Rollenempfehlungen

Mit Rollenempfehlungen können Sie unnötige Berechtigungen für Ihre Hauptkonten ermitteln und entfernen und so die Sicherheitskonfigurationen Ihrer Ressourcen verbessern.

Rollenempfehlungen

Rollenempfehlungen werden vom IAM-Recommender generiert. Der IAM-Recommender ist einer der Recommender von Recommender.

Jede Rollenempfehlung schlägt vor, eine Rolle zu entfernen oder zu ersetzen, die Ihren Hauptkonten unnötige Berechtigungen gewährt. Anhand dieser Empfehlungen können Sie das Prinzip der geringsten Berechtigung durchsetzen und Hauptkonten nur die Berechtigungen erteilen, die sie tatsächlich benötigen.

Der IAM-Recommender identifiziert nicht erforderliche Berechtigungen mithilfe von Richtlinienstatistiken. Richtlinienstatistiken sind ML-basierte Erkenntnisse zur Nutzung von Berechtigungen durch ein Hauptkonto.

Einige Empfehlungen beziehen sich auch auf Statistiken zum "Lateral Movement". Mit diesen Informationen werden Rollen identifiziert, mit denen Dienstkonten in einem Projekt die Identität von Dienstkonten in einem anderen Projekt übernehmen können. Weitere Informationen finden Sie unter Statistiken zum "Lateral Movement" generieren.

So werden Richtlinienstatistiken generiert

Richtlinienstatistiken zeigen die Berechtigungen in den Rollen eines Hauptkontos an, die das Hauptkonto nicht verwendet.

Der IAM-Recommender generiert Richtlinienstatistiken, indem er die Gesamtzahl der Berechtigungen eines Hauptkontos mit den Berechtigungen vergleicht, die das Hauptkonto in den letzten 90 Tagen verwendet hat. Wenn die Rolle vor weniger als 90 Tagen gewährt wurde, prüft der IAM-Recommender die Nutzung von Berechtigungen des Hauptkontos in der Zeit seit der Zuweisung der Rolle durch das Hauptkonto.

Es gibt mehrere Möglichkeiten, wie ein Hauptkonto eine Berechtigung verwenden kann:

  • Direkt durch Aufrufen einer API, die die Berechtigung benötigt

    Für die Methode roles.list in der IAM REST API ist beispielsweise die Berechtigung iam.roles.list erforderlich. Wenn Sie die Methode roles.list aufrufen, verwenden Sie die Berechtigung iam.roles.list.

    Ebenso nutzen Sie beim Aufrufen der Methode testIamPermissions für eine Ressource im Prinzip alle Berechtigungen, die Sie testen.

  • Indirekt, wenn die Google Cloud Console für die Nutzung von Google Cloud-Ressourcen verwendet wird

    In der Google Cloud Console können Sie beispielsweise eine Compute Engine-VM-Instanz bearbeiten, für die unterschiedliche Berechtigungen erforderlich sind, je nachdem, welche Einstellungen Sie ändern. In der Google Cloud Console werden jedoch auch die vorhandenen Einstellungen angezeigt, für die die Berechtigung compute.instances.get erforderlich ist.

    Wenn Sie eine VM-Instanz in der Google Cloud Console bearbeiten, verwenden Sie daher die Berechtigung compute.instances.get.

Der IAM-Recommender ermittelt mithilfe von maschinellem Lernen auch Berechtigungen in der aktuellen Rolle eines Hauptkontos, die das Hauptkonto wahrscheinlich in Zukunft benötigt, auch wenn das Hauptkonto diese Berechtigungen in letzter Zeit nicht verwendet hat. Weitere Informationen finden Sie auf dieser Seite unter Maschinelles Lernen für Richtlinienstatistiken.

Richtlinienstatistiken werden nicht für alle IAM-Rollen generiert, die Hauptkonten gewährt werden. Weitere Informationen darüber, warum eine Rolle möglicherweise keine Richtlinienstatistiken hat, finden Sie auf dieser Seite unter Verfügbarkeit.

