Rivedi e applica i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Questa pagina spiega come visualizzare, comprendere e applicare i suggerimenti sui ruoli di progetti, cartelle e organizzazioni. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno.

Prima di iniziare

Abilita le API IAM and Recommender.
Abilita le API
Scopri di più sui consigli sui ruoli.
Consulta le best practice per i suggerimenti sui ruoli.

Ruoli IAM richiesti

Questa sezione descrive i ruoli e le autorizzazioni IAM necessari per utilizzare i suggerimenti sui ruoli.

Visualizza i suggerimenti

Per ottenere le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa per cui vuoi visualizzare i suggerimenti (progetto, cartella o organizzazione):

Visualizzatore ruoli (roles/iam.roleViewer)
Visualizzatore motore per suggerimenti IAM (roles/recommender.iamViewer)
Per visualizzare i suggerimenti a livello di progetto nella console Google Cloud: Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin)
Per visualizzare i suggerimenti a livello di cartella nella console Google Cloud: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Per visualizzare i suggerimenti a livello di organizzazione nella console Google Cloud: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, vedi Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list
recommender.iamPolicyLateralMovementInsights.get
recommender.iamPolicyLateralMovementInsights.list
Per visualizzare i suggerimenti nella console Google Cloud: resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi visualizzare i suggerimenti (projects, folders o organizations).

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Applicare e ignorare i consigli

Per ottenere le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa per cui vuoi gestire i suggerimenti (progetto, cartella o organizzazione):

Visualizzatore ruoli (roles/iam.roleViewer)
Amministratore motore per suggerimenti IAM (roles/recommender.iamAdmin)
Per gestire i suggerimenti a livello di progetto: Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin)
Per gestire i suggerimenti a livello di cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Per gestire i consigli a livello di organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, vedi Gestire l'accesso.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per visualizzare, applicare e ignorare i suggerimenti sui ruoli, sono necessarie le seguenti autorizzazioni:

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list
recommender.iamPolicyLateralMovementInsights.get
recommender.iamPolicyLateralMovementInsights.list
recommender.iamPolicyRecommendations.update
resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i consigli (projects, folders o organizations)
resourcemanager.RESOURCE.setIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i consigli (projects, folders o organizations)

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Revisione e applicazione dei suggerimenti

Il modo più semplice per esaminare e applicare i consigli è utilizzare la console Google Cloud. Inoltre, se vuoi creare automaticamente un ruolo personalizzato quando applichi un consiglio, devi utilizzare la console Google Cloud.

Puoi anche esaminare e applicare i suggerimenti con l'interfaccia a Google Cloud CLI'API per suggerimenti.

Console

Nella console Google Cloud, vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Nell'elenco delle entità che hanno accesso al tuo progetto, individua la colonna Insight sulla sicurezza.

Nota: la console Google Cloud non mostra automaticamente le concessioni di ruoli per gli account di servizio gestiti da Google. Per visualizzare queste concessioni di ruoli e i relativi suggerimenti, seleziona Includi concessioni di ruoli fornite da Google.

Per ogni ruolo concesso a un'entità, questa colonna mostra eventuali approfondimenti relativi alla sicurezza. Questi insight mettono in evidenza i pattern di accesso alle risorse da parte delle entità. Ad esempio, alcuni insight mettono in evidenza autorizzazioni in eccesso o autorizzazioni di cui un'entità non ha bisogno. Altri dati importanti mettono in evidenza gli account di servizio con funzionalità di spostamento laterale:

Se è disponibile un consiglio per risolvere un approfondimento, nella console Google Cloud viene visualizzata l'icona Consiglio disponibile .

Nota: il motore per suggerimenti non analizza le autorizzazioni per tutti i ruoli. Per sapere quali ruoli vengono analizzati dal motore per suggerimenti, consulta Disponibilità dei suggerimenti relativi ai criteri IAM.
Se sono presenti consigli da esaminare, fai clic sull'icona Consiglio disponibile per visualizzare i dettagli sul consiglio.

Se il suggerimento prevede la sostituzione del ruolo, il suggerimento per il ruolo suggerisce sempre un insieme di ruoli predefiniti che è possibile applicare.

In alcuni casi, il suggerimento sul ruolo suggerisce anche la creazione di un nuovo ruolo personalizzato a livello di progetto. Se è disponibile un suggerimento del ruolo personalizzato, la console Google Cloud lo mostra per impostazione predefinita. Per passare al suggerimento sul ruolo predefinito, fai clic su Visualizza il ruolo predefinito consigliato.
Esamina attentamente il suggerimento e assicurati di aver compreso come cambierà l'accesso dell'entità alle risorse Google Cloud. Ad eccezione dei consigli per gli account di servizio gestiti da Google, un consiglio non aumenterà mai il livello di accesso di un cliente. Per ulteriori informazioni, consulta Come vengono generati i suggerimenti sui ruoli.

