Las recomendaciones de funciones te ayudan a identificar y quitar el exceso de permisos de tus principales, lo que mejora la configuración de seguridad de tus recursos.
Descripción general de las recomendaciones de funciones
El recomendador de IAM genera recomendaciones de roles. El El recomendador de IAM es uno de los recomendadores Recommender.
Cada recomendación de función sugiere que quites o reemplaces una función que otorgue permisos excesivos a los miembros. A gran escala, estas recomendaciones te ayudan a aplicar el principio de privilegio mínimo, ya que garantizan que las principales solo tengan los permisos que en verdad necesitan.
El recomendador de IAM identifica los permisos no usados mediante las estadísticas de las políticas. Las estadísticas de políticas son resultados basados en el AA sobre el permiso de una principal de uso de la nube.
Algunas recomendaciones también se asocian con las estadísticas de movimiento lateral. Estas estadísticas identifican funciones que permiten que las cuentas de servicio de un proyecto actúen en nombre de otra en otro proyecto. Para obtener más información, consulta Cómo se generan estadísticas de movimiento lateral.
Cómo se generan las estadísticas de políticas
Las estadísticas de políticas destacan los permisos en los roles de una principal que esta no está usando.
El recomendador de IAM genera estadísticas de políticas mediante la comparación de la cantidad total de permisos de un principal con los permisos que usó el principal en los últimos 90 días. Si el rol se otorgó hace menos de 90 días, el recomendador de IAM analiza el uso de permisos del principal desde que se le otorgó el rol.
Existen varias formas en las que una principal puede usar un permiso:
De forma directa, si llama a una API que requiere el permiso
Por ejemplo, el método
roles.listen la API de REST de IAM requiere el permisoiam.roles.list. Cuando llamas al métodoroles.list, usas el permisoiam.roles.list.De manera similar, cuando llamas al método
testIamPermissionsde un recurso, usas todos los permisos que estás probando.De forma indirecta, si usas la consola de Google Cloud para trabajar con recursos de Google Cloud
Por ejemplo, en la consola de Google Cloud, puedes editar una Compute Engine de máquina virtual (VM), que requiere permisos diferentes según qué parámetros de configuración cambias. Sin embargo, la consola de Google Cloud también muestra la configuración existente, lo que requiere el elemento
compute.instances.getpermiso.Como resultado, cuando editas una instancia de VM en la consola de Google Cloud, debes usar el permiso
compute.instances.get.
Además, este servicio usa el aprendizaje automático para identificar permisos en la función actual de una principal que puede necesitar en el futuro, incluso si la principal no usó esos permisos recientemente. Para obtener más información, consulta Aprendizaje automático para estadísticas de políticas en esta página.
Las estadísticas de políticas no se generan para todos los roles de IAM que otorgadas a las principales. Para obtener más información sobre por qué un rol puede no tener estadísticas de política, consulta Disponibilidad en esta página.
Para saber cómo administrar las estadísticas de políticas, consulta Administra las estadísticas de políticas para proyectos, carpetas y organizaciones o administrar políticas para los buckets de Cloud Storage.
Aprendizaje automático para estadísticas de políticas
En algunos casos, es probable que una principal necesite ciertos permisos que están incluidos en sus funciones actuales, pero que no usó recientemente. Para identificar estos permisos, el recomendador de IAM usa un modelo de aprendizaje automático (AA) cuando genera estadísticas de políticas.
Este modelo de aprendizaje automático se entrena en función de varios conjuntos de indicadores:
Patrones de simultaneidad comunes en el historial observado: el hecho de que un usuario haya usado los permisos A, B y C en el pasado proporciona un indicio de que A, B y C pueden estar relacionados de alguna manera y de que se necesitan en conjunto para llevar a cabo una tarea en Google Cloud. Si el modelo de AA detecta este patrón con suficiente frecuencia, la próxima vez que un usuario diferente use los permisos A y B, el modelo sugerirá que es probable que el usuario también necesite el permiso C.
Conocimiento del dominio como se lo codificó en las definiciones de las funciones: IAM proporciona cientos de funciones predefinidas diferentes que son específicas de un servicio. Si una función predefinida contiene un conjunto de permisos, esto indica con claridad que esos permisos deban otorgarse en conjunto.
