En esta página, se muestra cómo administrar las estadísticas de políticas a nivel del bucket, que son resultados basados en el aprendizaje automático sobre el uso de permisos de tus buckets de Cloud Storage. Las estadísticas de políticas pueden ayudarte a identificar qué principales tienen permisos que no necesitan.
En esta página, se analizan las estadísticas de políticas para los buckets. El recomendador también ofrece estadísticas de políticas para los siguientes tipos de recursos:
A veces, las estadísticas de políticas a nivel del bucket se vinculan a las recommendations de roles. Las recomendaciones de roles sugieren acciones que puedes realizar para solucionar los problemas que identifican las estadísticas de las políticas a nivel del bucket.
Antes de comenzar
-
Enable the Recommender API.
- Familiaríazate con las recomendaciones de función de IAM.
- Asegúrate de tener una activación a nivel de la organización del nivel premium de Security Command Center. Para obtener más información, consulta Preguntas sobre facturación.
- Lee acerca de las Estadísticas del recomendador (opcional).
Roles obligatorios
Para obtener los permisos que necesitas para administrar las estadísticas de políticas a nivel del bucket, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
-
Administrador de almacenamiento (
roles/storage.admin
) - Administra las estadísticas de políticas a nivel del bucket con gcloud CLI o la API de REST: Consumidor de uso de servicio ("roles/serviceusage.serviceUsageConsumer")
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para administrar las estadísticas de políticas a nivel del bucket. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para administrar las estadísticas de políticas a nivel del bucket:
-
Para ver las estadísticas de políticas a nivel del bucket, haz lo siguiente:
-
recommender.iamPolicyInsights.get
-
recommender.iamPolicyInsights.list
-
-
Para modificar las estadísticas de políticas a nivel del bucket, haz lo siguiente:
recommender.iamPolicyInsights.update
-
Para administrar las estadísticas de políticas a nivel del bucket en la consola de Google Cloud, haz lo siguiente:
-
resourcemanager.projects.get
-
storage.buckets.list
-
-
Administra las estadísticas de políticas a nivel del bucket con gcloud CLI o la API de REST:
serviceusage.services.use
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Enumera las estadísticas de políticas a nivel del bucket
Para enumerar todas las estadísticas de políticas a nivel del bucket de tu proyecto, usa uno de los siguientes métodos:Console
-
En la consola de Google Cloud, ve a la página Buckets.
-
Busca la columna Estadísticas de seguridad en la tabla. Si no ves la columna Estadísticas de seguridad, haz clic en
Opciones de visualización de columnas y selecciona Estadísticas de seguridad.En esta columna, se muestra un resumen de todas las estadísticas de políticas del bucket. Cada resumen indica la cantidad total de permisos no utilizados para todos los roles otorgados en ese bucket.
-
Busca el bucket cuyas estadísticas deseas ver y haz clic en el resumen de estadísticas de políticas en esa fila. Esta acción abre el panel Recomendaciones de seguridad, que muestra una lista de todos los principales que tienen un rol en el bucket, sus roles y las estadísticas de políticas asociadas con esos roles.
En esta tabla, las estadísticas de políticas tienen el formato
EXCESS/TOTAL excess permissions
, en el queEXCESS
es la cantidad de permisos en el rol que la principal no necesita yTOTAL
es la cantidad total de permisos en el rol.
gcloud
Usa el comando gcloud recommender
insights list
para ver todas las estadísticas de políticas a nivel del bucket de tu proyecto.
Antes de ejecutar el comando, reemplaza los siguientes valores:
PROJECT_ID
: el ID del proyecto para el que deseas enumerar las estadísticas.LOCATION
: La ubicación de los buckets cuyas estadísticas deseas enumerar.
