Empfehlungen für Organisationsrichtlinien prüfen und anwenden

Auf dieser Seite wird erläutert, wie Sie Empfehlungen zu Organisationsrichtlinien aufrufen, verstehen und anwenden. Mit Empfehlungen zu Organisationsrichtlinien können Sie die richtigen Organisationsrichtlinien festlegen, ohne Systeme zu unterbrechen.

Hinweis

  • Aktivieren Sie die Organization Policy API und die Recommender API.

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

    APIs aktivieren

  • Richten Sie die Authentifizierung ein.

    Wählen Sie den Tab für die Art und Weise aus, wie Sie die Beispiele auf dieser Seite verwenden möchten:

    gcloud

    Aktivieren Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

    Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

    REST

    Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, verwenden Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.

      Installieren Sie die Google Cloud CLI.

      Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.

  • Empfehlungen für Organisationsrichtlinien

Erforderliche IAM-Rollen

In diesem Abschnitt werden die IAM-Rollen und -Berechtigungen beschrieben, die Sie benötigen, um mit Empfehlungen für Organisationsrichtlinien zu arbeiten.

Um die Berechtigungen zu erhalten, die Sie zum Verwalten von Empfehlungen für Organisationsrichtlinien benötigen, bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Ressource zuzuweisen, für die Sie Empfehlungen verwalten möchten (Projekt, Ordner oder Organisation):

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Empfehlungen für Organisationsrichtlinien erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Empfehlungen für Organisationsrichtlinien erforderlich:

  • So rufen Sie Empfehlungen für Organisationsrichtlinien auf:
    • recommender.orgPolicyRecommendations.get
    • recommender.orgPolicyRecommendations.list
  • So wenden Sie Empfehlungen für Organisationsrichtlinien an und lehnen sie ab:
    • recommender.orgPolicyRecommendations.get
    • recommender.orgPolicyRecommendations.list
    • recommender.orgPolicyRecommendations.update
  • So verwalten Sie Organisationsrichtlinien:
    • orgpolicy.policy.get
    • orgpolicy.policy.set
    • orgpolicy.constraints.list
    • orgpolicy.policies.create
    • orgpolicy.policies.delete
    • orgpolicy.policies.list
    • orgpolicy.policies.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beschränkungen

Für die Vorschau des Organization Policy Recommender gelten die folgenden Einschränkungen:

  • Statistiken sind nur für Projekte, Ordner und Organisationen mit Empfehlungen verfügbar.

  • Empfehlungen werden nur für Einschränkungen gegeben, die für eine bestimmte Ressource oder eine ihrer untergeordneten Ressourcen nicht konfiguriert sind.

Unterstützte Einschränkungen

Empfehlungen sind nur für die folgenden Einschränkungen von Organisationsrichtlinien verfügbar:

Empfehlungen prüfen und anwenden

Sie können Empfehlungen für Organisationsrichtlinien mit der Google Cloud CLI und der Recommender API überprüfen und anwenden.

gcloud

Empfehlungen prüfen

Führen Sie den gcloud recommender recommendations list-Befehl aus, um Ihre Empfehlungen aufzulisten:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.orgpolicy.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --filter="recommenderSubtype:RECOMMENDER_SUBTYPE" \
    --format=FORMAT

Ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen auflisten möchten. Verwenden Sie den Wert project, folder oder organization.

  • RESOURCE_ID: Die ID des Google Cloud Projekts, des Ordners oder der Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

  • RECOMMENDER_SUBTYPE: Optional. Die ID des Untertyps, für den Sie Empfehlungen sehen möchten. Gültige Untertypen sind:

    • ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION gibt Empfehlungen für die Einschränkung iam.managed.disableServiceAccountKeyCreation.
    • ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_UPLOAD gibt Empfehlungen für die Einschränkung iam.managed.disableServiceAccountKeyUpload

  • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel werden zwei Ressourcen auf externe Dienstkontoschlüssel analysiert und es werden keine Verstöße erkannt. Daher wird in der Empfehlung vorgeschlagen, iam.managed.disableServiceAccountKeyCreation festzulegen, um zukünftige Verstöße zu vermeiden.

