Dienstkonten mit Berechtigungen für das seitliche Verschieben suchen

Auf dieser Seite wird beschrieben, wie Sie Statistiken zur seitlichen Bewegung verwalten, in denen Rollen identifiziert werden, mit denen ein Dienstkonto in einem Projekt die Identität eines Dienstkontos in einem anderen Projekt übernehmen kann. Weitere Informationen zu den Daten zu seitlichen Bewegungen finden Sie unter So werden Erkenntnisse zu seitlichen Bewegungen generiert.

Erkenntnisse zu seitlichen Bewegungen sind manchmal mit Rollenempfehlungen verknüpft. Rollenempfehlungen schlagen Maßnahmen vor, mit denen Sie die durch die Erkenntnisse zur seitlichen Bewegung erkannten Probleme beheben können.

Hinweise

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt, den Ordner oder die Organisation zu gewähren, für die Sie Statistiken verwalten möchten, um die erforderlichen Berechtigungen zu erhalten:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwalten von Statistiken zum „Lateral Movement” erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Statistiken zur seitlichen Bewegung zu verwalten:

  • So rufen Sie Statistiken zum „Lateral Movement” auf:
    • recommender.iamPolicyLateralMovementInsights.get
    • recommender.iamPolicyLateralMovementInsights.list
  • So ändern Sie Statistiken zum „Lateral Movement”: recommender.iamPolicyLateralMovementInsights.update

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Statistiken zum "Lateral Movement" auflisten

Verwenden Sie eine der folgenden Methoden, um alle Statistiken zu seitlichen Bewegungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.

In der Spalte Sicherheitsstatistiken werden alle sicherheitsrelevanten Informationen für Ihr Projekt angezeigt, einschließlich Statistiken zum "Lateral Movement". Statistiken zum "Lateral Movement" haben das Format N service account impersonations, wobei N die Anzahl der Dienstkonten ist, die das Dienstkonto in der Rollenbindung übernehmen kann.

gcloud

Verwenden Sie den Befehl gcloud recommender insights list, um alle Statistiken zu seitlichen Bewegungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation anzusehen.

Ersetzen Sie vor dem Ausführen des Befehls die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Informationen auflisten möchten. Verwenden Sie den Wert project, folder, oder organization.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten. 
gcloud recommender insights list --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

Die Ausgabe listet alle Statistiken zu seitlichen Bewegungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf. Beispiel: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE              DESCRIPTION
046f8b89-bcee-46cd-9ac4-06818ed5273a  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
1328df82-5af2-4493-9850-d8ede4e72b27  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-2@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.
17f50957-333c-4f21-86c1-6a62216b309e  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-3@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.
187200d2-b42c-48fb-86d7-c2746a87fed2  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-4@another-project.iam.gserviceaccount.com from another project can impersonate 32 service account(s) under this project.
1f1740a4-ff98-4f64-99a4-5ef5df5a2097  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-5@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.

REST

Mit der Methode insights.list der Recommender API können Sie alle Statistiken zur seitlichen Bewegung für Ihr Projekt, Ihren Ordner oder Ihre Organisation auflisten.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken auflisten möchten. Verwenden Sie den Wert projects, folders, oder organizations.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort listet alle Statistiken zu seitlichen Bewegungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf. Beispiel: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
      "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
      "content": {
        "impersonator": {
          "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
          "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
          "isGoogleManaged": false
        },
        "targetServiceAccounts": [
          "target-service-account-1@this-project.iam.gserviceaccount.com",
          "target-service-account-2@this-project.iam.gserviceaccount.com"
        ],
        "impersonationPolicy": {
          "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
          "role": "roles/editor",
          "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
          "condition": {
            "expression": "",
            "title": "",
            "description": "",
            "location": ""
          }
        },
        "impersonationPermissionUsage": [
          {
            "permission": "iam.serviceAccounts.actAs"
            "used": false
          }
        ],
        "hasPermissionUsageData": true
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
      "etag": "\"f48fa6a1b15c7741\"",
      "severity": "LOW"
    }
  ]
}

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

Einzelne Statistik zum "Lateral Movement" abrufen

Wenn Sie weitere Informationen zu einer einzelnen Statistik abrufen möchten, einschließlich der Beschreibung, des Status und aller mit ihr verknüpften Empfehlungen, verwenden Sie eine der folgenden Methoden:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.