gcloud recommender insights list --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION\ --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"
En el resultado, se enumeran todas las estadísticas de políticas a nivel del bucket para tu proyecto en la ubicación especificada. Por ejemplo:
INSIGHT_ID CATEGORY INSIGHT_STATE LAST_REFRESH_TIME SEVERITY INSIGHT_SUBTYPE DESCRIPTION 00dd7eb5-15c2-4fb3-a9b2-1a85f842462b SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04307297-f57c-416d-9323-38abac450db0 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 04845da5-74ba-46b4-a0f3-47d83095c261 SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0a39f643-d7a8-4c11-b490-fecd74290fb5 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 2 of the permissions in this role binding were used in the past 90 days. 0a4cee48-777b-4dea-a2b0-702b70da4b6f SECURITY ACTIVE 2022-05-24T07:00:00Z CRITICAL PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b2d147c-b26e-4afe-8fab-449c6e793750 SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 0 of the permissions in this role binding were used in the past 90 days. 0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 1 of the permissions in this role binding were used in the past 90 days. 0bb3032d-721c-44e8-b464-5293f235281c SECURITY ACTIVE 2022-05-24T07:00:00Z LOW PERMISSIONS_USAGE_STORAGE_BUCKET 3 of the permissions in this role binding were used in the past 90 days.
REST
El método insights.list
de la API de recomendador enumera todas las estadísticas de políticas a nivel del bucket para tu proyecto.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
PROJECT_ID
: el ID del proyecto para el que deseas enumerar las estadísticas.LOCATION
: La ubicación de los buckets cuyas estadísticas deseas enumerar.
Método HTTP y URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET
Para enviar tu solicitud, expande una de estas opciones:
En la respuesta, se enumeran todas las estadísticas de políticas a nivel del bucket de tu proyecto en la ubicación especificada. Por ejemplo:
{ "insights": [ { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }, { "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "projectViewer:my-project", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6" } ], "targetResources": [ "//storage.googleapis.com/bucket-2" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"5b60b935f27caf2c\"", "severity": "LOW" } ] }
Para obtener más información sobre los componentes de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.
Obtén una sola estadística de políticas a nivel del bucket
Para obtener más información sobre una sola estadística, incluida la descripción, el estado y las recomendaciones asociadas, usa uno de los siguientes métodos:
Console
-
En la consola de Google Cloud, ve a la página Buckets.
- Asegúrate de que la columna Estadísticas de seguridad sea visible.
-
Busca la columna Estadísticas de seguridad en la tabla. En esta columna, se muestra un resumen de todas las estadísticas de políticas del bucket. Cada resumen indica la cantidad total de permisos no utilizados para todos los roles otorgados en ese bucket.
Si no ves la columna Estadísticas de seguridad, haz clic en
Opciones de visualización de columnas y selecciona Estadísticas de seguridad. Luego, busca la columna en la tabla. - Busca el bucket cuyas estadísticas deseas ver y haz clic en el resumen de estadísticas de políticas en esa fila. Se abrirá un panel que muestra una lista de todas las principales que tienen un rol en el bucket, sus roles y cualquier estadística de políticas asociada con esos roles.
-
En la columna Estadísticas de seguridad, haz clic en una estadística de políticas.
Las estadísticas de políticas tienen el formato
EXCESS/TOTAL excess permissions
, en el queEXCESS
es la cantidad de permisos en el rol que la principal no necesita yTOTAL
es la cantidad total de permisos en el rol.
La consola de Google Cloud abrirá un panel que muestra los detalles de la estadística.
gcloud
Usa el comando gcloud recommender
insights describe
con tu ID de estadística para ver información sobre una sola estadística de IAM.
-
INSIGHT_ID
: El ID de la estadística que deseas ver. Para encontrar el ID, enumera las estadísticas en el proyecto. PROJECT_ID
: El ID del proyecto para el que deseas administrar las estadísticasLOCATION
: Es la ubicación del bucket cuya estadística deseas obtener.
gcloud recommender insights describe INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION
En el resultado, se muestra la estadística en detalle. Por ejemplo, la siguiente estadística indica que todos los usuarios (allUsers
) tienen el rol de lector de bucket heredado de almacenamiento (roles/storage.legacyBucketReader
) en el bucket bucket-1
, pero que solo se usaron dos permisos en ese rol en los últimos 90 días:
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"2a8784e529b80aea"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACTIVE targetResources: - //storage.googleapis.com/bucket-1
Para obtener más información sobre los componentes de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.
