本页介绍了如何查看、了解和应用组织政策建议。组织政策建议可帮助您设置合适的组织政策,而不会中断系统。
准备工作
启用组织政策 API 和 Recommender API。
启用 API 所需的角色
如需启用 API,您需要拥有 Service Usage Admin IAM 角色 (
roles/serviceusage.serviceUsageAdmin),该角色包含serviceusage.services.enable权限。了解如何授予角色。设置身份验证。
选择标签页以了解您打算如何使用本页面上的示例:
gcloud
在 Google Cloud 控制台中,激活 Cloud Shell。
Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
REST
如需在本地开发环境中使用本页面上的 REST API 示例,请使用您提供给 gcloud CLI 的凭证。
安装 Google Cloud CLI。
如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI。
如需了解详情,请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证。
了解组织政策建议。
所需 IAM 角色
本部分介绍需要哪些 IAM 角色和权限才能使用组织政策建议。
如需获得管理组织政策建议所需的权限,请让管理员向您授予您要管理其建议的资源(项目、文件夹或组织)的以下 IAM 角色:
-
如需查看组织政策建议,您需要拥有以下角色:
Org Policy Recommender Viewer (
roles/recommender.orgPolicyViewer) -
应用和关闭组织政策建议:
Org Policy Recommender Admin (
roles/recommender.orgPolicyAdmin) -
管理组织政策:Organization Policy Administrator (
roles/orgpolicy.policyAdmin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含管理组织政策建议所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
管理组织政策建议需要以下权限:
-
如需查看组织政策建议:
-
recommender.orgPolicyRecommendations.get -
recommender.orgPolicyRecommendations.list
-
-
如需应用和拒绝组织政策建议,请执行以下操作:
-
recommender.orgPolicyRecommendations.get -
recommender.orgPolicyRecommendations.list -
recommender.orgPolicyRecommendations.update
-
-
如需管理组织政策:
-
orgpolicy.policy.get -
orgpolicy.policy.set -
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update
-
限制
组织政策推荐器的预览版具有以下限制:
数据分析仅适用于有建议的项目、文件夹和组织。
系统只会针对未在给定资源或其任何子资源上配置的限制条件提出建议。
支持的限制条件
建议仅适用于以下组织政策限制条件:
服务账号密钥创建 (
iam.managed.disableServiceAccountKeyCreation)服务账号密钥上传 (
iam.managed.disableServiceAccountKeyUpload)协议转发规则 (
compute.managed.restrictProtocolForwardingCreationForTypes)
查看和应用建议
您可以使用 Google Cloud CLI 和 Recommender API 查看和应用组织政策建议。
gcloud
查看您的建议:
要列出您的建议,请运行 gcloud recommender recommendations list 命令:
gcloud recommender recommendations list \
--location=global \
--recommender=google.orgpolicy.policy.Recommender \
--RESOURCE_TYPE=RESOURCE_ID \
--filter="recommenderSubtype:RECOMMENDER_SUBTYPE" \
--format=FORMAT
替换以下值:
RESOURCE_TYPE:要为其列出建议的资源类型。使用值project、folder或organization。RESOURCE_ID:您要为其列出建议的 Google Cloud 项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如my-project。文件夹和组织 ID 是数字,例如123456789012。RECOMMENDER_SUBTYPE:可选。您要查看建议的子类型的 ID。有效子类型包括:ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION为iam.managed.disableServiceAccountKeyCreation限制提供建议。ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD针对iam.managed.disableServiceAccountKeyUpload限制提供建议
FORMAT:响应的格式。使用值json或yaml。
响应类似于以下示例。在此示例中,系统分析了两个资源是否存在外部服务账号密钥,未检测到任何违规行为。因此,建议建议设置 iam.managed.disableServiceAccountKeyCreation 以防止日后出现违规情况。
[
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/fb927dc1-9695-4436-0000-f0f285007c0f"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/",
"resource": "//orgpolicy.googleapis.com/projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
"resourceType": "orgpolicy.googleapis.com/Policy",
"value": {
"etag": "",
"name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
"spec": {
"etag": "",
"inheritFromParent": false,
"reset": false,
"rules": [
{
"enforce": true
}
]
}
}
}
]
}
],
"overview": {
"constraint": {
"id": "constraints/iam.managed.disableServiceAccountKeyCreation",
"name": "Disable service account key creation"
},
"enforcedResources": [
{
"numOfResources": "2",
"resourceType": "iam.googleapis.com/ServiceAccountKey"
},
{
"numOfResources": "1",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