Además de estos indicadores, el modelo también usa la incorporación de palabras para calcular qué tan similares son los permisos en términos de la semántica. Los permisos similares en términos de la semántica estarán “relacionados” entre sí después de la incorporación y tendrán más probabilidades de ser otorgados en conjunto. Por ejemplo, bigquery.datasets.get y bigquery.tables.list estarán muy cerca entre sí después de la incorporación.
Todos los datos que se usaron en la canalización de aprendizaje automático del recomendador de IAM cuentan con k-anonimato, lo que significa que las personas del conjunto de datos anonimizado no se pueden volver a identificar. Para lograr este nivel de anonimato, descartamos toda la información de identificación personal (PII), como el ID del usuario relacionado con cada patrón de uso de permisos. Luego, descartamos todos los patrones de uso que no aparezcan con suficiente frecuencia en Google Cloud. El modelo global se entrena en función de estos datos anonimizados.
El modelo global se puede personalizar aún más para cada organización mediante el aprendizaje federado, un proceso de aprendizaje automático mediante el cual se entrenan modelos de aprendizaje automático sin exportar datos.
Cómo se generan las recomendaciones de funciones
Si una estadística de política indica que una principal no necesita todos los permisos en su rol, el recomendador de IAM evalúa el rol determinar si podría revocarse o si hay otro rol que sea mejor encajar. Si se puede revocar la función, el recomendador de IAM genera una recomendación de función para revocarla. Si hay otra función que es más adecuada, el recomendador de IAM genera una recomendación de función para reemplazarla por una función sugerida. Este reemplazo sugerido podría ser una función personalizada nueva o existente, o una o más funciones predefinidas. Excepto en el caso de las recomendaciones para los agentes de servicio, una recomendación de función nunca sugiere un cambio que aumente el nivel de acceso de una principal.
Las recomendaciones de funciones se generan solo en función de los controles de acceso de IAM. No tienen en cuenta otros tipos de controles de acceso, como las listas de control de acceso (LCA) y el control de acceso según la función (RBAC) de Kubernetes. Si usas otros tipos de controles de acceso, debes tener especial cuidado a la hora de revisar las recomendaciones y debes considerar cómo se relacionan esos controles de acceso con tus políticas de permisos.
Además, las recomendaciones de roles no se generan para todos los roles de IAM que se otorgan a las cuentas principales. Para obtener más información sobre por qué un rol puede no tener una recomendación de rol, consulta Disponibilidad en esta página.
Período de observación
El período de observación de una recomendación de función es la cantidad de días de datos de uso de permisos en los que se basa la recomendación.
El período de observación máximo para las recomendaciones de roles es de 90 días. Esto significa que el recomendador de IAM usa, como máximo, los datos de uso de permisos de los últimos 90 días para generar recomendaciones de roles.
El recomendador de IAM tampoco comienza a generar recomendaciones de roles hasta que tiene una cantidad determinada de días de datos de uso de permisos. Esta duración se denomina período de observación mínimo. De forma predeterminada, el período de observación mínimo es de 90 días, pero, para las recomendaciones de roles a nivel del proyecto, puedes configurarlo manualmente en 30 o 60 días. Para obtener más información, consulta Configura la generación de recomendaciones de roles. Si estableces período mínimo de observación de menos de 90 días, recibirás recomendaciones antes, pero la exactitud de las recomendaciones podría no ser afectado.
Si transcurrió más tiempo que el período de observación mínimo, pero menos de 90 días desde que se otorgó el puesto, el período de observación es el tiempo transcurrido desde que se otorgó el puesto.
Nuevas funciones personalizadas en las recomendaciones de funciones
Cuando el recomendador de IAM sugiere reemplazos para una función, siempre sugiere una función personalizada existente, o una o más funciones predefinidas, que parece ser la opción más adecuada para las necesidades del principal.
Si el recomendador de IAM identifica un patrón de uso de permisos común en tu organización que no se asigna a una función predefinida o personalizada existente, también puede recomendar que crees una nueva función personalizada a nivel de proyecto. Esta función personalizada incluye solo los permisos recomendados. Para modificar la recomendación de la función personalizada, puedes agregar o quitar permisos.
Si quieres aplicar el principio de privilegio mínimo de la manera más estricta posible, elige la nueva función personalizada. El recomendador de IAM crea la función personalizada a nivel de proyecto. Eres responsable de mantener y actualizar las funciones personalizadas de tus proyectos.
