Best practice per i consigli sui ruoli

Ti consigliamo le seguenti best practice per la gestione dei consigli sui ruoli.

Per ulteriori informazioni sui suggerimenti sui ruoli, consulta la panoramica sui consigli sui ruoli.

Guida introduttiva

Le seguenti best practice possono aiutarti a iniziare a utilizzare i consigli sui ruoli.

  • Inizia con una pulizia iniziale delle autorizzazioni concesse in eccesso. Inizialmente, potresti vedere un numero molto elevato di consigli, in particolare se molti principali hanno ruoli molto permissivi come Editor. Dedica del tempo a esaminare tutti i consigli nel tuo progetto o nella tua organizzazione per assicurarti che tutti i tuoi ruoli siano appropriati.

    Quando esegui questa pulizia iniziale, dai priorità ai seguenti tipi di consigli:

    • Consigli che riducono le autorizzazioni per gli account di servizio. Per impostazione predefinita, a tutti gli account di servizio predefiniti viene concesso il ruolo Editor altamente permissivo nei progetti. Anche ad altri account di servizio che gestisci potrebbe essere stato concesso il ruolo altamente permissivo. Tutte le autorizzazioni concesse in eccesso aumentano il rischio per la sicurezza, inclusi gli account di servizio con privilegi eccessivi, quindi ti consigliamo di dare la priorità agli account di servizio con privilegi eccessivi durante la pulizia iniziale.

    • Consigli che contribuiscono a impedire la riassegnazione dei privilegi. I ruoli che consentono alle entità di agire come account di servizio (iam.serviceAccounts.actAs) o di ricevere o impostare il criterio di autorizzazione per una risorsa possono consentire a un principale di riassegnare il proprio privilegio. Dai priorità ai consigli relativi a questi ruoli.

    • Consigli che riducono i movimenti laterali. In seguito, un account di servizio in un progetto è autorizzato a impersonare un account di servizio in un altro progetto. Questa autorizzazione può generare una catena di rappresentazioni nei progetti che concede alle entità l'accesso non intenzionale alle risorse. Per mitigare questo tipo di accesso indesiderato, dai la priorità ai consigli associati agli approfondimenti sul movimento laterale.

    • Consigli con un livello di priorità elevato. Ai consigli IAM vengono assegnati automaticamente livelli di priorità in base alle associazioni di ruoli a cui sono associati. Dai priorità ai consigli con un livello di priorità alto per ridurre rapidamente le autorizzazioni concesse in eccesso.

      Per informazioni su come viene determinata la priorità di un consiglio, consulta Priorità del consiglio.

    • Se trovi un'entità con privilegi in eccesso in un progetto, controlla altri progetti per ottenere suggerimenti che la riguardano. Se a un'entità è stato concesso un ruolo eccessivamente permissivo in un progetto, è possibile che sia stato concesso anche un ruolo eccessivamente permissivo in altri progetti. Rivedi i suggerimenti per l'entità in più progetti per ridurre a livello globale l'accesso dell'entità al livello appropriato.

  • Dopo la pulizia iniziale, controlla regolarmente i consigli. Ti consigliamo di consultarli almeno una volta alla settimana. In genere, questo controllo richiede meno tempo della pulizia iniziale, in quanto è necessario risolvere i problemi solo dopo i suggerimenti eseguiti dall'ultima pulizia o controllo.

    La verifica regolare delle autorizzazioni riduce il lavoro necessario per ciascun controllo e può aiutarti a identificare e rimuovere in modo proattivo gli utenti inattivi, nonché a continuare a limitare l'accesso alle autorizzazioni per gli utenti attivi.

Best practice per lavorare con i consigli

Se utilizzi l'API motore per suggerimenti o i comandi recommender per l'interfaccia a riga di comando gcloud per gestire i consigli, assicurati di aggiornare lo stato dei consigli applicati. In questo modo, puoi tenere traccia dei consigli e assicurarti che le modifiche apportate vengano visualizzate nei log dei consigli.

Best practice per l'applicazione automatica dei consigli

Per gestire i consigli in modo più efficiente, puoi automatizzare il processo di applicazione dei consigli. Se decidi di utilizzare l'automazione, tieni presente quanto segue.

Il motore per suggerimenti cerca di fornire consigli che non causino modifiche errate dell'accesso. Ad esempio, non consiglieremo mai un ruolo che esclude le autorizzazioni utilizzate dall'entità, in modo passivo o attivo, negli ultimi 90 giorni. Inoltre, utilizziamo il machine learning per identificare altre autorizzazioni di cui l'utente potrebbe avere bisogno.

Tuttavia, non possiamo garantire che i nostri consigli non provocheranno mai modifiche agli accessi. È possibile che l'applicazione di un consiglio non consenta all'entità di accedere a una risorsa necessaria. Ti consigliamo di consultare la pagina Come funziona il motore per suggerimenti IAM e di stabilire il livello di automazione che ti può interessare. Ad esempio, potresti decidere di applicare automaticamente la maggior parte dei consigli, ma richiedere una revisione manuale per i consigli che aggiungono o rimuovono un determinato numero di autorizzazioni o che prevedono la concessione o la revoca di un ruolo specifico.

Quando automatizza i consigli, può essere utile identificare per quale risorsa è consigliato un consiglio. Per identificare la risorsa, utilizza il campo operation.resource. Altri campi, ad esempio name, non rappresentano sempre la risorsa oggetto del consiglio.

Passaggi successivi