Configurare la generazione di suggerimenti sui ruoli

Modificando la configurazione del motore per suggerimenti IAM, puoi personalizzare la modalità di generazione dei suggerimenti sui ruoli. Questa pagina spiega come modificare la configurazione per cambiare la velocità di generazione dei suggerimenti per il tuo progetto.

Sebbene il motore per suggerimenti IAM generi suggerimenti sui ruoli per una varietà di risorse, puoi modificare solo la modalità di generazione dei suggerimenti sui ruoli per i progetti.

Prima di iniziare

Abilita l'API Recommender.
Ruoli necessari per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore di Service Usage (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.
Abilitare l'API
Scopri come il motore per suggerimenti IAM genera i suggerimenti sui ruoli.
Installa la Google Cloud CLI.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare i suggerimenti sui ruoli IAM, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto di cui vuoi configurare il motore per suggerimenti IAM:

Visualizza i dettagli della configurazione: Visualizzatore del motore per suggerimenti IAM (roles/recommender.iamViewer)
Modifica la configurazione: Amministratore del motore per suggerimenti IAM (roles/recommender.iamAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per configurare i suggerimenti sui ruoli IAM. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per configurare i suggerimenti sui ruoli IAM sono necessarie le seguenti autorizzazioni:

Visualizza i dettagli della configurazione: recommender.iamPolicyRecommenderConfig.get
Modifica la configurazione: recommender.iamPolicyRecommenderConfig.update

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Visualizzare la configurazione attuale

Visualizza la configurazione attuale per vedere per quanti giorni di dati sull'utilizzo delle autorizzazioni il motore per suggerimenti IAM attende prima di generare i suggerimenti sui ruoli.

Puoi visualizzare la configurazione utilizzando gcloud CLI o l'API REST.

gcloud

Per ottenere la configurazione del motore per suggerimenti IAM di un progetto, utilizza il gcloud beta recommender recommender-config describe comando.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

PROJECT_ID: l' Google Cloud ID progetto. Gli ID progetto sono stringhe alfanumeriche, come my-project.

Esegui il comando gcloud beta recommender recommender-config describe:

Linux, macOS o Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

La risposta contiene la configurazione del motore per suggerimenti IAM del progetto. Ad esempio, potrebbe essere simile alla seguente:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Per ottenere la configurazione del motore per suggerimenti IAM di un progetto, utilizza il metodo projects.locations.recommenders.getConfig dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

PROJECT_NUMBER: l'ID numerico del progetto. Google Cloud
PROJECT_ID: l' Google Cloud ID progetto. Gli ID progetto sono stringhe alfanumeriche, come my-project.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

La risposta contiene la configurazione del motore per suggerimenti IAM del progetto. Ad esempio, potrebbe essere simile alla seguente:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Comprendere i dettagli della configurazione

I contenuti di una configurazione dipendono dal motore per suggerimenti a cui si riferisce. Le configurazioni del motore per suggerimenti IAM hanno i seguenti componenti, non necessariamente in questo ordine:

name: l'identificatore della configurazione, nel formato projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: i parametri utilizzati dal motore per suggerimenti IAM durante la generazione dei suggerimenti. Questo campo contiene i seguenti parametri:
- minimum_observation_period: il numero di giorni di dati sull'utilizzo delle autorizzazioni di cui il motore per suggerimenti IAM ha bisogno per iniziare a generare suggerimenti sui ruoli. Se ottieni la configurazione del motore per suggerimenti IAM di un progetto e questo campo non è stato impostato, il suo valore è 0.
etag: un identificatore per lo stato attuale di una configurazione, utilizzato per impedire aggiornamenti simultanei. Ogni volta che la configurazione cambia, viene assegnato un nuovo valore ETag.
updateTime: il timestamp dell'ultimo aggiornamento della configurazione, in formato UTC (RFC 3339).
revisionId: solo output. Un identificatore per la revisione attuale della configurazione. Questo valore viene aggiornato ogni volta che la configurazione viene modificata.

Modificare la configurazione

Modifica la configurazione per cambiare la velocità di generazione dei suggerimenti per il tuo progetto.

gcloud

Per modificare la configurazione del motore per suggerimenti IAM di un progetto, utilizza il gcloud beta recommender recommender-config update comando.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

OBSERVATION_PERIOD: il periodo di osservazione minimo che vuoi impostare. Utilizza uno dei seguenti valori: P30D (30 giorni), P60D (60 giorni) o P90D (90 giorni).
ETAG: l'etag attuale della configurazione, che puoi trovare ottenendo la configurazione attuale e copiando il valore del campo etag della risposta.
PROJECT_ID: l' Google Cloud ID progetto. Gli ID progetto sono stringhe alfanumeriche, come my-project.

Salva i seguenti contenuti in un file denominato request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Esegui il gcloud beta recommender recommender-config update comando:

Linux, macOS o Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

La risposta contiene la configurazione aggiornata. Ad esempio, potrebbe essere simile alla seguente:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Per modificare la configurazione del motore per suggerimenti IAM di un progetto, utilizza il metodo projects.locations.recommenders.updateConfig dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

PROJECT_NUMBER: l'ID numerico del progetto. Google Cloud
OBSERVATION_PERIOD: il periodo di osservazione minimo che vuoi impostare. Utilizza uno dei seguenti valori: P30D (30 giorni), P60D (60 giorni) o P90D (90 giorni).
ETAG: l'etag attuale della configurazione, che puoi trovare ottenendo la configurazione attuale e copiando il valore del campo etag della risposta. Utilizza le barre rovesciate per eseguire l'escape delle virgolette, ad esempio, "\"df7308cca9719dcc\"".
PROJECT_ID: l' Google Cloud ID progetto. Gli ID progetto sono stringhe alfanumeriche, come my-project.

Metodo HTTP e URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Corpo JSON della richiesta:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json, e quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

Explorer API (browser)

Copia il corpo della richiesta e apri la pagina di riferimento del metodo. Sul lato destro della pagina si apre il riquadro Explorer API. Puoi interagire con questo strumento per inviare richieste. Incolla il corpo della richiesta in questo strumento, compila gli altri campi obbligatori e fai clic su Esegui.

La risposta contiene la configurazione aggiornata. Ad esempio, potrebbe essere simile alla seguente:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Configurare la generazione di suggerimenti sui ruoli Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Ruoli obbligatori

Autorizzazioni obbligatorie

Visualizzare la configurazione attuale

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Comprendere i dettagli della configurazione

Modificare la configurazione

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Explorer API (browser)

Passaggi successivi

Configurare la generazione di suggerimenti sui ruoli