Si prefieres usar un rol que se mantenga por ti, elige el rol predefinido. Google Cloud agrega o quita permisos para actualizar estas funciones con regularidad. Para recibir notificaciones sobre estas actualizaciones, suscríbete al feed de noticias del registro de cambios de los permisos. Si eliges el rol predefinido, el principal seguirá teniendo por lo menos algunos permisos y es posible que tenga una gran cantidad de ellos que no haya usado.
El recomendador de IAM recomienda funciones personalizadas nuevas solo para roles otorgados en un proyecto. No recomienda roles personalizados nuevos para roles otorgados en otros recursos, como organizaciones o carpetas.
Además, el recomendador de IAM no recomienda funciones personalizadas nuevas en los siguientes casos:
- Tu organización ya tiene 100 funciones personalizadas o más.
- Tu proyecto ya tiene 25 funciones personalizadas o más.
El recomendador de IAM no recomienda más de 5 roles personalizados nuevos por día en cada proyecto y no más de 15 roles personalizados nuevos para toda la organización.
Cómo se generan las estadísticas de movimiento lateral
El movimiento posterior es cuando una cuenta de servicio en un proyecto tiene permiso para actuar en nombre de una cuenta de servicio en otro proyecto. Por ejemplo, es posible que se haya creado una cuenta de servicio en el proyecto A, pero que tenga permisos para actuar en nombre de una cuenta de servicio en el proyecto B.
Estos permisos pueden generar una cadena de robo de identidad en todos los proyectos que les otorga a las principales acceso no deseado a los recursos. Por ejemplo, si un principal actúa en nombre de la cuenta de servicio del proyecto A, puede usarla para actuar en nombre de la cuenta de servicio del proyecto B. Si la cuenta de servicio en el proyecto B tiene permiso para actuar en nombre de otras cuentas en otros proyectos de tu organización, la principal podría seguir usando el robo de identidad de la cuenta de servicio para moverse de un proyecto a otro, lo que le permite obtener permisos a medida que avanzan.
El recomendador de IAM genera información de desplazamiento lateral identificando roles que cumplen con los siguientes criterios:
- La principal a la que se le otorgó el rol es una cuenta de servicio que no se creó en el proyecto.
La función incluye uno de los siguientes permisos, que permiten que una principal actúe en nombre de una cuenta de servicio:
iam.serviceAccounts.actAsiam.serviceAccounts.getAccessTokeniam.serviceAccounts.getOpenIdTokeniam.serviceAccounts.implicitDelegationiam.serviceAccounts.signBlobiam.serviceAccounts.signJwt
Si un rol se ajusta a estos criterios, el recomendador de IAM genera una estadística de movimiento lateral para el rol. Esta estadística contiene información sobre el de identidad de tu cuenta de servicio, incluidas las cuentas de servicio puede suplantar la identidad y si usó algún permiso de suplantación en los últimos 90 días.
El recomendador de IAM no usa las estadísticas de movimiento lateral por sí solas para generar nuevas recomendaciones de roles. Esto se debe a que, si una cuenta de servicio con sus permisos de suplantación, el recomendador de IAM no puede te sugerirá quitarlos. Sin embargo, si una recomendación de función sugiere quitar estos permisos porque no se usan, el recomendador de IAM vinculará la estadística de movimiento lateral a esa recomendación. Esta vinculación te ayuda a priorizar las recomendaciones de funciones para las cuentas de servicio que tienen permisos de uso de identidad potentes y sin usar en todos los proyectos.
Para obtener información sobre cómo administrar las estadísticas de movimiento lateral, consulta Administra las estadísticas de movimiento lateral.
Disponibilidad
La información sobre políticas, la información sobre el movimiento lateral y las recomendaciones de roles no son generados para todos los roles que se otorgan a las principales. Lee las siguientes secciones para comprender los roles para los que se generan las estadísticas de políticas, las estadísticas de movimiento lateral y las recomendaciones.
Disponibilidad de estadísticas de la política
Para que el recomendador de IAM genere estadísticas de políticas para un rol, lo siguiente deben ser verdaderos:
La política de permisos de IAM que otorga el rol conectado a uno de los siguientes recursos:
- Bucket de Cloud Storage
- Conjunto de datos de BigQuery
- Proyecto
- Carpeta
- Organización
El recomendador de IAM solo genera estadísticas de políticas para los roles que se otorgan en estos recursos.
La vinculación de función que otorga el rol no debe tener una condición. El recomendador de IAM no genera estadísticas de políticas para las vinculaciones de roles condicionales.
