Práticas recomendadas do recomendador do IAM

Sugerimos seguir as práticas abaixo para gerenciar as recomendações do recomendador do IAM.

Para mais informações sobre o recomendador do IAM, consulte a visão geral do recomendador do IAM.

Primeiros passos com recomendações

As práticas recomendadas a seguir podem ajudar você a começar a usar o recomendador do IAM.

  • Comece com uma limpeza inicial das permissões concedidas em excesso. Inicialmente, você poderá ver um número muito grande de recomendações, especialmente se muitos membros tiverem papéis altamente permissivos como o Editor. Reserve um tempo para abordar todas as recomendações no projeto ou na organização a fim de garantir que todos os membros tenham os papéis apropriados.

    Ao fazer essa limpeza inicial, priorize os seguintes tipos de recomendações:

    • Recomendações que reduzem as permissões de contas de serviço. Por padrão, todas as contas de serviço padrão recebem o papel de editor altamente permissivo nos projetos. Outras contas de serviço que você gerencia também podem ter recebido papéis altamente permissivos. Todas as permissões concedidas em excesso aumentam o risco de segurança, incluindo contas de serviço excessivamente privilegiadas. Portanto, recomendamos priorizar as contas de serviço excessivamente privilegiadas durante a limpeza inicial.

    • Recomendações que ajudam a evitar o escalonamento de privilégios. Papéis que permitem que os membros atuem como uma conta de serviço (iam.serviceAccounts.actAs) ou recebam ou definam a política de IAM de um recurso, potencialmente permitindo que um membro encaminhe o próprio privilégio. Priorize recomendações relacionadas a esses papéis.

    • Ao encontrar um membro muito privilegiado em um projeto, procure recomendações desse membro em outros projetos. Se um membro tiver recebido um papel excessivamente permissivo em um projeto, é possível que ele também tenha recebido papéis excessivamente permissivos em outros projetos. Revise as recomendações do membro em vários projetos para reduzir de forma global o acesso do membro ao nível apropriado.

  • Após a limpeza inicial, verifique suas recomendações regularmente. Verifique as recomendações pelo menos uma vez por semana. Essa verificação geralmente leva muito menos tempo que a limpeza inicial, porque você só precisará lidar com recomendações para alterações que ocorreram desde a última limpeza ou verificação.

    Verificar regularmente as permissões reduz o trabalho necessário para cada verificação e pode ajudar a identificar e remover proativamente usuários inativos, bem com continuar a reduzir o escopo de permissões para usuários ativos.

Práticas recomendadas para trabalhar com recomendações

Se você usar a API Recommender ou os comandos recommender da ferramenta gcloud para gerenciar recomendações, atualize o estado recomendações que você aplica. Isso permite que você acompanhe suas recomendações e garanta que as alterações realizadas sejam exibidas nos registros de recomendações.

Práticas recomendadas para aplicar recomendações automaticamente

Para gerenciar suas recomendações com mais eficiência, convém automatizar o processo de aplicação das recomendações. Se você decidir usar a automação, lembre-se dos pontos a seguir.

O recomendador do IAM tenta fornecer recomendações que não causarão alterações interruptivas no acesso. Por exemplo, nunca recomendamos um papel que exclui permissões usadas por um membro, passivamente ou ativamente, nos últimos 90 dias. Também usamos machine learning para identificar outras permissões de que o usuário provavelmente precisará.

No entanto, não podemos garantir que nossas recomendações nunca causarão alterações interruptivas no acesso. É possível que a aplicação de uma recomendação faça com que um membro não consiga acessar um recurso necessário. Recomendamos que você leia Como funciona o recomendador do IAM e decida com quanta automação você se sente confortável. Por exemplo, você pode decidir aplicar a maioria das recomendações automaticamente, mas exigir uma revisão manual de recomendações que adicionem ou removem um determinado número de permissões, ou que envolvam conceder ou revogar um papel específico.

A seguir