estadísticas de políticas a nivel de contenedor de esta página.

Obtener una sola estadística de política a nivel de segmento

Para obtener más información sobre una estadística concreta, como su descripción, su estado y las recomendaciones asociadas, utilice uno de los siguientes métodos:

Consola

  1. En la Google Cloud consola, ve a la página Buckets.

    Ir a Contenedores

  2. Asegúrate de que la columna Estadísticas de seguridad esté visible.

  3. Busca la columna Novedades sobre seguridad en la tabla. En esta columna se muestra un resumen de todas las estadísticas de políticas del segmento. Cada resumen indica el número total de permisos excesivos de todos los roles concedidos en ese contenedor.

    Si no ve la columna Estadísticas de seguridad, haga clic en  Opciones de visualización de columnas y seleccione Estadísticas de seguridad. A continuación, busca la columna en la tabla.

  4. Busca el segmento cuyos estadísticas quieras ver y haz clic en el resumen de estadísticas de la política de esa fila. Se abrirá un panel que muestra todos los principales que tienen un rol en el cubo, sus roles y las estadísticas de políticas asociadas a esos roles.
  5. En la columna Estadísticas de seguridad, haz clic en una estadística de una política. Las estadísticas de la política tienen el formato EXCESS/TOTAL excess permissions, donde EXCESS es el número de permisos del rol que no necesita la entidad y TOTAL es el número total de permisos del rol.

La Google Cloud consola abre un panel con los detalles de la estadística.

gcloud

Usa el comando gcloud recommender insights describe con el ID de la estadística para ver información sobre una sola estadística.

  • INSIGHT_ID: ID de la estadística que quieres ver. Para encontrar el ID, lista las estadísticas de tu proyecto.
  • PROJECT_ID: el ID del proyecto del que quieres gestionar las estadísticas.
  • LOCATION: la ubicación del contenedor del que quieres obtener estadísticas. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION

El resultado muestra la estadística detallada. Por ejemplo, la siguiente estadística indica que todos los usuarios (allUsers) tienen el rol Lector de segmentos heredados de Storage (roles/storage.legacyBucketReader) en el segmento bucket-1, pero que solo se han usado dos permisos de ese rol en los últimos 90 días: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"2a8784e529b80aea"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACTIVE
targetResources:
- //storage.googleapis.com/bucket-1

Para obtener más información sobre los componentes de una estadística, consulta la sección Revisar estadísticas de políticas a nivel de contenedor de esta página.

REST

El método insights.get de la API Recommender obtiene una sola estadística.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: el ID del proyecto del que quieres gestionar las estadísticas.
  • LOCATION: la ubicación del contenedor del que quieres obtener estadísticas.
  • INSIGHT_ID: el ID de la estadística que quieres ver. Si no sabes cuál es el ID de la estadística, puedes encontrarlo consultando la lista de estadísticas de tu proyecto. El ID de una estadística es todo lo que hay después de insights/ en el campo name de la estadística.

Método HTTP y URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta contiene la estadística. Por ejemplo, la siguiente estadística indica que todos los usuarios (allUsers) tienen el rol Lector de segmentos heredados de Storage (roles/storage.legacyBucketReader) en el segmento bucket-1, pero que solo se han usado dos permisos de ese rol en los últimos 90 días: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"2a8784e529b80aea\"",
  "severity": "CRITICAL"
}

Para obtener más información sobre los componentes de una estadística, consulta la sección Revisar estadísticas de políticas a nivel de contenedor de esta página.

Consultar estadísticas de políticas a nivel de segmento

Una vez que obtengas una estadística, puedes revisar su contenido para comprender el patrón de uso de recursos que destaca.

Consola

Cuando haces clic en una estadística de políticas en la Google Cloud consola, la Google Cloud consola abre un panel con los detalles de la estadística. La apariencia de estos detalles depende de si la estadística está asociada a una recomendación.

Si la estadística está asociada a una recomendación, en el panel se muestran los detalles de la recomendación.

Si la estadística no está asociada a una recomendación, en el panel se muestra una lista de todos los permisos del rol. Los permisos que ha usado la entidad de seguridad aparecen en la parte superior de la lista, seguidos de los permisos excedentes.

gcloud

El contenido de una estadística se determina en función de sus subtipos. La información valiosa sobre las políticas a nivel de contenedor (google.iam.policy.Insight) tiene el subtipo PERMISSIONS_USAGE_STORAGE_BUCKET.

