Revisar y aplicar recomendaciones de roles para segmentos de Cloud Storage

En esta página se explica cómo ver, entender y aplicar recomendaciones de roles de IAM para los contenedores de Cloud Storage. Las recomendaciones de roles te ayudan a aplicar el principio de mínimos accesos, ya que garantizan que las entidades de seguridad solo tengan los permisos que realmente necesitan.

Antes de empezar

  • Enable the IAM and Recommender APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  • Asegúrate de que tienes activado el nivel Premium o Enterprise de Security Command Center a nivel de organización o de proyecto. Para obtener más información, consulta las preguntas sobre la facturación.

  • Consulta qué son las recomendaciones de roles.

  • Configura la autenticación.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

      Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .

Roles de gestión de identidades y accesos necesarios

Para obtener los permisos que necesitas para gestionar las recomendaciones de roles a nivel de contenedor, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para gestionar las recomendaciones de roles a nivel de contenedor. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las recomendaciones de roles a nivel de contenedor, se necesitan los siguientes permisos:

  • Para ver las recomendaciones, siga estos pasos:
    • iam.roles.get
    • iam.roles.list
    • recommender.iamPolicyRecommendations.get
    • recommender.iamPolicyRecommendations.list
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
    • storage.buckets.getIamPolicy
  • Para aplicar y rechazar recomendaciones, sigue estos pasos:
    • recommender.iamPolicyRecommendations.update
    • storage.buckets.setIamPolicy

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Revisar y aplicar recomendaciones

Puedes revisar y aplicar recomendaciones de roles a nivel de cubo con la CLI de Google Cloud y la API Recommender.

Consola

  1. En la Google Cloud consola, ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  2. Busque la columna Novedades sobre seguridad. Si la columna no está visible, haga clic en Opciones de visualización de columnas y seleccione Estadísticas de seguridad.

    En la columna Estadísticas de seguridad se muestra un resumen de todas las estadísticas de las políticas de un contenedor. Cada resumen indica el número total de permisos excesivos de todos los roles concedidos en ese segmento.

    Si hay alguna recomendación disponible para abordar alguna de las estadísticas del segmento, la consola Google Cloud mostrará el icono Recomendación disponible .

  3. Si hay recomendaciones que revisar, haga clic en el resumen de una estadística de la política para abrir el panel Recomendaciones de seguridad. En este panel se muestran todos los principales que tienen un rol en el cubo, sus roles y las estadísticas de las políticas asociadas a esos roles.

  4. Haz clic en el icono Recomendación disponible para obtener información sobre la recomendación.

    Si la recomendación es reemplazar el rol, siempre se sugiere un conjunto de roles predefinidos que puedes aplicar.

    En algunos casos, la recomendación de rol también sugiere crear un rol personalizado a nivel de proyecto. Si hay una recomendación de rol personalizado disponible, la consola Google Cloud la muestra de forma predeterminada. Para cambiar a la recomendación de rol predefinido, haz clic en Ver rol predefinido recomendado.

  5. Revisa detenidamente la recomendación y asegúrate de que entiendes cómo cambiará el acceso del principal a los recursos de Google Cloud . Excepto en el caso de las recomendaciones para agentes de servicio, una recomendación nunca aumentará el nivel de acceso de un principal. Para obtener más información, consulta Cómo se generan las recomendaciones de roles.

    Para saber cómo revisar las recomendaciones en la consola, consulta el apartado Revisar recomendaciones de esta página.

  6. Opcional: Si la recomendación es crear un rol personalizado, actualiza el Título, la Descripción, el ID y la Fase de lanzamiento del rol según sea necesario.

    Si necesitas añadir permisos al rol personalizado, haz clic en Añadir permisos.

    Si necesita quitar permisos del rol personalizado, desmarque la casilla de cada permiso que quiera quitar.

  7. Toma medidas en función de la recomendación.

    Para aplicar la recomendación, haz clic en Aplicar o en Crear y aplicar. Si cambias de opinión en los próximos 90 días, consulta el historial de recomendaciones para deshacer tu elección.

    Para cerrar la recomendación, haz clic en Cerrar y confirma tu elección. Puedes restaurar una recomendación rechazada siempre que siga siendo válida.

  8. Repite los pasos anteriores hasta que hayas revisado todas tus recomendaciones.

gcloud

Revisa tus recomendaciones:

Para ver las recomendaciones a nivel de segmento, ejecuta el comando gcloud recommender recommendations list y filtra solo las recomendaciones de segmentos de Cloud Storage:

gcloud recommender recommendations list \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=json \
    --filter="recommenderSubtype:REMOVE_ROLE_STORAGE_BUCKET OR recommenderSubtype:REPLACE_ROLE_STORAGE_BUCKET"

Sustituye los siguientes valores:

  • LOCATION: la región en la que se encuentran tus segmentos de Cloud Storage (por ejemplo, us o us-central1).
  • PROJECT_ID: el ID del Google Cloud proyecto que contiene tus segmentos de Cloud Storage. Los IDs de proyecto son cadenas alfanuméricas, como my-project.

