Mengubah rekomendasi risiko

Rekomendasi risiko perubahan membantu Anda mengurangi risiko kesalahan konfigurasi infrastruktur cloud dengan menandai secara cerdas perubahan berisiko umum pada resource terpenting Anda dan memberikan rekomendasi untuk mencegah dan memitigasi masalah.

Pengantar

Kesalahan konfigurasi adalah penyebab umum insiden cloud. Hal ini dapat terjadi karena kesalahan manusia atau perubahan beban kerja yang tidak terduga, dan dapat menyebabkan berbagai masalah, termasuk masalah performa, masalah keandalan, dan bahkan gangguan. Banyak kesalahan konfigurasi yang awalnya tidak disadari, sehingga sulit untuk dilacak dan diselesaikan.

Rekomendasi risiko perubahan adalah rangkaian rekomendasi dan insight Active Assist baru dalam layanan Recommender. Rekomendasi risiko perubahan secara otomatis menandai perubahan berisiko pada resource cloud yang diidentifikasi sebagai penting berdasarkan penggunaannya dan sinyal lainnya, untuk membantu mencegah, mendeteksi, dan memitigasi masalah (misalnya, gangguan layanan) yang disebabkan oleh kesalahan konfigurasi resource cloud penting tersebut. Misalnya, jika Anda mencoba menghapus project yang sering digunakan, atau mengubah kebijakan IAM yang dapat menjadi dependensi penting berdasarkan aktivitas penggunaannya baru-baru ini, rekomendasi risiko perubahan dapat membantu mencegah masalah yang tidak diinginkan dengan secara proaktif memperingatkan Anda tentang risiko yang terkait dengan perubahan tertentu.

Mengubah cakupan rekomendasi risiko

Rekomendasi risiko perubahan saat ini hanya didukung untuk resource dan tindakan yang tercantum dalam tabel di bawah.

Sebelum memulai

Sebelum mulai menggunakan fitur ini, Anda harus menyiapkan layanan terlebih dahulu:

1. Aktifkan Recommender API di satu project penagihan. Kemudian, Anda dapat menggunakan project penagihan yang sama ini untuk mengambil rekomendasi dan insight untuk project lain, seluruh organisasi, atau akun penagihan, menggunakan fungsi billing-project gcloud/API.
2. Beri izin pada akun pengguna atau akun layanan yang akan Anda gunakan untuk mengakses fitur ini.

Izin

Untuk melihat rekomendasi untuk Mengubah rekomendasi risiko, Anda harus memiliki izin khusus untuk resource tertentu.

• Project

  • recommender.resourcemanagerProjectChangeRiskRecommendations.get
  • recommender.resourcemanagerProjectChangeRiskRecommendations.list
  • recommender.resourcemanagerProjectChangeRiskInsights.get
  • recommender.resourcemanagerProjectChangeRiskInsights.list

• Akun Layanan

  • recommender.iamServiceAccountChangeRiskRecommendations.get
  • recommender.iamServiceAccountChangeRiskRecommendations.list
  • recommender.iamServiceAccountChangeRiskInsights.get
  • recommender.iamServiceAccountChangeRiskInsights.list

• Kebijakan IAM

  • recommender.iamPolicyChangeRiskRecommendations.get
  • recommender.iamPolicyChangeRiskRecommendations.list
  • recommender.iamPolicyChangeRiskInsights.get
  • recommender.iamPolicyChangeRiskInsights.list

Anda juga dapat memberikan peran roles/recommender.viewer untuk mencakup izin ini.

Memahami respons untuk pemberi rekomendasi/insight risiko perubahan

Tabel berikut memberikan deskripsi kolom yang ditampilkan dalam objek rekomendasi dan insight:

Rekomendasi

Insight

Melihat rekomendasi risiko perubahan

Selain model penggunaan yang dibahas di atas, Anda dapat menggunakan pendekatan standar untuk layanan Pemberi Rekomendasi guna melihat rekomendasi dan insight risiko perubahan untuk Project, Akun layanan, atau Kebijakan IAM:

• Google Cloud console
• API
• gcloud

Google Cloud console

Anda dapat melihat rekomendasi dan insight risiko perubahan di halaman produk itu sendiri. Rekomendasi akan otomatis aktif selama Anda memiliki izin yang tercantum di atas.

Active Assist memperingatkan Anda tentang bahaya menghapus resource penting, dan menunjukkan apa yang harus dilakukan saat peringatan tersebut muncul dalam situasi berikut:

• Menghapus project
• Menghapus akun layanan
• Menghapus pengikatan kebijakan

gcloud dan API

Bagian berikut menyajikan perintah untuk meminta rekomendasi dan insight risiko perubahan melalui gcloud dan API untuk Project, Akun layanan, atau Kebijakan IAM.