},
"description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
"etag": "\"826e992a0f9793ff\"",
"lastRefreshTime": "2024-12-07T08:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
"primaryImpact": {
"category": "SECURITY"
},
"priority": "P1",
"recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
"stateInfo": {
"state": "ACTIVE",
"stateMetadata": {
"reviewedBy": "alice",
"priority": "high"
}
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
]
如需详细了解建议的各个组成部分,请参阅了解建议。
如需应用建议,请执行以下操作:
使用
gcloud recommender recommendations mark-claimed命令将建议的状态更改为CLAIMED,这样可以防止建议在您应用它时发生变化:gcloud recommender recommendations mark-claimed \ RECOMMENDATION_ID \ --location=global \ --recommender=google.orgpolicy.policy.Recommender \ --RESOURCE_TYPE=RESOURCE_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA替换以下值:
-
RECOMMENDATION_ID:建议的唯一标识符。此值显示在建议的name字段末尾。在上述示例中,标识符为fb927dc1-9695-4436-0000-f0f285007c0f。 -
RESOURCE_TYPE:要为其管理建议的资源类型。使用值project、folder或organization。 -
RESOURCE_ID:您要为其列出建议的 Google Cloud项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如my-project。文件夹和组织 ID 是数字,例如123456789012。 -
FORMAT:响应的格式。使用值json或yaml。 -
ETAG:建议版本的标识符,例如"7caf4103d7669e12"。请注意,该值可以包含引号。 -
STATE_METADATA:可选。以逗号分隔的键值对,其中包含您对建议所选择的元数据。例如--state-metadata=reviewedBy=alice,priority=high。元数据会替换建议中的stateInfo.stateMetadata字段。
如果命令成功,响应会显示建议处于
CLAIMED状态,如下例所示。为清楚起见,示例省略了大部分字段:{ "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.", "etag": "\"826e992a0f9793ff\"", "lastRefreshTime": "2024-12-07T08:00:00Z", "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "primaryImpact": { "category": "SECURITY" }, "priority": "P1", "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION", "stateInfo": { "state": "CLAIMED", "stateMetadata": {\ "reviewedBy": "alice", "priority": "high" } }, "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ] }-
更新并应用由
RESOURCE_TYPE和RESOURCE_ID指定的项目、文件夹或组织的组织政策,使其反映建议。如果能够应用建议,请将建议的状态更新为
SUCCEEDED;否则,请更新为FAILED:gcloud recommender recommendations COMMAND \ RECOMMENDATION_ID \ --location=global \ --recommender=google.iam.policy.Recommender \ --RESOURCE_TYPE=RESOURCE_ID \ --format=FORMAT \ --etag=ETAG \ --state-metadata=STATE_METADATA替换以下值:
-
COMMAND:如果成功应用了建议,请使用mark-succeeded;否则,请使用mark-failed。 -
RECOMMENDATION_ID:建议的唯一标识符。此值显示在建议的name字段末尾。在上述示例中,标识符为fb927dc1-9695-4436-0000-f0f285007c0f。 -
RESOURCE_TYPE:要为其管理建议的资源类型。使用值project、folder或organization。 -
RESOURCE_ID:您要为其列出建议的 Google Cloud项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如my-project。文件夹和组织 ID 是数字,例如123456789012。 -
FORMAT:响应的格式。使用值json或yaml。 -
ETAG:建议版本的标识符,例如"7caf4103d7669e12"。请注意,该值可以包含引号。 -
STATE_METADATA:可选。以逗号分隔的键值对,其中包含您对建议所选择的元数据。例如--state-metadata=reviewedBy=alice,priority=high。元数据会替换建议中的stateInfo.stateMetadata字段。
例如,如果您将建议标记为成功,响应会显示建议处于
SUCCEEDED状态。为清楚起见,此示例省略了大部分字段:{ "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.", "etag": "\"826e992a0f9793ff\"", "lastRefreshTime": "2024-12-07T08:00:00Z", "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "primaryImpact": { "category": "SECURITY" }, "priority": "P1", "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ] }如需还原对组织政策所做的更改,请将组织政策设置为其原始配置,该配置在相关分析洞见的
configuredPolicy字段中提供。-
REST
查看您的建议:
如需列出项目、文件夹或组织的所有可用建议,请使用 Recommender API 的 recommendations.list 方法。
在使用任何请求数据之前,请先进行以下替换:
RESOURCE_TYPE:要为其管理建议的资源类型。使用值projects、folders或organizations。RESOURCE_ID:要为其管理建议的Google Cloud 项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如my-project。文件夹和组织 ID 是数字,例如123456789012。-