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/fb927dc1-9695-4436-0000-f0f285007c0f"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "add",
              "path": "/",
              "resource": "//orgpolicy.googleapis.com/projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
              "resourceType": "orgpolicy.googleapis.com/Policy",
              "value": {
                "etag": "",
                "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
                "spec": {
                  "etag": "",
                  "inheritFromParent": false,
                  "reset": false,
                  "rules": [
                    {
                      "enforce": true
                    }
                  ]
                }
              }
            }
          ]
        }
      ],
      "overview": {
        "constraint": {
          "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
          "name": "Disable service account key creation"
        },
        "enforcedResources": [
          {
            "numOfResources": "2",
            "resourceType": "iam.googleapis.com/ServiceAccountKey"
          },
          {
            "numOfResources": "1",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    },
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "ACTIVE",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Komponenten einer Empfehlung

So wenden Sie eine Empfehlung an:

  1. Verwenden Sie den Befehl gcloud recommender recommendations mark-claimed, um den Status der Empfehlung in CLAIMED zu ändern. Dadurch wird verhindert, dass sich die Empfehlung ändert, während Sie sie anwenden:

    gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.orgpolicy.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Ersetzen Sie die folgenden Werte:

    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Im vorherigen Beispiel lautet die Kennung fb927dc1-9695-4436-0000-f0f285007c0f.

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert project, folder oder organization.

    • RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

    • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

    • ETAG: Eine Kennung für eine Version der Empfehlung, z. B. "7caf4103d7669e12". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.

    • STATE_METADATA: Optional. Kommagetrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    Wenn der Befehl erfolgreich ausgeführt wurde, wird die Empfehlung in der Antwort im CLAIMED-Status aufgeführt, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden im Beispiel die meisten Felder weggelassen:

    
  {
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {\
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }

  2. Aktualisieren und wenden Sie die Organisationsrichtlinie für das Projekt, den Ordner oder die Organisation an, die durch RESOURCE_TYPE und RESOURCE_ID angegeben werden, damit sie der Empfehlung entspricht.

  3. Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:

    gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA

    Ersetzen Sie die folgenden Werte:

    • COMMAND: Verwenden Sie mark-succeeded, wenn Sie die Empfehlung erfolgreich angewendet haben, oder mark-failed, wenn Sie die Empfehlung nicht anwenden konnten.

    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Im vorherigen Beispiel lautet die Kennung fb927dc1-9695-4436-0000-f0f285007c0f.

    • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert project, folder oder organization.

    • RESOURCE_ID: Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Empfehlungen auflisten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

    • FORMAT: das Format der Antwort. Verwenden Sie den Wert json oder yaml.

    • ETAG: Eine Kennung für eine Version der Empfehlung, z. B. "7caf4103d7669e12". Beachten Sie, dass dieser Wert auch Anführungszeichen enthalten kann.

    • STATE_METADATA: Optional. Kommagetrennte Schlüssel/Wert-Paare, die die von Ihnen ausgewählten Metadaten zur Empfehlung enthalten. Beispiel: --state-metadata=reviewedBy=alice,priority=high Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.

    Wenn Sie beispielsweise die Empfehlung als erfolgreich angewendet markiert haben, wird die Empfehlung in der Antwort im SUCCEEDED-Status angezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen:

    
  {
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }

    Wenn Sie die Änderungen an der Organisationsrichtlinie rückgängig machen möchten, legen Sie die Organisationsrichtlinie auf die ursprüngliche Konfiguration fest, die im Feld configuredPolicy des zugehörigen Insights angegeben ist.

REST

Empfehlungen prüfen

Verwenden Sie die Methode recommendations.list der Recommender API, um alle verfügbaren Empfehlungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • PAGE_SIZE: Optional. Die maximale Anzahl von Ergebnissen, die von dieser Anfrage zurückgegeben werden sollen. Wenn nicht angegeben, bestimmt der Server die Anzahl der zurückzugebenden Ergebnisse. Wenn die Anzahl der Empfehlungen die Seitengröße überschreitet, enthält die Antwort ein Seitenumbruchtoken, mit dem Sie die nächste Ergebnisseite abrufen können.
  • PAGE_TOKEN: Optional. Das Seitenumbruchtoken, das in einer früheren Antwort von dieser Methode zurückgegeben wurde. Wenn dieser Wert angegeben wird, beginnt die Liste der Empfehlungen dort, wo die vorherige Anfrage endet.
  • FILTER: Optional. Ein Filterausdruck, mit dem sich die zurückgegebenen Empfehlungen einschränken lassen. Sie können Empfehlungen anhand des Feldes stateInfo.state filtern. Beispiel: stateInfo.state:"DISMISSED" oder stateInfo.state:"FAILED".
  • PROJECT_ID: Ihre Google Cloud Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort ähnelt dem folgenden Beispiel. In diesem Beispiel werden zwei Ressourcen auf externe Dienstkontoschlüssel analysiert und es werden keine Verstöße erkannt. Daher wird in der Empfehlung vorgeschlagen, iam.managed.disableServiceAccountKeyCreation festzulegen, um zukünftige Verstöße zu vermeiden. 

