Esportare i dati per i suggerimenti sui ruoli

Il recommender di ruoli IAM utilizza i dati di accesso IAM aggregati, raccolti durante l'utilizzo dei servizi in Google Cloud, per fornire suggerimenti. Questi dati vengono utilizzati principalmente per scopi di conformità.

Questa pagina spiega come esportare questi dati di accesso in BigQuery utilizzando il BigQuery Data Transfer Service.

Se vuoi esportare uno snapshot di insight e suggerimenti, consulta Esportare i suggerimenti in BigQuery.

Prima di iniziare

Abilita le API IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service e Pub/Sub.
Ruoli richiesti per abilitare le API
Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.
Abilita le API
Scopri di più sui suggerimenti sui ruoli.

Autorizzazioni obbligatorie

Per ottenere le autorizzazioni necessarie per creare un trasferimento di dati, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Amministratore risorse dei controlli di elaborazione dati (roles/dataprocessing.admin) nella tua organizzazione
Amministratore BigQuery (roles/bigquery.admin) nel progetto in cui esporterai i dati
Per pubblicare le notifiche del trasferimento in un argomento Pub/Sub esistente: Visualizzatore Pub/Sub (roles/pubsub.viewer) nel progetto in cui esporterai i dati
Per pubblicare le notifiche dell'argomento in un nuovo argomento Pub/Sub: Editor Pub/Sub (roles/pubsub.editor) nel progetto in cui esporterai i dati

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Esportare i dati di accesso IAM aggregati

Per esportare la cronologia degli accessi IAM aggregati dei tuoi progetti in BigQuery, utilizza il Centro trasparenza e controllo per configurare un trasferimento di dati:

Nella Google Cloud console, vai alla pagina Privacy e sicurezza.

Vai a Privacy e sicurezza
Seleziona la tua organizzazione dall'elenco a discesa, quindi fai clic su Seleziona.
Fai clic su Trasparenza e controllo.
Nella tabella Gruppo di elaborazione dati, fai clic su IAM.
Nella sezione Origini dati della pagina, fai clic add Crea trasferimento.
Nel campo Progetto, fai clic su Sfoglia, quindi seleziona il progetto in cui vuoi esportare i dati. Se nel progetto non è abilitata l'API BigQuery Data Transfer Service, fai clic su Abilita API e attendi che l'API sia abilitata.
Fai clic su Avanti.
Configura il trasferimento dei dati:
1. Nel campo Nome visualizzato, inserisci un nome visualizzato per il trasferimento di dati.
2. Nella sezione Opzioni di pianificazione, scegli quando inizierà il trasferimento di dati e con quale frequenza verrà eseguito.
  - Per scegliere quando avviare il trasferimento, puoi lasciare il valore predefinito di Inizia ora o fare clic su Inizia a un'ora prestabilita.
  - Nel campo Si ripete, scegli un'opzione per la frequenza con cui eseguire il trasferimento. Se scegli un'opzione diversa da Giornaliera, sono disponibili altre opzioni. Ad esempio, se scegli Settimanale, viene visualizzata un'opzione per selezionare il giorno della settimana.
  - In Data di inizio e ora esecuzione, inserisci la data e l'ora di inizio del trasferimento. Se scegli Inizia ora, questa opzione è disabilitata.
3. Nel campo ID set di dati, scegli un set di dati BigQuery in cui esportare i dati.
  
  Importante: questo set di dati deve avere una località Stati Uniti (US) o Unione Europea (UE). Non sono supportate altre regioni.
  
  Puoi esportare i dati in un set di dati esistente o crearne uno nuovo:
  - Per esportare i dati in un set di dati esistente, fai clic sul campo ID set di dati , quindi seleziona un set di dati dall'elenco a discesa.
  - Per esportare i dati in un nuovo set di dati, fai clic sul campo ID set di dati , poi su Crea nuovo set di dati e compila i campi nel riquadro Crea set di dati:
    1. Nel campo ID set di dati, inserisci un ID per il set di dati. Sono consentiti lettere, numeri e trattini bassi.
    2. Nell'elenco a discesa Località dei dati, seleziona Stati Uniti (US) o Unione Europea (UE).
    3. (Facoltativo) Abilita la scadenza della tabella selezionando Abilita scadenza della tabella.
    4. (Facoltativo) Seleziona un metodo di crittografia. Il metodo di crittografia predefinito è Google-managed encryption key. Se selezioni Chiave di crittografia gestita dal cliente (CMEK), devi anche selezionare una chiave gestita dal cliente.
  Il trasferimento che hai configurato si troverà nella stessa regione del set di dati e non potrà essere spostato.
4. Nel campo project_numbers, inserisci i numeri dei progetti di cui vuoi esportare i dati di accesso IAM aggregati. Se elenchi più numeri di progetto, separali con una virgola. Puoi esportare i dati per un massimo di 10 progetti alla volta.
  
  Per trovare il numero di un progetto:
  1. Nella Google Cloud console, vai alla pagina Impostazioni.
    
    Vai alle impostazioni
  2. Seleziona il progetto.
  3. Copia l'ID progetto dal campo Numero di progetto.
5. (Facoltativo) Abilita le notifiche per il trasferimento:
  - Per abilitare le notifiche per le esecuzioni di trasferimento non riuscite, fai clic sul pulsante di attivazione/disattivazione Notifiche email. Quando attivi questa opzione, l'amministratore del trasferimento riceve una notifica via email quando l'esecuzione di un trasferimento non riesce.
  - Per abilitare le notifiche Pub/Sub per il trasferimento, fai clic su Seleziona un argomento Pub/Sub, quindi seleziona o crea un argomento.
Fai clic su Fine.
Se ti viene richiesto, consenti a IAM Recommender Aggregated Access Transfers di accedere al tuo Account Google.

Gestire i trasferimenti di dati esistenti

Puoi visualizzare e gestire i trasferimenti nel Centro trasparenza e controllo o in BigQuery:

Per visualizzare tutti i trasferimenti di dati di accesso IAM aggregati per la tua organizzazione, utilizza il Centro trasparenza e controllo:
1. Nella Google Cloud console, vai alla pagina Privacy e sicurezza.
  
  Vai a Privacy e sicurezza
2. Seleziona la tua organizzazione dall'elenco a discesa, quindi fai clic su Seleziona.
3. Fai clic su Trasparenza e controllo.
4. Nella tabella Gruppo di elaborazione dati, fai clic su IAM. La sezione Trasferimenti di dati della pagina elenca tutti i trasferimenti di dati di accesso IAM aggregati per la tua organizzazione.
5. Per gestire un singolo trasferimento, fai clic sul nome visualizzato del trasferimento.
Per visualizzare tutti i trasferimenti di dati in un progetto, inclusi i trasferimenti di dati di accesso IAM aggregati, utilizza BigQuery:
1. Nella Google Cloud console, vai alla pagina Trasferimenti di dati.
  
  Vai a Trasferimenti di dati
2. Seleziona il progetto in cui hai esportato i dati.
3. La pagina Trasferimenti di dati mostra tutti i trasferimenti di dati per il tuo progetto, inclusi i trasferimenti di dati di accesso IAM aggregati.
4. Per gestire un singolo trasferimento, fai clic sul nome visualizzato del trasferimento.

Passaggi successivi

Scopri come esportare uno snapshot di suggerimenti e insight.
Scopri le best practice per l'utilizzo dei suggerimenti sui ruoli.
Scopri come esaminare e applicare i suggerimenti.
Scopri come disattivare i suggerimenti sui ruoli.