Revisar y aplicar recomendaciones de roles para proyectos, carpetas y organizaciones

En esta página se explica cómo ver, entender y aplicar recomendaciones de roles en proyectos, carpetas y organizaciones. Las recomendaciones de roles te ayudan a aplicar el principio de mínimos accesos, ya que garantizan que las entidades solo tengan los permisos que realmente necesitan.

Antes de empezar

  • Enable the IAM and Recommender APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  • Consulta qué son las recomendaciones de roles.

  • Consulta las prácticas recomendadas para las recomendaciones de roles.

  • Opcional: Si quieres ver y gestionar recomendaciones de roles que no sean básicos ni personalizados, asegúrate de que el nivel Premium o Enterprise de Security Command Center esté activado en tu organización o proyecto. Para obtener más información, consulta las preguntas sobre la facturación.

  • Configura la autenticación.

    Select the tab for how you plan to use the samples on this page:

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

      Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

      gcloud init

      Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

    Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .

Roles de gestión de identidades y accesos necesarios

En esta sección se describen los roles y permisos de gestión de identidades y accesos que necesitas para trabajar con las recomendaciones de roles.

Ver recomendaciones

Para obtener los permisos que necesitas para ver las recomendaciones de roles, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el recurso para el que quieras ver las recomendaciones (proyecto, carpeta u organización):

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver las recomendaciones de roles. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para ver las recomendaciones de roles, se necesitan los siguientes permisos:

  • iam.roles.get
  • iam.roles.list
  • recommender.iamPolicyRecommendations.get
  • recommender.iamPolicyRecommendations.list
  • recommender.iamPolicyInsights.get
  • recommender.iamPolicyInsights.list
  • recommender.iamPolicyLateralMovementInsights.get
  • recommender.iamPolicyLateralMovementInsights.list
  • Para ver las recomendaciones en la consola, sigue estos pasos: resourcemanager.RESOURCE.getIamPolicy, donde RESOURCE es el tipo de recurso del que quieres ver las recomendaciones (projects, folders o organizations). Google Cloud

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Aplicar y rechazar recomendaciones

Para obtener los permisos que necesitas para ver, aplicar y descartar recomendaciones de roles, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el recurso para el que quieras gestionar las recomendaciones (proyecto, carpeta u organización):

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver, aplicar y rechazar recomendaciones de roles. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para ver, aplicar y rechazar recomendaciones de roles, se necesitan los siguientes permisos:

  • iam.roles.get
  • iam.roles.list
  • recommender.iamPolicyRecommendations.get
  • recommender.iamPolicyRecommendations.list
  • recommender.iamPolicyInsights.get
  • recommender.iamPolicyInsights.list
  • recommender.iamPolicyLateralMovementInsights.get
  • recommender.iamPolicyLateralMovementInsights.list
  • recommender.iamPolicyRecommendations.update
  • resourcemanager.RESOURCE.getIamPolicy, donde RESOURCE es el tipo de recurso para el que quieres gestionar las recomendaciones (projects, folders o organizations).
  • resourcemanager.RESOURCE.setIamPolicy, donde RESOURCE es el tipo de recurso para el que quieres gestionar las recomendaciones (projects, folders o organizations).

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Revisar y aplicar recomendaciones

La forma más sencilla de revisar y aplicar tus recomendaciones es usar laGoogle Cloud consola. Además, si quieres crear automáticamente un rol personalizado al aplicar una recomendación, debes usar la Google Cloud consola.

También puedes consultar y aplicar recomendaciones con Google Cloud CLI y la API Recommender.

Consola

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. Selecciona un proyecto, una carpeta o una organización.

  3. En la lista de principales que tienen acceso a tu proyecto, busca la columna Información valiosa de seguridad.

    En cada rol concedido a un principal, esta columna muestra información valiosa relacionada con la seguridad. Estas estadísticas destacan patrones sobre cómo acceden tus principales a los recursos. Por ejemplo, algunas estadísticas destacan los permisos excesivos, es decir, los permisos que no necesita una cuenta principal. Otros estadísticas destacan las cuentas de servicio con capacidades de movimiento lateral:

    Si hay una recomendación disponible para abordar una estadística, en la consolaGoogle Cloud se muestra el icono Recomendación disponible .

  4. Si hay recomendaciones que revisar, haz clic en el icono Recomendación disponible para obtener más información sobre la recomendación.

    Si la recomendación es reemplazar el rol, siempre se sugiere un conjunto de roles predefinidos que puedes aplicar.

