Las recomendaciones de funciones te ayudan a identificar y quitar el exceso de permisos de tus principales, lo que mejora la configuración de seguridad de tus recursos.
Descripción general de las recomendaciones de funciones
El recomendador de IAM genera las recomendaciones de roles. El El recomendador de IAM es uno de los recomendadores Recommender.
Cada recomendación de función sugiere que quites o reemplaces una función que otorgue permisos excesivos a los miembros. A gran escala, estas recomendaciones te ayudan a aplicar el principio de privilegio mínimo, ya que garantizan que las principales solo tengan los permisos que en verdad necesitan.
El recomendador de IAM identifica los permisos excesivos mediante el uso de estadísticas. Las estadísticas de políticas son resultados basados en el AA sobre el permiso de una principal de uso de la nube.
Algunas recomendaciones también se asocian con las estadísticas de movimiento lateral. Estas estadísticas identifican funciones que permiten que las cuentas de servicio de un proyecto actúen en nombre de otra en otro proyecto. Para obtener más información, consulta Cómo se generan estadísticas de movimiento lateral.
Cómo se generan las estadísticas de políticas
Las estadísticas de políticas destacan los permisos en los roles de una principal que la principal no está usando.
El recomendador de IAM genera estadísticas de políticas mediante la comparación de un Cantidad total de permisos de la principal con los permisos que la principal en los últimos 90 días. Si al rol se le otorgaron menos de hace 90 días, el recomendador de IAM analiza permiso de la principal en el tiempo desde que se le otorgó el en el área de la seguridad en la nube.
Existen varias formas en las que una principal puede usar un permiso:
De forma directa, si llama a una API que requiere el permiso
Por ejemplo, el método
roles.listen la API de REST de IAM requiere el permisoiam.roles.list. Cuando llamas al métodoroles.list, usas el permisoiam.roles.list.De manera similar, cuando llamas al método
testIamPermissionsde un recurso, usas todos los permisos que estás probando.De forma indirecta, si usas la consola de Google Cloud para trabajar con recursos de Google Cloud
Por ejemplo, en la consola de Google Cloud, puedes editar una Compute Engine de máquina virtual (VM), que requiere permisos diferentes según qué parámetros de configuración cambias. Sin embargo, la consola de Google Cloud también muestra la configuración existente, lo que requiere el elemento
compute.instances.getpermiso.Como resultado, cuando editas una instancia de VM en la consola de Google Cloud, puedes usa el permiso
compute.instances.get.
El recomendador de IAM también usa el aprendizaje automático para identificar los permisos en el rol actual de una principal que es probable que la principal necesite en el en el futuro, incluso si la principal no usó esos permisos recientemente. Para ver más consulta Aprendizaje automático para las estadísticas de políticas en esta página.
Las estadísticas de políticas no se generan para todos los roles de IAM que otorgadas a las principales. Para obtener más información sobre por qué un rol estadísticas sobre las políticas, consulta Disponibilidad en esta página.
Para saber cómo administrar las estadísticas de políticas, consulta Administra las estadísticas de políticas para proyectos, carpetas y organizaciones o administrar políticas para los buckets de Cloud Storage.
Aprendizaje automático para estadísticas de políticas
En algunos casos, es probable que una principal necesite ciertos permisos que están incluidos en sus funciones actuales, pero que no usó recientemente. Para identificar estos permisos, el recomendador de IAM usa un modelo (AA) cuando se generan estadísticas de políticas.
Este modelo de aprendizaje automático se entrena en función de varios conjuntos de indicadores:
Patrones de simultaneidad comunes en el historial observado: el hecho de que un usuario haya usado los permisos A, B y C en el pasado proporciona un indicio de que A, B y C pueden estar relacionados de alguna manera y de que se necesitan en conjunto para llevar a cabo una tarea en Google Cloud. Si el modelo de AA detecta este patrón con suficiente frecuencia, la próxima vez que un usuario diferente use los permisos A y B, el modelo sugerirá que es probable que el usuario también necesite el permiso C.
Conocimiento del dominio como se lo codificó en las definiciones de las funciones: IAM proporciona cientos de funciones predefinidas diferentes que son específicas de un servicio. Si una función predefinida contiene un conjunto de permisos, esto indica con claridad que esos permisos deban otorgarse en conjunto.
