Reveja as estatísticas de políticas para contentores do Cloud Storage

Esta página mostra como gerir as estatísticas das políticas ao nível do contentor, que são conclusões baseadas em aprendizagem automática sobre a utilização de autorizações para os seus contentores do Cloud Storage. As estatísticas de políticas podem ajudar a identificar que responsáveis têm autorizações de que não precisam.

Esta página centra-se nas estatísticas de políticas para contentores. O Recommender também oferece estatísticas de políticas para os seguintes tipos de recursos:

Por vezes, as estatísticas de políticas ao nível do contentor estão associadas a recomendações de funções. As recomendações de funções sugerem ações que pode realizar para corrigir os problemas identificados pelas estatísticas das políticas ao nível do contentor.

Antes de começar

Funções necessárias

Para receber as autorizações de que precisa para gerir estatísticas de políticas ao nível do contentor, peça ao seu administrador que lhe conceda as seguintes funções da IAM no seu projeto:

  • Administrador de armazenamento (roles/storage.admin)
  • Faça a gestão das estatísticas de políticas ao nível do contentor com a CLI gcloud ou a API REST: Consumidor de utilização do serviço (`roles/serviceusage.serviceUsageConsumer`)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para gerir as estatísticas das políticas ao nível do contentor. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para gerir as estatísticas das políticas ao nível do contentor:

  • Para ver as estatísticas de políticas ao nível do contentor:
    • recommender.iamPolicyInsights.get
    • recommender.iamPolicyInsights.list
  • Para modificar as estatísticas de políticas ao nível do contentor: recommender.iamPolicyInsights.update
  • Para gerir as estatísticas de políticas ao nível do contentor na Google Cloud consola:
    • resourcemanager.projects.get
    • storage.buckets.list
  • Faça a gestão das estatísticas de políticas ao nível do contentor com a CLI gcloud ou a API REST: serviceusage.services.use

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Apresente estatísticas de políticas ao nível do contentor

Para apresentar uma lista de todas as estatísticas de políticas ao nível do contentor do seu projeto, use um dos seguintes métodos:

Consola

  1. Na Google Cloud consola, aceda à página Recipientes.

    Aceda a Recipientes

  2. Encontre a coluna Estatísticas de segurança na tabela. Se a coluna Estatísticas de segurança não estiver visível, clique em  Opções de apresentação de colunas e selecione Estatísticas de segurança.

    Esta coluna mostra um resumo de todas as estatísticas de políticas do conjunto. Cada resumo indica o número total de autorizações excessivas para todas as funções concedidas nesse contentor.

  3. Encontre o conjunto cujas estatísticas quer ver e clique no resumo das estatísticas das políticas nessa linha. Esta ação abre o painel Recomendações de segurança, que lista todos os diretores que têm uma função no contentor, as respetivas funções e quaisquer estatísticas de políticas associadas a essas funções.

    Nesta tabela, as estatísticas das políticas têm o formato EXCESS/TOTAL excess permissions, em que EXCESS é o número de autorizações na função que o principal não precisa e TOTAL é o número total de autorizações na função.

gcloud

Use o comando gcloud recommender insights list para ver todas as estatísticas de políticas ao nível do contentor para o seu projeto.

Antes de executar o comando, substitua os seguintes valores:

  • PROJECT_ID: o ID do projeto para o qual quer listar estatísticas.
  • LOCATION: a localização dos recipientes cujas estatísticas quer listar. 
gcloud recommender insights list --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION\
    --filter="insightSubtype:PERMISSIONS_USAGE_STORAGE_BUCKET"

O resultado apresenta todas as estatísticas de políticas ao nível do contentor para o seu projeto na localização especificada. Por exemplo: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE                   DESCRIPTION
00dd7eb5-15c2-4fb3-a9b2-1a85f842462b  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04307297-f57c-416d-9323-38abac450db0  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
04845da5-74ba-46b4-a0f3-47d83095c261  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0a39f643-d7a8-4c11-b490-fecd74290fb5  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  2 of the permissions in this role binding were used in the past 90 days.
0a4cee48-777b-4dea-a2b0-702b70da4b6f  SECURITY  ACTIVE         2022-05-24T07:00:00Z  CRITICAL  PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b2d147c-b26e-4afe-8fab-449c6e793750  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  0 of the permissions in this role binding were used in the past 90 days.
0b5eacc5-ba9a-45f6-aea2-bcdc33ce2a2d  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  1 of the permissions in this role binding were used in the past 90 days.
0bb3032d-721c-44e8-b464-5293f235281c  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       PERMISSIONS_USAGE_STORAGE_BUCKET  3 of the permissions in this role binding were used in the past 90 days.

