Per gestire i suggerimenti sui ruoli, consigliamo le seguenti best practice.
Per ulteriori informazioni sui suggerimenti relativi ai ruoli, consulta Panoramica dei suggerimenti per il ruolo.
Iniziare a utilizzare i consigli
Le best practice riportate di seguito possono aiutarti a iniziare a utilizzare i suggerimenti sui ruoli.
Inizia con una pulizia iniziale delle autorizzazioni concesse in eccesso. All'inizio potrebbe vedere un numero molto elevato di consigli, soprattutto Le entità hanno ruoli altamente permissivi, come Editor. Prenditi il tempo per risolvere il problema tutti i suggerimenti nel progetto o nell'organizzazione per garantire che alle entità dispongono dei ruoli appropriati.
Quando esegui questa pulizia iniziale, assegna la priorità ai seguenti tipi di raccomandazioni:
Suggerimenti che riducono le autorizzazioni per gli account di servizio. Per impostazione predefinita, tutti gli account di servizio predefiniti ha concesso il ruolo di Editor altamente permissivo sui progetti. Altro anche agli account di servizio che gestisci potresti aver ricevuto ruoli permissivi. Tutte le autorizzazioni concesse in eccesso aumentano la tua sicurezza rischio elevato, inclusi gli account di servizio con privilegi eccessivi, quindi consigliamo dando la priorità agli account di servizio con privilegi eccessivi durante pulizia iniziale.
Consigli che aiutano a prevenire l'escalation dei privilegi. Ruoli che consenti alle entità di agire come account di servizio (
iam.serviceAccounts.actAs) oppure ottenere o impostare il criterio di autorizzazione per una risorsa, e riassegnare il privilegio all'entità. Assegnare priorità ai consigli a questi ruoli.Consigli che riducono il movimento laterale. Il movimento laterale si verifica quando un account di servizio in un progetto dispone dell'autorizzazione per impersonare un servizio in un altro progetto. Questa autorizzazione può comportare una catena di le rappresentazioni distribuite tra progetti che concedono alle entità un accesso involontario Google Cloud. Per limitare questo accesso indesiderato, dai priorità ai suggerimenti associate a movimenti laterali e insight.
Consigli con un livello di priorità elevato. IAM ai suggerimenti vengono assegnati automaticamente livelli di priorità in base associazioni di ruoli a cui sono associati. Dai priorità ai consigli con un livello di priorità elevato per ridurre rapidamente le autorizzazioni concesse in eccesso.
Per scoprire come viene determinata la priorità di un suggerimento, consulta: Priorità dei suggerimenti.
Quando trovi un'entità con privilegi in eccesso in un progetto, seleziona l'altro per i suggerimenti relativi a quell'entità. Se un'entità se le è stato concesso un ruolo eccessivamente permissivo in un progetto, è possibile sono stati concessi ruoli eccessivamente permissivi in altri progetti beh. Esamina i suggerimenti per l'entità in più progetti per ridurre l'accesso dell'entità al livello appropriato a livello globale.
Dopo la pulizia iniziale, controlla regolarmente i consigli. Me ti consigliamo di controllare i tuoi consigli almeno una volta alla settimana. Questo controllo di solito richiede molto meno tempo rispetto alla pulizia iniziale, ma solo i consigli relativi alle modifiche apportate l'ultima pulizia o l'ultima verifica.
Controllare regolarmente le autorizzazioni riduce il lavoro necessario per ogni controllo e può aiutarti a identificare e rimuovere in modo proattivo gli utenti inattivi, nonché continui a ridurre l'ambito delle autorizzazioni per gli utenti attivi.
Best practice per l'utilizzo dei consigli
Se utilizzi l'API Recommender o
Comandi recommender per l'interfaccia a riga di comando gcloud
e gestire i suggerimenti, assicurati di aggiornare lo stato
che applichi. In questo modo puoi tenere traccia dei tuoi consigli
che le modifiche apportate vengano visualizzate nei log dei suggerimenti.
Best practice per l'applicazione automatica dei consigli
Per gestire i suggerimenti in modo più efficiente, ti consigliamo di automatizzare processo di applicazione dei consigli. Se decidi di utilizzare l'automazione, mantieni i seguenti punti.
Il motore per suggerimenti cerca di fornire suggerimenti che non che causano l'interruzione delle modifiche all'accesso. Ad esempio, non consiglieremo mai un ruolo che escluda le autorizzazioni utilizzate da un'entità, passivamente o attivamente, negli ultimi per 90 giorni. Usiamo anche il machine learning identificare altre autorizzazioni di cui l'utente potrebbe avere bisogno.
Tuttavia, non possiamo garantire che i nostri consigli non causino mai violazioni modifiche nell'accesso: è possibile che l'applicazione di un consiglio impediscono a un'entità di accedere alla risorsa di cui ha bisogno. Me consiglia di rivedere Come funziona il motore per suggerimenti IAM e decidere quanta automazione ti conviene. Ad esempio, potresti decide di applicare automaticamente la maggior parte dei consigli, ma necessita di una revisione manuale per suggerimenti che aggiungono o rimuovono un certo numero di autorizzazioni implica la concessione o la revoca di un ruolo specifico.
Quando automatizzi i suggerimenti, potresti voler identificare a quale risorsa
consigliato. Per identificare la risorsa, utilizza operation.resource
. Gli altri campi, come il campo name, non rappresenteranno sempre
la risorsa a cui si riferisce il suggerimento.
Passaggi successivi
- Comprendere i suggerimenti per i ruoli.
- Scopri i passaggi per esaminare e applicare i consigli.
- Scopri come esportare i dati per i suggerimenti IAM.