Además de estos indicadores, el modelo también usa la incorporación de palabras para calcular qué tan similares son los permisos en términos de la semántica. Los permisos similares en términos de la semántica estarán “relacionados” entre sí después de la incorporación y tendrán más probabilidades de ser otorgados en conjunto. Por ejemplo, bigquery.datasets.get y bigquery.tables.list estarán muy cerca entre sí después de la incorporación.
Todos los datos que se usaron en la canalización de aprendizaje automático del recomendador de IAM cuentan con k-anonimato, lo que significa que las personas del conjunto de datos anonimizado no se pueden volver a identificar. Para lograr este nivel de anonimato, descartamos toda la información de identificación personal (PII), como el ID del usuario relacionado con cada patrón de uso de permisos. Luego, descartamos todos los patrones de uso que no aparezcan con suficiente frecuencia en Google Cloud. El modelo global se entrena en función de estos datos anonimizados.
El modelo global se puede personalizar aún más para cada organización mediante el aprendizaje federado, un proceso de aprendizaje automático mediante el cual se entrenan modelos de aprendizaje automático sin exportar datos.
Cómo se generan las recomendaciones de funciones
Si una estadística de política indica que una principal no necesita todos los permisos en su rol, el recomendador de IAM evalúa el rol determinar si podría revocarse o si hay otro rol que sea mejor encajar. Si se puede revocar el rol, el recomendador de IAM genera un rol. o la recomendación de revocar el rol. Si hay otro rol que se ajusta mejor, el recomendador de IAM genera una recomendación de rol para reemplazarlo con un rol sugerido. Este reemplazo sugerido podría ser una función personalizada nueva o existente, o una o más funciones predefinidas. Excepto en el caso de las recomendaciones para agentes de servicio, una recomendación de rol nunca sugiere cambio que aumenta el nivel de acceso de una principal.
Las recomendaciones de funciones se generan solo en función de los controles de acceso de IAM. No tienen en cuenta otros tipos de controles de acceso, como las listas de control de acceso (LCA) y el control de acceso según la función (RBAC) de Kubernetes. Si usas otros tipos de controles de acceso, debes tener especial cuidado a la hora de revisar las recomendaciones y debes considerar cómo se relacionan esos controles de acceso con tus políticas de permisos.
Además, las recomendaciones de roles no se generan roles que se otorgan a las principales. Para obtener más información sobre por qué un puesto Es posible que no tenga una recomendación de rol. Consulta la Disponibilidad de esta .
Período de observación
El período de observación de una recomendación de rol es la cantidad de días de los datos de uso de permisos en los que se basa la recomendación.
El período máximo de observación de las recomendaciones de roles es 90 días. Esto significa que el recomendador de IAM usa, como máximo, los datos de uso de permisos de los últimos 90 días para generar recomendaciones de roles.
El recomendador de IAM tampoco comienza a generar recomendaciones de roles hasta que tenga una cierta cantidad de días de datos de uso de permisos. Esta duración se llama período mínimo de observación. De forma predeterminada, la parte mínima el período de observación es de 90 días, pero, para los roles a nivel de proyecto, recomendaciones, puedes configurarlo de forma manual en 30 o 60 días. Para obtener más información, consulta Configura la generación de recomendaciones de roles. Si estableces período mínimo de observación de menos de 90 días, recibirás recomendaciones antes, pero la exactitud de las recomendaciones podría no ser afectado.
Si pasó más tiempo que el período mínimo de observación, pero menos de 90 días después de que se otorgó el rol, el período de observación es el tiempo transcurrido desde que se otorgó el rol.
Nuevas funciones personalizadas en las recomendaciones de funciones
Cuando el recomendador de IAM sugiere reemplazos de un rol siempre sugiere un rol personalizado existente que parecen ser más adecuadas para las necesidades del director.
Si el recomendador de IAM identifica un patrón de uso de permisos común en tu organización que no correspondan a un rol existente predefinido o personalizado es posible que también te recomiende crear una nueva campaña función personalizada. Esta función personalizada incluye solo los permisos recomendados. Para modificar la recomendación de la función personalizada, puedes agregar o quitar permisos.
Si quieres aplicar el principio de privilegio mínimo de la manera más estricta posible, elige la nueva función personalizada. El recomendador de IAM crea la función personalizada a nivel de proyecto. Eres responsable de mantener y actualizar las funciones personalizadas de tus proyectos.
