Esamina gli insight sui criteri per progetti, cartelle e organizzazioni

Questa pagina mostra come gestire gli approfondimenti sui criteri, ovvero i risultati basati sul machine learning relativi all'utilizzo delle autorizzazioni. Le informazioni sui criteri possono aiutarti a identificare le entità che dispongono di autorizzazioni di cui non hanno bisogno.

Questa pagina è incentrata sugli approfondimenti sui criteri per progetti, cartelle e organizzazioni. Il Recommender offre anche approfondimenti sulle norme per i seguenti tipi di risorse:

A volte gli approfondimenti sulle norme sono collegati ai suggerimenti sui ruoli. I consigli sui ruoli suggeriscono le azioni che puoi intraprendere per risolvere i problemi identificati dagli approfondimenti sulle norme.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire gli insight sui criteri, chiedi all'amministratore di concederti i seguenti ruoli IAM per il progetto, la cartella o l'organizzazione per cui vuoi gestire gli insight:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire gli approfondimenti sui criteri. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per gestire gli approfondimenti sulle norme sono necessarie le seguenti autorizzazioni:

  • Per visualizzare gli approfondimenti sulle norme:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Per modificare gli approfondimenti sulle norme: recommender.iamPolicyInsights.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Elenco di insight sui criteri

Per elencare tutti gli insight sui criteri per il tuo progetto, la tua cartella o la tua organizzazione, utilizza uno dei seguenti metodi:

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona un progetto, una cartella o un'organizzazione.

La colonna Approfondimenti sulla sicurezza mostra tutti gli approfondimenti relativi alla sicurezza per il tuo progetto, inclusi gli approfondimenti sui criteri. Gli approfondimenti sui criteri hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni nel ruolo di cui l'entità non ha bisogno e TOTAL è il numero totale di autorizzazioni nel ruolo.

gcloud

Utilizza il comando gcloud recommender insights list per visualizzare tutti gli insight sui criteri per il tuo progetto, la tua cartella o la tua organizzazione.

Prima di eseguire il comando, sostituisci i seguenti valori:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi elencare gli approfondimenti. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi elencare gli approfondimenti. 
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

L'output elenca tutti gli insight sui criteri per il tuo progetto, la tua cartella o la tua organizzazione. Ad esempio: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE    DESCRIPTION
00133c0b-5431-4b30-9172-7c903aa4af24  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  9 of the permissions in this role binding were used in the past 90 days.
0161f2eb-acb7-4a5e-ad52-50284beaa312  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
01ea0d0d-e9a1-4073-9367-5a934a857fb4  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  1 of the permissions in this role binding were used in the past 90 days.
039407bc-a25b-4aeb-b573-5c851f2e9833  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  52 of the permissions in this role binding were used in the past 90 days.
0541df88-8bc3-44b3-ad5d-9cb372630aeb  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  31 of the permissions in this role binding were used in the past 90 days.
07841f74-02ce-4de8-bbe6-fc4eabb68568  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
07713094-fdee-4475-9c43-cd53d52c9de1  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  2 of the permissions in this role binding were used in the past 90 days.
0a438d19-9d63-4749-aadd-578aa4e77908  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE  0 of the permissions in this role binding were used in the past 90 days.
f4292f55-105b-4744-9dc3-fcacf59685bb  SECURITY  ACTIVE         2022-05-24T07:00:00Z  HIGH      PERMISSIONS_USAGE  4 of the permissions in this role binding were used in the past 90 days.

REST

Il metodo insights.list dell'API Recommender elenca tutti gli insight sui criteri per il tuo progetto, la tua cartella o la tua organizzazione.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi elencare gli approfondimenti. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi elencare gli approfondimenti.
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights

Per inviare la richiesta, espandi una di queste opzioni:

La risposta elenca tutti gli insight sui criteri per il tuo progetto, la tua cartella o la tua organizzazione. Ad esempio: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
      "description": "0 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/viewer",
        "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [],
        "inferredPermissions": []
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "PERMISSIONS_USAGE",
      "etag": "\"b153ab487e4ae100\"",
      "severity": "HIGH"
    },
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/f4292f55-105b-4744-9dc3-fcacf59685bb",
      "description": "4 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/owner",
        "member": "serviceAccount:my-service-account2@my-project.iam.gserviceaccount.com",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "iam.roles.create"
          },
          {
            "permission": "iam.roles.delete"
          },
          {
            "permission": "iam.roles.list"
          },
          {
            "permission": "iam.roles.update"
          }
        ],
        "inferredPermissions": []
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/6ab16c1d-edce-45e5-8d82-570fdd49892a"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "PERMISSIONS_USAGE",
      "etag": "\"49bb705553338fc3\"",
      "severity": "HIGH"
    }
  ]
}

Per saperne di più sui componenti di un'informazione, consulta la sezione Esaminare le informazioni sulle norme in questa pagina.

