Recomendamos as seguintes práticas recomendadas para gerir as recomendações de funções.
Para mais informações sobre as recomendações de funções, consulte a vista geral das recomendações de funções.
Introdução às recomendações
As seguintes práticas recomendadas podem ajudar a começar a usar as recomendações de funções.
Comece com uma limpeza inicial das autorizações concedidas em excesso. Inicialmente, pode ver um número muito elevado de recomendações, especialmente se muitos diretores tiverem funções altamente permissivas, como a de editor. Dedique tempo a abordar todas as recomendações no seu projeto ou organização para garantir que todos os principais têm as funções adequadas.
Quando fizer esta limpeza inicial, dê prioridade aos seguintes tipos de recomendações:
Recomendações que reduzem as autorizações das contas de serviço. Por predefinição, todas as contas de serviço predefinidas têm a função Editor altamente permissiva nos projetos. Outras contas de serviço que gere também podem ter recebido funções altamente permissivas. Todas as autorizações concedidas em excesso aumentam o risco de segurança, incluindo as contas de serviço com privilégios excessivos. Por isso, recomendamos que dê prioridade às contas de serviço com privilégios excessivos durante a limpeza inicial.
Recomendações que ajudam a evitar a escalada de privilégios. As funções que permitem que os principais atuem como uma conta de serviço (
iam.serviceAccounts.actAs) ou obtenham ou definam a política de autorização para um recurso podem potencialmente permitir que um principal aumente o seu próprio privilégio. Priorizar recomendações relativas a estas funções.Recomendações que reduzem o movimento lateral. O movimento lateral ocorre quando uma conta de serviço num projeto tem autorização para se fazer passar por uma conta de serviço noutro projeto. Esta autorização pode resultar numa cadeia de roubos de identidade em projetos que dão aos responsáveis acesso não intencional a recursos. Para mitigar este acesso não intencional, priorize as recomendações associadas a estatísticas de movimento lateral.
Recomendações com um nível de prioridade elevado. As recomendações da IAM são automaticamente atribuídas a níveis de prioridade com base nas associações de funções às quais estão associadas. Dê prioridade às recomendações com um nível de prioridade elevado para reduzir rapidamente as autorizações concedidas em excesso.
Para saber como é determinada a prioridade de uma recomendação, consulte o artigo Prioridade das recomendações.
Quando encontrar um principal com privilégios excessivos num projeto, verifique se existem recomendações noutros projetos que envolvam esse principal. Se a um principal tiver sido concedida uma função excessivamente permissiva num projeto, é possível que lhe tenham sido concedidas funções excessivamente permissivas noutros projetos também. Reveja as recomendações para o principal em vários projetos para reduzir globalmente o acesso do principal ao nível adequado.
Após a limpeza inicial, verifique as recomendações regularmente. Recomendamos que verifique as suas recomendações, pelo menos, uma vez por semana. Normalmente, esta verificação demora muito menos tempo do que a limpeza inicial, porque só tem de resolver as recomendações de alterações que ocorreram desde a última limpeza ou verificação.
A verificação regular das autorizações reduz o trabalho necessário para cada verificação e pode ajudar a identificar e remover proativamente utilizadores inativos, bem como continuar a restringir as autorizações dos utilizadores ativos.
Práticas recomendadas para trabalhar com recomendações
Se usar a API Recommender ou os comandos recommender para a CLI gcloud para gerir recomendações, certifique-se de que atualiza o estado das recomendações que aplica. Isto permite-lhe acompanhar as suas recomendações e garante que as alterações que faz aparecem nos registos de recomendações.
Práticas recomendadas para aplicar recomendações automaticamente
Para gerir as suas recomendações de forma mais eficiente, pode automatizar o processo de aplicação de recomendações. Se decidir usar a automatização, tenha em atenção os seguintes pontos.
O Recomendador tenta fornecer recomendações que não causem alterações significativas no acesso. Por exemplo, nunca recomendamos uma função que exclua autorizações que um principal usou, passiva ou ativamente, nos últimos 90 dias. Também usamos a aprendizagem automática para identificar outras autorizações de que o utilizador provavelmente vai precisar.
No entanto, não podemos garantir que as nossas recomendações nunca vão causar alterações na forma de acesso. É possível que a aplicação de uma recomendação faça com que um principal não consiga aceder a um recurso de que precisa. Recomendamos que reveja como funciona o recomendador de IAM e decida o nível de automatização com o qual se sente confortável. Por exemplo, pode decidir aplicar automaticamente a maioria das recomendações, mas exigir uma revisão manual para as recomendações que adicionam ou removem um determinado número de autorizações, ou que envolvem a concessão ou a revogação de uma função específica.
Quando automatiza recomendações, pode querer identificar a que recurso se destina uma recomendação. Para identificar o recurso, use o campo operation.resource. Outros campos, como o campo name, nem sempre representam o recurso ao qual a recomendação se destina.
O que se segue?
- Compreenda as recomendações de funções.
- Saiba os passos para rever e aplicar recomendações.
- Saiba como exportar dados para recomendações da IAM.