Si prefieres usar un rol que se mantiene para ti, elige el rol predefinido en el área de la seguridad en la nube. Google Cloud agrega o quita permisos para actualizar estas funciones con regularidad. Para recibir notificaciones sobre estas actualizaciones, suscríbete al feed de noticias del registro de cambios de los permisos. Cuando eliges rol predefinido, la principal sigue teniendo al menos algunos permisos, y posiblemente una gran cantidad de permisos, que no hayan utilizado.
El recomendador de IAM no recomienda funciones personalizadas nuevas en los siguientes casos:
- La recomendación es para una función a nivel de carpeta u organización.
- Tu organización ya tiene 100 funciones personalizadas o más.
- Tu proyecto ya tiene 25 funciones personalizadas o más.
Además, el recomendador de IAM no recomienda más de 5 funciones personalizadas por día en cada proyecto ni más de 15 funciones personalizadas nuevas en toda la organización.
Cómo se generan las estadísticas de movimiento lateral
El movimiento posterior es cuando una cuenta de servicio en un proyecto tiene permiso para actuar en nombre de una cuenta de servicio en otro proyecto. Por ejemplo, es posible que se haya creado una cuenta de servicio en el proyecto A, pero que tenga permisos para actuar en nombre de una cuenta de servicio en el proyecto B.
Estos permisos pueden generar una cadena de robo de identidad en todos los proyectos que les otorga a las principales acceso no deseado a los recursos. Por ejemplo, si un principal actúa en nombre de la cuenta de servicio del proyecto A, puede usarla para actuar en nombre de la cuenta de servicio del proyecto B. Si la cuenta de servicio en el proyecto B tiene permiso para actuar en nombre de otras cuentas en otros proyectos de tu organización, la principal podría seguir usando el robo de identidad de la cuenta de servicio para moverse de un proyecto a otro, lo que le permite obtener permisos a medida que avanzan.
El recomendador de IAM genera información de desplazamiento lateral identificando roles que cumplan los siguientes criterios:
- La principal a la que se le otorgó el rol es una cuenta de servicio a la que no se le otorgó crear en el proyecto.
La función incluye uno de los siguientes permisos, que permiten que una principal actúe en nombre de una cuenta de servicio:
iam.serviceAccounts.actAsiam.serviceAccounts.getAccessTokeniam.serviceAccounts.getOpenIdTokeniam.serviceAccounts.implicitDelegationiam.serviceAccounts.signBlobiam.serviceAccounts.signJwt
Si un rol se ajusta a estos criterios, el recomendador de IAM genera un información sobre el movimiento para el puesto. Esta estadística contiene información sobre el de identidad de tu cuenta de servicio, incluidas las cuentas de servicio puede suplantar la identidad y si usó algún permiso de suplantación en los últimos 90 días.
El recomendador de IAM no utiliza información de movimiento lateral por su cuenta para generar nuevas recomendaciones de roles. Esto se debe a que, si una cuenta de servicio con sus permisos de suplantación, el recomendador de IAM no puede te sugerirá quitarlos. Sin embargo, si una recomendación de rol sugiere permisos porque no se usan, el recomendador de IAM vinculará la información del desplazamiento lateral con esa recomendación. Esta vinculación te ayuda a priorizar las recomendaciones de funciones para las cuentas de servicio que tienen permisos de uso de identidad potentes y sin usar en todos los proyectos.
Para obtener información sobre cómo administrar las estadísticas de movimiento lateral, consulta Administra las estadísticas de movimiento lateral.
Disponibilidad
La información sobre políticas, la información sobre el desplazamiento lateral y las recomendaciones de roles no son generados para todos los roles que se otorgan a las principales. Lee lo siguiente para comprender los roles que desempeñan los conocimientos de políticas, el desplazamiento lateral estadísticas y recomendaciones.
Disponibilidad de estadísticas de la política
Para que el recomendador de IAM genere estadísticas de políticas para un rol, lo siguiente deben ser verdaderos:
La política de permisos de IAM que otorga el rol conectado a uno de los siguientes recursos:
- Bucket de Cloud Storage
- Conjunto de datos de BigQuery
- Proyecto
- Carpeta
- Organización
El recomendador de IAM solo genera estadísticas de políticas para los roles que se otorgan en estos recursos.
La vinculación de función que otorga el rol no debe tener una condición. El El recomendador de IAM no genera estadísticas de políticas para vinculaciones de roles condicionales.