La principal a la que se le otorga el rol debe ser una de las siguientes opciones: tipos principales:
- Usuario
- Cuenta de servicio
- Grupo
allUsersallAuthenticatedUsers- Valores de conveniencia de Cloud Storage
- Membresía en grupos especiales de BigQuery
Uno de los siguientes tipos de identidades federadas:
- Todas las identidades en un grupo de Workload Identity:
- Identidad única en un grupo de Workload Identity
- Todas las identidades en un grupo de identidad de personal
- Identidad única en un grupo de identidad de personal
Todos los Pods de Google Kubernetes Engine que usan una cuenta de servicio específica de Kubernetes
Para obtener detalles sobre el formato del identificador de cada tipo de principal, consulta Identificadores principales.
El recomendador de IAM puede tardar hasta 10 días en generar estadísticas de políticas para un rol otorgado recientemente.
Las estadísticas de políticas existentes se actualizan a diario según el uso reciente de los permisos. Sin embargo, los datos en los que se basan las estadísticas de políticas suelen tener retrasos. hasta dos días de retraso con tu uso real.
Disponibilidad de estadísticas de movimiento lateral
La información de desplazamiento lateral se genera para roles que se otorgan en la los siguientes recursos:
- Organizaciones
- Carpetas
- Proyectos
- Cuentas de servicio
Disponibilidad de la recomendación de función
Para que el recomendador de IAM genere una recomendación de rol para un rol, se deben cumplir los siguientes requisitos:
- El rol debe tener una estadística de políticas asociada. Esta estadística de la política sirve como base para la recomendación.
- Debe haber transcurrido más tiempo que el período mínimo de observación desde que se otorgó el rol. Esto garantiza que el El recomendador de IAM tiene suficientes datos de uso para hacer una recomendación. De predeterminado, el período mínimo de observación es de 90 días, pero puedes establecerlo de forma manual en 30 o 60 días. Para obtener más detalles, consulta Configura generación de recomendaciones de roles.
- Si el principal al que se le otorgó el rol es un agente de servicio, el rol debe ser propietario, editor o visualizador. El recomendador de IAM no genera recomendaciones de roles para los agentes de servicio con otros roles. Para para obtener más detalles, consulta Recomendaciones de roles para agentes de servicio.
Si se otorgó un rol hace muy poco o no tiene estadísticas, En la columna Permisos analizados de la consola de Google Cloud, se muestra un .
Hay algunos casos en los que el recomendador de IAM no genera recomendaciones de roles para un rol, a pesar de que pasó suficiente tiempo y el rol tiene una estadística asociada. Esto puede suceder por los siguientes motivos:
No hay funciones predefinidas de IAM que sean más apropiadas que la función actual. Si una principal ya tiene un rol predefinido que minimice sus permisos o que incluya menos permisos que otros roles predefinidos, el recomendador de IAM no puede recomendar un rol predefinido diferente.
Es posible que seas capaz de reducir los permisos de la principal si creas una función personalizada para la principal.
La principal es un agente de servicio y el rol no es un rol básico. El recomendador de IAM solo genera roles recomendaciones para los agentes de servicio que tienen un rol básico (Propietario, Editor o Visualizador). Para obtener más detalles, consulta Recomendaciones de roles para el servicio agentes.
Ningún otro miembro tiene la función básica de propietario para el proyecto. En cada proyecto debe haber al menos una principal que tenga la función de propietario (
roles/owner). Si solo una principal tiene este rol, el recomendador de IAM no te recomendamos que revoques o reemplaces el rol.
En estos casos, la columna Permisos analizados en la La consola de Google Cloud muestra el uso de permisos de la principal, pero no tiene una recomendación disponible .
.Las recomendaciones de roles existentes se actualizan a diario según el uso reciente de los permisos. Sin embargo, los datos en los que se basan las recomendaciones de roles suele tener un retraso de hasta dos días con respecto al uso real.
Prioridad y gravedad
La prioridad de las recomendaciones y la gravedad de las estadísticas te ayudan a comprender la urgencia de una recomendación o estadística, y a priorizarla según corresponda.
Prioridad de recomendación de funciones
A las recomendaciones se les asignan niveles de prioridad según la urgencia percibida.
Los niveles de prioridad varían de P1 (prioridad más alta) a P4 (prioridad más baja).