Project

Insight dan rekomendasi dapat diakses melalui konsol Google Cloud , gcloud, atau Recommender API untuk semua pelanggan.

gcloud recommender recommendations list
--recommender=google.resourcemanager.project.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

gcloud recommender insights list
--insight-type=google.resourcemanager.project.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations"

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.resourcemanager.project.ChangeRiskInsight/insights"

Akun layanan

Insight dan rekomendasi tentang Akun Layanan dapat diakses melalui Google Cloud konsol, gcloud, atau Recommender API untuk semua pelanggan.

gcloud recommender recommendations list
--recommender=google.iam.serviceAccount.ChangeRiskRecommender
--project=PROJECT_ID  --location=global --format=yaml

gcloud recommender insights list
--insight-type=google.iam.serviceAccount.ChangeRiskInsight
--project=PROJECT_ID  --location=global --format=yaml

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/
recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations"

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.serviceAccount.ChangeRiskInsight/insights"

Kebijakan IAM

Insight dan rekomendasi tentang Kebijakan IAM dapat diakses melalui konsol Google Cloud , gcloud, atau Recommender API untuk semua pelanggan.

gcloud recommender recommendations list --recommender=google.iam.policy.ChangeRiskRecommender --project=PROJECT_ID  --location=global --format=yaml

gcloud recommender insights list --insight-type=google.iam.policy.ChangeRiskInsight --project=PROJECT_ID  --location=global --format=yaml

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/\recommenders/google.iam.policy.ChangeRiskRecommender/recommendations"

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "x-goog-user-project: BILLING_PROJECT_ID " "https://recommender.googleapis.com/v1/projects/PROJECT_ID /locations/global/insightTypes/google.iam.policy.ChangeRiskInsight/insights"

Penghapusan berisiko dengan gcloud CLI

Saat menghapus resource melalui gcloud CLI, Anda dapat menggunakan flag tersembunyi opsional --recommend=yes di jalur ALPHA untuk menghentikan perubahan berisiko. Contoh perubahan berisiko yang didukung dengan rekomendasi ditampilkan di bawah. Jika tidak ada penilaian risiko yang ditampilkan, perubahan dianggap tidak berisiko.

Penghapusan project

Perintah berikut akan menghapus project:

  gcloud alpha projects delete PROJECT_ID  --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  Shutting down this project will immediately:
    - Stop all traffic and billing.
    - Start deleting resources.
    - Schedule the final deletion of the project after 30 days.
    - Block your access to the project.
    - Notify the owner of the project.

  Learn more about the shutdown process at
  https://cloud.google.com/resource-manager/docs/creating-managing-projects#shutting_down_projects

  WARNING: If you shut down this project you risk losing data or interrupting your services. In the last 30 days we observed this project had:
    - It had significant usage, including 9942 API calls.
    - It contains at least 1 highly utilized service account.
    - It included at least 211 resources.

  We recommend verifying this is the correct project to shut down.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.resourcemanager.project.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Penghapusan akun layanan

Perintah berikut akan menghapus Akun Layanan:

  gcloud alpha iam service-accounts delete example@PROJECT_ID .iam.gserviceaccount.com --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  You are about to delete service account [example@PROJECT_ID .iam.gserviceaccount.com]

  Deleting this service account (SA) will delete all associated key IDs, and will prevent the account from authenticating to any Google Cloud service API.

  You cannot restore or roll back this change easily. We highly recommend disabling the account first, testing for any unexpected impact, and only then deleting.

  WARNING: If you delete this SA you risk interrupting your service, as we observed it was substantially used in the last 90 days.

  We recommend verifying this is the correct account to delete.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.serviceAccount.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Jika Anda melihat error berikut:

  ERROR: (gcloud.alpha.iam.service-accounts.delete) NOT_FOUND: Method not found.
  - '@type': type.googleapis.com/google.rpc.DebugInfo
    detail: 'Method ListInsights not found for service recommender.googleapis.com. Method not visible to labels: {PUBLIC}'

Pastikan konfigurasi project ditetapkan ke project yang diizinkan untuk menggunakan Alpha Recommender API dengan perintah berikut:

  gcloud config set project PROJECT_ID 

Penghapusan binding kebijakan IAM project

Perintah berikut menghapus Binding Kebijakan IAM Project:

  gcloud alpha projects remove-iam-policy-binding PROJECT_ID  --member=[email protected]  --role=roles/owner --recommend=yes

Anda akan melihat perubahan berisiko yang didukung berikut dengan rekomendasi:

  You are about to delete the role [roles/owner].

  WARNING: If you remove the role [roles/owner], there is a high risk that you might cause interruptions because it was used in the last 90 days.

  We recommend you verify the details and replace them with less privileged roles, if necessary.

  View the full risk assessment at: https://console.cloud.google.com/home/recommendations/view-link/projects/123456/locations/global/recommenders/google.iam.policy.ChangeRiskRecommender/recommendations/reco-id-0000-0000-000000000

  Do you want to continue (Y/n)?  n

Masukan dan dukungan

Kirim email ke [email protected] jika ada masalah teknis, pertanyaan, atau masukan.