La principal a la que se le otorga el rol debe ser una de las siguientes opciones: tipos principales:
- Usuario
- Cuenta de servicio
- Grupo
- Principal única en un grupo de Workload Identity
allUsersallAuthenticatedUsers- Valores de conveniencia de Cloud Storage
- Membresía de grupo especial de BigQuery
Para obtener más información sobre los tipos de principales, consulta Principales identificadores.
El recomendador de IAM puede tardar hasta 10 días. para generar estadísticas de políticas para un rol recién otorgado.
Las estadísticas de las políticas existentes se actualizan a diario en función de tu permiso reciente de uso de la nube. Sin embargo, los datos en los que se basan las estadísticas de políticas suelen tener retrasos. hasta dos días de retraso con tu uso real.
Disponibilidad de estadísticas de movimiento lateral
La información de desplazamiento lateral se genera para roles que se otorgan en la los siguientes recursos:
- Organizaciones
- Carpetas
- Proyectos
- Cuentas de servicio
Disponibilidad de la recomendación de función
Para que el recomendador de IAM genere una recomendación de rol para un rol, se deben cumplir los siguientes requisitos:
- El rol debe tener una estadística de política asociada. Esta estadística de la política sirve como base para la recomendación.
- Debe haber pasado más que la observación mínima período desde que se otorgó el rol. Esto garantiza que el El recomendador de IAM tiene suficientes datos de uso para hacer una recomendación. De predeterminado, el período mínimo de observación es de 90 días, pero puedes establecerlo de forma manual en 30 o 60 días. Para obtener más detalles, consulta Configura generación de recomendaciones de roles.
- Si la principal a la que se le otorgó el rol es un agente de servicio, el rol debe ser Propietario, Editor o Visualizador. El recomendador de IAM no genera recomendaciones de roles para los agentes de servicio con otros roles. Para para obtener más información, consulta Recomendaciones de roles para agentes de servicio.
Si se otorgó un rol hace muy poco o no tiene estadísticas, En la columna Permisos analizados de la consola de Google Cloud, se muestra un .
Hay algunos casos en los que el recomendador de IAM no genera un rol recomendaciones para un rol, aunque haya pasado suficiente tiempo y el rol una estadística asociada a ella. Esto puede suceder por los siguientes motivos:
No hay funciones predefinidas de IAM que sean más apropiadas que la función actual. Si una principal ya tiene un rol predefinido que minimice sus permisos o que incluya menos permisos que otros roles predefinidos, el recomendador de IAM no puede recomendar un rol predefinido diferente.
Es posible que seas capaz de reducir los permisos de la principal si creas una función personalizada para la principal.
La principal es un agente de servicio y el rol no es un rol básico. El recomendador de IAM solo genera roles recomendaciones para los agentes de servicio que tienen un rol básico (Propietario, Editor o Visualizador). Para obtener más detalles, consulta Recomendaciones de roles para el servicio agentes.
Ningún otro miembro tiene la función básica de propietario para el proyecto. En cada proyecto debe haber al menos una principal que tenga la función de propietario (
roles/owner). Si solo una principal tiene este rol, el recomendador de IAM no te recomendamos que revoques o reemplaces el rol.
En estos casos, la columna Permisos analizados en la La consola de Google Cloud muestra el uso de permisos de la principal, pero no tiene una recomendación disponible ícono.
ícono.Las recomendaciones de roles existentes se actualizan diariamente en función de el uso de permisos. Sin embargo, los datos en los que se basan las recomendaciones de roles suele tener un retraso de hasta dos días con respecto al uso real.
Prioridad y gravedad
La prioridad de las recomendaciones y la gravedad de las estadísticas te ayudan a comprender la urgencia de una recomendación o estadística, y a priorizarla según corresponda.
Prioridad de recomendación de funciones
A las recomendaciones se les asignan niveles de prioridad según la urgencia percibida.
Los niveles de prioridad varían de P0 (prioridad más alta) a P4 (prioridad más baja).