La prioridad de una recomendación de función depende de la función para la que se hace la recomendación:
| Detalles de la recomendación | Prioridad | Explicación |
|---|---|---|
| Recomendaciones para roles que otorgan acceso público a Buckets de Cloud Storage | P1 |
Cualquier persona desde Internet puede acceder a los buckets de acceso público. Si quitas el acceso público, tendrás más control sobre tus datos. |
| Recomendaciones para roles que otorgan acceso público a Conjuntos de datos de BigQuery | P1 |
Cualquier persona en Internet puede acceder a los conjuntos de datos de acceso público. Si quitas el acceso público, tendrás más control sobre tus datos. |
| Recomendaciones para los roles básicos (propietario, editor y visualizador) que se otorgan en un proyecto, una carpeta o una organización | P2 |
Los roles básicos son muy permisivos, y la aplicación de recomendaciones para estos roles puede reducir en gran medida los permisos excesivos. |
| Recomendaciones que no otorgan acceso público ni roles básicos | P4 |
Si bien estas recomendaciones te ayudan a reducir los permisos excesivos, no quitan el acceso público ni los roles básicos muy permisivos, lo que las hace tener una prioridad más baja. |
Gravedad de la estadística
A las estadísticas se les asignan niveles de gravedad según la urgencia percibida. Los niveles de gravedad pueden ser LOW, MEDIUM, HIGH o CRITICAL.
La gravedad de las estadísticas de una política depende del rol que desempeñan las siguientes estadísticas:
| Detalles de la estadística | Gravedad | Explicación |
|---|---|---|
| Estadísticas de los roles que otorgan acceso público a los buckets de Cloud Storage | CRITICAL |
Cualquier persona desde Internet puede acceder a los buckets de acceso público. Si quitas el acceso público, tendrás más control sobre tus datos. |
| Estadísticas de los roles que otorgan acceso público a los conjuntos de datos de BigQuery | CRITICAL |
Cualquier persona en Internet puede acceder a los conjuntos de datos de acceso público. Si quitas el acceso público, tendrás más control sobre tus datos. |
| Estadísticas para los roles básicos (Propietario, Editor y Visualizador) que se otorgan en un proyecto, organización o carpeta | HIGH |
Los roles básicos son muy permisivos y abordan las estadísticas para estos roles los roles pueden reducir en gran medida el exceso de permisos. |
| Estadísticas que no otorgan acceso público ni roles básicos | LOW |
Aunque estas estadísticas destacan los permisos excesivos, no implican acceso público o roles básicos muy permisivos, lo que los hace una prioridad más baja. |
Todas las estadísticas de movimiento lateral tienen una gravedad de LOW.
Cómo se aplican las recomendaciones de funciones
El recomendador de IAM no aplica recomendaciones de forma automática. En su lugar, debes revisar tus recomendaciones y decidir si las aplicas o las descartas. Para aprender a revisar, aplicar y descartar recomendaciones de roles, consulta una de las siguientes guías:
- Revisa y aplica recomendaciones de roles para proyectos, carpetas y organizaciones
- Revisa y aplica las recomendaciones de roles para Cloud Storage buckets
- Revisa y aplica las recomendaciones de roles para BigQuery conjuntos de datos
Registros de auditoría
Cuando aplicas o descartas una recomendación, el recomendador de IAM crea una entrada de registro. Puedes ver estas entradas en el historial de recomendaciones o puedes verlas en tus registros de auditoría de Google Cloud.
Subtipos de recomendación de función
Las recomendaciones de funciones se dividen en varios subtipos diferentes según la acción que recomiendan. Si usas la CLI de gcloud o la API de REST, puedes usar estos subtipos para filtrar las recomendaciones.