REST
Con el método insights.get
de la API de recomendador, se obtiene una sola estadística.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
PROJECT_ID
: el ID del proyecto para el que deseas administrar las estadísticas. LOCATION
: Es la ubicación del bucket cuya estadística deseas obtener.-
INSIGHT_ID
: El ID de la estadística que deseas ver. Si no conoces el ID de estadística, puedes enumerar las estadísticas en tu proyecto para encontrarlo. El ID de una estadística es todo lo que se encuentra después deinsights/
en el camponame
de la estadística
Método HTTP y URL:
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene las estadísticas. Por ejemplo, la siguiente estadística indica que todos los usuarios (allUsers
) tienen el rol de lector de bucket heredado de almacenamiento (roles/storage.legacyBucketReader
) en el bucket bucket-1
, pero que solo se usaron dos permisos en ese rol en los últimos 90 días:
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACTIVE" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"2a8784e529b80aea\"", "severity": "CRITICAL" }
Para obtener más información sobre los componentes de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.
Revisa las estadísticas de las políticas a nivel del bucket
Después de obtener una sola estadística, puedes revisar su contenido para comprender el patrón de uso de recursos que destaca.
Console
Cuando haces clic en una estadística de política en la consola de Google Cloud, se abre un panel que muestra los detalles de la estadística. El aspecto de estos detalles depende de si la estadística está asociada con una recomendación.
Si la estadística está asociada con una recomendación, el panel muestra los detalles de la recomendación.
Si la estadística no está asociada con una recomendación, el panel muestra una lista de todos los permisos de la función. Los permisos que usó la principal aparecen en la parte superior de la lista, seguidos de los permisos excedentes.
gcloud
Los subtipos determinan el contenido de una estadística.
Las estadísticas de políticas a nivel del bucket (google.iam.policy.Insight
) tienen el subtipo PERMISSIONS_USAGE_STORAGE_BUCKET
.
Las estadísticas de PERMISSIONS_USAGE_STORAGE_BUCKET
tienen los siguientes componentes (en cualquier orden):
-
associatedRecommendations
: Los identificadores de cualquier recomendación asociada con la estadística. Si no hay recomendaciones asociadas con la estadística, este campo estará vacío. category
: La categoría de las estadísticas deSECURITY
y siempre es .-
content
: Informa el uso de los permisos de una principal para una función específica. En este campo, se encuentran los siguientes componentes:condition
: Cualquier condición relacionada con la vinculación que otorga la función a la principal. Si no hay condiciones, este campo contiene una condición vacíaexercisedPermissions
: Los permisos en la función que la principal usó durante el período de observacióninferredPermissions
: Los permisos en la función que el recomendador de IAM determinó a través del AA, que es probable que la principal necesite según los permisos que ejerció.member
: la principal cuyo uso de permisos se analizórole
: La función para la cual se analizó el uso de permisos
-
description
: Un resumen legible de la estadística -
etag
: un identificador único para el estado actual de una estadística. Cada vez que se modifica la estadística, se asigna un valoretag
nuevoPara cambiar el estado de una estadística, debes proporcionar la
etag
de la estadística existente. Usaretag
ayuda a garantizar que cualquier operación se realice solo si la estadística no cambió desde la última recuperación. -
insightSubtype
: el subtipo de estadística. -
lastRefreshTime
: La fecha en la que se actualizó la estadística por última vez, lo que indica la actualidad de los datos que se usaron para generar la estadística -
name
: El nombre de la estadística, en el siguiente formato:projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Los marcadores de posición tienen los siguientes valores:
PROJECT_ID
: El ID del proyecto en el que se generó la estadísticaLOCATION
: Es la ubicación del bucket para el que se genera la estadística.INSIGHT_ID
: Un ID único para la estadística
-
observationPeriod
: El período hasta llegar a la estadística. Los datos de origen que se usaron para generar la estadística finalizan enlastRefreshTime
y comienzan enlastRefreshTime
menosobservationPeriod
-
stateInfo
: Las estadísticas atraviesan varias transiciones de estado después de la propuesta:-
ACTIVE
: Se generó la estadística, pero no se realizó ninguna acción o se realizó una acción sin actualizar el estado de la estadística. Las estadísticas activas se actualizan cuando cambian los datos subyacentes. -
ACCEPTED
: Se realizaron acciones en función de la estadística. Se aceptan las estadísticas cuando una recomendación asociada se marcó comoCLAIMED
,SUCCEEDED
oFAILED
, o la estadística se aceptó directamente. Cuando una estadística se encuentra en el estadoACCEPTED
, el contenido de la estadística no puede cambiar. Las estadísticas aceptadas se conservan durante 90 días después de su aceptación.