La respuesta es similar al siguiente ejemplo. En este ejemplo, todos los usuarios autenticados (allAuthenticatedUsers) tienen el rol Lector de objetos antiguos de Storage (roles/storage.legacyObjectReader) en el segmento mybucket. Sin embargo, este rol no se ha usado en los últimos 90 días. Por lo tanto, la recomendación de rol sugiere que revoques el rol:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "associatedResourceNames": [
      "//storage.googleapis.com/my-bucket"
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              },
              "resource": "//storage.googleapis.com/my-bucket",
              "resourceType": "storage.googleapis.com/Bucket"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "etag": "\"7caf4103d7669e12\"",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "priority": "P1",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Revisa detenidamente cada recomendación y piensa cómo cambiará el acceso del principal a los recursos de Google Cloud . Para saber cómo revisar las recomendaciones desde la CLI de gcloud, consulta la sección Revisar recomendaciones de esta página.

Para aplicar una recomendación, sigue estos pasos:

  1. Usa el comando gcloud recommender recommendations mark-claimed para cambiar el estado de la recomendación a CLAIMED,, lo que impide que la recomendación cambie mientras la aplicas:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sustituye los siguientes valores:

    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
    • LOCATION: la región en la que se encuentra tu segmento de Cloud Storage (por ejemplo, us o us-central1).
    • PROJECT_ID: el ID del Google Cloud proyecto que contiene tus segmentos de Cloud Storage. Los IDs de proyecto son cadenas alfanuméricas, como my-project.
    • FORMAT: el formato de la respuesta. Usa json o yaml.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Ten en cuenta que este valor puede incluir comillas.
    • STATE_METADATA: opcional. Pares clave-valor separados por comas que contienen los metadatos que elijas sobre la recomendación. Por ejemplo, --state-metadata=reviewedBy=alice,priority=high. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.

    Si el comando se ejecuta correctamente, la respuesta muestra la recomendación en estado CLAIMED, como se muestra en el siguiente ejemplo. Para mayor claridad, en el ejemplo se omiten la mayoría de los campos:

    ...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "CLAIMED"
}
...

  2. Obtén la política de permiso del segmento y, a continuación, modifica y define la política de permiso para que refleje la recomendación.

  3. Actualiza el estado de la recomendación a SUCCEEDED si has podido aplicarla o a FAILED si no has podido hacerlo:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=LOCATION \
    --recommender=google.iam.policy.Recommender \
    --project=PROJECT_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sustituye los siguientes valores:

    • COMMAND: usa mark-succeeded si has podido aplicar la recomendación o mark-failed si no has podido aplicarla.

    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
    • LOCATION: la región en la que se encuentra tu segmento de Cloud Storage (por ejemplo, us o us-central1).
    • PROJECT_ID: el ID del Google Cloud proyecto que contiene tus segmentos de Cloud Storage. Los IDs de proyecto son cadenas alfanuméricas, como my-project.
    • FORMAT: el formato de la respuesta. Usa json o yaml.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Ten en cuenta que este valor puede incluir comillas.
    • STATE_METADATA: opcional. Pares clave-valor separados por comas que contienen los metadatos que elijas sobre la recomendación. Por ejemplo, --state-metadata=reviewedBy=alice,priority=high. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.

    Por ejemplo, si has marcado la recomendación como aplicada correctamente, la respuesta mostrará la recomendación en el estado SUCCEEDED. Para mayor claridad, en este ejemplo se omiten la mayoría de los campos:

    ...
"priority": "P1",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
"stateInfo": {
  "state": "SUCCEEDED"
}
...

REST

Revisa tus recomendaciones:

Para ver todas las recomendaciones disponibles para tus segmentos de Cloud Storage, usa el método recommendations.list de la API Recommender.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: el ID del proyectoGoogle Cloud que contiene tus segmentos de Cloud Storage. Los IDs de proyecto son cadenas alfanuméricas, como my-project.
  • LOCATION: la región en la que se encuentran tus segmentos de Cloud Storage (por ejemplo, us o us-central1).
  • PAGE_SIZE: opcional. Número máximo de resultados que se devolverán en esta solicitud. Si no se especifica, el servidor determinará el número de resultados que se devolverán. Si el número de recomendaciones es superior al tamaño de la página, la respuesta contiene un token de paginación que puedes usar para obtener la siguiente página de resultados.
  • PAGE_TOKEN: opcional. El token de paginación devuelto en una respuesta anterior de este método. Si se especifica, la lista de recomendaciones empezará donde terminó la solicitud anterior.
  • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.

