Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurar a geração de recomendações de papéis

Ao mudar a configuração do recomendador do IAM, você pode personalizar a forma como as recomendações de papéis são geradas. Esta página explica como editar a configuração para mudar a rapidez com que as recomendações são geradas para o projeto.

Embora o recomendador do IAM gere recomendações de papéis para vários recursos, só é possível editar como as recomendações de papéis são geradas para projetos.

Antes de começar

Ative a API Recommender.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.
Ativar a API
Entenda como o recomendador do IAM gera recomendações de papéis.
Instale a Google Cloud CLI.

Funções exigidas

Para receber as permissões necessárias para configurar as recomendações de papéis do IAM, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto em que você quer configurar o recomendador do IAM:

Ver detalhes da configuração: leitor do recomendador do IAM (roles/recommender.iamViewer)
Modificar a configuração: administrador do recomendador do IAM (roles/recommender.iamAdmin)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos têm as permissões necessárias para configurar as recomendações de papéis do IAM. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para configurar as recomendações de papéis do IAM:

Ver detalhes da configuração: recommender.iamPolicyRecommenderConfig.get
Modificar a configuração: recommender.iamPolicyRecommenderConfig.update

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ver sua configuração atual

Confira sua configuração atual para saber quantos dias de dados de uso de permissões o recomendador do IAM espera antes de gerar recomendações de papéis.

É possível conferir a configuração usando a CLI gcloud ou a API REST.

gcloud

Para acessar a configuração do recomendador do IAM de um projeto, use o gcloud beta recommender recommender-config describe comando.

Antes de usar os dados do comando abaixo, faça estas substituições:

PROJECT_ID: o ID do projeto do. Google Cloud Os IDs do projeto são strings alfanuméricas, como my-project.

Execute o comando gcloud beta recommender recommender-config describe:

Linux, macOS ou Cloud Shell

gcloud beta recommender recommender-config describe \
google.iam.policy.Recommender \
--project="PROJECT_ID" \
--location="global"

Windows (PowerShell)

gcloud beta recommender recommender-config describe `
google.iam.policy.Recommender `
--project="PROJECT_ID" `
--location="global"

Windows (cmd.exe)

gcloud beta recommender recommender-config describe ^
google.iam.policy.Recommender ^
--project="PROJECT_ID" ^
--location="global"

A resposta contém a configuração do recomendador do IAM do projeto. Por exemplo, ela pode ser semelhante a esta:

etag: '"d3e779ee3f34f276"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P90D
revisionId: DEFAULT
updateTime: '2022-10-02T22:57:33Z'

REST

Para acessar a configuração do recomendador do IAM de um projeto, use o método projects.locations.recommenders.getConfig da API Recommender.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_NUMBER: o ID numérico do projeto do . Google Cloud
PROJECT_ID: o ID do projeto do. Google Cloud Os IDs do projeto são strings alfanuméricas, como my-project.

Método HTTP e URL:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você tenha feito login na CLI do gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você tenha feito login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

A resposta contém a configuração do recomendador do IAM do projeto. Por exemplo, ela pode ser semelhante a esta:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P90D"
    }
  },
  "etag": "\"d3e779ee3f34f276\"",
  "updateTime": "2022-10-02T22:57:33Z",
  "revisionId": "DEFAULT"
}

Entender os detalhes da configuração

O conteúdo de uma configuração depende do recomendador a que ela se destina. As configurações do recomendador do IAM têm os seguintes componentes, não necessariamente nesta ordem:

name: o identificador da configuração, no formato projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config.
recommenderGenerationConfig: os parâmetros que o recomendador do IAM usa ao gerar recomendações. Este campo contém os seguintes parâmetros:
- minimum_observation_period: o número de dias de dados de uso de permissões que o recomendador do IAM precisa para começar a gerar recomendações de papéis. Se você acessar a configuração do recomendador do IAM de um projeto e esse campo não tiver sido definido, o valor dele será 0.
etag: um identificador do estado atual de uma configuração, usado para evitar atualizações simultâneas. Sempre que a configuração muda, um novo valor de ETag é atribuído.
updateTime: o carimbo de data/hora da última vez em que a configuração foi atualizada, no formato UTC (RFC 3339).
revisionId: saída apenas. Um identificador da revisão atual da configuração. Esse valor é atualizado sempre que a configuração é editada.