Ottenere un singolo insight sulle norme

Per ottenere ulteriori informazioni su un singolo insight, inclusa la descrizione, lo stato e gli eventuali consigli associati, utilizza uno dei seguenti metodi:

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Seleziona un progetto, una cartella o un'organizzazione.

  3. Nella colonna Approfondimenti sulla sicurezza, fai clic su un approfondimento sui criteri. Gli approfondimenti sui criteri hanno il formato EXCESS/TOTAL excess permissions, dove EXCESS è il numero di autorizzazioni nel ruolo di cui l'entità non ha bisogno e TOTAL è il numero totale di autorizzazioni nel ruolo.

Nella console Google Cloud si apre un riquadro che mostra i dettagli dell'intuizione.

gcloud

Utilizza il comando gcloud recommender insights describe con l'ID di un'informazione per visualizzare le informazioni su un singolo insight.

  • INSIGHT_ID: l'ID dell'informazione che vuoi visualizzare. Per trovare l'ID, elenca gli approfondimenti per il tuo progetto, la tua cartella o la tua organizzazione.
  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli approfondimenti. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli approfondimenti. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

L'output mostra l'informazione nel dettaglio. Ad esempio, la seguente informazione indica che my-service-account@my-project.iam.gserviceaccount.com non ha utilizzato autorizzazioni del ruolo Visualizzatore (roles/viewer) negli ultimi 90 giorni: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  exercisedPermissions: []
  inferredPermissions: []
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/viewer
description: 0 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
severity: HIGH
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Per saperne di più sui componenti di un'informazione, consulta Esaminare le informazioni sulle norme in questa pagina.

REST

Il metodo insights.get dell'API Recommender riceve un singolo insight.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli insight. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli approfondimenti.
  • INSIGHT_ID: l'ID dell'informazione che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencando gli insight nel progetto, nella cartella o nell'organizzazione. L'ID di un'informazione è tutto ciò che segue insights/ nel campo name dell'informazione.
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene l'insight. Ad esempio, la seguente informazione indica che my-service-account@my-project.iam.gserviceaccount.com non ha utilizzato autorizzazioni del ruolo Visualizzatore (roles/viewer) negli ultimi 90 giorni: 

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "0 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/viewer",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [],
    "inferredPermissions": []
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"d3cdec23cc712bd0\"",
  "severity": "HIGH"
}

Per saperne di più sui componenti di un'informazione, consulta Esaminare le informazioni sulle norme in questa pagina.

Esamina gli insight sulle norme

Dopo aver ottenuto un singolo insight, puoi esaminarne i contenuti per comprendere il pattern di utilizzo delle risorse evidenziato.

Console

Quando fai clic su un'informazione sui criteri nella console Google Cloud, si apre un riquadro che mostra i dettagli dell'informazione. L'aspetto di questi dettagli dipende dal fatto che l'informazione sia associata a un consiglio.

Se l'informazione è associata a un consiglio, il riquadro mostra i dettagli del consiglio.

Se l'informazione non è associata a un consiglio, il riquadro mostra un elenco di tutte le autorizzazioni nel ruolo. Le autorizzazioni utilizzate dall'entità vengono visualizzate nella parte superiore dell'elenco, seguite dalle autorizzazioni in eccesso.

gcloud

I contenuti di un'intuizione sono determinati dai relativi sottotipi. Gli insight sui criteri (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE.

Gli approfondimenti di PERMISSIONS_USAGE hanno i seguenti componenti, non necessariamente in questo ordine:

  • associatedRecommendations: gli identificatori di eventuali consigli associati all'approfondimento. Se non sono associati suggerimenti all'insight, questo campo è vuoto.
  • category: la categoria per gli approfondimenti IAM è sempre SECURITY.

  • content: registra l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:

    • condition: eventuali condizioni associate all'associazione che concedono all'entità il ruolo. Se non esistono condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzato dall'entità durante il periodo di osservazione.
    • inferredPermissions: le autorizzazioni nel ruolo che Recommender ha stabilito, tramite l'ML, che l'entità è probabile che abbia bisogno in base alle autorizzazioni esercitate.
    • member: l'entità principale di cui è stato analizzato l'utilizzo delle autorizzazioni.
    • role: il ruolo per cui è stato analizzato l'utilizzo delle autorizzazioni.
  • description: un riepilogo leggibile dell'intuizione.

