Esamina gli approfondimenti sui criteri per i bucket Cloud Storage

Questa pagina mostra come gestire gli approfondimenti sulle policy a livello di bucket, ovvero i risultati basati sul machine learning relativi all'utilizzo delle autorizzazioni per i bucket Cloud Storage. Gli approfondimenti sui criteri possono aiutarti a identificare le entità che dispongono di autorizzazioni non necessarie.

Questa pagina è incentrata sugli approfondimenti sui criteri per i bucket. Recommender offre anche approfondimenti sulle norme per i seguenti tipi di risorse:

A volte gli approfondimenti sulle norme a livello di bucket sono collegati ai suggerimenti sui ruoli. I suggerimenti per i ruoli propongono azioni che puoi intraprendere per risolvere i problemi identificati dagli approfondimenti sulle policy a livello di bucket.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire gli approfondimenti sulle policy a livello di bucket, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

  • Amministratore spazio di archiviazione (roles/storage.admin)
  • Gestisci gli approfondimenti sulle policy a livello di bucket con gcloud CLI o l'API REST: Consumer di Service Usage (`roles/serviceusage.serviceUsageConsumer`)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire gli approfondimenti sulle policy a livello di bucket. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per gestire gli approfondimenti sulle policy a livello di bucket sono necessarie le seguenti autorizzazioni:

  • Per visualizzare gli approfondimenti sulle norme a livello di bucket:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Per modificare gli approfondimenti sulle policy a livello di bucket: recommender.iamPolicyInsights.update
  • Per gestire gli approfondimenti sui criteri a livello di bucket nella console Google Cloud :
    • resourcemanager.projects.get
    • storage.buckets.list
  • Gestisci gli approfondimenti sulle policy a livello di bucket con gcloud CLI o l'API REST: serviceusage.services.use

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Elenca gli approfondimenti sui criteri a livello di bucket

Per elencare tutti gli approfondimenti sulle norme a livello di bucket per il tuo progetto, utilizza uno dei seguenti metodi:

Console

  1. Nella console Google Cloud , vai alla pagina Bucket.

    Vai a Bucket

  2. Individua la colonna Insight sulla sicurezza nella tabella. Se la colonna Approfondimenti sulla sicurezza non è visibile, fai clic su  Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza.

    Questa colonna mostra un riepilogo di tutti gli approfondimenti sulle policy per il bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi nel bucket.

  3. Trova il bucket di cui vuoi visualizzare gli approfondimenti e fai clic sul riepilogo degli approfondimenti sui criteri nella riga. Questa azione apre il riquadro Consigli per la sicurezza, che elenca tutti i soggetti che hanno un ruolo nel bucket, i loro ruoli e tutti gli approfondimenti sulle policy associati a questi ruoli.

    In questa tabella, gli approfondimenti sulle norme hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni nel ruolo di cui l'entità non ha bisogno e TOTAL è il numero totale di autorizzazioni nel ruolo.

gcloud

Utilizza il comando gcloud recommender insights list per visualizzare tutti gli approfondimenti sulle norme a livello di bucket per il tuo progetto.

Prima di eseguire il comando, sostituisci i seguenti valori:

  • PROJECT_ID: l'ID del progetto per cui vuoi elencare gli approfondimenti.
  • LOCATION: La località dei bucket di cui vuoi elencare gli approfondimenti. 
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION\
    --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"

L'output elenca tutti gli approfondimenti sulle policy a livello di bucket per il tuo progetto nella posizione specificata. Ad esempio: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                   DESCRIPTION
00dd7eb5-15c2-4fb3-a9b2-1a85f842462b  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04307297-f57c-416d-9323-38abac450db0  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04845da5-74ba-46b4-a0f3-47d83095c261  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0a39f643-d7a8-4c11-b490-fecd74290fb5  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
0a4cee48-777b-4dea-a2b0-702b70da4b6f  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b2d147c-b26e-4afe-8fab-449c6e793750  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0bb3032d-721c-44e8-b464-5293f235281c  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  3 of the permissions in this role binding were used in the past 90 days.

REST

Il metodo insights.list dell'API Recommender elenca tutti gli approfondimenti sui criteri a livello di bucket per il tuo progetto.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID del progetto per cui vuoi elencare gli approfondimenti.
  • LOCATION: La località dei bucket di cui vuoi elencare gli approfondimenti.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET

Per inviare la richiesta, espandi una di queste opzioni:

La risposta elenca tutti gli approfondimenti sulle policy a livello di bucket per il tuo progetto nella posizione specificata. Ad esempio: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "allUsers",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-1"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"2a8784e529b80aea\"",
      "severity": "CRITICAL"
    },
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "projectViewer:my-project",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-2"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"5b60b935f27caf2c\"",
      "severity": "LOW"
    }
  ]
}

Per saperne di più sui componenti di un insight, consulta la sezione Esamina gli insight sulle norme a livello di bucket in questa pagina.