REST

O método insights.list da API Recommender apresenta todas as estatísticas de políticas ao nível do contentor para o seu projeto.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • PROJECT_ID: o ID do projeto para o qual quer listar estatísticas.
  • LOCATION: a localização dos recipientes cujas estatísticas quer listar.

Método HTTP e URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights?filter=insightSubtype%20%3D%20PERMISSIONS_USAGE_STORAGE_BUCKET

Para enviar o seu pedido, expanda uma destas opções:

A resposta apresenta todas as estatísticas de políticas ao nível do contentor do seu projeto na localização especificada. Por exemplo: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "allUsers",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-1"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"2a8784e529b80aea\"",
      "severity": "CRITICAL"
    },
    {
      "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/04307297-f57c-416d-9323-38abac450db0",
      "description": "2 of the permissions in this role binding were used in the past 90 days.",
      "content": {
        "role": "roles/storage.legacyBucketReader",
        "member": "projectViewer:my-project",
        "condition": {
          "expression": "",
          "title": "",
          "description": "",
          "location": ""
        },
        "exercisedPermissions": [
          {
            "permission": "storage.buckets.get"
          },
          {
            "permission": "storage.objects.list"
          }
        ],
        "inferredPermissions": [],
        "currentTotalPermissionsCount": "3"
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7772400s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/f3198e63-7f76-462e-a980-8e6370ff32d6"
        }
      ],
      "targetResources": [
        "//storage.googleapis.com/bucket-2"
      ],
      "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
      "etag": "\"5b60b935f27caf2c\"",
      "severity": "LOW"
    }
  ]
}

Para saber mais acerca dos componentes de uma estatística, consulte o artigo Reveja as estatísticas de políticas ao nível do grupo nesta página.

Obtenha uma única estatística de política ao nível do contentor

Para obter mais informações sobre uma única estatística, incluindo a descrição, o estado e as recomendações associadas, use um dos seguintes métodos:

Consola

  1. Na Google Cloud consola, aceda à página Recipientes.

    Aceda a Recipientes

  2. Certifique-se de que a coluna Estatísticas de segurança está visível.

  3. Encontre a coluna Estatísticas de segurança na tabela. Esta coluna mostra um resumo de todas as estatísticas de políticas do conjunto. Cada resumo indica o número total de autorizações excessivas para todas as funções concedidas nesse contentor.

    Se a coluna Estatísticas de segurança não estiver visível, clique em  Opções de apresentação de colunas e selecione Estatísticas de segurança. Em seguida, procure a coluna na tabela.

  4. Encontre o conjunto cujas estatísticas quer ver e clique no resumo das estatísticas das políticas nessa linha. Esta ação abre um painel que lista todos os principais que têm uma função no contentor, as respetivas funções e quaisquer estatísticas de políticas associadas a essas funções.
  5. Na coluna Estatísticas de segurança, clique numa estatística de política. As estatísticas das políticas têm o formato EXCESS/TOTAL excess permissions, em que EXCESS é o número de autorizações na função que o principal não precisa e TOTAL é o número total de autorizações na função.

A Google Cloud consola abre um painel que mostra os detalhes da estatística.

gcloud

Use o comando gcloud recommender insights describe com o ID da estatística para ver informações sobre uma única estatística.

  • INSIGHT_ID: o ID da estatística que quer ver. Para encontrar o ID, liste as estatísticas do seu projeto.
  • PROJECT_ID: o ID do projeto para o qual quer gerir estatísticas.
  • LOCATION: a localização do recipiente cujas estatísticas quer obter. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION

O resultado mostra a estatística detalhadamente. Por exemplo, a seguinte estatística indica que todos os utilizadores (allUsers) têm a função de leitor de contentores antigos de armazenamento (roles/storage.legacyBucketReader) no contentor bucket-1, mas que apenas duas autorizações nessa função foram usadas nos últimos 90 dias: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"2a8784e529b80aea"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACTIVE
targetResources:
- //storage.googleapis.com/bucket-1

Para saber mais acerca dos componentes de uma estatística, consulte o artigo Reveja as estatísticas de políticas ao nível do grupo nesta página.