  3. Klicken Sie in der Spalte Sicherheitsstatistiken auf eine Statistik zum "Lateral Movement". Statistiken zum "Lateral Movement" haben das Format N service account impersonations, wobei N die Anzahl der Dienstkonten ist, die das Dienstkonto in der Rollenbindung übernehmen kann.

In der Google Cloud Console wird ein Bereich mit den Details der Statistik geöffnet.

gcloud

Verwenden Sie den Befehl gcloud recommender insights describe mit Ihrer Statistik-ID, um Informationen zu einer einzelnen Statistik aufzurufen.

  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.
  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert project, folder, oder organization.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

In der Ausgabe sehen Sie die Statistik im Detail. Die folgende Statistik zeigt beispielsweise, dass die IAM-Richtlinie für das Projekt 123456789012 es sa-1@another-project.iam.gserviceaccount.com ermöglicht, die Identität von target-service-account-1@this-project.iam.gserviceaccount.com und target-service-account-2@this-project.iam.gserviceaccount.com anzunehmen. 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f
category: SECURITY
content:
  hasPermissionUsageData: true
  impersonationPermissionUsage:
  - permission: iam.serviceAccounts.actAs
    used: false
  impersonationPolicy:
    condition:
      description: ''
      expression: ''
      location: ''
      title: ''
    member: serviceAccount:sa-1@another-project.iam.gserviceaccount.com
    resource: //cloudresourcemanager.googleapis.com/projects/123456789012
    role: roles/editor
  impersonator:
    isGoogleManaged: false
    serviceAccount: sa-1@another-project.iam.gserviceaccount.com
    serviceAccountOwner: //cloudresourcemanager.googleapis.com/projects/987654321098
  targetServiceAccounts:
  - target-service-account-1@this-project.iam.gserviceaccount.com
  - target-service-account-2@this-project.iam.gserviceaccount.com
description: Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
etag: '"f48fa6a1b15c7741"'
insightSubtype: CROSS_PROJECT_IMPERSONATION
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
observationPeriod: 7776000s
severity: LOW
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

REST

Die Methode insights.get der Recommender API ruft eine einzelne Statistik ab.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert projects, folders, oder organizations.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.
  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID der Statistik nicht kennen, können Sie sie durch Auflisten der Statistik in Ihrem Projekt, Ordner oder Ihrer Organisation finden. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL: 

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Statistik. Die folgende Statistik zeigt beispielsweise, dass die IAM-Richtlinie für das Projekt 123456789012 es sa-1@another-project.iam.gserviceaccount.com ermöglicht, die Identität von target-service-account-1@this-project.iam.gserviceaccount.com und target-service-account-2@this-project.iam.gserviceaccount.com anzunehmen. 

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
  "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
  "content": {
    "impersonator": {
      "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
      "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
      "isGoogleManaged": false
    },
    "targetServiceAccounts": [
      "target-service-account-1@this-project.iam.gserviceaccount.com",
      "target-service-account-2@this-project.iam.gserviceaccount.com"
    ],
    "impersonationPolicy": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "role": "roles/editor",
      "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
      "condition": {
        "expression": "",
        "title": "",
        "description": "",
        "location": ""
      }
    },
    "impersonationPermissionUsage": [
      {
        "permission": "iam.serviceAccounts.actAs"
        "used": false
      }
    ],
    "hasPermissionUsageData": true
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
  "etag": "\"f48fa6a1b15c7741\"",
  "severity": "LOW"
}

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

Statistiken zum "Lateral Movement" prüfen

Nachdem Sie eine einzelne Statistik erhalten haben, können Sie deren Inhalt prüfen, um das durch sie hervorgehobene Muster der Ressourcennutzung zu verstehen.