Recuperare un singolo insight sui criteri a livello di bucket

Per ottenere maggiori informazioni su un singolo approfondimento, inclusi descrizione, stato e eventuali consigli associati, utilizza uno dei seguenti metodi:

Console

  1. Nella console Google Cloud , vai alla pagina Bucket.

    Vai a Bucket

  2. Assicurati che la colonna Insight sulla sicurezza sia visibile.

  3. Individua la colonna Insight sulla sicurezza nella tabella. Questa colonna mostra un riepilogo di tutti gli approfondimenti sulle norme per il bucket. Ogni riepilogo indica il numero totale di autorizzazioni in eccesso per tutti i ruoli concessi nel bucket.

    Se la colonna Approfondimenti sulla sicurezza non è visibile, fai clic su  Opzioni di visualizzazione delle colonne e seleziona Approfondimenti sulla sicurezza. Quindi, trova la colonna nella tabella.

  4. Trova il bucket di cui vuoi visualizzare gli approfondimenti e fai clic sul riepilogo degli approfondimenti sui criteri nella riga. Si apre un riquadro che elenca tutte le entità che hanno un ruolo nel bucket, i loro ruoli e tutti gli approfondimenti sulle policy associati a questi ruoli.
  5. Nella colonna Approfondimenti sulla sicurezza, fai clic su un approfondimento sui criteri. Gli approfondimenti sulle norme hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni nel ruolo di cui l'entità non ha bisogno e TOTAL è il numero totale di autorizzazioni nel ruolo.

La Google Cloud console apre un riquadro che mostra i dettagli dell'approfondimento.

gcloud

Utilizza il comando gcloud recommender insights describe con l'ID insight per visualizzare informazioni su un singolo insight.

  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Per trovare l'ID, elenca gli approfondimenti per il tuo progetto.
  • PROJECT_ID: l'ID del progetto per cui vuoi gestire gli approfondimenti.
  • LOCATION: la posizione del bucket di cui vuoi ottenere l'insight. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION

L'output mostra in dettaglio l'approfondimento. Ad esempio, il seguente approfondimento indica che tutti gli utenti (allUsers) hanno il ruolo Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) nel bucket bucket-1, ma che solo due autorizzazioni in questo ruolo sono state utilizzate negli ultimi 90 giorni: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"2a8784e529b80aea"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACTIVE
targetResources:
- //storage.googleapis.com/bucket-1

Per saperne di più sui componenti di un insight, consulta la sezione Esamina gli insight sulle norme a livello di bucket in questa pagina.

REST

Il metodo insights.get dell'API Recommender recupera un singolo approfondimento.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID del progetto per cui vuoi gestire gli approfondimenti.
  • LOCATION: la posizione del bucket di cui vuoi ottenere l'insight.
  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Se non conosci l'ID approfondimento, puoi trovarlo elencando gli approfondimenti nel tuo progetto. L'ID di un insight è tutto ciò che segue insights/ nel campo name dell'insight.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene l'approfondimento. Ad esempio, il seguente approfondimento indica che tutti gli utenti (allUsers) hanno il ruolo Storage Legacy Bucket Reader (roles/storage.legacyBucketReader) nel bucket bucket-1, ma che solo due autorizzazioni in questo ruolo sono state utilizzate negli ultimi 90 giorni: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"2a8784e529b80aea\"",
  "severity": "CRITICAL"
}

Per saperne di più sui componenti di un insight, consulta la sezione Esamina gli insight sulle norme a livello di bucket in questa pagina.

Esaminare gli approfondimenti sulle policy a livello di bucket

Dopo aver ottenuto un singolo approfondimento, puoi esaminarne i contenuti per comprendere il pattern di utilizzo delle risorse che mette in evidenza.

Console

Quando fai clic su un approfondimento sui criteri nella console Google Cloud , la console Google Cloud apre un riquadro che mostra i dettagli dell'approfondimento. L'aspetto di questi dettagli dipende dal fatto che l'insight sia associato a un suggerimento.

Se l'approfondimento è associato a un suggerimento, il riquadro mostra i dettagli del suggerimento.

