Per gestire i suggerimenti sui ruoli, consigliamo le seguenti best practice.
Per ulteriori informazioni sui suggerimenti sui ruoli, consulta la panoramica dei suggerimenti sui ruoli.
Iniziare a utilizzare i consigli
Le best practice riportate di seguito possono aiutarti a iniziare a utilizzare i suggerimenti sui ruoli.
Inizia con una pulizia iniziale delle autorizzazioni concesse in eccesso. Inizialmente, potresti vedere un numero molto elevato di suggerimenti, soprattutto se molte entità hanno ruoli altamente permissivi, come Editor. Prenditi il tempo necessario per applicare tutti i suggerimenti nel progetto o nell'organizzazione per assicurarti che tutte le entità dispongano dei ruoli appropriati.
Quando esegui questa pulizia iniziale, assegna la priorità ai seguenti tipi di suggerimenti:
Suggerimenti che riducono le autorizzazioni per gli account di servizio. Per impostazione predefinita, a tutti gli account di servizio predefiniti viene concesso il ruolo Editor altamente permissivo sui progetti. Anche ad altri account di servizio che gestisci potrebbero essere stati concessi ruoli altamente permissivi. Tutte le autorizzazioni concesse in eccesso aumentano i rischi per la sicurezza, compresi gli account di servizio con privilegi eccessivi, quindi ti consigliamo di dare la priorità agli account di servizio con privilegi eccessivi durante la pulizia iniziale.
Consigli che aiutano a prevenire l'escalation dei privilegi. I ruoli che consentono alle entità di agire come account di servizio (
iam.serviceAccounts.actAs) oppure di ottenere o impostare il criterio di autorizzazione per una risorsa possono potenzialmente consentire a un'entità di riassegnare il proprio privilegio. Dai priorità ai suggerimenti relativi a questi ruoli.Consigli che riducono il movimento laterale. Il movimento laterale si verifica quando un account di servizio in un progetto dispone dell'autorizzazione per impersonare un account di servizio in un altro progetto. Questa autorizzazione può comportare una catena di rappresentazioni tra i progetti che concede alle entità un accesso involontario alle risorse. Per ridurre questo accesso indesiderato, dai la priorità ai suggerimenti associati agli insight sui movimenti laterali.
Consigli con un livello di priorità elevato. Ai suggerimenti IAM vengono assegnati automaticamente livelli di priorità in base alle associazioni di ruoli a cui sono associati. Dai priorità ai suggerimenti con un livello di priorità elevato per ridurre rapidamente le autorizzazioni concesse in eccesso.
Per informazioni su come viene determinata la priorità di un suggerimento, consulta Priorità dei suggerimenti.
Quando trovi un'entità con privilegi in eccesso in un progetto, controlla gli altri progetti per trovare suggerimenti relativi a quell'entità. Se a un'entità è stato concesso un ruolo eccessivamente permissivo in un progetto, è possibile che abbia ricevuto ruoli eccessivamente permissivi anche in altri progetti. Esamina i suggerimenti per l'entità in più progetti per ridurre a livello globale l'accesso dell'entità al livello appropriato.
Dopo la pulizia iniziale, controlla regolarmente i consigli. Ti consigliamo di controllare i consigli almeno una volta alla settimana. Questo controllo in genere richiede molto meno tempo rispetto alla pulizia iniziale, perché dovrai fornire solo i suggerimenti per le modifiche apportate dopo l'ultima pulizia o l'ultimo controllo.
La verifica regolare delle autorizzazioni riduce il lavoro necessario per ogni controllo e può aiutarti a identificare e rimuovere in modo proattivo gli utenti inattivi, nonché a continuare a ridurre l'ambito delle autorizzazioni per gli utenti attivi.
Best practice per l'utilizzo dei consigli
Se utilizzi l'API Recommender o i comandi recommender per gcloud CLI per gestire i suggerimenti, assicurati di aggiornare lo stato dei suggerimenti che applichi. In questo modo puoi tenere traccia dei suggerimenti e assicurarti che le modifiche apportate vengano visualizzate nei log dei suggerimenti.
Best practice per l'applicazione automatica dei consigli
Per gestire i suggerimenti in modo più efficiente, può essere utile automatizzare il processo di applicazione dei suggerimenti. Se decidi di usare l'automazione, tieni presente quanto segue.
Il motore per suggerimenti cerca di fornire suggerimenti che non causino modifiche che provocano un errore nell'accesso. Ad esempio, non consiglieremo mai un ruolo che escluda le autorizzazioni utilizzate da un'entità, passivamente o attivamente, negli ultimi 90 giorni. Usiamo anche il machine learning per identificare altre autorizzazioni di cui l'utente potrebbe avere bisogno.
Tuttavia, non possiamo garantire che i nostri suggerimenti non causino mai modifiche che provocano un errore nell'accesso: è possibile che l'applicazione di un suggerimento comporti l'impossibilità di accedere a una risorsa di cui un'entità ha bisogno. Ti consigliamo di rivedere Come funziona il motore per suggerimenti IAM e di decidere il livello di automazione che ritieni adeguato. Ad esempio, potresti decidere di applicare la maggior parte dei suggerimenti automaticamente, ma richiedere una revisione manuale per quelli che aggiungono o rimuovono un determinato numero di autorizzazioni o che riguardano la concessione o la revoca di un ruolo specifico.
Quando automatizza i suggerimenti, potrebbe essere utile identificare a quale risorsa si riferisce un suggerimento. Per identificare la risorsa, utilizza il campo operation.resource. Altri campi, come il campo name, non rappresentano sempre la risorsa a cui si riferisce il suggerimento.
Passaggi successivi
- Comprendere i suggerimenti per i ruoli.
- Scopri i passaggi per esaminare e applicare i consigli.
- Scopri come esportare i dati per i suggerimenti IAM.