导出角色建议数据

IAM Role Recommender 会使用在 Google Cloud 服务 使用期间收集的汇总 IAM 访问数据 来提供建议。Google Cloud此数据主要用于合规性目的。

本页面介绍如何使用 BigQuery Data Transfer Service将该访问数据导出到 BigQuery。

如果您想导出数据分析和建议的快照，请参阅 将建议导出到 BigQuery。

准备工作

• 启用 IAM、Resource Manager、Recommender、BigQuery、BigQuery Data Transfer Service 和 Pub/Sub API。

  启用 API 所需的角色

  如需启用 API，您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin)，该角色包含 serviceusage.services.enable 权限。了解如何授予 角色。

  启用 API

• 了解角色建议。

所需权限

如需获得创建数据传输所需的权限，请让管理员向您授予以下 IAM 角色：

• 组织的 Data Processing Controls Resource Admin (roles/dataprocessing.admin)
• BigQuery Admin (roles/bigquery.admin) 您要向其中导出数据的项目的
• 您要向其中导出数据的项目的 Pub/Sub Viewer (roles/pubsub.viewer) （如需向现有 Pub/Sub 主题发布转移作业通知）
• 如需向新的 Pub/Sub 主题发布主题通知： Pub/Sub Editor (roles/pubsub.editor) 您要向其中导出数据的项目

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。

导出汇总的 IAM 访问权限数据

要将项目的汇总 IAM 访问历史记录导出到 BigQuery，请使用透明度和控制中心设置数据传输作业：

1. 在 Google Cloud 控制台中，前往 隐私权和安全 页面。

   转到“隐私权和安全”

2. 从下拉列表中选择您的组织，然后点击选择。

3. 点击透明度和控制。

4. 在数据处理组 表中，点击 IAM 。

5. 在页面的数据源 部分中，点击 添加 创建传输作业。

6. 在项目字段中，点击浏览，然后选择要向其中导出数据的项目。如果项目未启用 BigQuery Data Transfer Service API，请点击启用 API，然后等待该 API 启用。

7. 点击下一步。

8. 配置数据传输：

   1. 在 Display name 字段中，输入数据传输的显示名。

   2. 在时间表选项部分，选择数据传输的开始时间和频率。

      • 要选择何时开始传输，您可以保留默认值立即开始，或点击在设置的时间开始。
      • 在重复频率字段中，选择传输作业的运行频率选项。如果您选择除"每日一次以外"的选项，则系统还会提供其他选项。例如，如果您选择每周一次，则系统会显示一个选项，供您选择星期几。
      • 在开始日期和运行时间部分，输入开始转移作业的日期和时间。如果您选择的是立即开始，则系统会停用此选项。

   3. 在数据集 ID 字段中，选择要导出数据的 BigQuery 数据集。

      您可以将数据导出到现有数据集，或创建新的数据集：

      • 要将数据导出到现有数据集，请点击数据集 ID 字段，然后从下拉列表中选择一个数据集。

      • 要将数据导出到新数据集，请点击数据集 ID字段，点击创建新数据集，然后填写创建数据集窗格：

        1. 在数据集 ID 字段中，输入数据集的 ID。允许使用字母、数字和下划线。
        2. 从数据位置下拉列表中，选择美国 (US) 或欧盟 (EU)。
        3. 可选：选择启用表过期时间，以启用表过期时间。
        4. 可选：选择加密方法。默认加密 方法是 Google-managed encryption key。如果您选择 客户管理的加密密钥 (CMEK)，则还必须选择 客户管理的密钥。

      您设置的传输作业将与数据集位于同一地区，并且无法移动。

   4. 在 project_numbers 字段中，输入要导出的汇总 IAM 访问数据的项目编号。如果列出了多个项目编号，请使用英文逗号分隔项目编号。您一次最多可以导出 10 个项目的数据。

      要查找项目编号，请执行以下操作：

      1. 在 Google Cloud 控制台中，前往设置页面。

         转到“设置”

      2. 选择您的项目。

      3. 从项目编号字段中复制项目 ID。

   5. 可选：为传输作业启用通知：

      • 如需为失败的传输作业运行启用通知，请点击电子邮件通知切换开关。启用此选项后，传输作业管理员会在传输作业运行失败时收到电子邮件通知。
      • 如需为传输作业启用 Pub/Sub 通知，请点击选择 Pub/Sub 主题，然后选择或创建主题。

9. 点击完成 。

10. 如果系统提示，请允许 IAM Recommender Aggregated Access Transfers 访问您的 Google 账号。

管理现有数据传输

您可以在透明度和控制中心或 BigQuery 中查看和管理传输：

• 如需查看贵组织的所有汇总的 IAM 访问权限数据传输，请使用透明度和控制中心：

  1. 在 Google Cloud 控制台中，前往 隐私权和安全 页面。

     转到“隐私权和安全”

  2. 从下拉列表中选择您的组织，然后点击选择。

  3. 点击透明度和控制。

  4. 在数据处理组表中，点击 IAM。页面的数据传输部分列出了所有汇总的 IAM 访问数据传输。

  5. 要管理单个传输作业，请点击传输作业的显示名。

• 如需查看项目中的所有数据传输（包括汇总的 IAM 访问数据传输），请使用 BigQuery：

  1. 在 Google Cloud 控制台中，前往数据传输页面。

     转到“数据传输”

  2. 选择要向其中导出数据的项目。

  3. 数据传输作业页面会显示项目的所有数据传输作业，包括汇总的 IAM 访问权限数据传输作业。

  4. 要管理单个传输作业，请点击传输作业的显示名。

后续步骤

• 了解如何导出建议和数据分析的快照。
• 了解使用角色建议的最佳做法。
• 了解如何查看和应用建议。
• 了解如何停用角色建议。