Console

Wenn Sie in der Google Cloud Console auf eine Statistik zu seitlichen Bewegungen klicken, wird in der Google Cloud Console ein Bereich mit den Details der Statistik geöffnet. Die Darstellung dieser Details hängt davon ab, ob die Statistik mit einer Empfehlung verknüpft ist.

Wenn die Statistik mit einer Empfehlung verknüpft ist, werden in dem Bereich die Details der Empfehlung angezeigt.

Wenn die Statistik nicht mit einer Empfehlung verknüpft ist, wird dem Bereich Folgendes angezeigt:

  • Das Ursprungsprojekt des Dienstkontos: Das Projekt, in dem das Dienstkonto mit Berechtigungen zur Identitätsübertragung erstellt wurde.

  • Dienstkonten, die in diesem Projekt imitiert werden können. Eine Liste aller Dienstkonten im aktuellen Projekt, für die das Dienstkonto mit Berechtigungen zur Identitätsübertragung die Identität übernehmen kann.

  • Berechtigungen, die die Identitätsübertragung im Projekt zulassen: Eine Liste der Berechtigungen zum Identitätswechsel für das Dienstkonto.

  • Aktuelle Berechtigungen: Eine Liste aller Berechtigungen des Dienstkontos.

gcloud

Der Inhalt einer Statistik wird durch die Untertypen bestimmt. Statistiken zu seitlichen Bewegungen (google.iam.policy.LateralMovementInsight) haben den Untertyp CROSS_PROJECT_IMPERSONATION.

CROSS_PROJECT_IMPERSONATION-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
  • category: Die Kategorie für IAM-Statistiken ist immer SECURITY.

  • content: Meldet die Details der Fähigkeit des Dienstkontos, die Identität von Dienstkonten in anderen Projekten zu übernehmen. Dieses Feld enthält die folgenden Komponenten:

    • hasPermissionUsageData: Ein boolescher Wert, der angibt, ob für diese Rollenbindung Berechtigungsnutzungsdaten vorhanden sind. Anhand der Daten zur Berechtigungsnutzung wird ersichtlich, ob die Berechtigungen in der Rollenbindung verwendet wurden. Diese Daten sind nicht für bedingte Rollenbindungen verfügbar.
    • impersonationPermissionUsage: Eine Liste von Berechtigungen zur Identitätsübernahme und deren Nutzungsinformationen. Wenn eine Berechtigung in den letzten 90 Tagen verwendet wurde, gilt sie als verwendet. Andernfalls gilt sie als nicht verwendet.

      Wenn hasPermissionUsageData „false“ ist, ist das Feld impersonationPermissionUsage leer.

    • impersonationPolicy: Informationen zur Rollenbindung, die die Berechtigungen zum Identitätswechsel für das Dienstkonto gewährt.
    • impersonator: Details zum Dienstkonto, das berechtigt ist, die Identität von Dienstkonten in Ihrem Projekt zu übernehmen, darunter:
      • isGoogleManaged: Gibt an, ob das Dienstkonto Google gehört und von Google verwaltet wird.
      • serviceAccount: Die E-Mail-Adresse des Dienstkontos.
      • serviceAccountOwner: Das Projekt, zu dem das Dienstkonto gehört. Wenn Google Inhaber des Dienstkontos ist, lautet der Wert dieses Felds Google managed. Wenn das Dienstkonto Inhaber eines Projekts außerhalb Ihrer Organisation ist, lautet der Wert in diesem Feld Unknown to your org.
    • targetServiceAccounts: Eine Liste der Dienstkonten, für die das Dienstkonto im Feld impersonator die Berechtigung zum Übernehmen der Identität hat. Wenn der Identitätswechsler die Identität von mehr als 1.500 Dienstkonten übernehmen kann, ist die Liste leer. Informationen darüber, wie viele Dienstkonten de Identitätswechsler übernehmen kann, finden Sie im Feld description.
  • description: Eine menschenlesbare Zusammenfassung der Statistik.

  • etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

    Zum Ändern des Status einer Statistik müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.

  • insightSubtype: Der Statistikuntertyp.
  • lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.

