Dienstkonten mit Berechtigungen für das seitliche Verschieben suchen

Auf dieser Seite erfahren Sie, wie Sie Insights zur seitlichen Bewegung verwalten, mit denen sich Rollen, die es einem Dienstkonto in einem Projekt ermöglichen, die Identität eines Dienstkontos in einem anderen zu übernehmen Projekt arbeiten. Weitere Informationen zu Statistiken zum „Lateral Movement“ finden Sie unter Statistiken zum „Lateral Movement“ generieren.

Informationen zu seitlichen Bewegungen sind manchmal mit verknüpft. Rollenempfehlungen. In Rollenempfehlungen werden Maßnahmen vorgeschlagen, mit denen Sie die Probleme beheben können, die in den Statistiken zum „Lateral Movement“ identifiziert wurden.

Hinweis

Erforderliche Rollen

Um die Berechtigungen zu erhalten, die du zum Verwalten von Informationen zur seitlichen Bewegung benötigst, bitten Sie Ihren Administrator, Ihnen folgenden IAM-Rollen auf der Projekt, Ordner, oder Organisation, die Sie Statistiken verwalten für:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten Berechtigungen zum Verwalten von Insights zur seitlichen Bewegung Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Statistiken zur seitlichen Bewegung zu verwalten:

  • So rufen Sie Statistiken zum „Lateral Movement” auf:
    • recommender.iamPolicyLateralMovementInsights.get
    • recommender.iamPolicyLateralMovementInsights.list
  • So ändern Sie Statistiken zum „Lateral Movement”: recommender.iamPolicyLateralMovementInsights.update

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Statistiken zum "Lateral Movement" auflisten

Verwenden Sie eine der folgenden Methoden, um alle Statistiken zum „Lateral Movement“ für Ihr Projekt, Ihren Ordner oder Ihre Organisation aufzulisten:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.

In der Spalte Sicherheitsstatistiken werden alle sicherheitsrelevanten Informationen für Ihr Projekt angezeigt, einschließlich Statistiken zum "Lateral Movement". Statistiken zum "Lateral Movement" haben das Format N service account impersonations, wobei N die Anzahl der Dienstkonten ist, die das Dienstkonto in der Rollenbindung übernehmen kann.

gcloud

Verwenden Sie den Befehl gcloud recommender insights list, um alle Informationen zur seitlichen Bewegung für Ihr Projekt, Ordner, oder einer Organisation.

Ersetzen Sie vor dem Ausführen des Befehls die folgenden Werte:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Informationen auflisten möchten. Verwenden Sie den Wert project, folder oder organization.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken auflisten möchten. 
gcloud recommender insights list --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

Die Ausgabe listet alle Statistiken zum „Lateral Movement“ für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf. Beispiel: 

INSIGHT_ID                            CATEGORY  INSIGHT_STATE  LAST_REFRESH_TIME     SEVERITY  INSIGHT_SUBTYPE              DESCRIPTION
046f8b89-bcee-46cd-9ac4-06818ed5273a  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
1328df82-5af2-4493-9850-d8ede4e72b27  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-2@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.
17f50957-333c-4f21-86c1-6a62216b309e  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-3@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.
187200d2-b42c-48fb-86d7-c2746a87fed2  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-4@another-project.iam.gserviceaccount.com from another project can impersonate 32 service account(s) under this project.
1f1740a4-ff98-4f64-99a4-5ef5df5a2097  SECURITY  ACTIVE         2022-05-24T07:00:00Z  LOW       CROSS_PROJECT_IMPERSONATION  Service account sa-5@another-project.iam.gserviceaccount.com from another project can impersonate 1 service account(s) under this project.

REST

Die Recommender APIs insights.list listet alle Informationen zur seitlichen Bewegung auf Projekt, Ordner, oder einer Organisation.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken auflisten möchten. Verwenden Sie den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID des Projekt, Ordner, für das Sie Statistiken auflisten möchten.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

In der Antwort werden alle Informationen zur seitlichen Bewegung Projekt, Ordner, oder einer Organisation. Beispiel: 