    En algunos casos, la recomendación de rol también sugiere crear un rol personalizado a nivel de proyecto. Si hay una recomendación de rol personalizado disponible, la consola Google Cloud la muestra de forma predeterminada. Para cambiar a la recomendación de rol predefinido, haz clic en Ver rol predefinido recomendado.

  5. Revisa detenidamente la recomendación y asegúrate de que entiendes cómo cambiará el acceso del principal a los recursos de Google Cloud . Excepto en el caso de las recomendaciones para agentes de servicio, una recomendación nunca aumentará el nivel de acceso de un principal. Para obtener más información, consulta Cómo se generan las recomendaciones de roles.

    Para saber cómo revisar las recomendaciones en la consola, consulta el apartado Revisar recomendaciones de esta página.

  6. Opcional: Si la recomendación es crear un rol personalizado, actualiza el Título, la Descripción, el ID y la Fase de lanzamiento del rol según sea necesario.

    Si necesitas añadir permisos al rol personalizado, haz clic en Añadir permisos.

    Si necesita quitar permisos del rol personalizado, desmarque la casilla de cada permiso que quiera quitar.

  7. Toma medidas en función de la recomendación.

    Para aplicar la recomendación, haz clic en Aplicar o en Crear y aplicar. Si cambias de opinión en los próximos 90 días, consulta el historial de recomendaciones para deshacer tu elección.

    Para cerrar la recomendación, haz clic en Cerrar y confirma tu elección. Puedes restaurar una recomendación rechazada siempre que siga siendo válida.

  8. Repite los pasos anteriores hasta que hayas revisado todas tus recomendaciones.

gcloud

Revisa tus recomendaciones:

Para ver una lista de tus recomendaciones, ejecuta el comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=json

Sustituye los siguientes valores:

  • RESOURCE_TYPE: el tipo de recurso del que quieres obtener recomendaciones. Usa el valor project, folder o organization.
  • RESOURCE_ID: el ID del Google Cloud proyecto, la carpeta o la organización de los que quieres obtener una lista de recomendaciones. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.

La respuesta es similar al siguiente ejemplo. En este ejemplo, una cuenta de servicio no ha usado ningún permiso del rol Administrador de Compute (roles/compute.admin) en los últimos 90 días. Por lo tanto, la recomendación de rol sugiere que revoques el rol:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Revisa detenidamente cada recomendación y piensa cómo cambiará el acceso del principal a los recursos de Google Cloud . Para saber cómo revisar las recomendaciones desde la CLI de gcloud, consulta la sección Revisar recomendaciones de esta página.

Para aplicar una recomendación, sigue estos pasos:

  1. Usa el comando gcloud recommender recommendations mark-claimed para cambiar el estado de la recomendación a CLAIMED,, lo que impide que la recomendación cambie mientras la aplicas:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sustituye los siguientes valores:

    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. En el ejemplo anterior, el ID es fb927dc1-9695-4436-0000-f0f285007c0f.
    • RESOURCE_TYPE: el tipo de recurso para el que quieres gestionar las recomendaciones. Usa el valor project, folder o organization.
    • RESOURCE_ID: el ID del proyecto, la carpeta o la organización Google Cloud para los que quieres gestionar las recomendaciones. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
    • FORMAT: el formato de la respuesta. Usa json o yaml.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Ten en cuenta que este valor puede incluir comillas.
    • STATE_METADATA: opcional. Pares clave-valor separados por comas que contienen los metadatos que elijas sobre la recomendación. Por ejemplo, --state-metadata=reviewedBy=alice,priority=high. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.

    Si el comando se ejecuta correctamente, la respuesta muestra la recomendación en estado CLAIMED, como se muestra en el siguiente ejemplo. Para mayor claridad, en el ejemplo se omiten la mayoría de los campos:

    [
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"df7308cca9719dcc\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]

  2. Obtén la política de permiso del proyecto y, a continuación, modifica y define la política de permiso para que refleje la recomendación.

  3. Actualiza el estado de la recomendación a SUCCEEDED si has podido aplicarla o a FAILED si no has podido hacerlo:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Sustituye los siguientes valores:

    • COMMAND: usa mark-succeeded si has podido aplicar la recomendación o mark-failed si no has podido aplicarla.

