Best Practices für Rollenempfehlungen

Wir empfehlen die folgenden Best Practices für die Verwaltung von Rollenempfehlungen.

Weitere Informationen zu Rollenempfehlungen finden Sie in der Übersicht über Rollenempfehlungen.

Erste Schritte mit Empfehlungen

Die folgenden Best Practices können Ihnen den Einstieg in Rollenempfehlungen erleichtern.

  • Beginnen Sie mit einer anfänglichen Bereinigung zu starker gewährter Berechtigungen. Zu Beginn werden möglicherweise sehr viele Empfehlungen angezeigt, insbesondere wenn viele Hauptkonten umfangreiche Berechtigungen wie die Bearbeiterrolle haben. Nehmen Sie sich die Zeit, um alle Empfehlungen in Ihrem Projekt oder in Ihrer Organisation zu evaluieren. So sorgen Sie dafür, dass alle Hauptkonten angemessene Rollen haben.

    Bei der ersten Bereinigung sollten Sie die folgenden Arten von Empfehlungen priorisieren:

    • Empfehlungen, die die Berechtigungen für Dienstkonten reduzieren. Standardmäßig wird allen Standarddienstkonten bei Projekten die sehr starke Berechtigung "Bearbeiter" gewährt. Anderen Dienstkonten, die Sie verwalten, könnten ebenfalls höchst freizügige Rollen zugewiesen worden sein. Alle zu viel gewährten Berechtigungen erhöhen Ihr Sicherheitsrisiko, einschließlich der übermäßig privilegierten Dienstkonten. Daher empfehlen wir Ihnen, übermäßig privilegierte Dienstkonten bei der anfänglichen Bereinigung vorzuziehen.

    • Empfehlungen, die dazu beitragen, die Rechteausweitung zu verhindern. Rollen, mit denen Hauptkonten als Dienstkonto (iam.serviceAccounts.actAs) agieren oder die Zulassungsrichtlinie für eine Ressource abrufen oder festlegen können, können einem Hauptkonto möglicherweise die Ausweitung seiner eigenen Berechtigung ermöglichen. Priorisieren Sie Empfehlungen zu diesen Rollen.

    • Empfehlungen, die das "Lateral Movement" reduzieren. Ein "Lateral Movement" besteht, wenn ein Dienstkonto in einem Projekt die Berechtigung hat, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Diese Berechtigung kann zu einer Kette von Identitätsübertragungen über Projekte hinweg führen, die Hauptkonten unbeabsichtigten Zugriff auf Ressourcen gewähren. Um diesen unbeabsichtigten Zugriff zu minimieren, sollten Sie Empfehlungen priorisieren, die mit Statistiken zum "Lateral Movement" verknüpft sind.

    • Empfehlungen mit einer hohen Priorität. IAM-Empfehlungen werden automatisch Prioritätsstufen basierend auf den Rollenbindungen zugewiesen, denen sie zugeordnet sind. Priorisieren Sie Empfehlungen mit einer hohen Prioritätsebene, um schnell zu viel gewährte Berechtigungen zu reduzieren.

      Informationen zum Ermitteln der Priorität einer Empfehlung finden Sie unter Empfehlungspriorität.

    • Wenn Sie in einem Projekt ein Hauptkonto mit übermäßigen Rechten finden, prüfen Sie auch andere Projekte auf Empfehlungen, die dieses Hauptkonto betreffen. Wenn einem Hauptkonto in einem Projekt zu viele Berechtigungen zugewiesen wurden, kann es sein, dass ihm auch zu viele Berechtigungen in anderen Projekten zugewiesen wurden. Evaluieren Sie die Empfehlungen für das Hauptkonto über mehrere Projekte hinweg, um den Zugriff des Hauptkonto global auf die entsprechende Ebene zu reduzieren.

  • Prüfen Sie nach der ersten Bereinigung die Empfehlungen weiterhin regelmäßig. Wir empfehlen Ihnen, die Empfehlungen mindestens einmal pro Woche zu prüfen. Die erneute Prüfung nimmt in der Regel deutlich weniger Zeit in Anspruch als die erste Bereinigung, da Sie nur Empfehlungen für Änderungen berücksichtigen müssen, die seit der letzten Bereinigung oder Prüfung aufgetreten sind.

    Durch regelmäßiges Prüfen der Berechtigungen reduziert sich der für die Prüfung erforderliche Arbeitsaufwand. Außerdem können Sie inaktive Nutzer proaktiv erkennen und entfernen sowie die Berechtigungen aktiver Nutzer einschränken.

Best Practices für die Arbeit mit Empfehlungen

Wenn Sie die Recommender API oder recommender-Befehle für die gcloud CLI verwenden, um Empfehlungen zu verwalten, müssen Sie auch den Status der angewendeten Empfehlungen aktualisieren. So können Sie Ihre Empfehlungen im Blick behalten und dafür sorgen, dass die vorgenommenen Änderungen in Ihren Empfehlungslogs angezeigt werden.

Best Practices zur automatischen Anwendung von Empfehlungen

Um Ihre Empfehlungen effizienter zu verwalten, können Sie das Anwenden von Empfehlungen automatisieren. Sie sollten die folgenden Punkte beachten, wenn Sie sich für die Automatisierung entscheiden.

Der Recommender versucht, Empfehlungen bereitzustellen, die keine funktionsgefährdenden Änderungen verursachen. Wir empfehlen beispielsweise keine Rollen, die Berechtigungen ausschließen, die ein Hauptkonto in den letzten 90 Tagen passiv oder aktiv genutzt hat. Außerdem werden mithilfe von maschinellem Lernen andere Berechtigungen ermittelt, die der Nutzer wahrscheinlich benötigt.

Wir können jedoch nicht garantieren, dass durch unsere Empfehlungen keine funktionsgefährdenden Änderungen verursacht werden. Eine Empfehlung kann dazu führen, dass ein Hauptkonto nicht auf die benötigten Ressourcen zugreifen kann. Wir empfehlen Ihnen, den Artikel Funktionsweise des IAM Recommenders zu lesen und zu entscheiden, wie viel Automatisierung für Sie infrage kommt. Beispielsweise können Sie die meisten Empfehlungen automatisch anwenden lassen, aber eine manuelle Prüfung für solche Empfehlungen vornehmen, die eine bestimmte Anzahl von Berechtigungen hinzufügen oder entfernen oder die eine bestimmte Rolle gewähren oder entziehen.

Wenn Sie Empfehlungen automatisieren, möchten Sie möglicherweise wissen, für welche Ressource eine Empfehlung gilt. Zum Identifizieren der Ressource verwenden Sie das Feld operation.resource. Andere Felder wie das Feld name stellen nicht immer die Ressource dar, für die die Empfehlung bestimmt ist.

Nächste Schritte