Método HTTP y URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations?filter=recommenderSubtype%20%3D%20REMOVE_ROLE_STORAGE_BUCKET%20OR%20recommenderSubtype%20%3D%20REPLACE_ROLE_STORAGE_BUCKET&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta es similar al siguiente ejemplo. En este ejemplo, todos los usuarios autenticados (allAuthenticatedUsers) tienen el rol Lector de objetos heredados de Storage (roles/storage.legacyObjectReader) en el segmento mybucket. Sin embargo, este rol no se ha usado en los últimos 90 días. Por lo tanto, la recomendación de rol sugiere que revoques el rol: 

{
  "recommendations": [
    "name": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/fbc885b7-f0a8-47e6-90fe-6141aa2c4257",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2022-05-24T07:00:00Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 1
        }
      }
    },
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "resourceType": "storage.googleapis.com/Bucket",
              "resource": "//storage.googleapis.com/my-bucket",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilters": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "allAuthenticatedUsers",
                "/iamPolicy/bindings/*/role": "roles/storage.legacyObjectReader"
              }
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    },
    "etag": "\"7caf4103d7669e12\"",
    "recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb"
      }
    ],
    "priority": "P1"
  ]
}

Revisa detenidamente cada recomendación y piensa cómo cambiará el acceso del principal a los recursos de Google Cloud . Para saber cómo revisar las recomendaciones de la API REST, consulta la sección Revisar recomendaciones de esta página.

Para aplicar una recomendación, sigue estos pasos:

  1. Marca la recomendación como CLAIMED:

    Para marcar una recomendación como CLAIMED, lo que impide que cambie mientras la aplicas, usa el método recommendations.markClaimed de la API Recommender.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • PROJECT_ID: el ID del proyectoGoogle Cloud que contiene tus segmentos de Cloud Storage. Los IDs de proyecto son cadenas alfanuméricas, como my-project.
    • LOCATION: la región en la que se encuentra tu segmento de Cloud Storage. Por ejemplo, us o us-central1.
    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Usa barras invertidas para escapar las comillas. Por ejemplo, "\"df7308cca9719dcc\"".
    • STATE_METADATA: opcional. Objeto que contiene pares clave-valor con los metadatos que elijas sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.

    Método HTTP y URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    Cuerpo JSON de la solicitud: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta muestra la recomendación en estado CLAIMED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo se omiten la mayoría de los campos: 

    ...
"stateInfo": {
  "state": "CLAIMED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

  2. Obtén la política de permiso del proyecto y, a continuación, modifica la política de permiso para que refleje la recomendación.

  3. Actualiza el estado de la recomendación a SUCCEEDED si has podido aplicarla o a FAILED si no has podido hacerlo:

    SUCCEEDED

    Para marcar una recomendación como SUCCEEDED, lo que indica que has podido aplicarla, usa el método recommendations.markSucceeded SUCCEEDED de la API Recommender.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • PROJECT_ID: el ID del proyectoGoogle Cloud que contiene tus segmentos de Cloud Storage. Los IDs de proyecto son cadenas alfanuméricas, como my-project.
    • LOCATION: la región en la que se encuentra tu segmento de Cloud Storage. Por ejemplo, us o us-central1.
    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Usa barras invertidas para escapar las comillas. Por ejemplo, "\"df7308cca9719dcc\"".
    • STATE_METADATA: opcional. Objeto que contiene pares clave-valor con los metadatos que elijas sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.

    Método HTTP y URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    Cuerpo JSON de la solicitud: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta muestra la recomendación en estado SUCCEEDED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo se omiten la mayoría de los campos: 

    ...
"stateInfo": {
  "state": "SUCCEEDED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

    FAILED

    Para marcar una recomendación como FAILED, lo que indica que no has podido aplicarla, usa el método recommendations.markFailed de la API Recommender.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • PROJECT_ID: el ID del proyectoGoogle Cloud que contiene tus segmentos de Cloud Storage. Los IDs de proyecto son cadenas alfanuméricas, como my-project.
    • LOCATION: la región en la que se encuentra tu segmento de Cloud Storage. Por ejemplo, us o us-central1.
    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Usa barras invertidas para escapar las comillas. Por ejemplo, "\"df7308cca9719dcc\"".
    • STATE_METADATA: opcional. Objeto que contiene pares clave-valor con los metadatos que elijas sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.

    Método HTTP y URL: 

    POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    Cuerpo JSON de la solicitud: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta muestra la recomendación en estado FAILED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo se omiten la mayoría de los campos: 

    ...
"stateInfo": {
  "state": "FAILED"
},
"etag": "\"7caf4103d7669e12\"",
"recommenderSubtype": "REMOVE_ROLE_STORAGE_BUCKET",
...