Informationen zum Verwalten von Richtlinienstatistiken finden Sie unter Richtlinienstatistiken für Projekte, Ordner und Organisationen verwalten oder Richtlinienstatistiken für Cloud Storage-Buckets verwalten.

Maschinelles Lernen für Richtlinienstatistiken

In manchen Fällen benötigt ein Hauptkonto möglicherweise bestimmte Berechtigungen, die in seinen aktuellen Rollen enthalten sind, aber in letzter Zeit nicht verwendet wurden. Zur Identifizierung dieser Berechtigungen verwendet der IAM-Recommender beim Generieren von Richtlinienstatistiken ein Modell für maschinelles Lernen (ML).

Dieses ML-Modell wird mit mehreren Gruppen von Signalen trainiert:

  • Häufig auftretende gemeinsame Muster im ermittelten Verlauf: Die Tatsache, dass ein Nutzer in der Vergangenheit die Berechtigungen A, B und C genutzt hat, gibt einen Hinweis darauf, dass A, B und C in irgendeiner Weise zusammengehören und dass sie zusammen benötigt werden, um eine Aufgabe in Google Cloud auszuführen. Wenn das ML-Modell dieses Muster häufig genug feststellt, wird angenommen, dass ein anderer Nutzer möglicherweise auch die Berechtigung C benötigt, wenn er das nächste Mal die Berechtigungen A und B nutzt.

  • In die Rollendefinitionen eingebundene Fachkompetenz: IAM bietet Hunderte vordefinierter dienstspezifischer Rollen. Wenn eine vordefinierte Rolle eine Reihe von Berechtigungen enthält, ist dies ein deutlicher Hinweis darauf, dass diese Berechtigungen gemeinsam gewährt werden sollten.

Zusätzlich zu diesen Hinweisen verwendet das Modell auch Worteinbettung, um die semantische Ähnlichkeit der Berechtigungen zu berechnen. Semantisch ähnliche Berechtigungen liegen nach der Einbettung "nahe" beisammen und werden eher gemeinsam erteilt. Beispiel: bigquery.datasets.get und bigquery.tables.list liegen nach der Einbettung sehr nahe beieinander.

Alle Daten, die in der IAM-Recommender-ML-Pipeline verwendet werden, haben eine k-Anonymität. Das bedeutet, dass einzelne Personen im anonymisierten Dataset nicht neu identifiziert werden können. Um dieses Maß an Anonymität zu gewährleisten, entfernen wir alle personenbezogenen Daten, z. B. die Nutzer-ID bei den einzelnen Nutzungsmustern der Berechtigung. Anschließend werden alle Nutzungsmuster gelöscht, die in Google Cloud nicht häufig genug auftreten. Das globale Modell wird dann mit diesen anonymisierten Daten trainiert.

Das globale Modell kann mithilfe von föderiertem Lernen für jede Organisation weiter angepasst werden. Dies ist ein maschinelles Lernverfahren, das ML-Modelle trainiert, ohne Daten zu exportieren.

So werden Rollenempfehlungen generiert

Wenn aus einer Richtlinienstatistik hervorgeht, dass ein Hauptkonto nicht alle Berechtigungen für seine Rolle benötigt, bewertet der IAM-Recommender die Rolle, um festzustellen, ob sie widerrufen werden könnte oder ob es eine andere Rolle gibt, die besser geeignet ist. Wenn die Rolle widerrufen werden kann, generiert der IAM-Recommender eine Rollenempfehlung zum Widerrufen der Rolle. Wenn es eine andere Rolle gibt, die besser passt, generiert der IAM-Recommender eine Rollenempfehlung, um die Rolle durch eine vorgeschlagene Rolle zu ersetzen. Diese empfohlene Rolle kann eine vorhandene oder eine neue benutzerdefinierte Rolle oder auch eine oder mehrere vordefinierte Rollen sein. Außer im Fall der Empfehlungen für Dienst-Agents schlägt eine Rollenempfehlung niemals eine Änderung vor, die die Zugriffsebene eines Hauptkontos erhöht.

