Consigliamo le seguenti best practice per la gestione dei suggerimenti sui ruoli.
Per ulteriori informazioni sui suggerimenti per i ruoli, consulta la panoramica dei suggerimenti sui ruoli.
Iniziare a utilizzare i consigli
Le best practice riportate di seguito possono aiutarti a iniziare a utilizzare i suggerimenti sui ruoli.
Inizia con una pulizia iniziale delle autorizzazioni concesse in eccesso. Inizialmente, potresti vedere un numero molto elevato di suggerimenti, soprattutto se molte entità hanno ruoli altamente permissivi come Editor. Dedica del tempo ad applicare tutti i suggerimenti nel progetto o nell'organizzazione per assicurarti che tutte le entità abbiano i ruoli appropriati.
Quando esegui questa pulizia iniziale, dai la priorità ai seguenti tipi di suggerimenti:
Suggerimenti che riducono le autorizzazioni per gli account di servizio. Per impostazione predefinita, a tutti gli account di servizio predefiniti viene concesso il ruolo Editor altamente permissivo sui progetti. Potrebbero essere stati concessi ruoli altamente permissivi anche ad altri account di servizio che gestisci. Tutte le autorizzazioni concesse in eccesso aumentano i rischi per la sicurezza, inclusi gli account di servizio con privilegi eccessivi, quindi ti consigliamo di dare la priorità agli account di servizio con privilegi eccessivi durante la pulizia iniziale.
Consigli che aiutano a prevenire l'escalation dei privilegi. I ruoli che consentono alle entità di agire come account di servizio (
iam.serviceAccounts.actAs) o di ottenere o impostare il criterio di autorizzazione per una risorsa possono potenzialmente consentire a un'entità di aumentare i propri privilegi. Dai la priorità ai suggerimenti relativi a questi ruoli.Consigli che riducono lo spostamento laterale. Lo spostamento laterale si verifica quando un account di servizio in un progetto dispone dell'autorizzazione per impersonare un account di servizio in un altro progetto. Questa autorizzazione può comportare una catena di rappresentazioni in tutti i progetti che concede alle entità l'accesso involontario alle risorse. Per ridurre questo accesso indesiderato, dai la priorità ai suggerimenti associati agli insight sullo spostamento laterale.
Consigli con un livello di priorità elevato. Ai suggerimenti IAM vengono assegnati automaticamente livelli di priorità in base alle associazioni di ruoli a cui sono associati. Dai priorità ai suggerimenti con un livello di priorità elevato per ridurre rapidamente le autorizzazioni concesse in eccesso.
Per scoprire come viene determinata la priorità di un suggerimento, consulta Priorità dei suggerimenti.
Quando trovi un'entità con privilegi in eccesso in un progetto, controlla altri progetti per trovare suggerimenti relativi all'entità in questione. Se a un'entità è stato concesso un ruolo eccessivamente permissivo in un progetto, è possibile che gli siano stati assegnati ruoli eccessivamente permissivi anche in altri progetti. Esamina i suggerimenti per l'entità in più progetti al fine di ridurre a livello globale l'accesso dell'entità al livello appropriato.
Dopo la pulizia iniziale, controlla regolarmente i consigli. Ti consigliamo di controllare i consigli almeno una volta alla settimana. In genere, questo controllo richiede molto meno tempo rispetto alla pulizia iniziale, perché dovrai fornire solo i suggerimenti per le modifiche apportate dall'ultima pulizia o controllo.
Controllare regolarmente le autorizzazioni riduce il lavoro necessario per ogni controllo e può aiutarti a identificare e rimuovere proattivamente gli utenti non attivi, nonché a continuare a ridurre l'ambito delle autorizzazioni per gli utenti attivi.
Best practice per l'utilizzo dei consigli
Se utilizzi l'API Recommender o i
comandi recommender per l'interfaccia a riga di comando gcloud per
gestire i suggerimenti, assicurati di aggiornare lo stato dei suggerimenti
applicati. Ciò ti consente di tenere traccia dei suggerimenti e garantisce che le modifiche apportate vengano visualizzate nei log dei suggerimenti.
Best practice per l'applicazione automatica dei consigli
Per gestire i suggerimenti in modo più efficiente, potresti voler automatizzare il processo di applicazione dei suggerimenti. Se decidi di usare l'automazione, tieni presente quanto segue.
Il motore per suggerimenti cerca di non causare modifiche che provocano errori nell'accesso. Ad esempio, non consiglieremo mai un ruolo che escluda le autorizzazioni utilizzate da un'entità, passivamente o attivamente, negli ultimi 90 giorni. Usiamo anche il machine learning per identificare altre autorizzazioni di cui è probabile che l'utente abbia bisogno.
Tuttavia, non possiamo garantire che i nostri suggerimenti non causeranno mai modifiche che provocano errori di accesso: è possibile che l'applicazione di un suggerimento comporti l'impossibilità da parte di un'entità di accedere a una risorsa di cui ha bisogno. Ti consigliamo di esaminare Come funziona il motore per suggerimenti IAM e decidere il livello di automazione che ti è utile. Ad esempio, potresti decidere di applicare automaticamente la maggior parte dei consigli, ma richiedere una revisione manuale per quelli che aggiungono o rimuovono un determinato numero di autorizzazioni o che comportano la concessione o la revoca di un ruolo specifico.
Quando automatizza i suggerimenti, potrebbe essere utile identificare la risorsa
per cui è indicato un suggerimento. Per identificare la risorsa, utilizza il campo operation.resource. Altri campi, come il campo name, non rappresenteranno sempre la risorsa per cui si riferisce il suggerimento.
Passaggi successivi
- Comprendere i consigli sui ruoli.
- Scopri i passaggi per rivedere e applicare i consigli.
- Scopri come esportare i dati per i suggerimenti IAM.