Las estadísticas de PERMISSIONS_USAGE_STORAGE_BUCKET tienen los siguientes componentes, no necesariamente en este orden:

  • associatedRecommendations: los identificadores de las recomendaciones asociadas a la estadística. Si no hay recomendaciones asociadas a la estadística, este campo estará vacío.
  • category: La categoría de las estadísticas de gestión de identidades y accesos siempre es SECURITY.

  • content: informa sobre el uso de permisos de una entidad de seguridad para un rol específico. Este campo contiene los siguientes componentes:

    • condition: cualquier condición asociada a la vinculación que concede el rol a la cuenta principal. Si no hay ninguna condición, este campo contiene una condición vacía.
    • exercisedPermissions: los permisos del rol que ha usado la entidad principal durante el periodo de observación.
    • inferredPermissions: Los permisos del rol que Recommender ha determinado, mediante ML, que es probable que la entidad principal necesite en función de los permisos que ha utilizado.
    • member: la entidad principal cuyo uso de permisos se ha analizado.
    • role: el rol para el que se ha analizado el uso del permiso.
  • description: resumen de la estadística legible por humanos.

  • etag: identificador único del estado actual de una estadística. Cada vez que cambia la estadística, se asigna un nuevo valor etag.

    Para cambiar el estado de una estadística, debe proporcionar el etag de la estadística en cuestión. El uso de etag ayuda a asegurarse de que las operaciones solo se realicen si la estadística no ha cambiado desde la última vez que la recuperaste.

  • insightSubtype: el subtipo de estadística.
  • lastRefreshTime: fecha de la última actualización de la estadística, que indica la actualización de los datos utilizados para generarla.

  • name: el nombre de la estadística, con el siguiente formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Los marcadores de posición tienen los siguientes valores:

    • PROJECT_ID: ID del proyecto en el que se ha generado la estadística.
    • LOCATION: la ubicación del cubo al que se refiere la estadística.
    • INSIGHT_ID: ID único de la estadística.
  • observationPeriod: el periodo previo a la estadística. Los datos de origen que se han usado para generar la estadística terminan el lastRefreshTime y empiezan el lastRefreshTime menos observationPeriod.

  • stateInfo: las estadísticas pasan por varias transiciones de estado después de que se proponen:

    • ACTIVE: Se ha generado la estadística, pero no se ha tomado ninguna medida o se ha tomado una medida sin actualizar el estado de la estadística. Los estadísticas activos se actualizan cuando cambian los datos subyacentes.
    • ACCEPTED: se ha tomado alguna medida en función de la estadística. Las estadísticas se aceptan cuando una recomendación asociada se marca como CLAIMED, SUCCEEDED o FAILED, o bien cuando se aceptan directamente. Cuando una estadística está en el estado ACCEPTED, su contenido no puede cambiar. Las estadísticas aceptadas se conservan durante 90 días después de aceptarse.
  • targetResources: el nombre completo del recurso del cubo al que corresponde la estadística. Por ejemplo, //storage.googleapis.com/my-bucket.

REST

El contenido de una estadística se determina en función de sus subtipos. La información valiosa sobre las políticas a nivel de contenedor (google.iam.policy.Insight) tiene el subtipo PERMISSIONS_USAGE_STORAGE_BUCKET.

Las estadísticas de PERMISSIONS_USAGE_STORAGE_BUCKET tienen los siguientes componentes, no necesariamente en este orden:

  • associatedRecommendations: los identificadores de las recomendaciones asociadas a la estadística. Si no hay recomendaciones asociadas a la estadística, este campo estará vacío.
  • category: La categoría de las estadísticas de gestión de identidades y accesos siempre es SECURITY.

  • content: informa sobre el uso de permisos de una entidad de seguridad para un rol específico. Este campo contiene los siguientes componentes:

    • condition: cualquier condición asociada a la vinculación que concede el rol a la cuenta principal. Si no hay ninguna condición, este campo contiene una condición vacía.
    • exercisedPermissions: los permisos del rol que ha usado la entidad principal durante el periodo de observación.
    • inferredPermissions: Los permisos del rol que Recommender ha determinado, mediante ML, que es probable que la entidad principal necesite en función de los permisos que ha utilizado.
    • member: la entidad principal cuyo uso de permisos se ha analizado.
    • role: el rol para el que se ha analizado el uso del permiso.
  • description: resumen de la estadística legible por humanos.

  • etag: identificador único del estado actual de una estadística. Cada vez que cambia la estadística, se asigna un nuevo valor etag.

    Para cambiar el estado de una estadística, debe proporcionar el etag de la estadística en cuestión. El uso de etag ayuda a asegurarse de que las operaciones solo se realicen si la estadística no ha cambiado desde la última vez que la recuperaste.