Rollenempfehlungen werden ausschließlich basierend auf IAM-Zugriffssteuerungen generiert. Andere Arten von Zugriffssteuerungen wie Access Control Lists (ACLs) und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Kubernetes werden dabei nicht berücksichtigt. Wenn Sie andere Arten von Zugriffssteuerungen nutzen, sollten Sie die Empfehlungen sorgfältig prüfen und beachten, wie diese Zugriffssteuerungen und Ihre "allow"-Richtlinien zusammenhängen.

Außerdem werden keine Rollenempfehlungen für alle IAM-Rollen generiert, die Hauptkonten gewährt werden. Weitere Informationen dazu, warum eine Rolle möglicherweise keine Rollenempfehlung hat, finden Sie auf dieser Seite unter Verfügbarkeit.

Beobachtungszeitraum

Der Beobachtungszeitraum einer Rollenempfehlung ist die Anzahl der Tage mit Nutzungsdaten für Berechtigungen, auf denen die Empfehlung basiert.

Der Beobachtungszeitraum für Rollenempfehlungen beträgt 90 Tage. Das bedeutet, dass der IAM-Recommender höchstens die Nutzungsdaten der letzten 90 Tage verwendet, um Rollenempfehlungen zu generieren.

Der IAM-Recommender beginnt auch mit dem Generieren von Rollenempfehlungen erst, wenn eine bestimmte Anzahl von Tagen an Berechtigungsdaten genutzt wurde. Diese Dauer wird als minimale Beobachtungszeitraum bezeichnet. Standardmäßig beträgt der minimale Beobachtungszeitraum 90 Tage. Für Rollenempfehlungen auf Projektebene können Sie ihn jedoch manuell auf 30 oder 60 Tage festlegen. Weitere Informationen finden Sie unter Generieren von Rollenempfehlungen konfigurieren. Wenn Sie den minimalen Beobachtungszeitraum auf weniger als 90 Tage festlegen, erhalten Sie die Empfehlungen früher. Allerdings kann die Genauigkeit der Empfehlungen beeinträchtigt werden.

Wenn seit dem Gewähren der Rolle länger als der minimale Beobachtungszeitraum, aber weniger als 90 Tage vergangen sind, ist der Beobachtungszeitraum die seit der Zuweisung der Rolle vergangene Zeit.

Neue benutzerdefinierte Rollen in Rollenempfehlungen

Wenn der IAM-Recommender Ersatz für eine Rolle vorschlägt, schlägt er immer eine vorhandene benutzerdefinierte Rolle oder eine oder mehrere vordefinierte Rollen vor, die den Anforderungen des Hauptkontos besser entsprechen.

Wenn der IAM-Recommender ein gemeinsames Nutzungsmuster für Berechtigungen in Ihrer Organisation ermittelt, das nicht einer vorhandenen vordefinierten oder benutzerdefinierten Rolle zugeordnet ist, empfiehlt er möglicherweise auch, eine neue benutzerdefinierte Rolle auf Projektebene zu erstellen. Diese benutzerdefinierte Rolle enthält nur die empfohlenen Berechtigungen. Sie können die Empfehlungen für benutzerdefinierte Rollen ändern und Berechtigungen hinzufügen oder entfernen.

Um das Prinzip der geringsten Berechtigung so strikt wie möglich umzusetzen, sollten Sie die neue benutzerdefinierte Rolle anwenden. Der IAM-Recommender erstellt die benutzerdefinierte Rolle auf Projektebene. Dabei sind Sie für die Verwaltung und Aktualisierung der benutzerdefinierten Rollen für Ihre Projekte verantwortlich.