Per scoprire come esaminare i consigli nella console, consulta Esaminare i consigli in questa pagina.
Facoltativo: se il consiglio è creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo in base alle tue esigenze.

Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo relativa a ciascuna autorizzazione da rimuovere.
Intervieni sul consiglio.

Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per ripristinare la tua scelta.

Per ignorare il consiglio, fai clic su Ignora, quindi conferma la tua scelta. Puoi ripristinare un consiglio ignorato purché il consiglio sia ancora valido.

Nota: puoi anche applicare e ignorare rapidamente i consigli facendo clic sulla freccia di espansione accanto a un approfondimento con un consiglio, poi facendo clic su Applica consiglio o Ignora consiglio. Non puoi applicare i consigli per creare ruoli personalizzati in questo modo.
Ripeti i passaggi precedenti finché non avrai esaminato tutti i consigli.

gcloud

Esaminare i consigli:

Per elencare i suggerimenti, esegui il comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT

Sostituisci i seguenti valori:

RESOURCE_TYPE: il tipo di risorsa per cui vuoi elencare i suggerimenti. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi elencare i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
FORMAT: il formato della risposta. Utilizza json o yaml.

La risposta è simile all'esempio seguente. In questo esempio, un account di servizio non ha utilizzato autorizzazioni del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il suggerimento sul ruolo suggerisce di revocare il ruolo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-12345[email protected]",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni suggerimento e valuta come cambierà l'accesso del principio alle risorse Google Cloud. Per scoprire come esaminare i suggerimenti dallgcloud CLI, consulta Esamina i suggerimenti in questa pagina.

Per applicare un consiglio:

Utilizza il comando gcloud recommender recommendations mark-claimed per cambiare lo stato del suggerimento in CLAIMED,, in modo da impedirne la modifica durante l'applicazione:
```
gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name del consiglio. Nell'esempio riportato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: il tipo di risorsa di cui vuoi gestire i suggerimenti. Utilizza il valore project, folder o organization.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud di cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
- FORMAT: il formato della risposta. Utilizza json o yaml.
- ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere virgolette.
- STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la scelta dei metadati sul suggerimento. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
Se il comando ha esito positivo, la risposta mostra il suggerimento in uno stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, l'esempio omette la maggior parte dei campi:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"df7308cca9719dcc\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```
Scarica il criterio di autorizzazione per il progetto, quindi modifica e imposta il criterio di autorizzazione in modo che rifletta il suggerimento.
Aggiorna lo stato del consiglio su SUCCEEDED, se hai potuto applicare il consiglio, oppure su FAILED, se non hai potuto applicare il consiglio:
```
gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- COMMAND: utilizza mark-succeeded se hai potuto applicare il consiglio oppure mark-failed, se non hai potuto applicare il consiglio.
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name del consiglio. Nell'esempio riportato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: il tipo di risorsa di cui vuoi gestire i suggerimenti. Utilizza il valore project, folder o organization.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud di cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
- FORMAT: il formato della risposta. Utilizza json o yaml.
- ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere virgolette.
- STATE_METADATA: facoltativo. Coppie chiave-valore separate da virgole che contengono la scelta dei metadati sul suggerimento. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
Ad esempio, se hai contrassegnato il suggerimento come completato, la risposta mostra il consiglio in uno stato SUCCEEDED. Per chiarezza, questo esempio omette la maggior parte dei campi:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"dd0686e7136a4cbb\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```

REST

Queste istruzioni presuppongono che tu abbia eseguito l'autenticazione e impostato la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

Esaminare i consigli:

Per elencare tutti i suggerimenti disponibili per il tuo progetto, cartella o organizzazione, utilizza il metodo recommendations.list dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di suggerimenti è maggiore delle dimensioni della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina successiva dei risultati.
PAGE_TOKEN: facoltativo. Il token di impaginazione restituito in una risposta precedente da questo metodo. Se specificato, l'elenco di suggerimenti inizierà da dove è terminata la richiesta precedente.
FILTER: facoltativo. Un'espressione di filtro per limitare i suggerimenti restituiti. Puoi filtrare i consigli in base al campo stateInfo.state. Ad esempio, stateInfo.state:"DISMISSED" o stateInfo.state:"FAILED".
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.