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.orgpolicy.policy.Insight/insights/66d543f3-845d-49d6-a26b-80d84804d8a8"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "add",
              "path": "/",
              "resource": "//orgpolicy.googleapis.com/projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
              "resourceType": "orgpolicy.googleapis.com/Policy",
              "value": {
                "etag": "",
                "name": "projects/123456789012/policies/iam.managed.disableServiceAccountKeyCreation",
                "spec": {
                  "etag": "",
                  "inheritFromParent": false,
                  "reset": false,
                  "rules": [
                    {
                      "enforce": true
                    }
                  ]
                }
              }
            }
          ]
        }
      ],
      "overview": {
        "constraint": {
          "id": "constraints/iam.managed.disableServiceAccountKeyCreation",
          "name": "Disable service account key creation"
        },
        "enforcedResources": [
          {
            "numOfResources": "2",
            "resourceType": "iam.googleapis.com/ServiceAccountKey"
          },
          {
            "numOfResources": "1",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    },
    "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
    "etag": "\"826e992a0f9793ff\"",
    "lastRefreshTime": "2024-12-07T08:00:00Z",
    "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY"
    },
    "priority": "P1",
    "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
    "stateInfo": {
      "state": "ACTIVE",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    },
    "targetResources": [
      "//cloudresourcemanager.googleapis.com/projects/123456789012"
    ]
  }
]

Weitere Informationen zu den Komponenten einer Empfehlung

So wenden Sie eine Empfehlung an:

  1. Markieren Sie die Empfehlung als CLAIMED:

    Wenn Sie eine Empfehlung als CLAIMED markieren möchten, um zu verhindern, dass sich die Empfehlung ändert, während Sie sie anwenden, verwenden Sie die Methode recommendations.markClaimed der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Ihre Google Cloud Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im CLAIMED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

  2. Aktualisieren Sie die Organisationsrichtlinie für das Projekt, den Ordner oder die Organisation, die durch RESOURCE_TYPE und RESOURCE_ID angegeben werden, sodass sie der Empfehlung entspricht.

  3. Aktualisieren Sie den Empfehlungsstatus auf SUCCEEDED, falls Sie die Empfehlung anwenden konnten, oder auf FAILED, falls Sie die Empfehlung nicht anwenden konnten:

    SUCCEEDED

    Wenn Sie eine Empfehlung als SUCCEEDED markieren möchten, um anzugeben, dass Sie sie anwenden konnten, verwenden Sie die Methode recommendations.markSucceeded der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Ihre Google Cloud Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im SUCCEEDED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "SUCCEEDED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

    FAILED

    Wenn Sie eine Empfehlung als FAILED markieren möchten, um anzugeben, dass Sie sie nicht anwenden konnten, verwenden Sie die Methode recommendations.markFailed der Recommender API.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • RESOURCE_TYPE: Der Typ der Ressource, für die Sie Empfehlungen verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
    • RESOURCE_ID: Die ID desGoogle Cloud Projekts, Ordners oder der Organisation, für die Sie Empfehlungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • RECOMMENDATION_ID: Die eindeutige ID für die Empfehlung. Dieser Wert wird am Ende des Feldes name in der Empfehlung angezeigt. Wenn das Feld name beispielsweise projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f lautet, dann ist die Empfehlungs-ID fb927dc1-9695-4436-0000-f0f285007c0f.
    • ETAG: Der Wert des Feldes etag in der Empfehlung, z. B. "dd0686e7136a4cbb". Mit umgekehrten Schrägstrichen können Sie Anführungszeichen maskieren, z. B. "\"df7308cca9719dcc\"".
    • STATE_METADATA: Optional. Ein Objekt, das Schlüssel/Wert-Paare mit den von Ihnen ausgewählten Metadaten zur Empfehlung enthält. Beispiel: {"reviewedBy": "alice", "priority": "high"}. Die Metadaten ersetzen in der Empfehlung das Feld stateInfo.stateMetadata.
    • PROJECT_ID: Ihre Google Cloud Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