REST

O método insights.get da API Recommender recebe uma única estatística.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • PROJECT_ID: o ID do projeto para o qual quer gerir estatísticas.
  • LOCATION: a localização do recipiente cujas estatísticas quer obter.
  • INSIGHT_ID: o ID da estatística que quer ver. Se não souber o ID da estatística, pode encontrá-lo listando as estatísticas no seu projeto. O ID de uma estatística é tudo o que se encontra depois de insights/ no campo name da estatística.

Método HTTP e URL: 

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

Para enviar o seu pedido, expanda uma destas opções:

A resposta contém a estatística. Por exemplo, a seguinte estatística indica que todos os utilizadores (allUsers) têm a função de leitor de contentores antigos de armazenamento (roles/storage.legacyBucketReader) no contentor bucket-1, mas que apenas duas autorizações nessa função foram usadas nos últimos 90 dias: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"2a8784e529b80aea\"",
  "severity": "CRITICAL"
}

Para saber mais acerca dos componentes de uma estatística, consulte o artigo Reveja as estatísticas de políticas ao nível do grupo nesta página.

Reveja as estatísticas das políticas ao nível do contentor

Depois de receber uma única estatística, pode rever o respetivo conteúdo para compreender o padrão de utilização de recursos que realça.

Consola

Quando clica numa estatística de política na Google Cloud consola, a Google Cloud consola abre um painel que mostra os detalhes da estatística. A apresentação destes detalhes depende de o detalhe estar associado a uma recomendação.

Se a estatística estiver associada a uma recomendação, o painel mostra os detalhes da recomendação.

Se a estatística não estiver associada a uma recomendação, o painel mostra uma lista de todas as autorizações na função. As autorizações usadas pelo principal aparecem na parte superior da lista, seguidas das autorizações em excesso.

gcloud

O conteúdo de uma estatística é determinado pelos respetivos subtipos. As estatísticas de políticas ao nível do contentor (google.iam.policy.Insight) têm o subtipo PERMISSIONS_USAGE_STORAGE_BUCKET.

As estatísticas PERMISSIONS_USAGE_STORAGE_BUCKET têm os seguintes componentes, não necessariamente nesta ordem:

  • associatedRecommendations: Os identificadores de quaisquer recomendações associadas à estatística. Se não existirem recomendações associadas à estatística, este campo está vazio.
  • category: a categoria das estatísticas de IAM é sempre SECURITY.

  • content: comunica a utilização de autorizações de um principal para uma função específica. Este campo contém os seguintes componentes:

    • condition: quaisquer condições anexadas à associação que conceda a função ao principal. Se não existirem condições, este campo contém uma condição vazia.
    • exercisedPermissions: As autorizações na função que o principal usou durante o período de observação.
    • inferredPermissions: As autorizações na função que o Recomendador determinou, através da ML, que o principal provavelmente vai precisar com base nas respetivas autorizações exercidas.
    • member: o principal cuja utilização de autorizações foi analisada.
    • role: a função para a qual a utilização de autorizações foi analisada.
  • description: um resumo da estatística legível por humanos.

  • etag: um identificador exclusivo do estado atual de uma estatística. Sempre que a estatística muda, é atribuído um novo valor etag.

    Para alterar o estado de uma estatística, tem de fornecer o etag da estatística existente. A utilização do etag ajuda a garantir que as operações só são realizadas se a estatística não tiver sido alterada desde a última vez que a obteve.

  • insightSubtype: o subtipo de estatística.
  • lastRefreshTime: a data da última atualização da estatística, que indica a atualidade dos dados usados para gerar a estatística.

  • name: o nome da estatística, no seguinte formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Os marcadores de posição têm os seguintes valores:

    • PROJECT_ID: o ID do projeto onde a estatística foi gerada.
    • LOCATION: a localização do grupo a que a estatística se refere.
    • INSIGHT_ID: um ID exclusivo para a estatística.
  • observationPeriod: o período que antecede a estatística. Os dados de origem usados para gerar as estatísticas terminam a lastRefreshTime e começam a lastRefreshTime menos observationPeriod.