    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. En el ejemplo anterior, el ID es fb927dc1-9695-4436-0000-f0f285007c0f.
    • RESOURCE_TYPE: el tipo de recurso para el que quieres gestionar las recomendaciones. Usa el valor project, folder o organization.
    • RESOURCE_ID: el ID del proyecto, la carpeta o la organización Google Cloud para los que quieres gestionar las recomendaciones. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
    • FORMAT: el formato de la respuesta. Usa json o yaml.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Ten en cuenta que este valor puede incluir comillas.
    • STATE_METADATA: opcional. Pares clave-valor separados por comas que contienen los metadatos que elijas sobre la recomendación. Por ejemplo, --state-metadata=reviewedBy=alice,priority=high. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.

    Por ejemplo, si has marcado la recomendación como aplicada correctamente, la respuesta mostrará la recomendación en el estado SUCCEEDED. Para mayor claridad, en este ejemplo se omiten la mayoría de los campos:

    [
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"dd0686e7136a4cbb\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]

REST

Revisa tus recomendaciones:

Para mostrar todas las recomendaciones disponibles de tu proyecto, carpeta u organización, usa el método recommendations.list de la API Recommender.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso para el que quieres gestionar las recomendaciones. Usa el valor projects, folders o organizations.
  • RESOURCE_ID: el ID delGoogle Cloud proyecto, la carpeta o la organización para los que quieres gestionar las recomendaciones. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
  • PAGE_SIZE: opcional. Número máximo de resultados que se devolverán en esta solicitud. Si no se especifica, el servidor determinará el número de resultados que se devolverán. Si el número de recomendaciones es superior al tamaño de la página, la respuesta contiene un token de paginación que puedes usar para obtener la siguiente página de resultados.
  • PAGE_TOKEN: opcional. El token de paginación devuelto en una respuesta anterior de este método. Si se especifica, la lista de recomendaciones empezará donde terminó la solicitud anterior.
  • FILTER: opcional. Una expresión de filtro para restringir las recomendaciones devueltas. Puede filtrar las recomendaciones en función del campo stateInfo.state. Por ejemplo, stateInfo.state:"DISMISSED" o stateInfo.state:"FAILED".
  • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.

Método HTTP y URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta es similar al siguiente ejemplo. En este ejemplo, una cuenta de servicio del proyecto example-project no ha usado ningún permiso del rol Administrador de Compute (roles/compute.admin) en los últimos 90 días. Por lo tanto, Recommender te sugiere que revoques el rol: 

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

Revisa detenidamente cada recomendación y piensa cómo cambiará el acceso del principal a los recursos de Google Cloud . Para saber cómo revisar las recomendaciones de la API REST, consulta la sección Revisar recomendaciones de esta página.

Para aplicar una recomendación, sigue estos pasos:

  1. Marca la recomendación como CLAIMED:

    Para marcar una recomendación como CLAIMED, lo que impide que cambie mientras la aplicas, usa el método recommendations.markClaimed de la API Recommender.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • RESOURCE_TYPE: el tipo de recurso para el que quieres gestionar las recomendaciones. Usa el valor projects, folders o organizations.
    • RESOURCE_ID: el ID delGoogle Cloud proyecto, la carpeta o la organización para los que quieres gestionar las recomendaciones. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Usa barras invertidas para escapar las comillas. Por ejemplo, "\"df7308cca9719dcc\"".
    • STATE_METADATA: opcional. Objeto que contiene pares clave-valor con los metadatos que elijas sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.
    • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.

    Método HTTP y URL: 

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    Cuerpo JSON de la solicitud: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta muestra la recomendación en estado CLAIMED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo se omiten la mayoría de los campos: 

    {
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}

  2. Obtén la política de permiso del proyecto y, a continuación, modifica la política de permiso para que refleje la recomendación.

  3. Actualiza el estado de la recomendación a SUCCEEDED si has podido aplicarla o a FAILED si no has podido hacerlo:

    SUCCEEDED

    Para marcar una recomendación como SUCCEEDED, lo que indica que has podido aplicarla, usa el método recommendations.markSucceeded SUCCEEDED de la API Recommender.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • RESOURCE_TYPE: el tipo de recurso para el que quieres gestionar las recomendaciones. Usa el valor projects, folders o organizations.
    • RESOURCE_ID: el ID delGoogle Cloud proyecto, la carpeta o la organización para los que quieres gestionar las recomendaciones. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Usa barras invertidas para escapar las comillas. Por ejemplo, "\"df7308cca9719dcc\"".
    • STATE_METADATA: opcional. Objeto que contiene pares clave-valor con los metadatos que elijas sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.
    • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.