Wenn Sie eine Rolle verwenden möchten, die für Sie verwaltet wird, wählen Sie die vordefinierte Rolle aus. Google Cloud aktualisiert diese Rollen regelmäßig durch Hinzufügen oder Entfernen von Berechtigungen. Wenn Sie über diese Aktualisierungen benachrichtigt werden möchten, abonnieren Sie den Nachrichten-Feed für das Änderungslog der IAM-Berechtigungen. Wenn Sie die vordefinierte Rolle auswählen, hat das Hauptkonto weiterhin mindestens einige Berechtigungen und möglicherweise eine große Anzahl von Berechtigungen, die es nicht verwendet hat.

Der IAM-Recommender empfiehlt in den folgenden Fällen keine neuen benutzerdefinierten Rollen:

  • Die Empfehlung gilt für eine Rolle auf Ordner- oder Organisationsebene.
  • Ihre Organisation enthält bereits 100 oder mehr benutzerdefinierte Rollen.
  • Ihr Projekt enthält bereits 25 oder mehr benutzerdefinierte Rollen.

Außerdem empfiehlt der IAM-Recommender nicht mehr als 5 neue benutzerdefinierte Rollen pro Tag in jedem Projekt und nicht mehr als 15 neue benutzerdefinierte Rollen in der gesamten Organisation.

Statistiken zum "Lateral Movement" generieren

Ein "Lateral Movement" besteht, wenn ein Dienstkonto in einem Projekt die Berechtigung hat, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Beispielsweise kann es sein, dass ein Dienstkonto in Projekt A erstellt wurde, aber berechtigt ist, die Identität eines Dienstkontos in Projekt B zu übernehmen.

Diese Berechtigungen können zu einer Kette von Identitätsübertragungen über Projekte hinweg führen, die Hauptkonten unbeabsichtigten Zugriff auf Ressourcen gewähren. Wenn ein Hauptkonto beispielsweise die Identität des Dienstkontos in Projekt A übernimmt, können die zugehörigen Berechtigungen auch die Übernahme der Identität des Dienstkontos in Projekt B ermöglichen. Wenn das Dienstkonto in Projekt B die Berechtigung hat, die Identität anderer Dienstkonten in anderen Projekten Ihrer Organisation zu übernehmen, kann das Hauptkonto weiterhin die Identität des Dienstkontos verwenden, um von Projekt zu Projekt zu wechseln. Dabei werden die Berechtigungen übernommen.

Der IAM-Recommender generiert Statistiken zur seitlichen Bewegung, indem er Rollen ermittelt, die die folgenden Kriterien erfüllen:

  • Das Hauptkonto, dem die Rolle gewährt wurde, ist ein Dienstkonto, das nicht im Projekt erstellt wurde.

  • Die Rolle enthält eine der folgenden Berechtigungen, mit denen ein Hauptkonto die Identität eines Dienstkontos übernehmen kann:

    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.getAccessToken
    • iam.serviceAccounts.getOpenIdToken
    • iam.serviceAccounts.implicitDelegation
    • iam.serviceAccounts.signBlob
    • iam.serviceAccounts.signJwt

Wenn eine Rolle diese Kriterien erfüllt, generiert der IAM-Recommender eine Statistik zu seitlichen Bewegungen für die Rolle. Diese Statistik enthält Informationen zu den Möglichkeiten des Dienstkontos, die Identitäten zu übernehmen, einschließlich der Dienstkonten, die es übernehmen kann, und ob in den letzten 90 Tagen Berechtigungen zur Identitätsübernahme genutzt wurden.

Der IAM-Recommender verwendet keine Insights zur seitlichen Bewegung, um neue Rollenempfehlungen zu generieren. Das liegt daran, dass der IAM-Recommender nicht sicher vorschlagen kann, diese Berechtigungen zu entfernen, wenn ein Dienstkonto seine Berechtigungen zur Identitätsübernahme verwendet. Wenn eine Rollenempfehlung jedoch vorschlägt, diese Berechtigungen zu entfernen, da sie nicht verwendet werden, verknüpft der IAM-Recommender die Informationen zur seitlichen Bewegung mit dieser Empfehlung. Diese Verknüpfung hilft Ihnen, Rollenempfehlungen für Dienstkonten zu priorisieren, die leistungsstarke, nicht verwendete Identitätswechselberechtigungen für Projekte haben.