  • etag: un identificatore univoco per lo stato corrente di un'intuizione. Ogni volta che l'insight cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un'intuizione, devi fornire il etag dell'intuizione esistente. L'utilizzo di etag consente di garantire che eventuali operazioni vengano eseguite solo se l'approfondimento non è cambiato dall'ultima volta che lo hai recuperato.

  • insightSubtype: il sottotipo di informazioni.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'approfondimento, che indica la frequenza di aggiornamento dei dati utilizzati per generarlo.

  • name: il nome dell'approfondimento, nel seguente formato:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • RESOURCE_TYPE: il tipo di risorsa per cui è stato generato l'approfondimento.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione in cui è stato generato l'approfondimento.
    • INSIGHT_ID: un ID univoco per l'approfondimento.
  • observationPeriod: il periodo di tempo che precede l'approfondimento. I dati di origine utilizzati per generare l'approfondimento terminano il giorno lastRefreshTime e iniziano il giorno lastRefreshTime meno observationPeriod.

  • stateInfo: gli approfondimenti passano attraverso più transizioni di stato dopo essere stati proposti:

    • ACTIVE: l'intuizione è stata generata, ma non sono state intraprese azioni o ne è stata intrapresa una senza aggiornare lo stato dell'intuizione. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano.
    • ACCEPTED: è stata intrapresa un'azione in base all'intuizione. Le informazioni vengono accettate quando un consiglio associato è contrassegnato come CLAIMED, SUCCEEDED o FAILED oppure quando l'informazione è stata accettata direttamente. Quando un'intuizione è nello stato ACCEPTED, i contenuti dell'intuizione non possono essere modificati. Gli approfondimenti accettati vengono conservati per 90 giorni dopo la loro accettazione.
  • targetResources: il nome completo della risorsa del progetto, della cartella o dell'organizzazione a cui si riferisce l'informazione. Ad esempio, //cloudresourcemanager.googleapis.com/projects/123456789012.

REST

I contenuti di un'intuizione sono determinati dai relativi sottotipi. Gli insight sui criteri (google.iam.policy.Insight) hanno il sottotipo PERMISSIONS_USAGE.

Gli approfondimenti di PERMISSIONS_USAGE hanno i seguenti componenti, non necessariamente in questo ordine:

  • associatedRecommendations: gli identificatori di eventuali consigli associati all'approfondimento. Se non sono associati suggerimenti all'insight, questo campo è vuoto.
  • category: la categoria per gli approfondimenti IAM è sempre SECURITY.

  • content: registra l'utilizzo delle autorizzazioni di un'entità per un ruolo specifico. Questo campo contiene i seguenti componenti:

    • condition: eventuali condizioni associate all'associazione che concedono all'entità il ruolo. Se non esistono condizioni, questo campo contiene una condizione vuota.
    • exercisedPermissions: le autorizzazioni nel ruolo utilizzato dall'entità durante il periodo di osservazione.
    • inferredPermissions: le autorizzazioni nel ruolo che Recommender ha stabilito, tramite l'ML, che l'entità è probabile che abbia bisogno in base alle autorizzazioni esercitate.
    • member: l'entità principale di cui è stato analizzato l'utilizzo delle autorizzazioni.
    • role: il ruolo per cui è stato analizzato l'utilizzo delle autorizzazioni.
  • description: un riepilogo leggibile dell'intuizione.

  • etag: un identificatore univoco per lo stato corrente di un'intuizione. Ogni volta che l'insight cambia, viene assegnato un nuovo valore etag.

    Per modificare lo stato di un'intuizione, devi fornire il etag dell'intuizione esistente. L'utilizzo di etag consente di garantire che eventuali operazioni vengano eseguite solo se l'approfondimento non è cambiato dall'ultima volta che lo hai recuperato.

  • insightSubtype: il sottotipo di informazioni.
  • lastRefreshTime: la data dell'ultimo aggiornamento dell'approfondimento, che indica la frequenza di aggiornamento dei dati utilizzati per generarlo.

  • name: il nome dell'approfondimento, nel seguente formato:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    I segnaposto hanno i seguenti valori:

    • RESOURCE_TYPE: il tipo di risorsa per cui è stato generato l'approfondimento.
    • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione in cui è stato generato l'approfondimento.
    • INSIGHT_ID: un ID univoco per l'approfondimento.
  • observationPeriod: il periodo di tempo che precede l'approfondimento. I dati di origine utilizzati per generare l'approfondimento terminano il giorno lastRefreshTime e iniziano il giorno lastRefreshTime meno observationPeriod.