PAGE_SIZE:可选。要从此请求返回的最大结果数。如果未指定,则服务器将决定要返回的结果数。如果建议的数量大于页面大小,则响应会包含用于检索下一页结果的分页令牌。 -
PAGE_TOKEN:可选。此方法之前的响应中返回的分页令牌。如果已指定,则建议列表将从上一个请求结束的位置开始。 -
FILTER:可选。用于限制返回的建议的过滤条件表达式。您可以根据stateInfo.state字段过滤建议。例如stateInfo.state:"DISMISSED"或stateInfo.state:"FAILED"。 PROJECT_ID:您的 Google Cloud 项目 ID。项目 ID 是字母数字字符串,例如my-project。
HTTP 方法和网址:
GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER
如需发送您的请求,请展开以下选项之一:
响应类似于以下示例。在此示例中,系统会分析两个资源是否存在外部服务账号密钥,但未检测到任何违规行为。
因此,建议建议设置 iam.managed.disableServiceAccountKeyCreation 以防止日后出现违规情况。
[
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/",
"resource": "//orgpolicy.googleapis.com/projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
"resourceType": "orgpolicy.googleapis.com/Policy",
"value": {
"etag": "",
"name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
"spec": {
"etag": "",
"inheritFromParent": false,
"reset": false,
"rules": [
{
"enforce": true
}
]
}
}
}
]
}
],
"overview": {
"constraint": {
"id": "constraints/iam.managed.disableServiceAccountKeyCreation",
"name": "Disable service account key creation"
},
"enforcedResources": [
{
"numOfResources": "2",
"resourceType": "iam.googleapis.com/ServiceAccountKey"
},
{
"numOfResources": "1",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
},
"description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
"etag": "\"826e992a0f9793ff\"",
"lastRefreshTime": "2024-12-07T08:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
"primaryImpact": {
"category": "SECURITY"
},
"priority": "P1",
"recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
"stateInfo": {
"state": "ACTIVE",
"stateMetadata": {
"reviewedBy": "alice",
"priority": "high"
}
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
]
如需详细了解建议的各个组成部分,请参阅了解建议。
如需应用建议,请执行以下操作:
将建议标记为
CLAIMED:如需将建议标记为
CLAIMED,这样可以防止建议在您应用它时发生变化,请使用 Recommender API 的recommendations.markClaimed方法。在使用任何请求数据之前,请先进行以下替换:
RESOURCE_TYPE:要为其管理建议的资源类型。使用值projects、folders或organizations。RESOURCE_ID:要为其管理建议的Google Cloud 项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如my-project。文件夹和组织 ID 是数字,例如123456789012。RECOMMENDATION_ID:建议的唯一标识符。此值显示在建议的name字段末尾。例如,如果name字段为projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f,则建议 ID 为fb927dc1-9695-4436-0000-f0f285007c0f。ETAG:建议中etag字段的值,例如"dd0686e7136a4cbb"。使用反斜杠可转义引号,例如"\"df7308cca9719dcc\""。STATE_METADATA:可选。包含键值对的对象,其中包含您对建议所选择的元数据。例如{"reviewedBy": "alice", "priority": "high"}。元数据会替换建议中的stateInfo.stateMetadata字段。PROJECT_ID:您的 Google Cloud 项目 ID。项目 ID 是字母数字字符串,例如my-project。
HTTP 方法和网址:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
请求 JSON 正文:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }如需发送您的请求,请展开以下选项之一:
响应会显示
CLAIMED状态的建议,如以下示例所示。为清楚起见,此示例省略了大部分字段:{ "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.", "etag": "\"826e992a0f9793ff\"", "lastRefreshTime": "2024-12-07T08:00:00Z", "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "primaryImpact": { "category": "SECURITY" }, "priority": "P1", "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION", "stateInfo": { "state": "CLAIMED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ] }更新
RESOURCE_TYPE和RESOURCE_ID指定的项目、文件夹或组织的组织政策,使其反映建议。如果成功应用了建议,请将建议的状态更新为
SUCCEEDED;否则,请更新为FAILED:SUCCEEDED如需将建议标记为
SUCCEEDED,表明您可以应用它,请使用 Recommender API 的recommendations.markSucceeded方法。在使用任何请求数据之前,请先进行以下替换:
