Praktik terbaik rekomendasi peran

Kami merekomendasikan praktik terbaik berikut untuk mengelola rekomendasi peran.

Untuk mengetahui informasi selengkapnya tentang rekomendasi peran, lihat ringkasan rekomendasi peran.

Mulai menggunakan rekomendasi

Praktik terbaik berikut dapat membantu Anda memulai rekomendasi peran.

• Mulai dengan pembersihan awal pada izin yang diberikan secara berlebihan. Pada awalnya, Anda mungkin akan melihat rekomendasi dalam jumlah yang sangat besar, terutama jika banyak akun utama memiliki peran yang sangat permisif seperti Editor. Luangkan waktu untuk menangani semua rekomendasi dalam project atau organisasi Anda guna memastikan bahwa semua akun utama memiliki peran yang sesuai.

  Saat melakukan pembersihan awal ini, prioritaskan jenis rekomendasi berikut:

  • Rekomendasi yang mengurangi izin untuk akun layanan. Secara default, semua akun layanan default diberi peran Editor yang sangat permisif pada project. Akun layanan lain yang Anda kelola mungkin juga diberi peran yang sangat permisif. Semua izin yang diberikan secara berlebihan akan meningkatkan risiko keamanan Anda, termasuk akun layanan yang memiliki hak istimewa yang terlalu tinggi, jadi sebaiknya prioritaskan akun layanan dengan hak istimewa yang terlalu tinggi selama pembersihan awal.

  • Rekomendasi yang membantu mencegah eskalasi hak istimewa. Peran yang memungkinkan akun utama bertindak sebagai akun layanan (iam.serviceAccounts.actAs) atau mendapatkan atau menetapkan kebijakan izinkan untuk resource berpotensi mengizinkan akun utama mengeskalasikannya sendiri. Prioritaskan rekomendasi yang terkait dengan peran-peran tersebut.

  • Rekomendasi yang mengurangi gerakan lateral. Gerakan lateral adalah ketika akun layanan di satu project memiliki izin untuk meniru identitas akun layanan di project lain. Izin ini dapat mengakibatkan rantai peniruan identitas di seluruh project yang memberi akun utama akses yang tidak diinginkan ke resource. Untuk memitigasi akses yang tidak diinginkan ini, prioritaskan rekomendasi yang terkait dengan insight pergerakan lateral.

  • Rekomendasi dengan tingkat prioritas tinggi. Rekomendasi IAM secara otomatis ditetapkan ke level prioritas berdasarkan binding peran yang terkait dengannya. Prioritaskan rekomendasi dengan tingkat prioritas tinggi untuk mengurangi izin yang diberikan secara berlebihan dengan cepat.

    Untuk mempelajari cara menentukan prioritas rekomendasi, lihat Prioritas rekomendasi.

  • Jika Anda menemukan akun utama dengan hak istimewa berlebih dalam satu project, periksa project lain untuk mendapatkan rekomendasi yang melibatkan akun utama tersebut. Jika akun utama telah diberi peran yang terlalu permisif dalam satu project, akun utama tersebut mungkin juga telah diberi peran yang terlalu permisif di project lain. Tinjau rekomendasi untuk akun utama di beberapa project guna mengurangi akses akun utama secara global ke tingkat yang sesuai.

• Setelah pembersihan awal, periksa rekomendasi Anda secara rutin. Sebaiknya periksa rekomendasi Anda minimal seminggu sekali. Pemeriksaan ini biasanya memerlukan waktu yang lebih singkat daripada pembersihan awal, karena Anda hanya perlu menangani rekomendasi untuk perubahan yang telah terjadi sejak pembersihan atau pemeriksaan terakhir.

  Memeriksa izin secara rutin akan mengurangi pekerjaan yang diperlukan untuk setiap pemeriksaan, dan dapat membantu Anda secara proaktif mengidentifikasi dan menghapus pengguna yang tidak aktif, serta terus menurunkan cakupan izin untuk pengguna aktif.

Praktik terbaik untuk menggunakan rekomendasi

Jika Anda menggunakan Recommender API atau perintah recommender untuk gcloud CLI guna mengelola rekomendasi, pastikan untuk memperbarui status rekomendasi yang Anda terapkan. Hal ini memungkinkan Anda memantau rekomendasi dan memastikan perubahan yang Anda lakukan muncul di log rekomendasi.

Praktik terbaik untuk menerapkan rekomendasi secara otomatis

Untuk mengelola rekomendasi secara lebih efisien, sebaiknya otomatiskan proses penerapan rekomendasi. Jika Anda memutuskan untuk menggunakan otomatisasi, perhatikan hal-hal berikut.

Pemberi rekomendasi mencoba memberikan rekomendasi yang tidak akan menyebabkan perubahan akses yang dapat menyebabkan gangguan. Misalnya, kami tidak akan pernah merekomendasikan peran yang mengecualikan izin yang telah digunakan akun utama, secara pasif atau aktif, dalam 90 hari terakhir. Kami juga menggunakan machine learning untuk mengidentifikasi izin lain yang mungkin akan dibutuhkan pengguna.

Namun, kami tidak dapat menjamin bahwa rekomendasi kami tidak akan pernah menyebabkan perubahan yang dapat menyebabkan gangguan pada akses. Ada kemungkinan bahwa penerapan rekomendasi akan menyebabkan akun utama tidak dapat mengakses resource yang diperlukan. Sebaiknya tinjau Cara kerja pemberi rekomendasi IAM dan tentukan tingkat otomatisasi yang sesuai bagi Anda. Misalnya, Anda mungkin memutuskan untuk menerapkan sebagian besar rekomendasi secara otomatis, tetapi memerlukan peninjauan manual untuk rekomendasi yang menambah atau menghapus sejumlah izin tertentu, atau yang melibatkan pemberian atau pencabutan peran tertentu.

Saat mengotomatiskan rekomendasi, sebaiknya Anda mengidentifikasi resource yang memerlukan rekomendasi. Untuk mengidentifikasi resource, gunakan kolom operation.resource. Kolom lain, seperti kolom name, tidak akan selalu merepresentasikan resource yang menjadi tujuan rekomendasi.

Langkah selanjutnya

• Pahami rekomendasi peran.
• Pelajari langkah-langkah untuk meninjau dan menerapkan rekomendasi.
• Cari tahu cara mengekspor data untuk rekomendasi IAM.