| Subtipo | Descripción |
|---|---|
REMOVE_ROLE |
Una recomendación para quitar el rol de la principal a nivel del proyecto, de la carpeta o de la organización. |
REMOVE_ROLE_BIGQUERY_DATASET |
Una recomendación para quitar el rol a nivel del conjunto de datos de la principal. |
REMOVE_ROLE_STORAGE_BUCKET |
Una recomendación para quitar el rol a nivel de bucket de la principal. |
REPLACE_ROLE |
Una recomendación para reemplazar las capas de proyecto, carpeta o a nivel de la organización con menos permisos. Lo recomendado el reemplazo puede ser un rol personalizado existente o uno roles de seguridad. |
REPLACE_ROLE_CUSTOMIZABLE |
Una recomendación para reemplazar el rol de la principal por un rol nuevo función personalizada que sea menos permisiva que la puesto actual. |
REPLACE_ROLE_BIGQUERY_DATASET |
Una recomendación para reemplazar el rol a nivel del conjunto de datos de la principal por una función menos permisiva. El reemplazo recomendado podría ser un modelo de o uno o más roles predefinidos. |
REPLACE_ROLE_STORAGE_BUCKET |
Una recomendación para reemplazar el rol a nivel de bucket de la principal por una menor rol permisivo. El reemplazo recomendado podría ser un modelo de o uno o más roles predefinidos. |
SERVICE_AGENT_WITH_DEFAULT_ROLE |
Una recomendación para reemplazar el propietario, editor o visualizador de un agente de servicio con el rol que se otorgó automáticamente a la cuenta de servicio cuando se creó. Para obtener más información, consulta Recomendaciones de roles para agentes de servicio. |
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE |
Una recomendación para reemplazar el propietario, editor o visualizador de un agente de servicio con un rol menos permisivo. Para obtener más información, consulta Recomendaciones de roles para agentes de servicio. |
Recomendaciones de roles para los agentes de servicio
Para los agentes de servicio, El recomendador de IAM solo brinda recomendaciones de cargas de trabajo básicas roles (Propietario, Editor o Visualizador).
Las recomendaciones para los agentes de servicio se dividen en dos subtipos de recomendación.
SERVICE_AGENT_WITH_DEFAULT_ROLE
Durante la creación, a algunos agentes de servicio se les otorga automáticamente un agente de servicio
rol para garantizar que tus servicios de Google Cloud funcionen
correctamente. Si reemplazas este rol por un rol básico (propietario, editor o visualizador), el recomendador de roles podría sugerir que restablezcas el rol de agente de servicio original para quitar el exceso de permisos, incluso si el rol de agente de servicio tiene permisos que no se encuentran en el rol básico. Estas recomendaciones tienen el subtipo SERVICE_AGENT_WITH_DEFAULT_ROLE. Ayudan a quitar de forma segura el exceso
permisos y, al mismo tiempo, garantizar que todos los servicios
de Google Cloud funcionen correctamente.
Las recomendaciones de SERVICE_AGENT_WITH_DEFAULT_ROLE son el único tipo de recomendación que podría sugerir funciones con permisos que no están en la función actual.
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE
Si a un agente de servicio no se le asigna un rol de forma automática durante la creación, las recomendaciones para el agente de servicio se basan exclusivamente en los permisos que usa el agente de servicio. Estas recomendaciones tienen el subtipo SERVICE_AGENT_WITHOUT_DEFAULT_ROLE.
Recomendaciones de roles en Security Command Center
Si tienes el nivel Premium de Security Command Center, puedes ver algunos subtipos de roles recomendaciones como hallazgos en Security Command Center. Cada subtipo se asocia con un detector:
| Subtipo de recomendación | Categoría |
|---|---|
REMOVE_ROLE |
Unused IAM role |
REPLACE_ROLE |
IAM role has excessive permissions |
SERVICE_AGENT_WITH_DEFAULT_ROLE |
Service agent role replaced with basic role |
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE |
Service agent granted basic role |
Si necesitas más información para ver las recomendaciones de roles en Security Command Center, consulta Recomendador de IAM en Security Command Center en la documentación de Google Cloud.
Precios
Las recomendaciones de roles a nivel de proyecto, carpeta y organización para roles básicos están disponibles sin cargo.
Las siguientes funciones avanzadas del recomendador de IAM requieren un Activación a nivel de organización del nivel Premium de Security Command Center:
- Recomendaciones para roles no básicos
- Recomendaciones para roles otorgados en recursos que no sean organizaciones, carpetas y proyectos, por ejemplo, recomendaciones para los roles otorgados en buckets de Cloud Storage
- Recomendaciones que sugieren roles personalizados
- Estadísticas de políticas
- Estadísticas de desplazamiento lateral
Para obtener más información, consulta Preguntas sobre la facturación.
Ejemplos de recomendaciones de funciones
En los siguientes ejemplos, se muestran los tipos de recomendaciones que puedes recibir.
Revoca una función existente
Al usuario my-user@example.com se le otorgó la función de navegador en un proyecto.
La función de navegador incluye seis permisos que le permiten al usuario ver los recursos del proyecto. Sin embargo, durante los últimos 90 días, my-user@example.com no vio ningún recurso.
