Halaman ini diterjemahkan oleh Cloud Translation API.

Praktik terbaik rekomendasi peran

Kami merekomendasikan praktik terbaik berikut untuk mengelola rekomendasi peran.

Untuk informasi selengkapnya tentang rekomendasi peran, lihat ringkasan rekomendasi peran.

Mulai menggunakan rekomendasi

Praktik terbaik berikut dapat membantu Anda memulai rekomendasi peran.

Mulailah dengan pembersihan awal izin yang diberikan secara berlebihan. Awalnya, Anda mungkin melihat rekomendasi dalam jumlah sangat besar, terutama jika banyak akun utama memiliki peran yang sangat permisif seperti Editor. Luangkan waktu untuk mengatasi semua rekomendasi di project atau organisasi Anda untuk memastikan bahwa semua akun utama Anda memiliki peran yang sesuai.

Saat melakukan pembersihan awal ini, prioritaskan jenis rekomendasi berikut:
- Rekomendasi yang mengurangi izin untuk akun layanan. Secara default, semua akun layanan default diberi peran Editor yang sangat permisif pada project. Akun layanan lain yang Anda kelola mungkin juga telah diberi peran yang sangat permisif. Semua izin yang diberikan secara berlebihan akan meningkatkan risiko keamanan, termasuk akun layanan yang memiliki hak istimewa yang berlebihan. Jadi, sebaiknya prioritaskan akun layanan yang memiliki hak istimewa yang berlebihan selama pembersihan awal.
- Rekomendasi yang membantu mencegah eskalasi hak istimewa. Peran yang memungkinkan akun utama bertindak sebagai akun layanan (iam.serviceAccounts.actAs) atau mendapatkan atau menetapkan kebijakan izin untuk resource berpotensi memungkinkan akun utama mengeskalasi hak istimewanya sendiri. Prioritaskan rekomendasi terkait peran ini.
- Rekomendasi yang mengurangi pergerakan lateral. Pergerakan lateral adalah saat akun layanan dalam satu project memiliki izin untuk meniru akun layanan di project lain. Izin ini dapat menyebabkan rantai peniruan identitas di seluruh project yang memberi akun utama akses yang tidak diinginkan ke resource. Untuk mengurangi akses yang tidak diinginkan ini, prioritaskan rekomendasi yang terkait dengan insight pergerakan lateral.
- Rekomendasi dengan tingkat prioritas tinggi. Rekomendasi IAM secara otomatis ditetapkan tingkat prioritasnya berdasarkan binding peran yang terkait dengannya. Prioritaskan rekomendasi dengan tingkat prioritas tinggi untuk mengurangi izin yang berlebihan dengan cepat.
  
  Untuk mempelajari cara menentukan prioritas rekomendasi, lihat Prioritas rekomendasi.
- Jika Anda menemukan akun utama yang memiliki hak istimewa yang berlebihan di satu project, periksa project lain untuk mengetahui rekomendasi yang melibatkan akun utama tersebut. Jika akun utama telah diberi peran yang terlalu permisif di satu project, akun utama tersebut mungkin juga diberi peran yang terlalu permisif di project lain. Tinjau rekomendasi untuk akun utama di beberapa project untuk secara global mengurangi akses akun utama ke tingkat yang sesuai.
Setelah pembersihan awal, periksa rekomendasi Anda secara rutin. Sebaiknya periksa rekomendasi Anda minimal seminggu sekali. Pemeriksaan ini biasanya akan memerlukan waktu jauh lebih singkat daripada pembersihan awal, karena Anda hanya perlu menindaklanjuti rekomendasi untuk perubahan yang telah terjadi sejak pembersihan atau pemeriksaan terakhir.

Memeriksa izin secara rutin akan mengurangi pekerjaan yang diperlukan untuk setiap pemeriksaan, dan dapat membantu Anda mengidentifikasi dan menghapus pengguna yang tidak aktif secara proaktif, serta terus mengurangi cakupan izin untuk pengguna aktif.

Praktik terbaik untuk menggunakan rekomendasi

Jika Anda menggunakan Recommender API atau perintah recommender untuk gcloud CLI untuk mengelola rekomendasi, pastikan untuk memperbarui status rekomendasi yang Anda terapkan. Hal ini memungkinkan Anda melacak rekomendasi dan memastikan bahwa perubahan yang Anda buat muncul di log rekomendasi.

Praktik terbaik untuk menerapkan rekomendasi secara otomatis

Untuk mengelola rekomendasi dengan lebih efisien, sebaiknya otomatiskan proses penerapan rekomendasi. Jika Anda memutuskan untuk menggunakan otomatisasi, perhatikan hal-hal berikut.

Rekomendator mencoba memberikan rekomendasi yang tidak akan menyebabkan perubahan yang mengganggu akses. Misalnya, kami tidak akan pernah merekomendasikan peran yang mengecualikan izin yang telah digunakan akun utama, secara pasif atau aktif, dalam 90 hari terakhir. Kami juga menggunakan machine learning untuk mengidentifikasi izin lain yang mungkin diperlukan pengguna.

Namun, kami tidak dapat menjamin bahwa rekomendasi kami tidak akan pernah menyebabkan perubahan yang mengganggu akses. Ada kemungkinan bahwa penerapan rekomendasi akan menyebabkan akun utama tidak dapat mengakses resource yang mereka butuhkan. Sebaiknya tinjau Cara kerja pemberi rekomendasi IAM dan putuskan tingkat otomatisasi yang sesuai dengan Anda. Misalnya, Anda mungkin memutuskan untuk menerapkan sebagian besar rekomendasi secara otomatis, tetapi memerlukan peninjauan manual untuk rekomendasi yang menambahkan atau menghapus sejumlah izin tertentu, atau yang melibatkan pemberian atau pencabutan peran tertentu.

Saat mengotomatiskan rekomendasi, Anda mungkin ingin mengidentifikasi resource mana yang menjadi tujuan rekomendasi. Untuk mengidentifikasi resource, gunakan kolom operation.resource. Kolom lain, seperti kolom name, tidak akan selalu mewakili resource yang menjadi tujuan rekomendasi.

Langkah selanjutnya

Pahami rekomendasi peran.
Pelajari langkah-langkah untuk meninjau dan menerapkan rekomendasi.
Cari tahu cara mengekspor data untuk rekomendasi IAM.