La prioridad de una recomendación de rol depende del rol que se le asigna para:
| Detalles de la recomendación | Prioridad | Explicación |
|---|---|---|
| Recomendaciones para roles que otorgan acceso público a Buckets de Cloud Storage | P1 |
Cualquier persona desde Internet puede acceder a los buckets de acceso público. Quitar el acceso público te da más control sobre tus datos. |
| Recomendaciones para roles que otorgan acceso público a Conjuntos de datos de BigQuery | P1 |
Cualquier persona en Internet puede acceder a los conjuntos de datos de acceso público. Quitar el acceso público te da más control sobre tus datos. |
| Recomendaciones para los roles básicos (Propietario, Editor y Visualizador) que tienen las siguientes características: otorgadas en un proyecto, organización o carpeta | P2 |
Los roles básicos son muy permisivos y aplicar recomendaciones para estos roles pueden reducir en gran medida el exceso de permisos. |
| Recomendaciones que no otorgan acceso público o roles básicos | P4 |
Aunque estas recomendaciones te ayudan a reducir el exceso de permisos, no quitan el acceso público ni los roles básicos muy permisivos, lo que los convierte en una prioridad menor. |
Gravedad de la estadística
A las estadísticas se les asignan niveles de gravedad según la urgencia percibida. Los niveles de gravedad pueden ser LOW, MEDIUM, HIGH o CRITICAL.
La gravedad de las estadísticas de una política depende del rol que desempeñan las siguientes estadísticas:
| Detalles de la estadística | Gravedad | Explicación |
|---|---|---|
| Estadísticas para roles que otorgan acceso público a Cloud Storage buckets | CRITICAL |
Cualquier persona desde Internet puede acceder a los buckets de acceso público. Quitar el acceso público te da más control sobre tus datos. |
| Estadísticas para roles que otorgan acceso público a Conjuntos de datos de BigQuery | CRITICAL |
Cualquier persona en Internet puede acceder a los conjuntos de datos de acceso público. Quitar el acceso público te da más control sobre tus datos. |
| Estadísticas para los roles básicos (Propietario, Editor y Visualizador) que se otorgan en un proyecto, organización o carpeta | HIGH |
Los roles básicos son muy permisivos y abordan las estadísticas para estos roles los roles pueden reducir en gran medida el exceso de permisos. |
| Estadísticas que no otorgan acceso público ni roles básicos | LOW |
Aunque estas estadísticas destacan los permisos excesivos, no implican acceso público o roles básicos muy permisivos, lo que los hace una prioridad más baja. |
Todas las estadísticas de movimiento lateral tienen una gravedad de LOW.
Cómo se aplican las recomendaciones de funciones
El recomendador de IAM no aplica recomendaciones de forma automática. En su lugar, debes revisar tus recomendaciones y decidir si las aplicas o las descartas. Para aprender a revisar, aplicar y descartar recomendaciones de roles, consulta una de las siguientes guías:
- Revisa y aplica recomendaciones de roles para proyectos, carpetas y organizaciones
- Revisa y aplica las recomendaciones de roles para Cloud Storage buckets
- Revisa y aplica las recomendaciones de roles para BigQuery conjuntos de datos
Registros de auditoría
Cuando aplicas o descartas una recomendación, el recomendador de IAM crea una entrada de registro. Puedes ver estas entradas en el historial de recomendaciones o puedes verlas en tus registros de auditoría de Google Cloud.
Subtipos de recomendación de función
Las recomendaciones de funciones se dividen en varios subtipos diferentes según la acción que recomiendan. Si usas la CLI de gcloud o la API de REST, puedes usar estos subtipos para filtrar las recomendaciones.