  • name: Der Name der Statistik im folgenden Format:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

    Die Platzhalter haben folgende Werte:

    • RESOURCE_TYPE: Der Ressourcentyp, für den der Insight generiert wurde.
    • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, in der der Insight generiert wurde.
    • INSIGHT_ID: Eine eindeutige ID für die Statistik.
  • observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.
  • severity: Der Schweregrad der Statistik. Alle Statistiken zum "Lateral Movement" haben einen Schweregrad von LOW.

  • stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:

    • ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
    • ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
  • targetResources: Der vollständige Ressourcenname der Organisation, des Ordners, des Projekts oder des Dienstkontos, auf die sich die Statistik bezieht. Beispiel: //cloudresourcemanager.googleapis.com/projects/123456789012

REST

Der Inhalt einer Statistik wird durch die Untertypen bestimmt. Statistiken zu seitlichen Bewegungen (google.iam.policy.LateralMovementInsight) haben den Untertyp CROSS_PROJECT_IMPERSONATION.

CROSS_PROJECT_IMPERSONATION-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
  • category: Die Kategorie für IAM-Statistiken ist immer SECURITY.

  • content: Meldet die Details der Fähigkeit des Dienstkontos, die Identität von Dienstkonten in anderen Projekten zu übernehmen. Dieses Feld enthält die folgenden Komponenten:

    • hasPermissionUsageData: Ein boolescher Wert, der angibt, ob für diese Rollenbindung Berechtigungsnutzungsdaten vorhanden sind. Anhand der Daten zur Berechtigungsnutzung wird ersichtlich, ob die Berechtigungen in der Rollenbindung verwendet wurden. Diese Daten sind nicht für bedingte Rollenbindungen verfügbar.
    • impersonationPermissionUsage: Eine Liste von Berechtigungen zur Identitätsübernahme und deren Nutzungsinformationen. Wenn eine Berechtigung in den letzten 90 Tagen verwendet wurde, gilt sie als verwendet. Andernfalls gilt sie als nicht verwendet.

      Wenn hasPermissionUsageData „false“ ist, ist das Feld impersonationPermissionUsage leer.

    • impersonationPolicy: Informationen zur Rollenbindung, die die Berechtigungen zum Identitätswechsel für das Dienstkonto gewährt.
    • impersonator: Details zum Dienstkonto, das berechtigt ist, die Identität von Dienstkonten in Ihrem Projekt zu übernehmen, darunter:
      • isGoogleManaged: Gibt an, ob das Dienstkonto Google gehört und von Google verwaltet wird.
      • serviceAccount: Die E-Mail-Adresse des Dienstkontos.
      • serviceAccountOwner: Das Projekt, zu dem das Dienstkonto gehört. Wenn Google Inhaber des Dienstkontos ist, lautet der Wert dieses Felds Google managed. Wenn das Dienstkonto Inhaber eines Projekts außerhalb Ihrer Organisation ist, lautet der Wert in diesem Feld Unknown to your org.
    • targetServiceAccounts: Eine Liste der Dienstkonten, für die das Dienstkonto im Feld impersonator die Berechtigung zum Übernehmen der Identität hat. Wenn der Identitätswechsler die Identität von mehr als 1.500 Dienstkonten übernehmen kann, ist die Liste leer. Informationen darüber, wie viele Dienstkonten de Identitätswechsler übernehmen kann, finden Sie im Feld description.
  • description: Eine menschenlesbare Zusammenfassung der Statistik.

  • etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

    Zum Ändern des Status einer Statistik müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.

  • insightSubtype: Der Statistikuntertyp.
  • lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.

  • name: Der Name der Statistik im folgenden Format:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

    Die Platzhalter haben folgende Werte:

    • RESOURCE_TYPE: Der Ressourcentyp, für den der Insight generiert wurde.
    • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, in der der Insight generiert wurde.
    • INSIGHT_ID: Eine eindeutige ID für die Statistik.
  • observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.
  • severity: Der Schweregrad der Statistik. Alle Statistiken zum "Lateral Movement" haben einen Schweregrad von LOW.

  • stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:

    • ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
    • ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
  • targetResources: Der vollständige Ressourcenname der Organisation, des Ordners, des Projekts oder des Dienstkontos, auf die sich die Statistik bezieht. Beispiel: //cloudresourcemanager.googleapis.com/projects/123456789012

Statistik zum "Lateral Movement" als ACCEPTED markieren

Wenn Sie eine Aktion gemäß einer aktiven Statistik durchführen, können Sie diese Statistik als ACCEPTED markieren. Durch den Status ACCEPTED wird der Recommender API mitgeteilt, dass Sie gemäß dieser Statistik Aktionen durchgeführt haben, wodurch sich die Empfehlungen optimieren lassen.

Akzeptierte Statistiken werden 90 Tage lang aufbewahrt, nachdem sie als ACCEPTED markiert wurden.

Console

Wenn eine Statistik mit einer Empfehlung verknüpft ist, wird durch Anwenden der Empfehlung der Status der Statistik in ACCEPTED geändert.

Wenn Sie eine Statistik als ACCEPTED markieren möchten, ohne eine Empfehlung anzuwenden, verwenden Sie die gcloud CLI oder die REST API.

gcloud

Verwenden Sie den Befehl gcloud recommender insights mark-accepted mit Ihrer Statistik-ID, um eine Statistik als ACCEPTED zu markieren.

  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.
  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert project, folder, oder organization.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.

  • ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:

    1. Rufen Sie die Statistik mit dem Befehl gcloud recommender insights describe ab.
    2. Suchen Sie in der Ausgabe den etag-Wert und kopieren Sie ihn einschließlich der Anführungszeichen. Beispiel: "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --etag=ETAG

Die Ausgabe enthält jetzt die Statistik mit dem Status ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f
category: SECURITY
content:
  hasPermissionUsageData: true
  impersonationPermissionUsage:
  - permission: iam.serviceAccounts.actAs
    used: false
  impersonationPolicy:
    condition:
      description: ''
      expression: ''
      location: ''
      title: ''
    member: serviceAccount:sa-1@another-project.iam.gserviceaccount.com
    resource: //cloudresourcemanager.googleapis.com/projects/123456789012
    role: roles/editor
  impersonator:
    isGoogleManaged: false
    serviceAccount: sa-1@another-project.iam.gserviceaccount.com
    serviceAccountOwner: //cloudresourcemanager.googleapis.com/projects/987654321098
  targetServiceAccounts:
  - target-service-account-1@this-project.iam.gserviceaccount.com
  - target-service-account-2@this-project.iam.gserviceaccount.com
description: Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
etag: '"f48fa6a1b15c7741"'
insightSubtype: CROSS_PROJECT_IMPERSONATION
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
observationPeriod: 7776000s
severity: LOW
stateInfo:
  state: ACCEPTED
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

REST

Die Methode insights.markAccepted der Recommender API markiert eine Statistik als ACCEPTED.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert projects, folders, oder organizations.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten.
  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID der Statistik nicht kennen, können Sie sie durch Auflisten der Statistik in Ihrem Projekt, Ordner oder Ihrer Organisation finden. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.
  • ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:
    1. Rufen Sie die Statistik mit der Methode insights.get ab.
    2. Suchen und kopieren Sie den etag-Wert aus der Antwort.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL: 

POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID:markAccepted

JSON-Text der Anfrage: 

{
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Statistik, jetzt mit dem Status ACCEPTED: 

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
  "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
  "content": {
    "impersonator": {
      "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
      "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
      "isGoogleManaged": false
    },
    "targetServiceAccounts": [
      "target-service-account-1@this-project.iam.gserviceaccount.com",
      "target-service-account-2@this-project.iam.gserviceaccount.com"
    ],
    "impersonationPolicy": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "role": "roles/editor",
      "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
      "condition": {
        "expression": "",
        "title": "",
        "description": "",
        "location": ""
      }
    },
    "impersonationPermissionUsage": [
      {
        "permission": "iam.serviceAccounts.actAs"
        "used": false
      }
    ],
    "hasPermissionUsageData": true
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
  "etag": "\"f48fa6a1b15c7741\"",
  "severity": "LOW"
}

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

Nächste Schritte