{
  "insights": [
    {
      "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
      "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
      "content": {
        "impersonator": {
          "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
          "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
          "isGoogleManaged": false
        },
        "targetServiceAccounts": [
          "target-service-account-1@this-project.iam.gserviceaccount.com",
          "target-service-account-2@this-project.iam.gserviceaccount.com"
        ],
        "impersonationPolicy": {
          "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
          "role": "roles/editor",
          "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
          "condition": {
            "expression": "",
            "title": "",
            "description": "",
            "location": ""
          }
        },
        "impersonationPermissionUsage": [
          {
            "permission": "iam.serviceAccounts.actAs"
            "used": false
          }
        ],
        "hasPermissionUsageData": true
      },
      "lastRefreshTime": "2022-05-24T07:00:00Z",
      "observationPeriod": "7776000s",
      "stateInfo": {
        "state": "ACTIVE"
      },
      "category": "SECURITY",
      "associatedRecommendations": [
        {
          "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
        }
      ],
      "targetResources": [
        "//cloudresourcemanager.googleapis.com/projects/123456789012"
      ],
      "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
      "etag": "\"f48fa6a1b15c7741\"",
      "severity": "LOW"
    }
  ]
}

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

Einzelne Statistik zum "Lateral Movement" abrufen

Wenn Sie weitere Informationen zu einer einzelnen Statistik abrufen möchten, einschließlich der Beschreibung, des Status und aller mit ihr verknüpften Empfehlungen, verwenden Sie eine der folgenden Methoden:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.

  3. Klicken Sie in der Spalte Sicherheitsstatistiken auf eine Statistik zum "Lateral Movement". Statistiken zum "Lateral Movement" haben das Format N service account impersonations, wobei N die Anzahl der Dienstkonten ist, die das Dienstkonto in der Rollenbindung übernehmen kann.

In der Google Cloud Console wird ein Bereich mit den Details der Statistik geöffnet.

gcloud

Verwenden Sie den Befehl gcloud recommender insights describe mit Ihrer Statistik-ID, um Informationen zu einer einzelnen Statistik aufzurufen.

  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Um die ID zu finden, listen Sie die Statistiken für Ihr Projekt, Ordner, oder einer Organisation.
  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert project, folder oder organization.
  • RESOURCE_ID: Die ID des Projekt, Ordner, für das Sie Statistiken verwalten möchten. 
gcloud recommender insights describe INSIGHT_ID \
    --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global

In der Ausgabe sehen Sie die Statistik im Detail. Die folgende Statistik zeigt beispielsweise, dass die IAM-Richtlinie für das Projekt 123456789012 es sa-1@another-project.iam.gserviceaccount.com ermöglicht, die Identität von target-service-account-1@this-project.iam.gserviceaccount.com und target-service-account-2@this-project.iam.gserviceaccount.com anzunehmen. 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f
category: SECURITY
content:
  hasPermissionUsageData: true
  impersonationPermissionUsage:
  - permission: iam.serviceAccounts.actAs
    used: false
  impersonationPolicy:
    condition:
      description: ''
      expression: ''
      location: ''
      title: ''
    member: serviceAccount:sa-1@another-project.iam.gserviceaccount.com
    resource: //cloudresourcemanager.googleapis.com/projects/123456789012
    role: roles/editor
  impersonator:
    isGoogleManaged: false
    serviceAccount: sa-1@another-project.iam.gserviceaccount.com
    serviceAccountOwner: //cloudresourcemanager.googleapis.com/projects/987654321098
  targetServiceAccounts:
  - target-service-account-1@this-project.iam.gserviceaccount.com
  - target-service-account-2@this-project.iam.gserviceaccount.com
description: Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
etag: '"f48fa6a1b15c7741"'
insightSubtype: CROSS_PROJECT_IMPERSONATION
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
observationPeriod: 7776000s
severity: LOW
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

REST

Die Methode insights.get der Recommender API ruft eine einzelne Statistik ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie Sie die Statistik-ID nicht kennen, die Statistiken in Ihrem Projekt, Ordner, oder einer Organisation. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Statistik. Die folgende Statistik zeigt beispielsweise, dass die IAM-Richtlinie für das Projekt 123456789012 es sa-1@another-project.iam.gserviceaccount.com ermöglicht, die Identität von target-service-account-1@this-project.iam.gserviceaccount.com und target-service-account-2@this-project.iam.gserviceaccount.com anzunehmen. 