Editar sua configuração

Edite a configuração para mudar a rapidez com que as recomendações são geradas para o projeto.

gcloud

Para editar a configuração do recomendador do IAM de um projeto, use o gcloud beta recommender recommender-config update comando.

Antes de usar os dados do comando abaixo, faça estas substituições:

OBSERVATION_PERIOD: o período mínimo de observação que você quer definir. Use um dos seguintes valores: P30D (30 dias), P60D (60 dias) ou P90D (90 dias).
ETAG: O ETag atual da configuração, que pode ser encontrado acessando a configuração atual e copiando o valor do campo etag da resposta.
PROJECT_ID: o ID do projeto do. Google Cloud Os IDs do projeto são strings alfanuméricas, como my-project.

Salve o conteúdo a seguir em um arquivo chamado request.json:

{
  "params": {
    "minimum_observation_period": "OBSERVATION_PERIOD"
  }
}

Execute o comando gcloud beta recommender recommender-config update:

Linux, macOS ou Cloud Shell

gcloud beta recommender recommender-config update \
google.iam.policy.Recommender \
--etag="ETAG" \
--project="PROJECT_ID" \
--location="global" \
--config-file="request.json"

Windows (PowerShell)

gcloud beta recommender recommender-config update `
google.iam.policy.Recommender `
--etag="ETAG" `
--project="PROJECT_ID" `
--location="global" `
--config-file="request.json"

Windows (cmd.exe)

gcloud beta recommender recommender-config update ^
google.iam.policy.Recommender ^
--etag="ETAG" ^
--project="PROJECT_ID" ^
--location="global" ^
--config-file="request.json"

A resposta contém a configuração atualizada. Por exemplo, ela pode ser semelhante a esta:

etag: '"2549af0942332910"'
name: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config
recommenderGenerationConfig:
  params:
    minimum_observation_period: P60D
revisionId: 288c60eb
updateTime: '2022-10-05T21:42:21.069170Z'

REST

Para editar a configuração do recomendador do IAM de um projeto, use o método projects.locations.recommenders.updateConfig da API Recommender.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

PROJECT_NUMBER: o ID numérico do projeto do . Google Cloud
OBSERVATION_PERIOD: o período mínimo de observação que você quer definir. Use um dos seguintes valores: P30D (30 dias), P60D (60 dias) ou P90D (90 dias).
ETAG: O ETag atual da configuração, que pode ser encontrado acessando a configuração atual e copiando o valor do campo etag da resposta. Use barras invertidas para escapar das aspas, por exemplo, "\"df7308cca9719dcc\"".
PROJECT_ID: o ID do projeto do. Google Cloud Os IDs do projeto são strings alfanuméricas, como my-project.

Método HTTP e URL:

PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config

Corpo JSON da solicitação:

{
  "name": "projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "OBSERVATION_PERIOD"
    }
  },
  "etag": "ETAG"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1beta1/projects/PROJECT_NUMBER/locations/global/recommenders/google.iam.policy.Recommender/config" | Select-Object -Expand Content

APIs Explorer (navegador)

Copie o corpo da solicitação e abra a página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Cole o corpo da solicitação nessa ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

A resposta contém a configuração atualizada. Por exemplo, ela pode ser semelhante a esta:

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/config",
  "recommenderGenerationConfig": {
    "params": {
      "minimum_observation_period": "P60D"
    }
  },
  "etag": "\"2549af0942332910\"",
  "updateTime": "2022-10-05T21:26:52.127512Z",
  "revisionId": "b5fc0053"
}

Configurar a geração de recomendações de papéis Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Funções exigidas

Permissões necessárias

Ver sua configuração atual

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Entender os detalhes da configuração

Editar sua configuração

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

A seguir

Configurar a geração de recomendações de papéis