  • stateInfo: as estatísticas passam por várias transições de estado depois de serem propostas:

    • ACTIVE: a estatística foi gerada, mas não foram tomadas ações ou foi tomada uma ação sem atualizar o estado da estatística. As estatísticas ativas são atualizadas quando os dados subjacentes mudam.
    • ACCEPTED: foi tomada alguma medida com base na estatística. As estatísticas são aceites quando uma recomendação associada foi marcada como CLAIMED, SUCCEEDED ou FAILED, ou quando a estatística foi aceite diretamente. Quando um insight está no estado ACCEPTED, o conteúdo do insight não pode ser alterado. As estatísticas aceites são retidas durante 90 dias após serem aceites.
  • targetResources: o nome completo do recurso do contentor para o qual a estatística é gerada. Por exemplo, //storage.googleapis.com/my-bucket.

REST

O conteúdo de uma estatística é determinado pelos respetivos subtipos. As estatísticas de políticas ao nível do contentor (google.iam.policy.Insight) têm o subtipo PERMISSIONS_USAGE_STORAGE_BUCKET.

As estatísticas PERMISSIONS_USAGE_STORAGE_BUCKET têm os seguintes componentes, não necessariamente nesta ordem:

  • associatedRecommendations: Os identificadores de quaisquer recomendações associadas à estatística. Se não existirem recomendações associadas à estatística, este campo está vazio.
  • category: a categoria das estatísticas de IAM é sempre SECURITY.

  • content: comunica a utilização de autorizações de um principal para uma função específica. Este campo contém os seguintes componentes:

    • condition: quaisquer condições anexadas à associação que conceda a função ao principal. Se não existirem condições, este campo contém uma condição vazia.
    • exercisedPermissions: As autorizações na função que o principal usou durante o período de observação.
    • inferredPermissions: As autorizações na função que o Recomendador determinou, através da ML, que o principal provavelmente vai precisar com base nas respetivas autorizações exercidas.
    • member: o principal cuja utilização de autorizações foi analisada.
    • role: a função para a qual a utilização de autorizações foi analisada.
  • description: um resumo da estatística legível por humanos.

  • etag: um identificador exclusivo do estado atual de uma estatística. Sempre que a estatística muda, é atribuído um novo valor etag.

    Para alterar o estado de uma estatística, tem de fornecer o etag da estatística existente. A utilização do etag ajuda a garantir que as operações só são realizadas se a estatística não tiver sido alterada desde a última vez que a obteve.

  • insightSubtype: o subtipo de estatística.
  • lastRefreshTime: a data da última atualização da estatística, que indica a atualidade dos dados usados para gerar a estatística.

  • name: o nome da estatística, no seguinte formato:

    projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID

    Os marcadores de posição têm os seguintes valores:

    • PROJECT_ID: o ID do projeto onde a estatística foi gerada.
    • LOCATION: a localização do grupo a que a estatística se refere.
    • INSIGHT_ID: um ID exclusivo para a estatística.
  • observationPeriod: o período que antecede a estatística. Os dados de origem usados para gerar as estatísticas terminam a lastRefreshTime e começam a lastRefreshTime menos observationPeriod.

  • stateInfo: as estatísticas passam por várias transições de estado depois de serem propostas:

    • ACTIVE: a estatística foi gerada, mas não foram tomadas ações ou foi tomada uma ação sem atualizar o estado da estatística. As estatísticas ativas são atualizadas quando os dados subjacentes mudam.
    • ACCEPTED: foi tomada alguma medida com base na estatística. As estatísticas são aceites quando uma recomendação associada foi marcada como CLAIMED, SUCCEEDED ou FAILED, ou quando a estatística foi aceite diretamente. Quando um insight está no estado ACCEPTED, o conteúdo do insight não pode ser alterado. As estatísticas aceites são retidas durante 90 dias após serem aceites.
  • targetResources: o nome completo do recurso do contentor para o qual a estatística é gerada. Por exemplo, //storage.googleapis.com/my-bucket.

