Prácticas recomendadas para las recomendaciones de funciones

Las siguientes son las prácticas recomendadas para administrar las recomendaciones de funciones.

Para obtener más información sobre las recomendaciones de función, consulta la descripción general de la recomendación de función.

Comienza a usar las recomendaciones

Las siguientes prácticas recomendadas pueden ayudarte a comenzar a usar el recomendador de IAM.

  • Comienza con una limpieza inicial de permisos excesivos otorgados. Al inicio, es posible que veas una gran cantidad de recomendaciones, en particular si muchas principales tienen funciones muy permisivas como la de editor. Tómate el tiempo de revisar todas las recomendaciones de la organización o el proyecto para garantizar que todas las principales tengan las funciones adecuadas.

    Cuando realices esta limpieza inicial, prioriza los siguientes tipos de recomendaciones:

    • Recomendaciones que reducen los permisos para las cuentas de servicio. De forma predeterminada, a todas las cuentas de servicio predeterminadas se les otorga la función de editor, que es muy permisiva, en los proyectos. Es posible que otras cuentas de servicio que administras también hayan recibido funciones muy permisivas. Todos los permisos excesivos aumentan el riesgo de seguridad, incluidas las cuentas de servicio demasiado privilegiadas, por lo que recomendamos priorizar las cuentas de servicio demasiado privilegiadas durante la limpieza inicial.

    • Recomendaciones que ayudan a prevenir la elevación de privilegios. Las funciones que permiten a las principales actuar como una cuenta de servicio (iam.serviceAccounts.actAs), o bien obtener o establecer la política de IAM de un recurso pueden permitir que una principal eleve su propio privilegio. Prioriza las recomendaciones relacionadas con estas funciones.

    • Recomendaciones con un nivel de prioridad alto. A las recomendaciones de IAM se les asignan niveles de prioridad de forma automática según las vinculaciones de funciones con las que están asociadas. Prioriza las recomendaciones con un nivel de prioridad alto para reducir rápidamente los permisos excesivos.

      Para obtener más información sobre cómo se determina la prioridad de una recomendación, consulta Prioridad de recomendación.

    • Cuando encuentras una principal con privilegios excesivos en un proyecto, verifica otros proyectos para ver las recomendaciones que involucran esa principal. Si a una principal se le otorgó una función demasiado permisiva en un proyecto, es posible que también sele hayan otorgado funciones demasiado permisivas en otros proyectos. Revisa las recomendaciones de las principales en varios proyectos para reducir de forma global el acceso de las principales al nivel adecuado.

  • Después de la limpieza inicial, revisa las recomendaciones con regularidad. Te recomendamos que revises las recomendaciones al menos una vez a la semana. Esta verificación suele tomar mucho menos que la limpieza inicial, ya que solo deberás abordar las recomendaciones de los cambios que se produjeron desde la última limpieza o verificación.

    La verificación periódica de los permisos reduce el trabajo requerido para cada verificación y puede ayudarte a identificar y quitar usuarios inactivos de forma proactiva, así como a restringir los permisos de los usuarios activos.

Prácticas recomendadas para trabajar con recomendaciones

Si usas la API del recomendador o los comandos recommender de la herramienta de gcloud para administrar las recomendaciones, asegúrate de actualizar el estado de las recomendaciones que apliques. Esto te permite hacer un seguimiento de las recomendaciones y garantiza que los cambios que realices aparezcan en los registros de recomendaciones.

Prácticas recomendadas para aplicar recomendaciones de forma automática

Para administrar las recomendaciones de manera más eficiente, te recomendamos automatizar el proceso de aplicación de recomendaciones. Si decides usar la automatización, ten en cuenta los siguientes puntos.

El recomendador intenta proporcionar recomendaciones que no provocarán cambios rotundos en el acceso. Por ejemplo, nunca recomendaremos una función que excluya los permisos que usó una principal, de forma pasiva o activa en los últimos 90­ días. También usamos el aprendizaje automático para identificar otros permisos que es probable que el usuario necesite.

Sin embargo, no podemos garantizar que nuestras recomendaciones nunca causarán cambios rotundos en el acceso. Es posible que la aplicación de una recomendación haga que una principal no pueda acceder a un recurso que necesita. Te recomendamos revisar Cómo funciona el recomendador de IAM y decidir con qué grado de automatización te sientes cómodo. Por ejemplo, puedes decidir aplicar la mayoría de las recomendaciones de forma automática, pero se requiere una revisión manual de las recomendaciones que agregan o quitan una cantidad determinada de permisos, o que otorgan o revocan una función específica.

¿Qué sigue?