Práticas recomendadas para papéis

Sugerimos seguir as práticas abaixo para gerenciar as recomendações de papel.

Para mais informações sobre recomendações de papéis, consulte a visão geral de recomendações de papéis.

Primeiros passos com recomendações

As práticas recomendadas a seguir podem ajudar você a começar com as recomendações de papel.

  • Comece com uma limpeza inicial das permissões concedidas em excesso. Inicialmente, você poderá ver um número muito grande de recomendações, especialmente se muitos principais tiverem papéis altamente permissivos como o de Editor. Reserve um tempo para abordar todas as recomendações no projeto ou na organização a fim de garantir que todos os principais tenham os papéis apropriados.

    Ao fazer essa limpeza inicial, priorize os seguintes tipos de recomendações:

    • Recomendações que reduzem as permissões de contas de serviço. Por padrão, todas as contas de serviço padrão recebem o papel de editor altamente permissivo nos projetos. Outras contas de serviço que você gerencia também podem ter recebido papéis altamente permissivos. Todas as permissões concedidas em excesso aumentam o risco de segurança, incluindo contas de serviço excessivamente privilegiadas. Portanto, recomendamos priorizar as contas de serviço excessivamente privilegiadas durante a limpeza inicial.

    • Recomendações que ajudam a evitar o escalonamento de privilégios. Os papéis que permitem que os principais funcionem como uma conta de serviço (iam.serviceAccounts.actAs) ou que recebem ou definem a política de permissão para um recurso podem permitir que um participante encaminhe seu próprio privilégio. Priorize recomendações relacionadas a esses papéis.

    • Recomendações que reduzem o movimento lateral. O movimento lateral ocorre quando uma conta de serviço em um projeto tem permissão para personificar uma conta de serviço em outro. Essa permissão pode resultar em uma cadeia de representações entre projetos que fornece aos diretores acesso não intencional a recursos. Para atenuar esse acesso não intencional, priorize as recomendações associadas aos insights de movimento lateral.

    • Recomendações com alto nível de prioridade. As recomendações do IAM são atribuídas automaticamente a níveis de prioridade com base nas vinculações de papel às quais estão associadas. Priorize recomendações com um alto nível de prioridade para reduzir rapidamente as permissões concedidas em excesso.

      Para saber como a prioridade de uma recomendação é determinada, consulte Prioridade da recomendação.

    • Ao encontrar um principal com privilégios excessivos em um projeto, procure recomendações desse principal em outros projetos. Se um principal tiver recebido um papel excessivamente permissivo em um projeto, é possível que ele também tenha recebido papéis excessivamente permissivos em outros projetos. Revise as recomendações do membro em vários projetos para reduzir de forma global o acesso do membro ao nível apropriado.

  • Após a limpeza inicial, verifique suas recomendações regularmente. Verifique as recomendações pelo menos uma vez por semana. Essa verificação geralmente leva muito menos tempo que a limpeza inicial, porque você só precisará lidar com recomendações para alterações que ocorreram desde a última limpeza ou verificação.

    Verificar regularmente as permissões reduz o trabalho necessário para cada verificação e pode ajudar a identificar e remover proativamente usuários inativos, bem com continuar a reduzir o escopo de permissões para usuários ativos.

Práticas recomendadas para trabalhar com recomendações

Se você usar a API Recommender ou os comandos recommender da CLI gcloud para gerenciar recomendações, atualize o estado das recomendações que você aplica. Isso permite que você acompanhe suas recomendações e garanta que as alterações realizadas sejam exibidas nos registros de recomendações.

Práticas recomendadas para aplicar recomendações automaticamente

Para gerenciar suas recomendações com mais eficiência, convém automatizar o processo de aplicação das recomendações. Se você decidir usar a automação, lembre-se dos pontos a seguir.

O recomendador tenta fornecer recomendações que não causarão alterações interruptivas no acesso. Por exemplo, nunca recomendamos um papel que exclui permissões usadas por um principal, passivamente ou ativamente, nos últimos 90 dias. Também usamos machine learning para identificar outras permissões de que o usuário provavelmente precisará.

No entanto, não podemos garantir que nossas recomendações nunca causarão alterações interruptivas no acesso. É possível que a aplicação de uma recomendação faça com que um membro não consiga acessar um recurso necessário. Recomendamos que você leia Como funciona o recomendador do IAM e decida com quanta automação você se sente confortável. Por exemplo, você pode decidir aplicar a maioria das recomendações automaticamente, mas exigir uma revisão manual de recomendações que adicionem ou removem um determinado número de permissões, ou que envolvam conceder ou revogar um papel específico.

Ao automatizar recomendações, convém identificar para qual recurso uma recomendação é adequada. Para identificar o recurso, use o campo operation.resource. Outros campos, como o campo name, nem sempre representarão o recurso a que a recomendação se destina.

A seguir