    HTTP-Methode und URL:

    POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed

    JSON-Text anfordern:

    {
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Die Antwort zeigt die Empfehlung im FAILED-Status, wie im folgenden Beispiel gezeigt. Zur Verdeutlichung wurden in diesem Beispiel die meisten Felder weggelassen: 

    {
  "description": "After analyzing 3 resources and finding 0 violations, Organization Policy Recommender recommends that you disable the creation of service account external keys on your project by enforcing constraints/iam.managed.disableServiceAccountKeyCreation.",
  "etag": "\"826e992a0f9793ff\"",
  "lastRefreshTime": "2024-12-07T08:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.orgpolicy.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
  "primaryImpact": {
    "category": "SECURITY"
  },
  "priority": "P1",
  "recommenderSubtype": "ADD_POLICY_DISABLE_SERVICE_ACCOUNT_KEY_CREATION",
  "stateInfo": {
    "state": "FAILED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

Empfehlungen verstehen

Jede Empfehlung enthält Informationen, anhand derer Sie nachvollziehen können, warum die Empfehlung abgegeben wurde, sowie Vorschläge für Änderungen an der Konfiguration Ihrer Organisationsrichtlinie. Zu den wichtigsten Attributen gehören:

  • description: Eine menschenlesbare Zusammenfassung der Empfehlung.

  • recommenderSubtype: Die Kennung für einen Untertyp von Empfehlungen. Jede Einschränkung hat eine eindeutige recommenderSubtype.

  • content: Enthält die empfohlenen Änderungen an Ihrer Organisationsrichtlinie.

    • overview: die zusammengefassten Übersichtsinformationen zur Empfehlung.

    • constraint: enthält Informationen zur Einschränkung.

    • enforced_resources: Enthält Informationen zu den Ressourcen, die von dieser Organisationsrichtlinie betroffen sind, wenn Sie die Empfehlung anwenden.

    • operationGroups: Eine Reihe von einem oder mehreren Vorgängen für die Organisationsrichtlinie, wenn Sie eine Empfehlung anwenden.

  • associatedInsights: Der Ressourcenname der Statistiken, die zu dieser Empfehlung geführt haben.

Weitere Informationen zu den Attributen einer Empfehlung finden Sie in der Empfehlungsreferenz.

Statistiken und Empfehlungen werden für Ressourcen generiert, für die oder für deren untergeordnete Ressourcen keine der unterstützten Organisationsrichtlinien festgelegt ist. Wenn Sie die Konfiguration der Organisationsrichtlinie sehen möchten, auf der diese Empfehlung basiert, rufen Sie die Statistiken zu Organisationsrichtlinien auf, die mit der Empfehlung verknüpft sind. Diese Statistiken sind im Feld associatedInsights aufgeführt. So rufen Sie eine mit der Empfehlung verknüpfte Statistik zu Organisationsrichtlinien auf:

  1. Ermitteln Sie, welche Statistiken im Feld associatedInsights Statistiken zu Organisationsrichtlinien sind. Statistiken zu Organisationsrichtlinien haben den Statistiktyp google.orgpolicy.policy.Insight. Dieser Typ wird nach insightTypes im Feld insight angezeigt.

  2. Kopieren Sie die ID der Organisationsrichtlinienstatistik. Die ID ist alles nach insights/ im Feld insight. Wenn das Feld „Statistik“ beispielsweise projects/123456789012/locations/us/insightTypes/google.orgpolicy.policy.Insight/insights/fb927dc1-9695-4436-0000-f0f285007c0f enthält, lautet die Statistik-ID fb927dc1-9695-4436-0000-f0f285007c0f.

  3. Folgen Sie der Anleitung, um Statistiken zu Organisationsrichtlinien mit der kopierten Statistik-ID abzurufen.

Empfehlungen in BigQuery exportieren.

Wenn Sie sich tägliche Snapshots aller Empfehlungen für Ihre Organisation ansehen möchten, einschließlich Empfehlungen für Organisationsrichtlinien, können Sie Ihre Empfehlungen nach BigQuery exportieren.

Wenn Sie Ihre Empfehlungen nach BigQuery exportieren möchten, müssen Sie einen Datentransfer mit BigQuery Data Transfer Service einrichten. Informationen zum Einrichten einer Datenübertragung finden Sie unter Empfehlungen nach BigQuery exportieren.

Nächste Schritte