Información sobre las recomendaciones

Cada recomendación incluye información que te ayudará a entender por qué se ha hecho.

Consola

Para ayudarte a entender por qué se ha hecho la recomendación, la consolaGoogle Cloud muestra el uso de permisos de la entidad principal, tal como se indica en la estadística de la política asociada a la recomendación.

Para ayudarte a entender el impacto de aplicar la recomendación, la Google Cloud consola también muestra una lista de permisos codificada por colores y símbolos. En esta lista se indica cómo cambiarán los permisos de la cuenta principal si aplicas la recomendación. Por ejemplo, podría mostrar una lista como la siguiente:

Los tipos de permisos asociados a cada color y símbolo son los siguientes:

  • Gris sin símbolo: permisos que están tanto en el rol actual de la entidad principal como en los roles recomendados.

  • Rojo con un signo menos : permisos que tiene el rol actual de la entidad principal, pero no los roles recomendados, porque la entidad principal no los ha usado en los últimos 90 días.

  • Verde con un signo más : permisos que no están en el rol actual de la entidad principal, pero sí en los roles recomendados. Este tipo de permiso solo aparece en las recomendaciones para agentes del servicio.

  • Azul con el icono Aprendizaje automático : Permisos que están tanto en el rol actual de la cuenta principal como en los roles recomendados. No se debe a que la cuenta principal haya usado los permisos en los últimos 90 días, sino a que Recommender ha determinado mediante el aprendizaje automático que es probable que necesite esos permisos en el futuro.

gcloud

Cada recomendación incluye información que te ayudará a entender por qué se ha hecho.

Para obtener información sobre los campos de una recomendación, consulta la referencia de Recommendation.

Para ver el uso de permisos en el que se basa esta recomendación, consulta los estadísticas de la política asociadas a la recomendación. Estas estadísticas se muestran en el campo associatedInsights. Para ver una estadística de la política asociada a la recomendación, haz lo siguiente:

  1. Copia el ID de la estadística asociada. El ID es todo lo que hay después de insights/ en el campo insight. Por ejemplo, si en el campo insight se lee projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, el ID de la estadística es 7849add9-73c0-419e-b169-42b3671173fb.
  2. Sigue las instrucciones para obtener una estadística de la política con el ID de la estadística que has copiado.

REST

Cada recomendación incluye información que te ayudará a entender por qué se ha hecho.

Para obtener información sobre los campos de una recomendación, consulta la referencia de Recommendation.

Para ver el uso de permisos en el que se basa esta recomendación, consulta los estadísticas de la política asociadas a la recomendación. Estas estadísticas se muestran en el campo associatedInsights. Para ver una estadística de la política asociada a la recomendación, haz lo siguiente:

  1. Copia el ID de la estadística asociada. El ID es todo lo que hay después de insights/ en el campo insight. Por ejemplo, si en el campo insight se lee projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/7849add9-73c0-419e-b169-42b3671173fb, el ID de la estadística es 7849add9-73c0-419e-b169-42b3671173fb.
  2. Sigue las instrucciones para obtener una estadística de la política con el ID de la estadística que has copiado.

Ver, deshacer y restaurar cambios

Después de aplicar o rechazar una recomendación para una vinculación de rol a nivel de proyecto, esa acción aparece en el historial de recomendaciones.

Para ver el historial de recomendaciones de un contenedor en la Google Cloud consola, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Buckets.

    Ir a Contenedores

  2. Busque la columna Novedades sobre seguridad. Si la columna no está visible, haga clic en Opciones de visualización de columnas y seleccione Estadísticas de seguridad.

  3. Busca el contenedor cuyo historial de recomendaciones quieras ver y haz clic en el resumen de la información valiosa de seguridad de esa fila.

  4. En el panel Recomendaciones de seguridad que aparece, haz clic en la pestaña Historial de recomendaciones.

    La consola Google Cloud muestra una lista de las acciones anteriores relacionadas con tus recomendaciones de roles.

  5. Para ver los detalles de una recomendación, haga clic en la flecha para desplegar.

    La consola Google Cloud muestra detalles sobre la acción que se ha llevado a cabo, incluido el principal que ha realizado la acción:

  6. Opcional: Si es necesario, puede deshacer la recomendación, lo que deshace los cambios que se hayan aplicado, o restaurar una recomendación que haya rechazado.

    Para deshacer un cambio aplicado anteriormente en una recomendación, haz clic en Deshacer. La consola de Google Cloud revierte los cambios en los roles de la entidad. La recomendación ya no aparece en la consolaGoogle Cloud .

    Para restaurar una recomendación que se haya rechazado, haz clic en Restaurar. La recomendación se muestra en la página Gestión de identidades y accesos de la consolaGoogle Cloud . No se han cambiado roles ni permisos.

Siguientes pasos