| Subtipo | Descripción |
|---|---|
REMOVE_ROLE |
Una recomendación para quitar las capas de proyecto, carpeta o a nivel de la organización. |
REMOVE_ROLE_BIGQUERY_DATASET |
Una recomendación para quitar el rol a nivel de conjunto de datos de la principal. |
REMOVE_ROLE_STORAGE_BUCKET |
Una recomendación para quitar el rol a nivel de bucket de la principal. |
REPLACE_ROLE |
Una recomendación para reemplazar las capas de proyecto, carpeta o a nivel de la organización con menos permisos. Lo recomendado el reemplazo puede ser un rol personalizado existente o uno roles de seguridad. |
REPLACE_ROLE_CUSTOMIZABLE |
Una recomendación para reemplazar el rol de la principal por un rol nuevo función personalizada que sea menos permisiva que la puesto actual. |
REPLACE_ROLE_BIGQUERY_DATASET |
Recomendación para reemplazar el rol a nivel del conjunto de datos de la principal por uno menor rol permisivo. El reemplazo recomendado podría ser un modelo de o uno o más roles predefinidos. |
REPLACE_ROLE_STORAGE_BUCKET |
Una recomendación para reemplazar el rol a nivel de bucket de la principal por una menor rol permisivo. El reemplazo recomendado podría ser un modelo de o uno o más roles predefinidos. |
SERVICE_AGENT_WITH_DEFAULT_ROLE |
Una recomendación para reemplazar el propietario, editor o visualizador de un agente de servicio con el rol que se otorgó automáticamente a la cuenta de servicio cuando se creó. Para obtener más información, consulta Recomendaciones de roles para agentes de servicio. |
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE |
Una recomendación para reemplazar el propietario, editor o visualizador de un agente de servicio con un rol menos permisivo. Para obtener más información, consulta Recomendaciones de roles para agentes de servicio. |
Recomendaciones de roles para los agentes de servicio
Para los agentes de servicio, El recomendador de IAM solo brinda recomendaciones de cargas de trabajo básicas roles (Propietario, Editor o Visualizador).
Las recomendaciones para los agentes de servicio se dividen en dos subtipos de recomendación.
SERVICE_AGENT_WITH_DEFAULT_ROLE
Durante la creación, a algunos agentes de servicio se les otorga automáticamente un agente de servicio
rol para garantizar que tus servicios de Google Cloud funcionen
correctamente. Si reemplazas este rol por uno rol básico (Propietario, Editor o Visualizador):
una recomendación de rol podría sugerirte restablecer el agente de servicio original
para quitar permisos no utilizados, incluso si el rol de agente de servicio
los permisos que no están en el rol básico. Estas recomendaciones tienen la
subtipo SERVICE_AGENT_WITH_DEFAULT_ROLE. Ayudan a quitar de forma segura el exceso
permisos y, al mismo tiempo, garantizar que todos los servicios de Google Cloud funcionen correctamente.
Las recomendaciones de SERVICE_AGENT_WITH_DEFAULT_ROLE son el único tipo de recomendación que podría sugerir funciones con permisos que no están en la función actual.
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE
Si a un agente de servicio no se le otorga
automáticamente un rol en el momento
para el agente de servicio se basan exclusivamente en los permisos
que usa el agente de servicio. Estas recomendaciones tienen el subtipo
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE.
Recomendaciones de roles en Security Command Center
Si tienes el nivel Premium de Security Command Center, puedes ver algunos subtipos de roles recomendaciones como hallazgos en Security Command Center. Cada subtipo se asocia con un detector:
| Subtipo de recomendación | Categoría |
|---|---|
REMOVE_ROLE |
Unused IAM role |
REPLACE_ROLE |
IAM role has excessive permissions |
SERVICE_AGENT_WITH_DEFAULT_ROLE |
Service agent role replaced with basic role |
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE |
Service agent granted basic role |
Si necesitas más información para ver las recomendaciones de roles en Security Command Center, consulta Recomendador de IAM en Security Command Center en la documentación de Google Cloud.
Precios
Recomendaciones de roles a nivel de proyecto, de carpeta y de organización para los roles básicos están disponibles sin cargo.
Las siguientes funciones avanzadas del recomendador de IAM requieren un Activación a nivel de organización del nivel Premium de Security Command Center:
- Recomendaciones para roles no básicos
- Las recomendaciones para roles otorgados en recursos que no sean organizaciones, carpetas y proyectos, por ejemplo, recomendaciones para los roles otorgados en buckets de Cloud Storage
- Recomendaciones que sugieren roles personalizados
- Estadísticas de políticas
- Estadísticas de desplazamiento lateral
Para obtener más información, consulta Preguntas sobre la facturación.
Ejemplos de recomendaciones de funciones
En los siguientes ejemplos, se muestran los tipos de recomendaciones que puedes recibir.
Revoca una función existente
Al usuario my-user@example.com se le otorgó la función de navegador en un proyecto.
La función de navegador incluye seis permisos que le permiten al usuario ver los recursos del proyecto. Sin embargo, durante los últimos 90 días, my-user@example.com no vio ningún recurso.