Se l'approfondimento non è associato a un consiglio, il riquadro mostra un elenco di tutte le autorizzazioni nel ruolo. Le autorizzazioni utilizzate dall'entità vengono visualizzate in cima all'elenco, seguite da quelle in eccesso.

gcloud

I contenuti di un approfondimento sono determinati dai relativi sottotipi. Gli insight sui criteri a livello di bucket (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE_STORAGE_BUCKET.

Gli approfondimenti di PERMISSIONS_USAGE_STORAGE_BUCKET sono composti dai seguenti elementi, non necessariamente in questo ordine:

  • associatedRecommendations: Gli identificatori di eventuali suggerimenti associati all'insight. Se non sono presenti suggerimenti associati all'insight, questo campo è vuoto.
  • category: la categoria per gli approfondimenti IAM è sempre SECURITY.

  • content: Mostra l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:

    • condition: eventuali condizioni associate al binding che concede il ruolo all'entità. Se non sono presenti condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzato dall'entità durante il periodo di osservazione.
    • inferredPermissions: Le autorizzazioni nel ruolo che Recommender ha determinato, tramite l'ML, che l'entità probabilmente avrà bisogno in base alle autorizzazioni esercitate.
    • member: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.
    • role: il ruolo per cui è stato analizzato l'utilizzo dell'autorizzazione.
  • description: un riepilogo dell'insight leggibile.

  • etag: un identificatore univoco per lo stato attuale di un insight. Ogni volta che l'insight cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un approfondimento, devi fornire etag dell'approfondimento esistente. L'utilizzo di etag consente di garantire che le operazioni vengano eseguite solo se l'insight non è cambiato dall'ultima volta che l'hai recuperato.

  • insightSubtype: Il sottotipo di insight.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'approfondimento, che indica l'aggiornamento dei dati utilizzati per generare l'approfondimento.

  • name: il nome dell'insight, nel seguente formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • PROJECT_ID: l'ID del progetto in cui è stato generato l'approfondimento.
    • LOCATION: la posizione del bucket a cui si riferisce l'insight.
    • INSIGHT_ID: un ID univoco per l'insight.
  • observationPeriod: Il periodo di tempo che precede l'insight. I dati di origine utilizzati per generare l'insight terminano il giorno lastRefreshTime e iniziano il giorno lastRefreshTime meno observationPeriod.

  • stateInfo: gli approfondimenti vengono sottoposti a più transizioni di stato dopo essere stati proposti:

    • ACTIVE: l'approfondimento è stato generato, ma non sono state intraprese azioni o è stata intrapresa un'azione senza aggiornare lo stato dell'approfondimento. Gli insight attivi vengono aggiornati quando cambiano i dati di base.
    • ACCEPTED: è stata intrapresa un'azione in base all'approfondimento. Gli approfondimenti vengono accettati quando un consiglio associato è stato contrassegnato come CLAIMED, SUCCEEDED o FAILED oppure quando l'approfondimento è stato accettato direttamente. Quando un approfondimento si trova nello stato ACCEPTED, il suo contenuto non può cambiare. Gli approfondimenti accettati vengono conservati per 90 giorni dopo l'accettazione.
  • targetResources: il nome completo della risorsa del bucket a cui si riferisce l'insight. Ad esempio, //storage.googleapis.com/my-bucket.

REST

I contenuti di un approfondimento sono determinati dai relativi sottotipi. Gli insight sui criteri a livello di bucket (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE_STORAGE_BUCKET.

Gli approfondimenti di PERMISSIONS_USAGE_STORAGE_BUCKET sono composti dai seguenti elementi, non necessariamente in questo ordine:

  • associatedRecommendations: Gli identificatori di eventuali suggerimenti associati all'insight. Se non sono presenti suggerimenti associati all'insight, questo campo è vuoto.
  • category: la categoria per gli approfondimenti IAM è sempre SECURITY.

  • content: Mostra l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:

    • condition: eventuali condizioni associate al binding che concede il ruolo all'entità. Se non sono presenti condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzato dall'entità durante il periodo di osservazione.
    • inferredPermissions: Le autorizzazioni nel ruolo che Recommender ha determinato, tramite l'ML, che l'entità probabilmente avrà bisogno in base alle autorizzazioni esercitate.
    • member: l'entità di cui è stato analizzato l'utilizzo delle autorizzazioni.
    • role: il ruolo per cui è stato analizzato l'utilizzo dell'autorizzazione.
  • description: un riepilogo dell'insight leggibile.

  • etag: un identificatore univoco per lo stato attuale di un insight. Ogni volta che l'insight cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un approfondimento, devi fornire etag dell'approfondimento esistente. L'utilizzo di etag consente di garantire che le operazioni vengano eseguite solo se l'insight non è cambiato dall'ultima volta che l'hai recuperato.

