Prácticas recomendadas para el recomendador de IAM

Las siguientes son las prácticas recomendadas para administrar las recomendaciones del recomendador de IAM.

Para obtener más información sobre el recomendador de IAM, consulta Descripción general del recomendador de IAM.

Comienza a usar las recomendaciones

Las siguientes prácticas recomendadas pueden ayudarte a comenzar a usar el recomendador de IAM.

  • Comienza con una limpieza inicial de permisos excesivos otorgados. Al inicio, es posible que veas una gran cantidad de recomendaciones, en particular si muchos miembros tienen funciones muy permisivas como la de editor. Tómate el tiempo de revisar todas las recomendaciones de la organización o el proyecto para garantizar que todos los miembros tengan las funciones adecuadas.

    Cuando realices esta limpieza inicial, prioriza los siguientes tipos de recomendaciones:

    • Recomendaciones que reducen los permisos para las cuentas de servicio. De forma predeterminada, a todas las cuentas de servicio predeterminadas se les otorga la función de editor, que es muy permisiva, en los proyectos. Es posible que otras cuentas de servicio que administras también hayan recibido funciones muy permisivas. Todos los permisos excesivos aumentan el riesgo de seguridad, incluidas las cuentas de servicio demasiado privilegiadas, por lo que recomendamos priorizar las cuentas de servicio demasiado privilegiadas durante la limpieza inicial.

    • Recomendaciones que ayudan a prevenir la elevación de privilegios. Las funciones que permiten a los miembros actuar como una cuenta de servicio (iam.serviceAccounts.actAs), o bien obtener o establecer la política de IAM de un recurso pueden permitir que un miembro eleve su propio privilegio. Prioriza las recomendaciones relacionadas con estas funciones.

    • Cuando encuentras un miembro con privilegios excesivos en un proyecto, verifica otros proyectos para ver las recomendaciones que involucran a ese miembro. Si a un miembro se le otorgó una función demasiado permisiva en un proyecto, es posible que también sele hayan otorgado funciones demasiado permisivas en otros proyectos. Revisa las recomendaciones de los miembros en varios proyectos para reducir de forma global el acceso de los miembros al nivel adecuado.

  • Después de la limpieza inicial, revisa las recomendaciones con regularidad. Te recomendamos que revises las recomendaciones al menos una vez a la semana. Esta verificación suele tomar mucho menos que la limpieza inicial, ya que solo deberás abordar las recomendaciones de los cambios que se produjeron desde la última limpieza o verificación.

    La verificación periódica de los permisos reduce el trabajo requerido para cada verificación y puede ayudarte a identificar y quitar usuarios inactivos de forma proactiva, así como a restringir los permisos de los usuarios activos.

Prácticas recomendadas para trabajar con recomendaciones

Si usas la API del recomendador o los comandos recommender de la herramienta de gcloud para administrar las recomendaciones, asegúrate de actualizar el estado de las recomendaciones que apliques. Esto te permite hacer un seguimiento de las recomendaciones y garantiza que los cambios que realices aparezcan en los registros de recomendaciones.

Prácticas recomendadas para aplicar recomendaciones de forma automática

Para administrar las recomendaciones de manera más eficiente, te recomendamos automatizar el proceso de aplicación de recomendaciones. Si decides usar la automatización, ten en cuenta los siguientes puntos.

El recomendador de IAM intenta proporcionar recomendaciones que no provocarán cambios rotundos en el acceso. Por ejemplo, nunca recomendaremos una función que excluya los permisos que usó un miembro, de forma pasiva o activa en los últimos 90­ días. También usamos el aprendizaje automático para identificar otros permisos que es probable que el usuario necesite.

Sin embargo, no podemos garantizar que nuestras recomendaciones nunca causarán cambios rotundos en el acceso. Es posible que la aplicación de una recomendación haga que un miembro no pueda acceder a un recurso que necesita. Te recomendamos revisar Cómo funciona el recomendador de IAM y decidir con qué grado de automatización te sientes cómodo. Por ejemplo, puedes decidir aplicar la mayoría de las recomendaciones de forma automática, pero se requiere una revisión manual de las recomendaciones que agregan o quitan una cantidad determinada de permisos, o que otorgan o revocan una función específica.

Próximos pasos