编辑:由于我无法“触发”推荐器进行此计算,也无法获取源数据集,是否有一种自动查找服务帐户应用 Terraform 计划所需的 IAM 权限的方法?最初的问题是关于我是否可以从 GCP 控制台找到权限,但事实证明我无法找到。
在 IAM 中,有一栏名为“过度授予的权限”。单击该栏时,您将获得一个表格,其中列出了此用户/服务帐户过去使用过的权限以及未使用的权限。其中还包括一个神秘的“上次分析”日期。
我有一个问题:“哪些权限被过度授予服务帐户?”据我所知,一些后台任务会从 Google 庞大的后端吐出答案。我不知道它什么时候会这样做,也不知道是什么触发了它。我也不完全确定它是如何做到这一点的。
我可以“手动”触发此任务吗?通过 API 调用?使用 gcloud CLI?还是我只能等待 Google 决定计算此指标。
我正在设置一些自动化基础设施,并且我想确保运行基础设施设置的帐户具有完成其工作所需的最小权限。
答案1
这是由 Cloud IAM 推荐器处理的。它将项目 IAM 角色与每个成员在过去 90 天内使用的权限进行比较。由于这是 Google 托管的服务,因此您将无法触发推荐器。您可以阅读更多有关其工作原理的信息这里。