  • stateInfo: gli approfondimenti passano attraverso più transizioni di stato dopo essere stati proposti:

    • ACTIVE: l'intuizione è stata generata, ma non sono state intraprese azioni o ne è stata intrapresa una senza aggiornare lo stato dell'intuizione. Gli insight attivi vengono aggiornati quando i dati sottostanti cambiano.
    • ACCEPTED: è stata intrapresa un'azione in base all'intuizione. Le informazioni vengono accettate quando un consiglio associato è contrassegnato come CLAIMED, SUCCEEDED o FAILED oppure quando l'informazione è stata accettata direttamente. Quando un'intuizione è nello stato ACCEPTED, i contenuti dell'intuizione non possono essere modificati. Gli approfondimenti accettati vengono conservati per 90 giorni dopo la loro accettazione.
  • targetResources: il nome completo della risorsa del progetto, della cartella o dell'organizzazione a cui si riferisce l'informazione. Ad esempio, //cloudresourcemanager.googleapis.com/projects/123456789012.

Contrassegnare un'informazione sulle norme come ACCEPTED

Se intervieni in base a un'intuizione attiva, puoi contrassegnarla come ACCEPTED. Lo stato ACCEPTED indica all'API Recommender che hai intrapreso un'azione in base a questa informazione, il che contribuisce a perfezionare i consigli.

Gli approfondimenti accettati vengono conservati per 90 giorni dopo essere stati contrassegnati come ACCEPTED.

Console

Se un insight è associato a un consiglio, l'applicazione del consiglio modifica lo stato dell'insight in ACCEPTED.

Per contrassegnare un'intuizione come ACCEPTED senza applicare un consiglio, utilizza l'interfaccia alla gcloud CLI o l'API REST.

gcloud

Utilizza il comando gcloud recommender insights mark-accepted con l'ID di un'informazione per contrassegnarla come ACCEPTED.

  • INSIGHT_ID: l'ID dell'informazione che vuoi visualizzare. Per trovare l'ID, elenca gli approfondimenti per il tuo progetto, la tua cartella o la tua organizzazione.
  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli approfondimenti. Utilizza il valore project, folder o organization.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli approfondimenti.

  • ETAG: un identificatore per una versione dell'approfondimento. Per ottenere il etag:

    1. Ottieni le informazioni utilizzando il comando gcloud recommender insights describe.
    2. Trova e copia il valore etag dall'output, incluse le virgolette. Ad esempio, "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --etag=ETAG

L'output mostra l'informazione, ora con lo stato ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  exercisedPermissions: []
  inferredPermissions: []
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/viewer
description: 0 of the permissions in this role binding were used in the past 90 days.
etag: '"b153ab487e4ae100"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
severity: HIGH
stateInfo:
  state: ACCEPTED
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Per scoprire di più sulle informazioni sullo stato di un'informazione, consulta la sezione Esaminare le informazioni sulle norme in questa pagina.

REST

Il metodo insights.markAccepted dell'API Recommender contrassegna un'intuizione come ACCEPTED.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire gli insight. Utilizza il valore projects, folders o organizations.
  • RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione per cui vuoi gestire gli approfondimenti.
  • INSIGHT_ID: l'ID dell'informazione che vuoi visualizzare. Se non conosci l'ID insight, puoi trovarlo elencando gli approfondimenti nel progetto, nella cartella o nell'organizzazione. L'ID di un'informazione è tutto ciò che segue insights/ nel campo name dell'informazione.
  • ETAG: un identificatore per una versione dell'approfondimento. Per ricevere il etag, procedi nel seguente modo:
    1. Ottieni le informazioni utilizzando il metodo insights.get.
    2. Individua e copia il valore etag dalla risposta.
  • PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo HTTP e URL: 

POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Corpo JSON della richiesta: 

{
  "etag": "ETAG"
}

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene l'insight, ora con lo stato ACCEPTED: 

{
  "name": "projects/1234567890/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "0 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/viewer",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [],
    "inferredPermissions": []
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACCEPTED"
    },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/1234567890/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"b153ab487e4ae100\"",
  "severity": "HIGH"
}

Per scoprire di più sulle informazioni sullo stato di un'informazione, consulta la sezione Esaminare le informazioni sulle norme in questa pagina.

Passaggi successivi