ロールの推奨事項に関するベスト プラクティス

ロールの推奨事項を管理する際は、次のベスト プラクティスをおすすめします。

ロールの推奨事項の詳細については、ロールの推奨事項の概要をご覧ください。

推奨事項を活用してみる

ロールに関する推奨事項の使用を開始するには、次のベスト プラクティスを参考にしてください。

  • 過剰に付与された権限の初期クリーンアップから開始します。初期の状態では、非常に多数の推奨事項が表示される場合があります。特に、編集者などの高度な権限を持つロールが多くのプリンシパルに付与されている場合にこの傾向が顕著です。すべてのプリンシパルに適切なロールが付与されるよう、時間を設けてプロジェクトまたは組織のすべての推奨事項に対処してください。

    この初期クリーンアップを行う際には、次の種類の推奨事項を優先してください。

    • サービス アカウントの権限を削減するための推奨事項。デフォルトでは、すべてのデフォルト サービス アカウントに高度な権限を持つ編集者のロールがプロジェクトで付与されています。管理対象の他のサービス アカウントにも、高度な権限を持つロールが付与されている場合があります。サービス アカウントに対して過剰な権限が付与されている場合など、過剰に付与された権限は、いずれもセキュリティ リスクを高めるため、初期クリーンアップでは過剰な権限を付与されたサービス アカウントを優先することをおすすめします。

    • 権限昇格の阻止に有用な推奨事項。プリンシパルがサービス アカウントとして機能しているロール(iam.serviceAccounts.actAs)や、リソースの許可ポリシーの取得や設定を行えるロールによって、プリンシパルが自身の権限を昇格させる可能性があります。これらのロールに関連する推奨事項を優先します。

    • ラテラル ムーブメントを減らすための推奨事項。ラテラル ムーブメントとは、あるプロジェクトのサービス アカウントが別のプロジェクトのサービス アカウントの権限を借用することです。この権限により、複数のプロジェクトにまたがる権限借用の連鎖が発生し、リソースに対する意図しないアクセスがプリンシパルに許可される可能性があります。この意図しないアクセスを軽減するには、ラテラル ムーブメントの分析情報に関連する推奨事項を優先します。

    • 優先順位が高い推奨事項。IAM レコメンデーションには、関連付けられているロール バインディングに基づいて自動的に優先度が割り当てられます。高い優先順位のレコメンデーションを優先し、過剰に付与された権限を迅速に削減します。

      優先事項の優先度を決定する方法については、推奨事項の優先度をご覧ください。

    • 1 つのプロジェクトで過剰な権限を付与されたプリンシパルが見つかった場合は、そのプリンシパルが関連している他のプロジェクトの推奨事項についても確認します。あるプリンシパルに対して 1 つのプロジェクトで過剰な権限を持つロールが付与されている場合には、他のプロジェクトでも過剰な権限を持つロールが付与されている可能性があります。そのプリンシパルに関する推奨事項を複数のプロジェクトで確認し、プリンシパルのアクセス権すべてを適切なレベルまで削減します。

  • 初期クリーンアップを実施した後は、定期的に推奨事項を確認します。少なくとも週 1 回は推奨事項を確認することをおすすめします。通常、この確認に要する時間は初期クリーンアップと比べ大幅に短縮されます。これは、必要となるのが前回のクリーンアップまたは確認の後に行われた変更に関連する推奨事項への対応のみであるためです。

    定期的に権限を確認することで、毎回の確認に必要な作業が削減され、非アクティブ状態のユーザーを積極的に特定して削除し、アクティブ ユーザーの権限の範囲を継続的に限定できます。

推奨事項の活用に関するベスト プラクティス

Recommender API または gcloud CLI 用の recommender コマンドを使用して推奨事項を管理している場合は、適用する推奨事項の状態を更新するようにしてください。これにより、推奨事項を追跡でき、また、変更内容が推奨事項のログに表示されます。

推奨事項の自動適用に関するベスト プラクティス

推奨事項を効率的に管理するには、推奨事項の適用プロセスを自動化することをおすすめします。自動化を使用する場合は、次の点に留意してください。

Recommender は、アクセス権に破壊的な変更を加えることのない推奨事項を提示しようとします。たとえば、プリンシパルが過去 90 日間にパッシブまたはアクティブに使用していた権限を除外するロールを推奨することはありません。Google は、ユーザーが必要とする可能性のある権限を特定することを目的として、機械学習も使用しています。

ただし、推奨事項がアクセス権に破壊的な変更を加えないことについては保証できません。推奨事項を適用することによって必要なリソースにプリンシパルがアクセスできなくなる可能性はあります。IAM Recommender の仕組みを確認し、適切な自動化のレベルについて判断することをおすすめします。たとえば、大部分の推奨事項は自動適用するものの、特定の数の権限を追加または削除する推奨事項や、特定のロールの付与または取り消しに関する推奨事項については手動で確認する必要があると判断するかもしれません。

推奨事項を自動化する場合は、推奨事項の対象となるリソースを特定します。リソースを識別するには、operation.resource フィールドを使用します。name フィールドなど、その他のフィールドは、必ずしも推奨事項の対象となるリソースを表すとは限りません。

次のステップ