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
  "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
  "content": {
    "impersonator": {
      "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
      "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
      "isGoogleManaged": false
    },
    "targetServiceAccounts": [
      "target-service-account-1@this-project.iam.gserviceaccount.com",
      "target-service-account-2@this-project.iam.gserviceaccount.com"
    ],
    "impersonationPolicy": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "role": "roles/editor",
      "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
      "condition": {
        "expression": "",
        "title": "",
        "description": "",
        "location": ""
      }
    },
    "impersonationPermissionUsage": [
      {
        "permission": "iam.serviceAccounts.actAs"
        "used": false
      }
    ],
    "hasPermissionUsageData": true
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
  "etag": "\"f48fa6a1b15c7741\"",
  "severity": "LOW"
}

Weitere Informationen zu den Komponenten einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

Statistiken zum "Lateral Movement" prüfen

Nachdem Sie eine einzelne Statistik erhalten haben, können Sie deren Inhalt prüfen, um das durch sie hervorgehobene Muster der Ressourcennutzung zu verstehen.

Console

Wenn Sie in der Google Cloud Console auf eine Statistik zur seitlichen Bewegung klicken, In der Google Cloud Console wird ein Bereich mit den Details der Statistik geöffnet. Die Darstellung dieser Details hängt davon ab, ob die Statistik mit einer Empfehlung verknüpft ist.

Wenn die Statistik mit einer Empfehlung verknüpft ist, werden in dem Bereich die Details der Empfehlung angezeigt.

Wenn die Statistik nicht mit einer Empfehlung verknüpft ist, wird dem Bereich Folgendes angezeigt:

  • Das Ursprungsprojekt des Dienstkontos: Das Projekt, in dem das Dienstkonto mit Berechtigungen zur Identitätsübertragung erstellt wurde.

  • Dienstkonten, die in diesem Projekt imitiert werden können. Eine Liste aller Dienstkonten im aktuellen Projekt, für die das Dienstkonto mit Berechtigungen zur Identitätsübertragung die Identität übernehmen kann.

  • Berechtigungen, die die Identitätsübertragung im Projekt zulassen: Eine Liste der Berechtigungen zum Identitätswechsel für das Dienstkonto.

  • Aktuelle Berechtigungen: Eine Liste aller Berechtigungen des Dienstkontos.

gcloud

Der Inhalt einer Statistik wird durch die Untertypen bestimmt. Statistiken zu seitlichen Bewegungen (google.iam.policy.LateralMovementInsight) haben den Untertyp CROSS_PROJECT_IMPERSONATION.

CROSS_PROJECT_IMPERSONATION-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
  • category: Die Kategorie für IAM-Statistiken ist immer SECURITY.

  • content: Meldet die Details der Fähigkeit des Dienstkontos, die Identität von Dienstkonten in anderen Projekten zu übernehmen. Dieses Feld enthält die folgenden Komponenten:

    • hasPermissionUsageData: Ein boolescher Wert, der angibt, ob für diese Rollenbindung Berechtigungsnutzungsdaten vorhanden sind. Anhand der Daten zur Berechtigungsnutzung wird ersichtlich, ob die Berechtigungen in der Rollenbindung verwendet wurden. Diese Daten sind nicht für bedingte Rollenbindungen verfügbar.
    • impersonationPermissionUsage: Eine Liste der Berechtigungen zum Übernehmen der Identität und der zugehörigen Nutzungsinformationen. Wenn in den letzten 90 Tagen eine Berechtigung verwendet wurde, als genutzt betrachtet wird. Andernfalls gilt sie als nicht verwendet.

      Wenn hasPermissionUsageData „false“ ist, ist das Feld impersonationPermissionUsage leer.

    • impersonationPolicy: Informationen zur Rollenbindung, die die Berechtigungen zum Identitätswechsel für das Dienstkonto gewährt.
    • impersonator: Details zum Dienstkonto, das die Berechtigung hat, die Identität des Dienstes zu übernehmen Konten in Ihrem Projekt, einschließlich der folgenden:
      • isGoogleManaged: Gibt an, ob das Dienstkonto Google gehört und von diesem verwaltet wird.
      • serviceAccount: Die E-Mail-Adresse des Dienstkontos.
      • serviceAccountOwner: Das Projekt, zu dem das Dienstkonto gehört. Wenn Google Eigentümer das Dienstkonto hat, hat dieses Feld den Wert Google managed. Wenn ein Projekt Inhaber des Dienstkontos ist, wird in diesem Feld der Wert Unknown to your org
    • targetServiceAccounts: Eine Liste der Dienstkonten, für die das Dienstkonto im Feld impersonator die Berechtigung zum Übernehmen der Identität hat. Wenn der Identitätswechsler die Identität von mehr als 1.500 Dienstkonten übernehmen kann, ist die Liste leer. Informationen darüber, wie viele Dienstkonten de Identitätswechsler übernehmen kann, finden Sie im Feld description.
  • description: Eine menschenlesbare Zusammenfassung der Statistik.

  • etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

    Zum Ändern des Status einer Statistik müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.

  • insightSubtype: Der Statistikuntertyp.
  • lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.

  • name: Der Name der Statistik im folgenden Format:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

    Die Platzhalter haben folgende Werte:

    • RESOURCE_TYPE: Der Ressourcentyp, für den der Insight generiert wurde.
    • RESOURCE_ID: Die ID des Projekt, Ordner, oder der Organisation, in der die Erkenntnisse generiert wurden.
    • INSIGHT_ID: Eine eindeutige ID für die Statistik.
  • observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.
  • severity: Der Schweregrad der Statistik. Alle Statistiken zum "Lateral Movement" haben einen Schweregrad von LOW.

  • stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:

    • ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
    • ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
  • targetResources: Der vollständige Ressourcenname der Organisation, des Ordners, des Projekts oder des Dienstkontos, für das die Statistik bestimmt ist. Beispiel: //cloudresourcemanager.googleapis.com/projects/123456789012

REST

Der Inhalt einer Statistik wird durch die Untertypen bestimmt. Statistiken zu seitlichen Bewegungen (google.iam.policy.LateralMovementInsight) haben den Untertyp CROSS_PROJECT_IMPERSONATION.

CROSS_PROJECT_IMPERSONATION-Statistiken haben die folgenden Komponenten, die nicht unbedingt in dieser Reihenfolge auftauchen:

  • associatedRecommendations: Die Kennungen der Empfehlungen, die mit der Statistik verknüpft sind. Wenn mit der Statistik keine Empfehlungen verknüpft sind, ist dieses Feld leer.
  • category: Die Kategorie für IAM-Statistiken ist immer SECURITY.

  • content: Meldet die Details der Fähigkeit des Dienstkontos, die Identität von Dienstkonten in anderen Projekten zu übernehmen. Dieses Feld enthält die folgenden Komponenten:

    • hasPermissionUsageData: Ein boolescher Wert, der angibt, ob für diese Rollenbindung Berechtigungsnutzungsdaten vorhanden sind. Anhand der Daten zur Berechtigungsnutzung wird ersichtlich, ob die Berechtigungen in der Rollenbindung verwendet wurden. Diese Daten sind nicht für bedingte Rollenbindungen verfügbar.
    • impersonationPermissionUsage: Eine Liste der Berechtigungen zum Übernehmen der Identität und der zugehörigen Nutzungsinformationen. Wenn in den letzten 90 Tagen eine Berechtigung verwendet wurde, als genutzt betrachtet wird. Andernfalls gilt sie als nicht verwendet.

      Wenn hasPermissionUsageData „false“ ist, ist das Feld impersonationPermissionUsage leer.

    • impersonationPolicy: Informationen zur Rollenbindung, die die Berechtigungen zum Identitätswechsel für das Dienstkonto gewährt.
    • impersonator: Details zum Dienstkonto, das die Berechtigung hat, die Identität des Dienstes zu übernehmen Konten in Ihrem Projekt, einschließlich der folgenden:
      • isGoogleManaged: Gibt an, ob das Dienstkonto Google gehört und von diesem verwaltet wird.
      • serviceAccount: Die E-Mail-Adresse des Dienstkontos.
      • serviceAccountOwner: Das Projekt, zu dem das Dienstkonto gehört. Wenn Google Eigentümer das Dienstkonto hat, hat dieses Feld den Wert Google managed. Wenn ein Projekt Inhaber des Dienstkontos ist, wird in diesem Feld der Wert Unknown to your org
    • targetServiceAccounts: Eine Liste der Dienstkonten, für die das Dienstkonto im Feld impersonator die Berechtigung zum Übernehmen der Identität hat. Wenn der Identitätswechsler die Identität von mehr als 1.500 Dienstkonten übernehmen kann, ist die Liste leer. Informationen darüber, wie viele Dienstkonten de Identitätswechsler übernehmen kann, finden Sie im Feld description.
  • description: Eine menschenlesbare Zusammenfassung der Statistik.