  • insightSubtype: el subtipo de estadística.
  • lastRefreshTime: fecha de la última actualización de la estadística, que indica la actualización de los datos utilizados para generarla.

  • name: el nombre de la estadística, con el siguiente formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Los marcadores de posición tienen los siguientes valores:

    • PROJECT_ID: ID del proyecto en el que se ha generado la estadística.
    • LOCATION: la ubicación del cubo al que se refiere la estadística.
    • INSIGHT_ID: ID único de la estadística.
  • observationPeriod: el periodo previo a la estadística. Los datos de origen que se han usado para generar la estadística terminan el lastRefreshTime y empiezan el lastRefreshTime menos observationPeriod.

  • stateInfo: las estadísticas pasan por varias transiciones de estado después de que se proponen:

    • ACTIVE: Se ha generado la estadística, pero no se ha tomado ninguna medida o se ha tomado una medida sin actualizar el estado de la estadística. Los estadísticas activos se actualizan cuando cambian los datos subyacentes.
    • ACCEPTED: se ha tomado alguna medida en función de la estadística. Las estadísticas se aceptan cuando una recomendación asociada se marca como CLAIMED, SUCCEEDED o FAILED, o bien cuando se aceptan directamente. Cuando una estadística está en el estado ACCEPTED, su contenido no puede cambiar. Las estadísticas aceptadas se conservan durante 90 días después de aceptarse.
  • targetResources: el nombre completo del recurso del cubo al que corresponde la estadística. Por ejemplo, //storage.googleapis.com/my-bucket.

Marcar un dato valioso de una política a nivel de segmento como ACCEPTED

Si tomas medidas basándote en una estadística activa, puedes marcarla como ACCEPTED. El estado ACCEPTED indica a la API Recommender que has tomado medidas en función de esta información valiosa, lo que ayuda a mejorar tus recomendaciones.

Las estadísticas aceptadas se conservan durante 90 días después de marcarse como ACCEPTED.

Consola

Si una estadística está asociada a una recomendación, aplicar la recomendación cambia el estado de la estadística a ACCEPTED.

Para marcar una estadística como ACCEPTED sin aplicar una recomendación, usa la CLI de gcloud o la API REST.

gcloud

Usa el comando gcloud recommender insights mark-accepted con el ID de la estadística para marcarla como ACCEPTED.

  • INSIGHT_ID: ID de la estadística que quieres ver. Para encontrar el ID, lista las estadísticas de tu proyecto.
  • PROJECT_ID: el ID del proyecto del que quieres gestionar las estadísticas.
  • LOCATION: la ubicación del contenedor cuya estadística quiere marcar como ACCEPTED.

  • ETAG: identificador de una versión de la estadística. Para obtener el etag, haz lo siguiente:

    1. Obtén la información valiosa con el comando gcloud recommender insights describe.
    2. Busca y copia el valor de etag en el resultado, incluidas las comillas. Por ejemplo, "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION \
    --etag=ETAG

El resultado muestra la estadística, ahora con el estado ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"0187c0362e4bcea7"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACCEPTED
targetResources:
- //storage.googleapis.com/bucket-1

Para obtener más información sobre el estado de una estadística, consulta la sección Revisar estadísticas de políticas a nivel de contenedor de esta página.

REST

El método insights.markAccepted de la API Recommender marca una estadística como ACCEPTED.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: el ID del proyecto del que quieres gestionar las estadísticas.
  • LOCATION: la ubicación del contenedor cuya estadística quiere marcar como ACCEPTED.
  • INSIGHT_ID: el ID de la estadística que quieres ver. Si no sabes cuál es el ID de la estadística, puedes encontrarlo consultando la lista de estadísticas de tu proyecto. El ID de una estadística es todo lo que hay después de insights/ en el campo name de la estadística.
  • ETAG: identificador de una versión de la estadística. Para obtener el etag, haz lo siguiente:
    1. Obtén la información valiosa con el método insights.get.
    2. Busca y copia el valor etag de la respuesta.

Método HTTP y URL: 

POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Cuerpo JSON de la solicitud: 

{
  "etag": "ETAG"
}

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta contiene la estadística, ahora con el estado ACCEPTED: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"9a5485cdc1f05b58\"",
  "severity": "CRITICAL"
}

Para obtener más información sobre el estado de una estadística, consulta la sección Revisar estadísticas de políticas a nivel de contenedor de esta página.

Siguientes pasos