Marque uma estatística da política ao nível do contentor como ACCEPTED

Se tomar medidas com base numa estatística ativa, pode marcar essa estatística como ACCEPTED. O estado ACCEPTED indica à API Recommender que tomou medidas com base nesta estatística, o que ajuda a refinar as suas recomendações.

As estatísticas aceites são retidas durante 90 dias após serem marcadas como ACCEPTED.

Consola

Se uma estatística estiver associada a uma recomendação, aplicar a recomendação altera o estado da estatística para ACCEPTED.

Para marcar uma estatística como ACCEPTED sem aplicar uma recomendação, use a CLI gcloud ou a API REST.

gcloud

Use o comando gcloud recommender insights mark-accepted com o ID das estatísticas para marcar uma estatística como ACCEPTED.

  • INSIGHT_ID: o ID da estatística que quer ver. Para encontrar o ID, liste as estatísticas do seu projeto.
  • PROJECT_ID: o ID do projeto para o qual quer gerir estatísticas.
  • LOCATION: a localização do contentor cujo detalhe quer marcar como ACCEPTED.

  • ETAG: um identificador de uma versão da estatística. Para receber o etag, faça o seguinte:

    1. Obtenha as estatísticas através do comando gcloud recommender insights describe.
    2. Localize e copie o valor etag do resultado, incluindo as aspas circundantes. Por exemplo, "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.Insight \
    --project=PROJECT_ID \
    --location=LOCATION \
    --etag=ETAG

O resultado mostra a estatística, agora com o estado de ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '3'
  exercisedPermissions:
  - permission: storage.buckets.get
  - permission: storage.objects.list
  inferredPermissions: []
  member: allUsers
  role: roles/storage.legacyBucketReader
description: 2 of the permissions in this role binding were used in the past 90 days.
etag: '"0187c0362e4bcea7"'
insightSubtype: PERMISSIONS_USAGE_STORAGE_BUCKET
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b
observationPeriod: 7772400s
severity: CRITICAL
stateInfo:
  state: ACCEPTED
targetResources:
- //storage.googleapis.com/bucket-1

Para saber mais sobre as informações de estado de uma estatística, consulte a secção Reveja as estatísticas de políticas ao nível do grupo nesta página.

REST

O método insights.markAccepted da API Recommender marca uma estatística como ACCEPTED.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • PROJECT_ID: o ID do projeto para o qual quer gerir estatísticas.
  • LOCATION: a localização do contentor cujo detalhe quer marcar como ACCEPTED.
  • INSIGHT_ID: o ID da estatística que quer ver. Se não souber o ID da estatística, pode encontrá-lo listando as estatísticas no seu projeto. O ID de uma estatística é tudo o que se encontra depois de insights/ no campo name da estatística.
  • ETAG: um identificador de uma versão da estatística. Para obter o etag, faça o seguinte:
    1. Obtenha a estatística através do método insights.get.
    2. Encontre e copie o valor etag da resposta.

Método HTTP e URL: 

POST https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.iam.policy.Insight/insights/INSIGHT_ID:markAccepted

Corpo JSON do pedido: 

{
  "etag": "ETAG"
}

Para enviar o seu pedido, expanda uma destas opções:

A resposta contém a estatística, agora com o estado ACCEPTED: 

{
  "name": "projects/123456789012/locations/us/insightTypes/google.iam.policy.Insight/insights/00dd7eb5-15c2-4fb3-a9b2-1a85f842462b",
  "description": "2 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/storage.legacyBucketReader",
    "member": "allUsers",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.buckets.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [],
    "currentTotalPermissionsCount": "3"
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7772400s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/us/recommenders/google.iam.policy.Recommender/recommendations/4a31a9d4-5132-4616-8a1f-fb07fad01883"
    }
  ],
  "targetResources": [
    "//storage.googleapis.com/bucket-1"
  ],
  "insightSubtype": "PERMISSIONS_USAGE_STORAGE_BUCKET",
  "etag": "\"9a5485cdc1f05b58\"",
  "severity": "CRITICAL"
}

Para saber mais sobre as informações de estado de uma estatística, consulte a secção Reveja as estatísticas de políticas ao nível do grupo nesta página.

O que se segue?