角色建议的最佳做法

我们建议您遵循以下最佳做法来管理角色建议。

如需详细了解角色建议,请参阅角色建议概览

建议使用入门

以下最佳做法可帮助您开始使用 IAM Recommender。

  • 首先对过度授予的权限执行初始清理。最初,您可能会看到大量建议,尤其是在许多成员具有高度宽松的角色(例如 Editor)的情况下。请花点时间查看项目或组织中的所有建议,以确保所有成员都具有适当的角色。

    在执行此类初始清理时,请优先考虑以下类型的建议:

    • 缩减服务帐号权限的建议。默认情况下,所有默认服务帐号都具有针对项目的高度宽松的 Editor 角色。您管理的其他服务帐号也可能具有高度宽松的角色。所有过度授予的权限(包括具有过度特权的服务帐号)都会增加安全风险,因此我们建议您在初始清理期间优先清理具有过度特权的服务帐号。

    • 有助于防止提升权限的建议。如果某些角色允许成员充当服务帐号 (iam.serviceAccounts.actAs) 或者获取或设置资源的 IAM 政策,则这些角色可能会允许成员提升自己的权限。请优先考虑与这些角色有关的建议。

    • 优先级高的建议。系统会根据 IAM 建议关联的角色绑定自动分配优先级。请优先考虑优先级高的建议,以快速减少过度授予的权限。

      如需了解建议的优先级是如何确定的,请参阅建议优先级

    • 如果您在一个项目中发现某个具有过度特权的成员,请在其他项目中查看涉及该成员的建议。如果某个成员在一个项目中具有过度宽松的角色,则该成员在其他项目中也可能具有过度宽松的角色。请查看多个项目中针对该成员的建议,以便在全局范围内将该成员的访问权限降低到适当的级别。

  • 完成初始清理后,请定期查看建议。我们建议您每周至少查看一次建议。这样的查看方式通常比初始清理所花费的时间少得多,因为您只需要查看自上次清理或查看以来发生的更改的建议。

    定期查看权限可以减少每次查看所需完成的工作,并且可以帮助您主动识别和移除不活跃的用户,以及继续缩减活跃用户的权限。

有关使用建议的最佳做法

如果您使用 Recommender APIgcloud 工具的 recommender 命令来管理建议,请务必更新您所应用的建议的状态。这样一来,您就可以跟踪建议,并确保所做的更改显示在建议日志中。

自动应用建议的最佳做法

为了更高效地管理建议,您可能需要自动执行应用建议的流程。如果您决定使用自动化操作,请注意以下要点。

Recommender 会尝试提供不会对访问权限造成破坏性更改的建议。例如,我们绝不会推荐一个具有以下特点的角色:该角色排除成员在过去 90 天内消极或积极使用的权限。我们还使用机器学习来识别用户可能需要的其他权限。

但是,我们不能保证我们的建议绝不会对访问权限造成破坏性更改 - 应用建议可能会导致成员无法访问所需的资源。我们建议您查看 IAM Recommender 的工作原理,并确定适合您的自动化程度。例如,您可能决定自动应用大多数建议,但对以下建议需要手动查看:添加或移除一定数量的权限的建议,或者涉及授予或撤消特定角色的建议。

后续步骤