Bonnes pratiques concernant les recommandations de rôles

Nous vous recommandons d'appliquer les bonnes pratiques suivantes pour gérer les recommandations de rôle.

Pour en savoir plus sur les recommandations de rôle, consultez la présentation des recommandations de rôle.

Premiers pas avec les recommandations

Les bonnes pratiques suivantes peuvent vous aider à faire vos premiers pas avec les recommandations de rôles.

  • Commencez par procéder à un nettoyage initial des autorisations accordées en excès. Vous pourriez voir un très grand nombre de recommandations peut s'afficher pour commencer, en particulier si de nombreux comptes principaux ont des rôles très permissifs, tels que le rôle "Éditeur". Prenez le temps de traiter toutes les recommandations de votre projet ou de votre organisation afin de vous assurer que tous les comptes principaux disposent des rôles appropriés.

    Lors de ce nettoyage initial, privilégiez les types de recommandations suivants :

    • Recommandations permettant de réduire les autorisations accordées aux comptes de service. Par défaut, tous les comptes de service par défaut se voient attribuer le rôle très permissif d'"Éditeur" sur les projets. Les autres comptes de service que vous gérez peuvent également se voir attribuer des rôles très permissifs. Toutes les autorisations accordées en excès, y compris les comptes de service possédant de nombreux privilèges, augmentent le risque de sécurité. Nous vous recommandons donc de traiter en priorité les comptes de service possédant de nombreux privilèges lors du nettoyage initial.

    • Recommandations permettant d'éviter l'élévation des privilèges Les rôles qui permettent aux comptes principaux d'agir en tant que compte de service (iam.serviceAccounts.actAs) ou d'obtenir ou de définir la stratégie d'autorisation pour une ressource peuvent potentiellement permettre à un compte principal d'élever son propre privilège. Traitez en priorité les recommandations associées à ces rôles.

    • Recommandations permettant de réduire les mouvements latéraux Le mouvement latéral se produit lorsqu'un compte de service d'un projet est autorisé à usurper l'identité d'un compte de service d'un autre projet. Cette autorisation peut entraîner une chaîne d'usurpations d'identités sur plusieurs projets, ce qui permet aux comptes principaux d'accéder de manière inattendue aux ressources. Pour atténuer ces accès non intentionnels, privilégiez les recommandations associées aux insights sur les mouvements latéraux.

    • Recommandations avec un niveau de priorité élevé. Les recommandations IAM se voient automatiquement attribuer des niveaux de priorité en fonction des liaisons de rôle auxquelles elles sont associées. Hiérarchisez les recommandations avec un niveau de priorité élevé afin de réduire rapidement les autorisations accordées en excès.

      Pour découvrir comment la priorité d'une recommandation est déterminée, consultez la section Priorité des recommandations.

    • Lorsque vous trouvez un compte principal disposant de droits d'accès privilégiés dans un projet, consultez d'autres projets pour obtenir des recommandations pour ce compte principal. Si un compte principal se voit attribuer un rôle trop permissif dans un projet, il est possible qu'il ait également obtenu des rôles trop permissifs dans d'autres projets. Examinez les recommandations pour le compte principal sur plusieurs projets afin de réduire l'accès jusqu'au niveau approprié.

  • Une fois le nettoyage initial terminé, vérifiez régulièrement vos recommandations. Nous vous recommandons de vérifier vos recommandations au moins une fois par semaine. Cette vérification prend généralement moins de temps que le nettoyage initial, car vous n'aurez besoin de traiter que les recommandations relatives aux modifications survenues depuis le dernier nettoyage ou test.

    La vérification régulière des autorisations réduit la quantité de travail requise à chaque vérification, et vous permet d'identifier et de supprimer les utilisateurs inactifs de manière proactive, et de continuer à réduire les autorisations des utilisateurs actifs.

Bonnes pratiques pour l'utilisation des recommandations

Si vous utilisez l'API Recommender ou les commandes recommender pour la CLI gcloud pour gérer les recommandations, veillez à mettre à jour l'état des recommandations que vous décidez d'appliquer. Cela vous permet de faire un suivi de vos recommandations et de vous assurer que les modifications que vous apportez apparaissent dans vos journaux de recommandations.

Bonnes pratiques pour l'application automatique des recommandations

Pour gérer vos recommandations plus efficacement, vous pouvez automatiser le processus d'application des recommandations. Si vous décidez d'utiliser l'automatisation, tenez compte des points suivants.

L'outil de recommandation tente de fournir des recommandations qui ne provoqueront pas de modifications destructives sur les accès. Par exemple, nous ne recommandons jamais un rôle qui exclut les autorisations qu'un compte principal a utilisées passivement ou activement au cours des 90 derniers jours. Nous utilisons également le machine learning pour identifier d'autres autorisations dont l'utilisateur est susceptible d'avoir besoin.

Cependant, nous ne pouvons pas garantir que nos recommandations n'entraîneront jamais de changement d'accès. Il est possible que l'application d'une recommandation empêche un compte principal d'accéder à la ressource dont il a besoin. Nous vous recommandons de consulter le document Fonctionnement de l'outil de recommandation IAM et de déterminer le degré d'automatisation qui vous convient. Par exemple, vous pouvez décider d'appliquer automatiquement la plupart des recommandations, mais d'exiger la vérification manuelle des recommandations qui ajoutent ou suppriment un certain nombre d'autorisations, ou qui accordent ou révoquent un rôle spécifique.

Lorsque vous automatisez les recommandations, vous pouvez identifier la ressource associée à une recommandation. Pour identifier la ressource, utilisez le champ operation.resource. Les autres champs, tels que le champ name, ne représenteront pas toujours la ressource prévue pour la recommandation.

Étapes suivantes