Metodo e URL HTTP:

GET http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    "http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER" | Select-Object -Expand Content

La risposta è simile all'esempio seguente. In questo esempio, un account di servizio nel progetto example-project non ha utilizzato autorizzazioni del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il motore per suggerimenti suggerisce di revocare il ruolo:

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-12345[email protected]",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

Esamina attentamente ogni suggerimento e valuta come cambierà l'accesso del principio alle risorse Google Cloud. Per informazioni su come esaminare i consigli dell'API REST, consulta Esamina i consigli in questa pagina.

Per applicare un consiglio:

Contrassegna il consiglio come CLAIMED:

Per contrassegnare un consiglio come CLAIMED, in modo da impedirne la modifica durante l'applicazione, utilizza il metodo recommendations.markClaimed dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name del consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per eseguire l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati scelti sul suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata del suggerimento.
- PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo e URL HTTP:
```
POST http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
```
Corpo JSON richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"
```
PowerShell (Windows)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content
```
La risposta mostra il consiglio in uno stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, questo esempio omette la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
Scarica il criterio di autorizzazione per il progetto e poi modifica il criterio di autorizzazione in modo che rifletta il consiglio.
Aggiorna lo stato del consiglio su SUCCEEDED, se hai potuto applicare il consiglio, oppure su FAILED, se non hai potuto applicare il consiglio:
SUCCEEDED

Per contrassegnare un suggerimento come SUCCEEDED, a indicare che puoi applicarlo, utilizza il metodo recommendations.markSucceeded dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name del consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per eseguire l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati scelti sul suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata del suggerimento.
- PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo e URL HTTP:
```
POST http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
```
Corpo JSON richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"
PowerShell (Windows)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content
La risposta mostra il consiglio in uno stato SUCCEEDED, come mostrato nell'esempio seguente. Per chiarezza, questo esempio omette la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
FAILED

Per contrassegnare un suggerimento come FAILED, a indicare che non è stato possibile applicarlo, utilizza il metodo recommendations.markFailed dell'API Recommender.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- RESOURCE_TYPE: il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, come 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name del consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel suggerimento, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per eseguire l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: facoltativo. Un oggetto che contiene coppie chiave-valore con i metadati scelti sul suggerimento. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata del suggerimento.
- PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project.
Metodo e URL HTTP:
```
POST http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
```
Corpo JSON richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una delle seguenti opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"
PowerShell (Windows)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all' interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login, oppure utilizzando Cloud Shell, che esegue automaticamente l'accesso all'interfaccia a riga di comando di gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json ed esegui il seguente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "http://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content
La risposta mostra il consiglio in uno stato FAILED, come mostrato nell'esempio seguente. Per chiarezza, questo esempio omette la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```

Comprendere i consigli

Ogni consiglio include informazioni per aiutarti a capire perché è stato formulato.

Console

Per aiutarti a comprendere il motivo per cui è stato fornito il suggerimento, la console Google Cloud mostra l'utilizzo delle autorizzazioni dell'entità, come riportato dagli approfondimenti sui criteri associati al suggerimento. Ad esempio, potrebbe essere visualizzato un elenco simile al seguente:

Per aiutarti a comprendere l'impatto dell'applicazione del consiglio, la console Google Cloud mostra anche un elenco di autorizzazioni con codice colore e simbolo. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il suggerimento. Ad esempio, potrebbe essere visualizzato un elenco simile al seguente:

I tipi di autorizzazioni associati a ciascun colore e simbolo sono i seguenti:

Grigio senza simbolo: autorizzazioni disponibili sia nel ruolo attuale dell'entità che nei ruoli consigliati.
Rosso con un segno meno : autorizzazioni che si trovano nel ruolo attuale dell'entità, ma non nei ruoli consigliati perché l'entità non le ha utilizzate negli ultimi 90 giorni.
Verde con un segno più : autorizzazioni che non si trovano nel ruolo attuale dell'entità, ma sono nei ruoli consigliati. Questo tipo di autorizzazione viene visualizzato solo nei consigli per gli account di servizio gestiti da Google.
Blu con un'icona Machine learning : Autorizzazioni con il ruolo attuale dell'entità e con i ruoli consigliati, non perché l'entità ha utilizzato le autorizzazioni negli ultimi 90 giorni, ma perché il motore per suggerimenti ha determinato tramite il machine learning che in futuro avrà bisogno di quelle autorizzazioni.