  • etag: Eine eindeutige ID für den aktuellen Status einer Statistik. Jedes Mal, wenn sich die Statistik ändert, wird ein neuer etag-Wert zugewiesen.

    Zum Ändern des Status einer Statistik müssen Sie das etag der vorhandenen Statistik angeben. Durch die Verwendung von etag wird gewährleistet, dass Vorgänge nur ausgeführt werden, wenn die Statistik seit dem letzten Abruf nicht geändert wurde.

  • insightSubtype: Der Statistikuntertyp.
  • lastRefreshTime: Das Datum, an dem die Statistik zuletzt aktualisiert wurde. Dadurch wird die Aktualität der Daten angegeben, die zum Generieren der Statistik verwendet wurden.

  • name: Der Name der Statistik im folgenden Format:

    RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID

    Die Platzhalter haben folgende Werte:

    • RESOURCE_TYPE: Der Ressourcentyp, für den der Insight generiert wurde.
    • RESOURCE_ID: Die ID des Projekt, Ordner, oder der Organisation, in der die Erkenntnisse generiert wurden.
    • INSIGHT_ID: Eine eindeutige ID für die Statistik.
  • observationPeriod: Der Zeitraum, der der Statistik vorausgeht. Die zum Generieren der Statistik verwendeten Quelldaten enden zum Zeitpunkt von lastRefreshTime und beginnen bei lastRefreshTime minus observationPeriod.
  • severity: Der Schweregrad der Statistik. Alle Statistiken zum "Lateral Movement" haben einen Schweregrad von LOW.

  • stateInfo: Statistiken durchlaufen mehrere Statusübergänge, nachdem sie vorgeschlagen wurden:

    • ACTIVE: Die Statistik wurde generiert, aber es wurden keine Aktionen durchgeführt oder eine Aktion wurde ohne Aktualisierung des Status der Statistik durchgeführt. Aktive Statistiken werden aktualisiert, wenn sich die zugrunde liegenden Daten ändern.
    • ACCEPTED: Gemäß der Statistik wurden Aktionen durchgeführt. Statistiken werden akzeptiert, wenn eine zugehörige Empfehlung als CLAIMED, SUCCEEDED oder FAILED gekennzeichnet oder die Statistik direkt akzeptiert wurde. Wenn eine Statistik den Status ACCEPTED hat, können Sie den Inhalt der Statistik nicht ändern. Akzeptierte Statistiken werden nach ihrer Annahme 90 Tage lang aufbewahrt.
  • targetResources: der vollständige Ressourcenname der Organisation, des Ordners, des Projekts oder des Dienstkontos, auf das sich die Statistik bezieht. Beispiel: //cloudresourcemanager.googleapis.com/projects/123456789012

Statistik zum "Lateral Movement" als ACCEPTED markieren

Wenn Sie eine Aktion gemäß einer aktiven Statistik durchführen, können Sie diese Statistik als ACCEPTED markieren. Durch den Status ACCEPTED wird der Recommender API mitgeteilt, dass Sie gemäß dieser Statistik Aktionen durchgeführt haben, wodurch sich die Empfehlungen optimieren lassen.

Akzeptierte Statistiken werden 90 Tage lang aufbewahrt, nachdem sie als ACCEPTED markiert wurden.

Console

Wenn eine Statistik mit einer Empfehlung verknüpft ist, wird durch Anwenden der Empfehlung der Status der Statistik in ACCEPTED geändert.

Wenn Sie eine Statistik als ACCEPTED markieren möchten, ohne eine Empfehlung anzuwenden, verwenden Sie die gcloud CLI oder die REST API.

gcloud

Verwenden Sie den Befehl gcloud recommender insights mark-accepted mit Ihrer Statistik-ID, um eine Statistik als ACCEPTED zu markieren.

  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die ID ermitteln möchten, listen Sie die Statistiken für Ihr Projekt, Ihren Ordner oder Ihre Organisation auf.
  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Wert verwenden project, folder, oder organization.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.

  • ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:

    1. Rufen Sie die Statistik mit dem Befehl gcloud recommender insights describe ab.
    2. Suchen Sie in der Ausgabe den etag-Wert und kopieren Sie ihn einschließlich der Anführungszeichen. Beispiel: "d3cdec23cc712bd0". 
gcloud recommender insights mark-accepted INSIGHT_ID \
    --insight-type=google.iam.policy.LateralMovementInsight \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=global \
    --etag=ETAG

Die Ausgabe enthält jetzt die Statistik mit dem Status ACCEPTED: 

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f
category: SECURITY
content:
  hasPermissionUsageData: true
  impersonationPermissionUsage:
  - permission: iam.serviceAccounts.actAs
    used: false
  impersonationPolicy:
    condition:
      description: ''
      expression: ''
      location: ''
      title: ''
    member: serviceAccount:sa-1@another-project.iam.gserviceaccount.com
    resource: //cloudresourcemanager.googleapis.com/projects/123456789012
    role: roles/editor
  impersonator:
    isGoogleManaged: false
    serviceAccount: sa-1@another-project.iam.gserviceaccount.com
    serviceAccountOwner: //cloudresourcemanager.googleapis.com/projects/987654321098
  targetServiceAccounts:
  - target-service-account-1@this-project.iam.gserviceaccount.com
  - target-service-account-2@this-project.iam.gserviceaccount.com
description: Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.
etag: '"f48fa6a1b15c7741"'
insightSubtype: CROSS_PROJECT_IMPERSONATION
lastRefreshTime: '2022-05-24T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860
observationPeriod: 7776000s
severity: LOW
stateInfo:
  state: ACCEPTED
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

REST

Die Methode insights.markAccepted der Recommender API markiert eine Statistik als ACCEPTED.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, für den Sie Statistiken verwalten möchten. Verwenden Sie den Wert projects, folders oder organizations.
  • RESOURCE_ID: Die ID des Projekts, des Ordners oder der Organisation, für die Sie Statistiken verwalten möchten.
  • INSIGHT_ID: Die ID der Statistik, die Sie aufrufen möchten. Wenn Sie die Statistik-ID nicht kennen, können Sie sie in Ihrem Projekt, Ordner oder Ihrer Organisation finden, indem Sie die Statistiken auflisten. Die ID einer Statistik entspricht allen Angaben nach insights/ im name-Feld der Statistik.
  • ETAG: Eine Kennung für eine Version der Statistik. So rufen Sie das etag ab:
    1. Rufen Sie die Statistik mit der Methode insights.get ab.
    2. Suchen und kopieren Sie den etag-Wert aus der Antwort.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.

HTTP-Methode und URL:

POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/INSIGHT_ID:markAccepted

JSON-Text anfordern:

{
  "etag": "ETAG"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält jetzt die Statistik mit dem Status ACCEPTED: 

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860",
  "description": "Service account sa-1@another-project.iam.gserviceaccount.com from another project can impersonate 2 service account(s) under this project.",
  "content": {
    "impersonator": {
      "serviceAccount": "sa-1@another-project.iam.gserviceaccount.com",
      "serviceAccountOwner": "//cloudresourcemanager.googleapis.com/projects/987654321098",
      "isGoogleManaged": false
    },
    "targetServiceAccounts": [
      "target-service-account-1@this-project.iam.gserviceaccount.com",
      "target-service-account-2@this-project.iam.gserviceaccount.com"
    ],
    "impersonationPolicy": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "role": "roles/editor",
      "member": "serviceAccount:sa-1@another-project.iam.gserviceaccount.com",
      "condition": {
        "expression": "",
        "title": "",
        "description": "",
        "location": ""
      }
    },
    "impersonationPermissionUsage": [
      {
        "permission": "iam.serviceAccounts.actAs"
        "used": false
      }
    ],
    "hasPermissionUsageData": true
  },
  "lastRefreshTime": "2022-05-24T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACCEPTED"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/03f3dc20-f9e7-4502-95ab-bf7d3164846f"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "CROSS_PROJECT_IMPERSONATION",
  "etag": "\"f48fa6a1b15c7741\"",
  "severity": "LOW"
}

Weitere Informationen zu den Statusinformationen einer Statistik finden Sie auf dieser Seite unter Statistiken zum "Lateral Movement" prüfen.

Nächste Schritte