    Método HTTP y URL: 

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    Cuerpo JSON de la solicitud: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta muestra la recomendación en estado SUCCEEDED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo se omiten la mayoría de los campos: 

    {
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}

    FAILED

    Para marcar una recomendación como FAILED, lo que indica que no has podido aplicarla, usa el método recommendations.markFailed de la API Recommender.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • RESOURCE_TYPE: el tipo de recurso para el que quieres gestionar las recomendaciones. Usa el valor projects, folders o organizations.
    • RESOURCE_ID: el ID delGoogle Cloud proyecto, la carpeta o la organización para los que quieres gestionar las recomendaciones. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
    • RECOMMENDATION_ID: identificador único de la recomendación. Este valor aparece al final del campo name de la recomendación. Por ejemplo, si el campo name es projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, el ID de recomendación es fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: valor del campo etag de la recomendación, como "dd0686e7136a4cbb". Usa barras invertidas para escapar las comillas. Por ejemplo, "\"df7308cca9719dcc\"".
    • STATE_METADATA: opcional. Objeto que contiene pares clave-valor con los metadatos que elijas sobre la recomendación. Por ejemplo, {"reviewedBy": "alice", "priority": "high"}. Los metadatos sustituyen al campo stateInfo.stateMetadata de la recomendación.
    • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.

    Método HTTP y URL: 

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    Cuerpo JSON de la solicitud: 

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta muestra la recomendación en estado FAILED, como se muestra en el siguiente ejemplo. Para mayor claridad, en este ejemplo se omiten la mayoría de los campos: 

    {
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}

Información sobre las recomendaciones

Cada recomendación incluye información que te ayudará a entender por qué se ha hecho.

Consola

Para ayudarte a entender por qué se ha hecho la recomendación, la consolaGoogle Cloud muestra el uso de permisos de la entidad principal, tal como se indica en la estadística de la política asociada a la recomendación. Por ejemplo, podría mostrar una lista como la siguiente:

Para ayudarte a entender el impacto de aplicar la recomendación, la Google Cloud consola también muestra una lista de permisos codificada por colores y símbolos. En esta lista se indica cómo cambiarán los permisos de la cuenta principal si aplicas la recomendación. Por ejemplo, podría mostrar una lista como la siguiente:

Los tipos de permisos asociados a cada color y símbolo son los siguientes:

  • Gris sin símbolo: permisos que están tanto en el rol actual de la entidad principal como en los roles recomendados.

  • Rojo con un signo menos : permisos que tiene el rol actual de la entidad principal, pero no los roles recomendados, porque la entidad principal no los ha usado en los últimos 90 días.

  • Verde con un signo más : permisos que no están en el rol actual de la entidad principal, pero sí en los roles recomendados. Este tipo de permiso solo aparece en las recomendaciones para agentes del servicio.

  • Azul con el icono Aprendizaje automático : Permisos que están tanto en el rol actual de la cuenta principal como en los roles recomendados. No se debe a que la cuenta principal haya usado los permisos en los últimos 90 días, sino a que Recommender ha determinado mediante el aprendizaje automático que es probable que necesite esos permisos en el futuro.

Algunas recomendaciones también están asociadas a estadísticas de movimiento lateral. Las estadísticas de movimientos laterales identifican los roles que permiten que una cuenta de servicio de un proyecto suplante la identidad de una cuenta de servicio de otro proyecto. Si una recomendación está asociada a una estadística de movimiento lateral, la consola Google Cloud también muestra lo siguiente:

  • Proyecto de origen de la cuenta de servicio: el proyecto en el que se creó la cuenta de servicio con permisos de suplantación.

  • Cuentas de servicio que se pueden suplantar en este proyecto: una lista de todas las cuentas de servicio del proyecto actual cuya identidad puede suplantar la cuenta de servicio con permisos de suplantación.

gcloud

Para obtener información sobre los campos de una recomendación, consulta la referencia de Recommendation.

Para ver el uso de permisos en el que se basa esta recomendación, consulta los estadísticas de la política asociadas a la recomendación. Estas estadísticas se muestran en el campo associatedInsights. Para ver una estadística de la política asociada a la recomendación, haz lo siguiente:

  • Identifica qué estadísticas del campo associatedInsights son estadísticas de políticas. Las estadísticas de políticas tienen el tipo google.iam.policy.insight. Este tipo aparece después de insightTypes en el campo insight.
  • Copia el ID de la estadística de la política. El ID es todo lo que hay después de insights/ en el campo insight. En el ejemplo anterior, el ID de la estadística es 279ef748-408f-44db-9a4a-1ff8865b9839.
  • Sigue las instrucciones para obtener una estadística de la política con el ID de la estadística que has copiado.