-
-
targetResources
: Es el nombre completo del recurso del bucket para el que se creó la estadística. Por ejemplo,//storage.googleapis.com/my-bucket
.
REST
Los subtipos determinan el contenido de una estadística.
Las estadísticas de políticas a nivel del bucket (google.iam.policy.Insight
) tienen el subtipo PERMISSIONS_USAGE_STORAGE_BUCKET
.
Las estadísticas de PERMISSIONS_USAGE_STORAGE_BUCKET
tienen los siguientes componentes (en cualquier orden):
-
associatedRecommendations
: Los identificadores de cualquier recomendación asociada con la estadística. Si no hay recomendaciones asociadas con la estadística, este campo estará vacío. category
: La categoría de las estadísticas deSECURITY
y siempre es .-
content
: Informa el uso de los permisos de una principal para una función específica. En este campo, se encuentran los siguientes componentes:condition
: Cualquier condición relacionada con la vinculación que otorga la función a la principal. Si no hay condiciones, este campo contiene una condición vacíaexercisedPermissions
: Los permisos en la función que la principal usó durante el período de observacióninferredPermissions
: Los permisos en la función que el recomendador de IAM determinó a través del AA, que es probable que la principal necesite según los permisos que ejerció.member
: la principal cuyo uso de permisos se analizórole
: La función para la cual se analizó el uso de permisos
-
description
: Un resumen legible de la estadística -
etag
: un identificador único para el estado actual de una estadística. Cada vez que se modifica la estadística, se asigna un valoretag
nuevoPara cambiar el estado de una estadística, debes proporcionar la
etag
de la estadística existente. Usaretag
ayuda a garantizar que cualquier operación se realice solo si la estadística no cambió desde la última recuperación. -
insightSubtype
: el subtipo de estadística. -
lastRefreshTime
: La fecha en la que se actualizó la estadística por última vez, lo que indica la actualidad de los datos que se usaron para generar la estadística -
name
: El nombre de la estadística, en el siguiente formato:projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID
Los marcadores de posición tienen los siguientes valores:
PROJECT_ID
: El ID del proyecto en el que se generó la estadísticaLOCATION
: Es la ubicación del bucket para el que se genera la estadística.INSIGHT_ID
: Un ID único para la estadística
-
observationPeriod
: El período hasta llegar a la estadística. Los datos de origen que se usaron para generar la estadística finalizan enlastRefreshTime
y comienzan enlastRefreshTime
menosobservationPeriod
-
stateInfo
: Las estadísticas atraviesan varias transiciones de estado después de la propuesta:-
ACTIVE
: Se generó la estadística, pero no se realizó ninguna acción o se realizó una acción sin actualizar el estado de la estadística. Las estadísticas activas se actualizan cuando cambian los datos subyacentes. -
ACCEPTED
: Se realizaron acciones en función de la estadística. Se aceptan las estadísticas cuando una recomendación asociada se marcó comoCLAIMED
,SUCCEEDED
oFAILED
, o la estadística se aceptó directamente. Cuando una estadística se encuentra en el estadoACCEPTED
, el contenido de la estadística no puede cambiar. Las estadísticas aceptadas se conservan durante 90 días después de su aceptación.
-
-
targetResources
: Es el nombre completo del recurso del bucket para el que se creó la estadística. Por ejemplo,//storage.googleapis.com/my-bucket
.
Marca una estadística de política a nivel del bucket como ACCEPTED
Si realizas acciones basadas en una estadística activa, puedes marcar esa estadística como ACCEPTED
. El estado ACCEPTED
le indica a la API de recomendador que realizaste acciones basadas en esta estadística, lo que ayuda a definir mejor las recomendaciones.
Las estadísticas aceptadas se conservan durante 90 días después de que se marcan como ACCEPTED
.
Console
Si una estadística está asociada con una recomendación, aplicar la recomendación cambia el estado de la estadística a ACCEPTED
.