Alcuni consigli sono anche associati alle informazioni sui movimenti laterali. Gli approfondimenti sul movimento laterale identificano i ruoli che consentono a un account di servizio in un progetto di impersonare un account di servizio in un altro. Se un consiglio è associato a un movimento laterale, la console Google Cloud mostra anche quanto segue:

Progetto di origine dell'account di servizio: il progetto in cui è stato creato l'account di servizio con autorizzazioni di rappresentazione.
Account di servizio che possono essere impersonati in questo progetto: un elenco di tutti gli account di servizio nel progetto attuale che l'account di servizio con autorizzazioni di rappresentazione può impersonare.

gcloud

Per i dettagli sui campi di un consiglio, consulta il riferimento Recommendation.

Per visualizzare l'utilizzo delle autorizzazioni basato su questo consiglio, visualizza gli approfondimenti sulle norme associati al consiglio. Queste informazioni sono elencate nel campo associatedInsights. Per visualizzare un'informativa sulle norme associata al consiglio:

Identifica quali insight nel campo associatedInsights sono insight sulle norme. Gli approfondimenti sui criteri sono di tipo google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento delle norme. L'ID è tutto dopo il campo insights/ nel campo insight. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ottenere un approfondimento delle norme, utilizzando l'ID insight che hai copiato.

Alcuni consigli sono anche associati ad approfondimenti sul movimento laterale, che identificano i ruoli che permettono agli account di servizio in un progetto di impersonare account di servizio in un altro. Questi insight sono elencati anche nel campo associatedInsights. Per visualizzare una panoramica dello spostamento laterale associata al consiglio:

Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti di movimento laterale. Gli insight sui movimenti laterali hanno il tipo di insight google.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento delle norme. L'ID è tutto dopo il campo insights/ nel campo insight. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ottenere un'informazione di movimento laterale, utilizzando l'ID insight che hai copiato.

REST

Per i dettagli sui campi di un consiglio, consulta il riferimento Recommendation.

Identifica quali insight nel campo associatedInsights sono insight sulle norme. Gli approfondimenti sui criteri sono di tipo google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento delle norme. L'ID è tutto dopo il campo insights/ nel campo insight. Ad esempio, se il campo insight riporta projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ottenere un approfondimento delle norme, utilizzando l'ID insight che hai copiato.

Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti di movimento laterale. Gli insight sui movimenti laterali hanno il tipo di insight google.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento delle norme. L'ID è tutto dopo il campo insights/ nel campo insight. Ad esempio, se il campo insight riporta projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860, l'ID insight è 13088eec-9573-415f-81a7-46e1a260e860.
Segui le istruzioni per ottenere un'informazione di movimento laterale, utilizzando l'ID insight che hai copiato.

Visualizza, ripristina e ripristina modifiche

Dopo aver applicato o ignorato un consiglio per un'associazione dei ruoli a livello di progetto, questa azione viene visualizzata nella cronologia dei suggerimenti.

Per visualizzare la cronologia dei consigli:

Nella console Google Cloud, vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Nella parte superiore dello schermo, fai clic su Cronologia dei consigli.

La console Google Cloud mostra un elenco di azioni precedenti relative ai suggerimenti sul ruolo.
Per visualizzare i dettagli di un consiglio, fai clic sulla freccia di espansione .

La console Google Cloud mostra i dettagli sull'azione eseguita, inclusa l'entità che ha eseguito l'azione:
(Facoltativo) Se necessario, puoi annullare il consiglio, annullando le modifiche al consiglio. Puoi anche ripristinare un consiglio ignorato.

Per annullare una modifica applicata in precedenza per un consiglio, fai clic su Ripristina. La console Google Cloud ripristina le modifiche ai ruoli del cliente. Il suggerimento non viene più visualizzato nella console di Google Cloud.

Nota: se la modifica applicata in precedenza ha creato un ruolo personalizzato, l'annullamento della modifica non comporta l'eliminazione del ruolo personalizzato. Puoi disattivare o eliminare il ruolo personalizzato se non ti serve più.

Per ripristinare un consiglio ignorato, fai clic su Ripristina. Il consiglio diventa visibile nella pagina IAM nella console Google Cloud. I ruoli e le autorizzazioni non vengono modificati.

Passaggi successivi

Scopri di più sul motore per suggerimenti.
Scopri di più su come consentire gli approfondimenti sulle norme.
Scopri come utilizzare le informazioni sul movimento laterale.

Rivedi e applica i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Prima di iniziare

Ruoli IAM richiesti

Visualizza i suggerimenti

Autorizzazioni obbligatorie

Applicare e ignorare i consigli

Autorizzazioni obbligatorie

Revisione e applicazione dei suggerimenti

Console

gcloud

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`SUCCEEDED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`FAILED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Comprendere i consigli

Console

gcloud

REST

Visualizza, ripristina e ripristina modifiche

Passaggi successivi