Por lo tanto, el recomendador de IAM genera una recomendación de rol
Se sugiere revocar el rol del navegador de my-user@example.com:
Console
gcloud
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/browser"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"member": "user:my-user@example.com",
"removedRole": "roles/browser",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
}
},
"description": "This role has not been used during the observation window.",
"etag": "\"9fc3241da8bfab51\"",
"lastRefreshTime": "2022-05-20T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 6
}
}
},
"priority": "P4",
"recommenderSubtype": "REMOVE_ROLE",
"stateInfo": {
"state": "ACTIVE"
}
}
REST
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
"description": "This role has not been used during the observation window.",
"lastRefreshTime": "2022-05-20T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 6
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/browser"
}
}
]
}
],
"overview": {
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"member": "user:my-user@example.com",
"removedRole": "roles/browser"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"9fc3241da8bfab51\"",
"recommenderSubtype": "REMOVE_ROLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
}
],
"priority": "P4"
}
Reemplaza una función existente
A una cuenta de servicio se le otorgó la función de editor (roles/editor) en un proyecto.
Esta función básica incluye más de 3,000 permisos y otorga amplio acceso al proyecto. Sin embargo, durante los últimos 90 días, la cuenta de servicio solo usó algunos de esos permisos.
Por lo tanto, el recomendador de IAM genera una recomendación de rol sugerirte que revoques el rol de editor y lo reemplaces por una combinación de otras dos funciones, que quitan miles de permisos no utilizados:
Console
gcloud
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/iam.serviceAccountUser"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/editor"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"addedRoles": [
"roles/iam.serviceAccountUser",
"roles/storage.objectAdmin"
],
"member": "user:my-user@example.com",
"minimumObservationPeriodInDays": "0",
"removedRole": "roles/editor",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
}
},
"description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
"etag": "\"0da9a354c2a83d96\"",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 2998
}
}
},
"priority": "P2",
"recommenderSubtype": "REPLACE_ROLE",
"stateInfo": {
"state": "ACTIVE"
}
}
REST
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
"description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 2998
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/iam.serviceAccountOwner"
}
},
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
}
},
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/editor"
}
}
]
}
],
"overview": {
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"member": "user:my-user@example.com",
"removedRole": "roles/editor",
"addedRoles": [
"roles/iam.serviceAccountUser",
"roles/storage.objectAdmin"
],
"minimumObservationPeriodInDays": "0"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"0da9a354c2a83d96\"",
"recommenderSubtype": "REPLACE_ROLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
}
],
"priority": "P2"
}
Crea un rol personalizado
Al usuario my-user@example.com se le otorgó la función de administrador de Cloud Trace (roles/cloudtrace.admin) en un proyecto. La función incluye más de 10 permisos, pero una estadística de la política indica que, durante los últimos 90 días, my-user@example.com solo utilizó 4 de esos permisos.
Por lo tanto, el recomendador de IAM genera una recomendación de rol
lo que sugiere que crees un rol personalizado que incluya solo los permisos que
my-user@example.com usó:
Console
gcloud
El subtipo REPLACE_ROLE_CUSTOMIZABLE indica que el
El recomendador de IAM recomienda crear un rol personalizado con
permisos. Para ver los permisos utilizados, [obtén la política asociada
estadísticas][get-policy-insight].
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
}
],
"associatedResourceNames": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"minimumObservationPeriodInDays": "0"
}
},
"description": "Replace the current role with a smaller role to cover the permissions needed.",
"etag": "\"c7f57a4725d32d66\"",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
"originalContent": {},
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {},
"revokedIamPermissionsCount": 1
}
},
"priority": "P4",
"recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
"stateInfo": {
"state": "ACTIVE"
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
REST
El subtipo REPLACE_ROLE_CUSTOMIZABLE indica que
el recomendador de IAM recomienda crear un rol personalizado con
permisos. Para ver los permisos utilizados, [obtén la política asociada
estadísticas][get-policy-insight].
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
"description": "Replace the current role with a smaller role to cover the permissions needed.",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 1
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
}
},
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
}
}
]
}
],
"overview": {
"minimumObservationPeriodInDays": "0"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"c7f57a4725d32d66\"",
"recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
}
],
"priority": "P4"
}
El recomendador de funciones también sugiere otra opción, que consiste en reemplazar la función existente por la función de usuario de Cloud Trace (roles/cloudtrace.user). Esta función predefinida incluye unos pocos permisos menos que la función de administrador de Cloud Trace.
Reemplazo de funciones por permisos que sugiere el aprendizaje automático
A una cuenta de servicio se le otorgó la función de editor (roles/editor) en un proyecto.