Algunas recomendaciones también están asociadas a estadísticas de movimiento lateral, que identifican los roles que permiten que las cuentas de servicio de un proyecto suplanten la identidad de las cuentas de servicio de otro proyecto. Estas estadísticas también se indican en el campo associatedInsights. Para ver un dato de movimiento lateral asociado a la recomendación, sigue estos pasos:

  • Identifica qué estadísticas del campo associatedInsights son de movimiento lateral. La información valiosa sobre movimientos laterales tiene el tipo google.iam.policy.LateralMovementInsight. Este tipo aparece después de insightTypes en el campo insight.
  • Copia el ID de la estadística de la política. El ID es todo lo que hay después de insights/ en el campo insight. En el ejemplo anterior, el ID de la estadística es 279ef748-408f-44db-9a4a-1ff8865b9839.
  • Sigue las instrucciones para obtener estadísticas de movimientos laterales con el ID de estadísticas que has copiado.

REST

Para obtener información sobre los campos de una recomendación, consulta la referencia de Recommendation.

Para ver el uso de permisos en el que se basa esta recomendación, consulta los estadísticas de la política asociadas a la recomendación. Estas estadísticas se muestran en el campo associatedInsights. Para ver una estadística de la política asociada a la recomendación, haz lo siguiente:

  1. Identifica qué estadísticas del campo associatedInsights son estadísticas de políticas. Las estadísticas de políticas tienen el tipo google.iam.policy.insight. Este tipo aparece después de insightTypes en el campo insight.
  2. Copia el ID de la estadística de la política. El ID es todo lo que hay después de insights/ en el campo insight. Por ejemplo, si el campo insight tiene el valor projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839, el ID de la estadística es 279ef748-408f-44db-9a4a-1ff8865b9839.
  3. Sigue las instrucciones para obtener una estadística de la política con el ID de la estadística que has copiado.

Algunas recomendaciones también están asociadas a estadísticas de movimiento lateral, que identifican los roles que permiten que las cuentas de servicio de un proyecto suplanten la identidad de las cuentas de servicio de otro proyecto. Estas estadísticas también se indican en el campo associatedInsights. Para ver un dato de movimiento lateral asociado a la recomendación, sigue estos pasos:

  1. Identifica qué estadísticas del campo associatedInsights son de movimiento lateral. La información valiosa sobre movimientos laterales tiene el tipo google.iam.policy.LateralMovementInsight. Este tipo aparece después de insightTypes en el campo insight.
  2. Copia el ID de la estadística de la política. El ID es todo lo que hay después de insights/ en el campo insight. Por ejemplo, si el campo insight tiene el valor projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860, el ID de la estadística es 13088eec-9573-415f-81a7-46e1a260e860.
  3. Sigue las instrucciones para obtener estadísticas de movimientos laterales con el ID de estadísticas que has copiado.

Ver, deshacer y restaurar cambios

Después de aplicar o rechazar una recomendación para una vinculación de rol a nivel de proyecto, esa acción aparece en el historial de recomendaciones.

Para ver el historial de recomendaciones, siga estos pasos:

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. Selecciona un proyecto, una carpeta o una organización.

  3. En la parte superior de la pantalla, haz clic en Historial de recomendaciones.

    La consola Google Cloud muestra una lista de las acciones anteriores relacionadas con tus recomendaciones de roles.

  4. Para ver los detalles de una recomendación, haga clic en la flecha para desplegar.

    La consola Google Cloud muestra detalles sobre la acción que se ha llevado a cabo, incluido el principal que ha realizado la acción:

  5. (Opcional) Si es necesario, puede deshacer la recomendación, lo que anulará los cambios que haya realizado, o restaurar una recomendación que haya rechazado.

    Para deshacer un cambio aplicado anteriormente en una recomendación, haz clic en Deshacer. La consola de Google Cloud revierte los cambios en los roles de la entidad. La recomendación ya no aparece en la consolaGoogle Cloud .

    Para restaurar una recomendación que se haya rechazado, haz clic en Restaurar. La recomendación se muestra en la página Gestión de identidades y accesos de la consolaGoogle Cloud . No se han cambiado roles ni permisos.

Siguientes pasos