Para marcar una estadística como ACCEPTED
sin aplicar una recomendación, usa la CLI de gcloud o la API de REST.
gcloud
Usa el comando
gcloud recommender insights mark-accepted
con el ID de estadística para marcar una estadística como ACCEPTED
.
-
INSIGHT_ID
: El ID de la estadística que deseas ver. Para encontrar el ID, enumera las estadísticas en el proyecto. PROJECT_ID
: El ID del proyecto para el que deseas administrar las estadísticasLOCATION
: Es la ubicación del bucket cuya estadística deseas marcar comoACCEPTED
.-
ETAG
: Un identificador para una versión de la estadística. Para obtener laetag
, haz lo siguiente:-
Obtén la estadística mediante el comando
gcloud recommender insights describe
. -
Busca y copia el valor
etag
del resultado, incluidas las comillas delimitantes. Por ejemplo,"d3cdec23cc712bd0"
-
Obtén la estadística mediante el comando
gcloud recommender insights mark-accepted INSIGHT_ID \ --insight-type=google.iam.policy.Insight \ --project=PROJECT_ID \ --location=LOCATION \ --etag=ETAG
En el resultado, se muestra la estadística, ahora con el estado ACCEPTED
:
associatedRecommendations: - recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883 category: SECURITY content: condition: description: '' expression: '' location: '' title: '' currentTotalPermissionsCount: '3' exercisedPermissions: - permission: storage.buckets.get - permission: storage.objects.list inferredPermissions: [] member: allUsers role: roles/storage.legacyBucketReader description: 2 of the permissions in this role binding were used in the past 90 days. etag: '"0187c0362e4bcea7"' insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET lastRefreshTime: '2022-05-24T07:00:00Z' name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b observationPeriod: 7772400s severity: CRITICAL stateInfo: state: ACCEPTED targetResources: - //storage.googleapis.com/bucket-1
Para obtener más información sobre la información de estado de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.
REST
Mediante el método insights.markAccepted
de la API de recomendador, se marca una estadística como ACCEPTED
.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
PROJECT_ID
: el ID del proyecto para el que deseas administrar las estadísticas. LOCATION
: Es la ubicación del bucket cuya estadística deseas marcar comoACCEPTED
.-
INSIGHT_ID
: El ID de la estadística que deseas ver. Si no conoces el ID de estadística, puedes enumerar las estadísticas en tu proyecto para encontrarlo. El ID de una estadística es todo lo que se encuentra después deinsights/
en el camponame
de la estadística -
ETAG
: Un identificador para una versión de la estadística. Para obtener laetag
, haz lo siguiente:- Obtén la estadística mediante el método
insights.get
. - Busca y copia el valor
etag
de la respuesta.
- Obtén la estadística mediante el método
Método HTTP y URL:
POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted
Cuerpo JSON de la solicitud:
{ "etag": "ETAG" }
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene la estadística, ahora con el estado ACCEPTED
:
{ "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b", "description": "2 of the permissions in this role binding were used in the past 90 days.", "content": { "role": "roles/storage.legacyBucketReader", "member": "allUsers", "condition": { "expression": "", "title": "", "description": "", "location": "" }, "exercisedPermissions": [ { "permission": "storage.buckets.get" }, { "permission": "storage.objects.list" } ], "inferredPermissions": [], "currentTotalPermissionsCount": "3" }, "lastRefreshTime": "2022-05-24T07:00:00Z", "observationPeriod": "7772400s", "stateInfo": { "state": "ACCEPTED" }, "category": "SECURITY", "associatedRecommendations": [ { "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883" } ], "targetResources": [ "//storage.googleapis.com/bucket-1" ], "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET", "etag": "\"9a5485cdc1f05b58\"", "severity": "CRITICAL" }
Para obtener más información sobre la información de estado de una estadística, consulta Revisa las estadísticas de políticas a nivel del bucket en esta página.
¿Qué sigue?
- Obtén más información para ver y aplicar recomendaciones de políticas para los buckets de Cloud Storage.
- Usa el Centro de recomendaciones a fin de ver y administrar todas las recomendaciones para el proyecto, incluidas las recomendaciones de IAM.