  • insightSubtype: Il sottotipo di insight.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'approfondimento, che indica l'aggiornamento dei dati utilizzati per generare l'approfondimento.

  • name: il nome dell'insight, nel seguente formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • PROJECT_ID: l'ID del progetto in cui è stato generato l'approfondimento.
    • LOCATION: la posizione del bucket a cui si riferisce l'insight.
    • INSIGHT_ID: un ID univoco per l'insight.
  • observationPeriod: Il periodo di tempo che precede l'insight. I dati di origine utilizzati per generare l'insight terminano il giorno lastRefreshTime e iniziano il giorno lastRefreshTime meno observationPeriod.

  • stateInfo: gli approfondimenti vengono sottoposti a più transizioni di stato dopo essere stati proposti:

    • ACTIVE: l'approfondimento è stato generato, ma non sono state intraprese azioni o è stata intrapresa un'azione senza aggiornare lo stato dell'approfondimento. Gli insight attivi vengono aggiornati quando cambiano i dati di base.
    • ACCEPTED: è stata intrapresa un'azione in base all'approfondimento. Gli approfondimenti vengono accettati quando un consiglio associato è stato contrassegnato come CLAIMED, SUCCEEDED o FAILED oppure quando l'approfondimento è stato accettato direttamente. Quando un approfondimento si trova nello stato ACCEPTED, il suo contenuto non può cambiare. Gli approfondimenti accettati vengono conservati per 90 giorni dopo l'accettazione.
  • targetResources: il nome completo della risorsa del bucket a cui si riferisce l'insight. Ad esempio, //storage.googleapis.com/my-bucket.

Contrassegnare un insight sulle policy a livello di bucket come ACCEPTED

Se intraprendi un'azione in base a un approfondimento attivo, puoi contrassegnarlo come ACCEPTED. Lo stato ACCEPTED indica all'API Recommender che hai intrapreso un'azione in base a questo approfondimento, il che contribuisce a perfezionare i tuoi consigli.

Gli approfondimenti accettati vengono conservati per 90 giorni dopo essere stati contrassegnati come ACCEPTED.

Console

Se un insight è associato a un consiglio, l'applicazione del consiglio modifica lo stato dell'insight in ACCEPTED.

Per contrassegnare un insight come ACCEPTED senza applicare un suggerimento, utilizza gcloud CLI o l'API REST.

gcloud

Utilizza il comando gcloud recommender insights mark-accepted con l'ID insight per contrassegnare un insight come ACCEPTED.

  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Per trovare l'ID, elenca gli approfondimenti per il tuo progetto.
  • PROJECT_ID: l'ID del progetto per cui vuoi gestire gli approfondimenti.
  • LOCATION: la posizione del bucket il cui insight vuoi contrassegnare come ACCEPTED.

  • ETAG: un identificatore per una versione dell'insight. Per ottenere etag, segui questi passaggi:

    1. Ottieni l'approfondimento utilizzando il comando gcloud recommender insights describe.
    2. Trova e copia il valore etag dall'output, incluse le virgolette di chiusura. Ad esempio, "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION \
    --etag=ETAG

L'output mostra l'approfondimento, ora con lo stato ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"0187c0362e4bcea7"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACCEPTED
targetResources:
- //storage.googleapis.com/bucket-1

Per saperne di più sullo stato di un insight, consulta la sezione Esamina gli insight sulle norme a livello di bucket in questa pagina.

REST

Il metodo insights.markAccepted dell'API Recommender contrassegna un approfondimento come ACCEPTED.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID del progetto per cui vuoi gestire gli approfondimenti.
  • LOCATION: la posizione del bucket il cui insight vuoi contrassegnare come ACCEPTED.
  • INSIGHT_ID: l'ID dell'insight che vuoi visualizzare. Se non conosci l'ID approfondimento, puoi trovarlo elencando gli approfondimenti nel tuo progetto. L'ID di un insight è tutto ciò che segue insights/ nel campo name dell'insight.
  • ETAG: un identificatore per una versione dell'insight. Per ottenere etag, procedi nel seguente modo:
    1. Ottieni l'approfondimento utilizzando il metodo insights.get.
    2. Trova e copia il valore di etag dalla risposta.

Metodo HTTP e URL: 

POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Corpo JSON della richiesta: 

{
  "etag": "ETAG"
}

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene l'approfondimento, ora con lo stato ACCEPTED: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"9a5485cdc1f05b58\"",
  "severity": "CRITICAL"
}

Per saperne di più sullo stato di un insight, consulta la sezione Esamina gli insight sulle norme a livello di bucket in questa pagina.

Passaggi successivi