Esta función básica incluye más de 3,000 permisos y otorga amplio acceso a un proyecto. Sin embargo, una estadística de políticas indica que, durante los últimos 90 días, la cuenta de servicio usó menos de 10 permisos.
Las estadísticas de la política también destacan varios permisos que es probable que la cuenta de servicio necesite en el futuro. El recomendador de IAM identificó estos permisos con el aprendizaje automático.
El recomendador de IAM genera una recomendación de rol que sugiere que
revocar el rol de editor y reemplazarlo por el rol de administrador de objetos de Storage
(roles/storage.objectAdmin), que otorga control total de los objetos en un
bucket de Cloud Storage. Con este cambio, se quitan miles de permisos no utilizados, mientras que
incluyendo tanto los permisos que usó la cuenta de servicio como
que es probable que la cuenta de servicio necesite en el futuro:
Console
El recomendador de IAM usa un modelo de aprendizaje automático
para identificar los permisos que se agregaron según el
según el aprendizaje automático del recomendador de IAM, en lugar del uso de permisos.
En este ejemplo, se recomendó el permiso resourcemanager.projects.get
basadas en el aprendizaje automático:
para identificar los permisos que se agregaron según el
según el aprendizaje automático del recomendador de IAM, en lugar del uso de permisos.
En este ejemplo, se recomendó el permiso 
gcloud
Permisos que se agregaron según la máquina del recomendador de IAM
aprendizaje, en lugar de su uso, no se incluyen en la recomendación
a sí mismo. sino que se incluyen en las estadísticas de políticas asociadas con la
recomendación. Todos los permisos basados en el AA se enumeran en el inferredPermissions
campo de la estadística. En este ejemplo, resourcemanager.projects.get
se recomendó el permiso en función del aprendizaje automático:
associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
condition:
description: ''
expression: ''
location: ''
title: ''
currentTotalPermissionsCount: '5069'
exercisedPermissions:
- permission: storage.objects.create
- permission: storage.objects.delete
- permission: storage.objects.get
- permission: storage.objects.list
inferredPermissions:
- permission: resourcemanager.projects.get
member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
role: roles/editor
description: 4 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
stateInfo:
state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012
severity: HIGH
Para obtener información sobre las políticas, consulta [Revisa las estadísticas de las políticas][get-policy-insight].
REST
Permisos que se agregaron según la máquina del recomendador de IAM
aprendizaje, en lugar de su uso, no se incluyen en la recomendación
a sí mismo. sino que se incluyen en las estadísticas de políticas asociadas con la
recomendación. Todos los permisos basados en el AA se enumeran en el inferredPermissions
campo de la estadística. En este ejemplo, resourcemanager.projects.get
se recomendó el permiso en función del aprendizaje automático:
{
"name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
"description": "4 of the permissions in this role binding were used in the past 90 days.",
"content": {
"role": "roles/editor",
"member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
"condition": {
"expression": "",
"title": "",
"description": "",
"location": ""
},
"exercisedPermissions": [
{
"permission": "storage.objects.create"
},
{
"permission": "storage.objects.delete"
},
{
"permission": "storage.objects.get"
},
{
"permission": "storage.objects.list"
}
],
"inferredPermissions": [
{
"permission": "resourcemanager.projects.get"
}
],
"currentTotalPermissionsCount": "5069"
},
"lastRefreshTime": "2020-07-12T07:00:00Z",
"observationPeriod": "7776000s",
"stateInfo": {
"state": "ACTIVE"
},
"category": "SECURITY",
"associatedRecommendations": [
{
"recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
}
],
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
],
"insightSubtype": "PERMISSIONS_USAGE",
"etag": "\"d3cdec23cc712bd0\"",
"severity": "HIGH"
}
Para obtener información sobre las políticas, consulta [Revisa las estadísticas de las políticas][get-policy-insight].
¿Qué sigue?
- Descubre las prácticas recomendadas para usar las recomendaciones de funciones.
- Revisa y aplica recomendaciones de roles para proyectos, carpetas y organizaciones.
- Revisa y aplica tus recomendaciones de roles para Cloud Storage buckets
- Revisa y aplica tus recomendaciones de roles para BigQuery conjuntos de datos
- Obtén más información sobre el recomendador.
- Conoce las funciones predefinidas y las funciones personalizadas de IAM.