Por lo tanto, el recomendador de IAM genera una recomendación de función que sugiere que revoques la función de navegador de my-user@example.com:
Console
gcloud
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/browser"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"member": "user:my-user@example.com",
"removedRole": "roles/browser",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
}
},
"description": "This role has not been used during the observation window.",
"etag": "\"9fc3241da8bfab51\"",
"lastRefreshTime": "2022-05-20T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 6
}
}
},
"priority": "P4",
"recommenderSubtype": "REMOVE_ROLE",
"stateInfo": {
"state": "ACTIVE"
}
}
REST
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
"description": "This role has not been used during the observation window.",
"lastRefreshTime": "2022-05-20T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 6
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/browser"
}
}
]
}
],
"overview": {
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"member": "user:my-user@example.com",
"removedRole": "roles/browser"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"9fc3241da8bfab51\"",
"recommenderSubtype": "REMOVE_ROLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
}
],
"priority": "P4"
}
Reemplaza una función existente
A una cuenta de servicio se le otorgó la función de editor (roles/editor) en un proyecto.
Esta función básica incluye más de 3,000 permisos y otorga amplio acceso al proyecto. Sin embargo, durante los últimos 90 días, la cuenta de servicio solo usó algunos de esos permisos.
Por lo tanto, el recomendador de IAM genera una recomendación de rol sugerirte que revoques el rol de editor y lo reemplaces por una combinación de otras dos funciones, que quitan miles de permisos no utilizados:
Console
gcloud
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/iam.serviceAccountUser"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/editor"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"addedRoles": [
"roles/iam.serviceAccountUser",
"roles/storage.objectAdmin"
],
"member": "user:my-user@example.com",
"minimumObservationPeriodInDays": "0",
"removedRole": "roles/editor",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
}
},
"description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
"etag": "\"0da9a354c2a83d96\"",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 2998
}
}
},
"priority": "P2",
"recommenderSubtype": "REPLACE_ROLE",
"stateInfo": {
"state": "ACTIVE"
}
}
REST
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
"description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 2998
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/iam.serviceAccountOwner"
}
},
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
}
},
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/editor"
}
}
]
}
],
"overview": {
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"member": "user:my-user@example.com",
"removedRole": "roles/editor",
"addedRoles": [
"roles/iam.serviceAccountUser",
"roles/storage.objectAdmin"
],
"minimumObservationPeriodInDays": "0"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"0da9a354c2a83d96\"",
"recommenderSubtype": "REPLACE_ROLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
}
],
"priority": "P2"
}
Crea un rol personalizado
Al usuario my-user@example.com se le otorgó la función de administrador de Cloud Trace (roles/cloudtrace.admin) en un proyecto. La función incluye más de 10 permisos, pero una estadística de la política indica que, durante los últimos 90 días, my-user@example.com solo utilizó 4 de esos permisos.
Por lo tanto, el recomendador de IAM genera una recomendación de rol
lo que sugiere que crees un rol personalizado que incluya solo los permisos que
my-user@example.com usó:
Console
gcloud
El subtipo REPLACE_ROLE_CUSTOMIZABLE indica que el recomendador de IAM recomienda crear un rol personalizado con los permisos usados. Para ver los permisos utilizados, obtén la estadística de la política asociada.
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
}
],
"associatedResourceNames": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"minimumObservationPeriodInDays": "0"
}
},
"description": "Replace the current role with a smaller role to cover the permissions needed.",
"etag": "\"c7f57a4725d32d66\"",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
"originalContent": {},
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {},
"revokedIamPermissionsCount": 1
}
},
"priority": "P4",
"recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
"stateInfo": {
"state": "ACTIVE"
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
REST
El subtipo REPLACE_ROLE_CUSTOMIZABLE indica que
el recomendador de IAM recomienda crear un rol personalizado con
permisos. Para ver los permisos utilizados, obtén la estadística de la política asociada.
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
"description": "Replace the current role with a smaller role to cover the permissions needed.",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 1
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
}
},
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
}
}
]
}
],
"overview": {
"minimumObservationPeriodInDays": "0"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"c7f57a4725d32d66\"",
"recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
}
],
"priority": "P4"
}
El recomendador de funciones también sugiere otra opción, que consiste en reemplazar la función existente por la función de usuario de Cloud Trace (roles/cloudtrace.user). Esta función predefinida incluye unos pocos permisos menos que la función de administrador de Cloud Trace.