RESOURCE_TYPE:要为其管理建议的资源类型。使用值projects、folders或organizations。RESOURCE_ID:要为其管理建议的Google Cloud 项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如my-project。文件夹和组织 ID 是数字,例如123456789012。RECOMMENDATION_ID:建议的唯一标识符。此值显示在建议的name字段末尾。例如,如果name字段为projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f,则建议 ID 为fb927dc1-9695-4436-0000-f0f285007c0f。ETAG:建议中etag字段的值,例如"dd0686e7136a4cbb"。使用反斜杠可转义引号,例如"\"df7308cca9719dcc\""。STATE_METADATA:可选。包含键值对的对象,其中包含您对建议所选择的元数据。例如{"reviewedBy": "alice", "priority": "high"}。元数据会替换建议中的stateInfo.stateMetadata字段。PROJECT_ID:您的 Google Cloud 项目 ID。项目 ID 是字母数字字符串,例如my-project。
HTTP 方法和网址:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
请求 JSON 正文:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }如需发送您的请求,请展开以下选项之一:
响应会显示
SUCCEEDED状态的建议,如以下示例所示。为清楚起见,此示例省略了大部分字段:{ "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.", "etag": "\"826e992a0f9793ff\"", "lastRefreshTime": "2024-12-07T08:00:00Z", "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "primaryImpact": { "category": "SECURITY" }, "priority": "P1", "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ] }FAILED如需将建议标记为
FAILED,表明您无法应用它,请使用 Recommender API 的recommendations.markFailed方法。在使用任何请求数据之前,请先进行以下替换:
RESOURCE_TYPE:要为其管理建议的资源类型。使用值projects、folders或organizations。RESOURCE_ID:要为其管理建议的Google Cloud 项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如my-project。文件夹和组织 ID 是数字,例如123456789012。RECOMMENDATION_ID:建议的唯一标识符。此值显示在建议的name字段末尾。例如,如果name字段为projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f,则建议 ID 为fb927dc1-9695-4436-0000-f0f285007c0f。ETAG:建议中etag字段的值,例如"dd0686e7136a4cbb"。使用反斜杠可转义引号,例如"\"df7308cca9719dcc\""。STATE_METADATA:可选。包含键值对的对象,其中包含您对建议所选择的元数据。例如{"reviewedBy": "alice", "priority": "high"}。元数据会替换建议中的stateInfo.stateMetadata字段。PROJECT_ID:您的 Google Cloud 项目 ID。项目 ID 是字母数字字符串,例如my-project。
HTTP 方法和网址:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
请求 JSON 正文:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }如需发送您的请求,请展开以下选项之一:
响应会显示
FAILED状态的建议,如以下示例所示。为清楚起见,此示例省略了大部分字段:{ "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.", "etag": "\"826e992a0f9793ff\"", "lastRefreshTime": "2024-12-07T08:00:00Z", "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f", "primaryImpact": { "category": "SECURITY" }, "priority": "P1", "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION", "stateInfo": { "state": "FAILED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "targetResources": [ "//cloudresourcemanager.googleapis.com/projects/123456789012" ] }
了解建议
每条建议都包含可帮助您了解提出该建议原因的信息,以及有关如何更改组织政策配置的建议。其核心属性包括:
description:用户易于阅读的建议摘要。recommenderSubtype:建议子类型的标识符。每个约束都有一个唯一的recommenderSubtype。content:包含对组织政策的建议更改。overview:有关建议的简要概览信息。constraint:提供有关限制条件的信息。enforced_resources:提供有关应用建议后此组织政策会影响的资源的信息。operationGroups:应用建议时对组织政策执行的一组操作。
associatedInsights:促成此建议的数据分析的资源名称。
如需详细了解建议的属性,请参阅建议参考文档。
对于未设置支持的组织政策的资源或其任何子资源,系统会生成数据分析和建议。如要查看此建议基于的组织政策配置,请查看与建议相关的组织政策数据分析。这些数据分析在 associatedInsights 字段中列出。如需查看与建议相关的组织政策数据分析,请执行以下操作:
确定
associatedInsights字段中的哪些数据分析是组织政策数据分析。组织政策数据分析的数据分析类型为google.orgpolicy.policy.Insight。此类型显示在insight字段中的insightTypes后面。复制组织政策数据分析的 ID。该 ID 是
insight字段中insights/后面的所有内容。例如,如果数据分析字段显示projects/123456789012/locations/us/insightTypes/google.orgpolicy.policy.Insight/insights/fb927dc1-9695-4436-0000-f0f285007c0f,则数据分析 ID 为fb927dc1-9695-4436-0000-f0f285007c0f。按照说明使用您复制的数据分析 ID 来获取组织政策数据分析。
将建议导出到 BigQuery
如需查看组织的所有建议(包括组织政策建议)的每日快照,您可以将建议导出到 BigQuery。
如需将建议导出到 BigQuery,您需要使用 BigQuery Data Transfer Service 设置数据传输作业。如需了解如何设置数据转移,请参阅将建议导出到 BigQuery。
后续步骤
- 详细了解 Recommender。
- 了解如何使用组织政策数据分析。