Diese Seite wurde von der Cloud Translation API übersetzt.

Generierung von Rollempfehlungen konfigurieren

Durch Ändern der IAM Recommender-Konfiguration können Sie anpassen, wie Ihre Rollenempfehlungen generiert werden. Auf dieser Seite wird beschrieben, wie Sie Ihre Konfiguration bearbeiten, um zu ändern, wie schnell Empfehlungen für Ihr Projekt generiert werden.

Der IAM-Recommender generiert zwar Rollenempfehlungen für eine Vielzahl von Ressourcen, Sie können jedoch nur bearbeiten, wie Rollenempfehlungen für Projekte generiert werden.

Hinweise

Enable the Recommender API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API
Funktionsweise des IAM-Recommenders
Installieren Sie die Google Cloud CLI.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, dessen IAM Recommender Sie konfigurieren möchten, damit Sie die nötigen Berechtigungen für diese Aufgabe haben:

Konfigurationsdetails ansehen: IAM Recommender-Betrachter (roles/recommender.iamViewer)
Konfiguration ändern: IAM Recommender-Administrator (roles/recommender.iamAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren von IAM-Rollenempfehlungen erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Konfigurieren von IAM-Rollenempfehlungen erforderlich:

Konfigurationsdetails ansehen: recommender.iamPolicyRecommenderConfig.get
Konfiguration ändern: recommender.iamPolicyRecommenderConfig.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Aktuelle Konfiguration ansehen

Sehen Sie sich Ihre aktuelle Konfiguration an, um zu sehen, wie viele Tage der IAM-Recommender mit der Generierung von Rollempfehlungen wartet, nachdem Berechtigungsnutzungsdaten erfasst wurden.

Sie können die Konfiguration mit der gcloud CLI oder der REST API ansehen.

gcloud

Verwenden Sie den Befehl gcloud beta recommender recommender-config describe, um die IAM Recommender-Konfiguration eines Projekts abzurufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

PROJECT_ID: Ihre Google Cloud Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Führen Sie den Befehl gcloud beta recommender recommender-config describe aus:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

Die Antwort enthält die IAM Recommender-Konfiguration des Projekts. Das könnte beispielsweise so aussehen:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Verwenden Sie die Methode projects.locations.recommenders.getConfig der Recommender API, um die IAM Recommender-Konfiguration eines Projekts abzurufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_NUMBER: Die numerische ID Ihres Google Cloud -Projekts.
PROJECT_ID: Ihre Google Cloud Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben, indem Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt haben, die Sie automatisch in der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben, indem Sie gcloud init oder gcloud auth login ausgeführt haben. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Die Antwort enthält die IAM Recommender-Konfiguration des Projekts. Beispiel:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Konfigurationsdetails verstehen

Der Inhalt einer Konfiguration hängt davon ab, für welchen Recommender sie bestimmt ist. IAM Recommender-Konfigurationen haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

name: Die Kennung für die Konfiguration im Format projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: Die Parameter, die der IAM-Recommender beim Generieren von Empfehlungen verwendet. Dieses Feld enthält die folgenden Parameter:
- minimum_observation_period: Die Anzahl der Tage mit Daten zur Berechtigungsnutzung, die der IAM-Recommender benötigt, um mit dem Generieren von Rollenempfehlungen zu beginnen. Wenn Sie die IAM-Empfehlungskonfiguration eines Projekts abrufen und dieses Feld nicht festgelegt wurde, ist der Wert 0.
etag: Eine Kennung für den aktuellen Status einer Konfiguration, die verwendet wird, um gleichzeitige Aktualisierungen zu verhindern. Jedes Mal, wenn sich die Konfiguration ändert, wird ein neuer ETag-Wert zugewiesen.
updateTime: Der Zeitstempel der letzten Aktualisierung der Konfiguration im UTC-Format (RFC 3339).
revisionId: Nur Ausgabe. Eine Kennung für die aktuelle Überarbeitung der Konfiguration. Dieser Wert wird jedes Mal aktualisiert, wenn die Konfiguration bearbeitet wird.

Konfiguration bearbeiten

Sie können die Konfiguration bearbeiten, um zu ändern, wie schnell Empfehlungen für Ihr Projekt generiert werden.

Wenn Sie den Mindestbeobachtungszeitraum auf weniger als 90 Tage festlegen, erhalten Sie zwar früher Empfehlungen, die Genauigkeit der Empfehlungen kann jedoch beeinträchtigt werden.

gcloud

Verwenden Sie den Befehl gcloud beta recommender recommender-config update, um die IAM-Empfehlungskonfiguration eines Projekts zu bearbeiten.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

OBSERVATION_PERIOD: Der Mindestbeobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration. Sie können es abrufen, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag der Antwort kopieren.
PROJECT_ID: Ihre Google Cloud Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Führen Sie den Befehl gcloud beta recommender recommender-config update aus:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

Die Antwort enthält die aktualisierte Konfiguration. Das könnte beispielsweise so aussehen:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Verwenden Sie die Methode projects.locations.recommenders.updateConfig der Recommender API, um die IAM Recommender-Konfiguration eines Projekts zu bearbeiten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_NUMBER: Die numerische ID Ihres Google Cloud -Projekts.
OBSERVATION_PERIOD: Der Mindestbeobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
ETAG: Das aktuelle ETag der Konfiguration. Sie können es abrufen, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag der Antwort kopieren. Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
PROJECT_ID: Ihre Google Cloud Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

JSON-Text anfordern:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben, indem Sie gcloud init oder gcloud auth login ausgeführt haben. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

APIs Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

Die Antwort enthält die aktualisierte Konfiguration. Das könnte beispielsweise so aussehen:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Generierung von Rollempfehlungen konfigurieren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweise

Erforderliche Rollen

Erforderliche Berechtigungen

Aktuelle Konfiguration ansehen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Konfigurationsdetails verstehen

Konfiguration bearbeiten

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

APIs Explorer (Browser)

Nächste Schritte

Generierung von Rollempfehlungen konfigurieren