Consigliamo le seguenti best practice per la gestione dei suggerimenti sui ruoli.
Per ulteriori informazioni sui suggerimenti sui ruoli, consulta la panoramica dei suggerimenti sui ruoli.
Iniziare a utilizzare i consigli
Le best practice riportate di seguito possono aiutarti a iniziare a utilizzare i suggerimenti sui ruoli.
Inizia con una pulizia iniziale delle autorizzazioni concesse in eccesso. Inizialmente, potresti vedere un numero molto elevato di consigli, soprattutto se molte entità hanno ruoli molto permissivi come Editor. Prenditi il tempo di seguire tutti i consigli nel tuo progetto o nella tua organizzazione per assicurarti che tutti i principali abbiano i ruoli appropriati.
Durante questa pulizia iniziale, dai la priorità ai seguenti tipi di consigli:
Consigli per ridurre le autorizzazioni per gli account di servizio. Per impostazione predefinita, tutti gli account di servizio predefiniti ha concesso il ruolo di Editor altamente permissivo sui progetti. Anche ad altri account di servizio che gestisci potrebbero essere stati assegnati ruoli molto permissivi. Tutte le autorizzazioni concesse in eccesso aumentano il rischio per la sicurezza, inclusi gli account di servizio con privilegi eccessivi, pertanto ti consigliamo di dare la priorità agli account di servizio con privilegi eccessivi durante la pulizia iniziale.
Consigli che aiutano a prevenire l'escalation dei privilegi. I ruoli che consentono alle entità di agire come account di servizio (
iam.serviceAccounts.actAs) o di ottenere o impostare il criterio di autorizzazione per una risorsa possono potenzialmente consentire a un'entità di eseguire la riassegnazione del proprio privilegio. Assegnare priorità ai consigli a questi ruoli.Consigli per ridurre il movimento laterale. Il movimento laterale si verifica quando un account di servizio in un progetto è autorizzato a simulare l'identità di un account di servizio in un altro progetto. Questa autorizzazione può comportare una catena di usurpazioni di identità tra i progetti che consente agli amministratori di accedere involontariamente alle risorse. Per limitare questo accesso indesiderato, dai priorità ai suggerimenti associate a movimenti laterali .
Consigli con un livello di priorità elevato. Ai consigli IAM vengono assegnati automaticamente livelli di priorità in base alle associazioni di ruoli a cui sono associati. Dai priorità ai consigli con un livello di priorità elevato per ridurre rapidamente le autorizzazioni concesse in eccesso.
Per scoprire come viene determinata la priorità di un suggerimento, consulta: Priorità dei suggerimenti.
Quando trovi un'entità con privilegi in eccesso in un progetto, seleziona l'altro per i suggerimenti relativi a quell'entità. Se un'entità se le è stato concesso un ruolo eccessivamente permissivo in un progetto, è possibile sono stati concessi ruoli eccessivamente permissivi in altri progetti beh. Esamina i consigli per il principale in più progetti per ridurre a livello globale l'accesso del principale al livello appropriato.
Dopo la pulizia iniziale, controlla regolarmente i consigli. Me di consultare i consigli almeno una volta alla settimana. Questo controllo richiede in genere molto meno tempo rispetto alla pulizia iniziale, ma solo i consigli relativi alle modifiche apportate l'ultima pulizia o l'ultima verifica.
Controllare regolarmente le autorizzazioni riduce il lavoro necessario per ogni controllo e può aiutarti a identificare e rimuovere in modo proattivo gli utenti non attivi, nonché continui a ridurre l'ambito delle autorizzazioni per gli utenti attivi.
Best practice per lavorare con i consigli
Se utilizzi l'API Recommender o i
recommender comandi per l'interfaccia a riga di comando gcloud per gestire i consigli, assicurati di aggiornare lo stato dei consigli che applichi. In questo modo puoi tenere traccia dei tuoi consigli
che le modifiche apportate vengano visualizzate nei log dei suggerimenti.
Best practice per l'applicazione automatica dei consigli
Per gestire i suggerimenti in modo più efficiente, ti consigliamo di automatizzare processo di applicazione dei consigli. Se decidi di utilizzare l'automazione, mantieni i seguenti punti.
Il Recommender tenta di fornire consigli che non causino modifiche sostanziali nell'accesso. Ad esempio, non consiglieremo mai un ruolo che escluda le autorizzazioni utilizzate da un'entità, passivamente o attivamente, negli ultimi per 90 giorni. Utilizziamo anche il machine learning per identificare altre autorizzazioni di cui l'utente potrebbe aver bisogno.
Tuttavia, non possiamo garantire che i nostri consigli non causino mai violazioni modifiche nell'accesso: è possibile che l'applicazione di un consiglio impediscono a un'entità di accedere alla risorsa di cui ha bisogno. Me consiglia di rivedere Come funziona il motore per suggerimenti IAM e decidere quanta automazione ti conviene. Ad esempio, decide di applicare automaticamente la maggior parte dei consigli, ma necessita di una revisione manuale per suggerimenti che aggiungono o rimuovono un certo numero di autorizzazioni implica la concessione o la revoca di un ruolo specifico.
Quando automatizzi i suggerimenti, potresti voler identificare quale risorsa
consigliato. Per identificare la risorsa, utilizza il campo operation.resource. Gli altri campi, come il campo name, non rappresenteranno sempre
la risorsa a cui si riferisce il suggerimento.
Passaggi successivi
- Comprendere i suggerimenti per i ruoli.
- Scopri la procedura per esaminare e applicare i consigli.
- Scopri come esportare i dati per i suggerimenti IAM.