Prácticas recomendadas para las recomendaciones de roles

Las siguientes son las prácticas recomendadas para administrar las recomendaciones de funciones.

Para obtener más información sobre las recomendaciones de funciones, consulta la descripción general de las recomendaciones de funciones.

Comienza a usar las recomendaciones

Las siguientes prácticas recomendadas pueden ayudarte a comenzar con las recomendaciones de roles.

  • Comienza con una limpieza inicial de permisos excesivos otorgados. Al inicio, es posible que veas una gran cantidad de recomendaciones, en particular si muchas principales tienen funciones muy permisivas como la de editor. Tómate el tiempo de revisar todas las recomendaciones de la organización o el proyecto para garantizar que todas las principales tengan las funciones adecuadas.

    Cuando realices esta limpieza inicial, prioriza los siguientes tipos de recomendaciones:

    • Recomendaciones que reducen los permisos para las cuentas de servicio. De forma predeterminada, a todas las cuentas de servicio predeterminadas se les otorga la función de editor, que es muy permisiva, en los proyectos. Es posible que otras cuentas de servicio que administras también hayan recibido funciones muy permisivas. Todos los permisos excesivos aumentan el riesgo de seguridad, incluidas las cuentas de servicio demasiado privilegiadas, por lo que recomendamos priorizar las cuentas de servicio demasiado privilegiadas durante la limpieza inicial.

    • Recomendaciones que ayudan a prevenir la elevación de privilegios. Los roles que permiten que las principales actúen como una cuenta de servicio (iam.serviceAccounts.actAs) o que obtengan o establezcan la política de permisos para un recurso pueden permitir que una principal eleva su propio privilegio. Prioriza las recomendaciones relacionadas con estos roles.

    • Recomendaciones que reducen el movimiento lateral. El movimiento lateral es cuando una cuenta de servicio en un proyecto tiene permiso para actuar en nombre de una cuenta de servicio en otro proyecto. Este permiso puede generar una cadena de robo de identidad en todos los proyectos que otorga a las principales acceso no deseado a los recursos. Para mitigar este acceso no deseado, prioriza las recomendaciones que están asociadas con estadísticas de movimiento lateral.

    • Recomendaciones con un nivel de prioridad alto. A las recomendaciones de IAM se les asignan niveles de prioridad de forma automática según las vinculaciones de funciones con las que están asociadas. Prioriza las recomendaciones con un nivel de prioridad alto para reducir rápidamente los permisos excesivos.

      Para aprender cómo se determina la prioridad de una recomendación, consulta Prioridad de las recomendaciones.

    • Cuando encuentras una principal con privilegios excesivos en un proyecto, verifica otros proyectos para ver las recomendaciones que involucran esa principal. Si a una principal se le otorgó una función demasiado permisiva en un proyecto, es posible que también se le hayan otorgado funciones demasiado permisivas en otros proyectos. Revisa las recomendaciones de la principal en varios proyectos para reducir de forma global el acceso de la principal al nivel adecuado.

  • Después de la limpieza inicial, revisa las recomendaciones con regularidad. Te recomendamos que revises las recomendaciones al menos una vez a la semana. Esta verificación suele tomar mucho menos que la limpieza inicial, ya que solo deberás abordar las recomendaciones de los cambios que se produjeron desde la última limpieza o verificación.

    La verificación periódica de los permisos reduce el trabajo requerido para cada verificación y puede ayudarte a identificar y quitar usuarios inactivos de forma proactiva, así como a restringir los permisos de los usuarios activos.

Prácticas recomendadas para trabajar con recomendaciones

Si usas la API de Recommender o los comandos recommender de la CLI de gcloud para administrar las recomendaciones, asegúrate de actualizar el estado de las recomendaciones que apliques. Esto te permite hacer un seguimiento de las recomendaciones y garantiza que los cambios que realices aparezcan en los registros de recomendaciones.

Prácticas recomendadas para aplicar recomendaciones de forma automática

Para administrar las recomendaciones de manera más eficiente, te recomendamos automatizar el proceso de aplicación de recomendaciones. Si decides usar la automatización, ten en cuenta los siguientes puntos.

El recomendador intenta proporcionar recomendaciones que no provocarán cambios rotundos en el acceso. Por ejemplo, nunca recomendaremos una función que excluya los permisos que usó una principal, de forma pasiva o activa en los últimos 90­ días. También usamos el aprendizaje automático para identificar otros permisos que es probable que el usuario necesite.

Sin embargo, no podemos garantizar que nuestras recomendaciones nunca causarán cambios rotundos en el acceso. Es posible que la aplicación de una recomendación haga que una principal no pueda acceder a un recurso que necesita. Te recomendamos revisar Cómo funciona el recomendador de IAM y decidir con qué grado de automatización te sientes cómodo. Por ejemplo, puedes decidir aplicar la mayoría de las recomendaciones de forma automática, pero se requiere una revisión manual de las recomendaciones que agregan o quitan una cantidad determinada de permisos, o que otorgan o revocan una función específica.

Cuando automatices las recomendaciones, es recomendable que identifiques para qué recurso es una recomendación. Para identificar el recurso, usa el campo operation.resource. Otros campos, como el campo name, no siempre representarán el recurso para el que se indica la recomendación.

¿Qué sigue?