Generierung von Rollempfehlungen konfigurieren

Wenn Sie die Konfiguration des IAM Recommender ändern, können Sie anpassen, wie Ihre Rollenempfehlungen generiert werden. Auf dieser Seite wird erläutert, wie Sie Ihre Konfiguration bearbeiten, um zu ändern, wie schnell Empfehlungen für Ihr Projekt generiert werden.

Der IAM Recommender generiert zwar Rollenempfehlungen für eine Vielzahl von Ressourcen, Sie können aber nur ändern, wie Rollenempfehlungen für Projekte generiert werden.

Hinweis

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zu gewähren, dessen IAM Recommender Sie konfigurieren möchten, um die erforderlichen Berechtigungen zum Konfigurieren von IAM-Rollenempfehlungen zu erhalten:

  • Konfigurationsdetails ansehen: IAM Recommender-Betrachter (roles/recommender.iamViewer)
  • Konfiguration ändern: IAM Recommender-Administrator (roles/recommender.iamAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren von IAM-Rollenempfehlungen erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Konfigurieren von IAM-Rollenempfehlungen erforderlich:

  • Konfigurationsdetails ansehen: recommender.iamPolicyRecommenderConfig.get
  • Konfiguration ändern: recommender.iamPolicyRecommenderConfig.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Aktuelle Konfiguration ansehen

Sehen Sie sich Ihre aktuelle Konfiguration an, um zu sehen, wie viele Tage der Daten zur Berechtigungsnutzung der IAM Recommender abwartet, bevor er Rollenempfehlungen generiert.

Sie können die Konfiguration mit der gcloud CLI oder der REST API ansehen.

gcloud

Verwenden Sie den gcloud beta recommender recommender-config describe Befehl, um die IAM Recommender-Konfiguration eines Projekts abzurufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • PROJECT_ID: Ihre Google Cloud Projekt ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

Führen Sie den Befehl gcloud beta recommender recommender-config describe aus:

Linux, macOS oder Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

Die Antwort enthält die IAM Recommender-Konfiguration des Projekts. Beispiel: 

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Verwenden Sie die Methode projects.locations.recommenders.getConfig der Recommender API, um die IAM Recommender-Konfiguration eines Projekts abzurufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_NUMBER: Die numerische ID Ihres Google Cloud Projekts.
  • PROJECT_ID: Ihre Google Cloud Projekt ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL: 

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die IAM Recommender-Konfiguration des Projekts. Beispiel: 

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Konfigurationsdetails

Der Inhalt einer Konfiguration hängt davon ab, für welchen Recommender die Konfiguration gilt. IAM Recommender-Konfigurationen haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • name: Die ID für die Konfiguration im Format projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.

  • recommenderGenerationConfig: Die Parameter, die der IAM Recommender beim Generieren von Empfehlungen verwendet. Dieses Feld enthält die folgenden Parameter:

    • minimum_observation_period: Die Anzahl der Tage mit Daten zur Berechtigungsnutzung, die der IAM Recommender benötigt, um Rollenempfehlungen zu generieren. Wenn Sie die IAM Recommender-Konfiguration eines Projekts abrufen und dieses Feld nicht festgelegt wurde, ist der Wert 0.

  • etag: Eine ID für den aktuellen Status einer Konfiguration, die verwendet wird, um gleichzeitige Aktualisierungen zu verhindern. Jedes Mal, wenn sich die Konfiguration ändert, wird ein neuer ETag-Wert zugewiesen.

  • updateTime: Der Zeitstempel der letzten Aktualisierung der Konfiguration im UTC-Format (RFC 3339).

  • revisionId: Nur Ausgabe. Eine ID für die aktuelle Überarbeitung der Konfiguration. Dieser Wert wird jedes Mal aktualisiert, wenn die Konfiguration bearbeitet wird.

Konfiguration bearbeiten

Bearbeiten Sie Ihre Konfiguration, um zu ändern, wie schnell Empfehlungen für Ihr Projekt generiert werden.

gcloud

Verwenden Sie den gcloud beta recommender recommender-config update Befehl, um die IAM Recommender-Konfiguration eines Projekts zu bearbeiten.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • OBSERVATION_PERIOD: Der Mindestbeobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
  • ETAG: Das aktuelle ETag der Konfiguration. Sie finden es, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag der Antwort kopieren.
  • PROJECT_ID: Ihre Google Cloud Projekt ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

    • Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json: 

    {
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

    Führen Sie den Befehl gcloud beta recommender recommender-config update aus:

    Linux, macOS oder Cloud Shell

    gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

    Windows (PowerShell)

    gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

    Windows (cmd.exe)

    gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

    Die Antwort enthält die aktualisierte Konfiguration. Beispiel: 

    etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Verwenden Sie die Methode projects.locations.recommenders.updateConfig der Recommender API, um die IAM Recommender-Konfiguration eines Projekts zu bearbeiten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_NUMBER: Die numerische ID Ihres Google Cloud Projekts.
  • OBSERVATION_PERIOD: Der Mindestbeobachtungszeitraum, den Sie festlegen möchten. Verwenden Sie einen der folgenden Werte: P30D (30 Tage), P60D (60 Tage) oder P90D (90 Tage).
  • ETAG: Das aktuelle ETag der Konfiguration. Sie finden es, indem Sie die aktuelle Konfiguration abrufen und den Wert des Felds etag der Antwort kopieren. Verwenden Sie umgekehrte Schrägstriche, um Anführungszeichen zu maskieren, z. B. "\"df7308cca9719dcc\"".
  • PROJECT_ID: Ihre Google Cloud Projekt ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

    • HTTP-Methode und URL: 

    PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

    JSON-Text anfordern: 

    {
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort enthält die aktualisierte Konfiguration. Beispiel: 

    {
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Nächste Schritte