Reemplazo de funciones por permisos que sugiere el aprendizaje automático
A una cuenta de servicio se le otorgó la función de editor (roles/editor) en un proyecto.
Esta función básica incluye más de 3,000 permisos y otorga amplio acceso a un proyecto. Sin embargo, una estadística de políticas indica que, durante los últimos 90 días, la cuenta de servicio usó menos de 10 permisos.
Las estadísticas de la política también destacan varios permisos que es probable que la cuenta de servicio necesite en el futuro. El recomendador de IAM identificó estos permisos mediante aprendizaje automático.
El recomendador de IAM genera una recomendación de rol que sugiere que
revocar el rol de editor y reemplazarlo por el rol de administrador de objetos de Storage
(roles/storage.objectAdmin), que otorga control total de los objetos en una
bucket de Cloud Storage. Con este cambio, se quitan miles de permisos no utilizados, mientras que
incluyendo tanto los permisos que usó la cuenta de servicio como
que es probable que la cuenta de servicio necesite en el futuro:
Console
El recomendador de IAM usa un modelo de aprendizaje automático
para identificar los permisos que se agregaron según el
según el aprendizaje automático del recomendador de IAM, en lugar del uso de permisos.
En este ejemplo, se recomendó el permiso resourcemanager.projects.get
basadas en el aprendizaje automático:
para identificar los permisos que se agregaron según el
según el aprendizaje automático del recomendador de IAM, en lugar del uso de permisos.
En este ejemplo, se recomendó el permiso 
gcloud
Permisos que se agregaron según la máquina del recomendador de IAM
aprendizaje, en lugar de su uso, no se incluyen en la recomendación
a sí mismo. sino que se incluyen en las estadísticas de políticas asociadas con la
recomendación. Todos los permisos basados en el AA se enumeran en el inferredPermissions
campo de la estadística. En este ejemplo, se recomendó el permiso resourcemanager.projects.get en función del aprendizaje automático:
associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
condition:
description: ''
expression: ''
location: ''
title: ''
currentTotalPermissionsCount: '5069'
exercisedPermissions:
- permission: storage.objects.create
- permission: storage.objects.delete
- permission: storage.objects.get
- permission: storage.objects.list
inferredPermissions:
- permission: resourcemanager.projects.get
member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
role: roles/editor
description: 4 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
stateInfo:
state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012
severity: HIGH
Para obtener información sobre cómo obtener estadísticas de las políticas, consulta una de las siguientes páginas:
REST
Los permisos que se agregaron en función del aprendizaje automático del recomendador de IAM, en lugar del uso de los permisos, no se incluyen en la recomendación. sino que se incluyen en las estadísticas de políticas asociadas con la
recomendación. Todos los permisos basados en el aprendizaje automático se enumeran en el campo inferredPermissions de la estadística. En este ejemplo, se recomendó el permiso resourcemanager.projects.get en función del aprendizaje automático:
{
"name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
"description": "4 of the permissions in this role binding were used in the past 90 days.",
"content": {
"role": "roles/editor",
"member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
"condition": {
"expression": "",
"title": "",
"description": "",
"location": ""
},
"exercisedPermissions": [
{
"permission": "storage.objects.create"
},
{
"permission": "storage.objects.delete"
},
{
"permission": "storage.objects.get"
},
{
"permission": "storage.objects.list"
}
],
"inferredPermissions": [
{
"permission": "resourcemanager.projects.get"
}
],
"currentTotalPermissionsCount": "5069"
},
"lastRefreshTime": "2020-07-12T07:00:00Z",
"observationPeriod": "7776000s",
"stateInfo": {
"state": "ACTIVE"
},
"category": "SECURITY",
"associatedRecommendations": [
{
"recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
}
],
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
],
"insightSubtype": "PERMISSIONS_USAGE",
"etag": "\"d3cdec23cc712bd0\"",
"severity": "HIGH"
}
Para obtener información sobre cómo obtener estadísticas de políticas, consulta una de las siguientes opciones:
¿Qué sigue?
- Descubre las prácticas recomendadas para usar las recomendaciones de funciones.
- Revisa y aplica recomendaciones de roles para proyectos, carpetas y organizaciones.
- Revisa y aplica tus recomendaciones de roles para los buckets de Cloud Storage
- Revisa y aplica tus recomendaciones de roles para los conjuntos de datos de BigQuery
- Obtén más información sobre el recomendador.
- Conoce las funciones predefinidas y las funciones personalizadas de IAM.