Consigliamo le seguenti best practice per la gestione dei suggerimenti sui ruoli.
Per ulteriori informazioni sui suggerimenti relativi ai ruoli, consulta la panoramica dei suggerimenti sui ruoli.
Guida introduttiva ai consigli
Le best practice riportate di seguito possono aiutarti a iniziare con i suggerimenti sui ruoli.
Inizia con una pulizia iniziale delle autorizzazioni concesse in eccesso. All'inizio potresti visualizzare un numero molto elevato di consigli, soprattutto se molte entità hanno ruoli altamente permissivi, come Editor. Dedica del tempo ad applicare tutti i suggerimenti nel progetto o nell'organizzazione per assicurarti che tutte le entità abbiano i ruoli appropriati.
Quando esegui questa pulizia iniziale, dai la priorità ai seguenti tipi di suggerimenti:
Consigli che riducono le autorizzazioni per gli account di servizio. Per impostazione predefinita, a tutti gli account di servizio predefiniti viene concesso il ruolo Editor altamente permissivo sui progetti. Potrebbero essere stati concessi anche ruoli altamente permissivi ad altri account di servizio che gestisci. Tutte le autorizzazioni concesse in eccesso aumentano il rischio per la sicurezza, inclusi gli account di servizio con privilegi eccessivi, quindi ti consigliamo di dare la priorità agli account di servizio con privilegi eccessivi durante la pulizia iniziale.
Consigli che aiutano a prevenire l'escalation dei privilegi. I ruoli che consentono alle entità di agire come account di servizio (
iam.serviceAccounts.actAs) o di ottenere o impostare il criterio di autorizzazione per una risorsa possono potenzialmente consentire a un'entità di riassegnare il proprio privilegio. Dai la priorità ai suggerimenti relativi a questi ruoli.Consigli che riducono il movimento laterale. Lo spostamento laterale si verifica quando un account di servizio in un progetto è autorizzato a impersonare un account di servizio in un altro progetto. Questa autorizzazione può comportare una catena di rappresentazioni nei vari progetti che fornisce alle entità un accesso involontario alle risorse. Per mitigare questo accesso imprevisto, dai la priorità ai suggerimenti associati agli approfondimenti sullo spostamento laterale.
Consigli con un livello di priorità elevato. Ai suggerimenti IAM vengono assegnati automaticamente livelli di priorità in base alle associazioni di ruoli a cui sono associati. Dai la priorità ai suggerimenti con un livello di priorità elevato per ridurre rapidamente le autorizzazioni concesse in eccesso.
Per scoprire come viene determinata la priorità di un consiglio, consulta Priorità dei consigli.
Quando trovi un'entità con privilegi in eccesso in un progetto, verifica se in altri progetti sono presenti suggerimenti relativi all'entità in questione. Se a un'entità è stato concesso un ruolo eccessivamente permissivo in un progetto, è possibile che gli siano stati concessi ruoli eccessivamente permissivi anche in altri progetti. Esamina i suggerimenti per l'entità in più progetti per ridurre a livello globale l'accesso dell'entità al livello appropriato.
Dopo la pulizia iniziale, controlla regolarmente i consigli. Ti consigliamo di controllare i consigli almeno una volta alla settimana. Questo controllo di solito richiede molto meno tempo rispetto alla pulizia iniziale, perché dovrai solo applicare i suggerimenti per le modifiche apportate dall'ultima pulizia o controllo.
Controllare regolarmente le autorizzazioni riduce il lavoro necessario per ogni controllo e può aiutarti a identificare e rimuovere proattivamente gli utenti inattivi, nonché a continuare a ridurre l'ambito delle autorizzazioni per gli utenti attivi.
Best practice per l'utilizzo dei consigli
Se utilizzi l'API motore per suggerimenti o i comandi recommender per l'interfaccia a riga di comando gcloud per gestire i suggerimenti, assicurati di aggiornare lo stato dei suggerimenti applicati. In questo modo puoi tenere traccia dei consigli e assicurarti che le modifiche apportate vengano visualizzate nei log dei consigli.
Best practice per l'applicazione automatica dei consigli
Per gestire i suggerimenti in modo più efficiente, ti consigliamo di automatizzare il processo di applicazione dei suggerimenti. Se decidi di utilizzare l'automazione, tieni presente i seguenti punti.
Il motore per suggerimenti tenta di fornire suggerimenti che non provochino modifiche che provocano errori nell'accesso. Ad esempio, non consiglieremo mai un ruolo che escluda le autorizzazioni che un'entità ha utilizzato, passivamente o attivamente, negli ultimi 90 giorni. Utilizziamo anche il machine learning per identificare altre autorizzazioni di cui l'utente potrebbe avere bisogno.
Tuttavia, non possiamo garantire che i nostri suggerimenti non causeranno mai modifiche che provocano errori di accesso: è possibile che l'applicazione di un suggerimento impedisca a un'entità di accedere a una risorsa di cui ha bisogno. Ti consigliamo di esaminare il documento Come funziona il motore per suggerimenti IAM e di decidere il livello di automazione per cui ti senti a tuo agio. Ad esempio, potresti decidere di applicare automaticamente la maggior parte dei consigli, ma richiedere una revisione manuale per i consigli che aggiungono o rimuovono un determinato numero di autorizzazioni o che riguardano la concessione o la revoca di un ruolo specifico.
Quando automatizza i suggerimenti, ti consigliamo di identificare la risorsa a cui
si riferisce un suggerimento. Per identificare la risorsa, utilizza il campo operation.resource. Altri campi, come il campo name, non rappresenteranno sempre la risorsa per cui si riferisce il suggerimento.
Passaggi successivi
- Scopri i consigli sui ruoli.
- Scopri i passaggi per esaminare e applicare i consigli.
- Scopri come esportare i dati per i suggerimenti IAM.