Informationen zum Verwalten von Statistiken für "Lateral Movement" finden Sie unter Statistiken zum "Lateral Movement" verwalten.

Verfügbarkeit

Richtlinienstatistiken, Statistiken zur seitlichen Bewegung und Rollenempfehlungen werden nicht für alle Rollen generiert, die Hauptkonten zugewiesen sind. Lesen Sie die folgenden Abschnitte, um mehr über die Rollen zu erfahren, für die Richtlinienstatistiken, Statistiken zur seitlichen Bewegung und Empfehlungen generiert werden.

Verfügbarkeit von Richtlinienstatistiken

Damit der IAM-Recommender eine Richtlinienstatistik für eine Rolle generieren kann, muss Folgendes zutreffen:

  • Die IAM-Zulassungsrichtlinie, die die Rolle gewährt, muss an eine der folgenden Ressourcen angehängt werden:

    • Cloud Storage-Bucket
    • BigQuery-Dataset
    • Projekt
    • Ordner
    • Organisation

    Der IAM-Recommender generiert nur Richtlinienstatistiken für Rollen, die für diese Ressourcen gewährt wurden.

  • Die Rollenbindung, durch die die Rolle zugewiesen wird, darf keine Bedingung haben. Der IAM-Recommender generiert keine Richtlinienstatistiken für bedingte Rollenbindungen.

  • Das Hauptkonto, dem die Rolle gewährt wurde, muss einen der folgenden Hauptkontotypen haben:

    Weitere Informationen zu Hauptkontotypen finden Sie unter Hauptkennungen.

Es kann bis zu zehn Tage dauern, bis der IAM-Recommender Richtlinienstatistiken für eine neu zugewiesene Rolle generiert.

Vorhandene Richtlinienstatistiken werden täglich anhand Ihrer letzten Berechtigungsnutzung aktualisiert. Die Daten, auf denen die Richtlinienstatistiken basieren, liegen jedoch normalerweise bis zu zwei Tage hinter der tatsächlichen Nutzung zurück.

Verfügbarkeit von Statistiken zum "Lateral Movement"

Statistiken zur seitlichen Bewegung werden für Rollen generiert, die für die folgenden Ressourcen gewährt werden:

  • Organisationen
  • Ordner
  • Projekte
  • Dienstkonten

Verfügbarkeit von Rollenempfehlungen

Damit der IAM-Recommender eine Rollenempfehlung für eine Rolle generieren kann, muss Folgendes zutreffen:

  • Mit der Rolle muss eine Richtlinienstatistik verknüpft sein. Diese Richtlinie dient als Grundlage für die Empfehlung.
  • Seit der Zuweisung der Rolle muss länger als der minimale Beobachtungszeitraum vergangen sein. Dadurch wird sichergestellt, dass dem IAM-Recommender genügend Nutzungsdaten für eine Empfehlung zur Verfügung stehen. Standardmäßig beträgt der Mindest-Beobachtungszeitraum 90 Tage. Sie können ihn jedoch manuell auf 30 oder 60 Tage festlegen. Weitere Informationen finden Sie unter Generieren von Rollenempfehlungen konfigurieren.
  • Wenn das Hauptkonto, dem die Rolle gewährt wurde, ein Dienst-Agent ist, muss die Rolle „Inhaber“, „Bearbeiter“ oder „Betrachter“ sein. Der IAM-Recommender generiert keine Rollenempfehlungen für Dienst-Agents mit anderen Rollen. Weitere Informationen finden Sie unter Rollenempfehlungen für Dienst-Agents.

Wenn eine Rolle erst vor Kurzem gewährt wurde oder keine Statistiken enthält, wird in der Spalte Analysierte Berechtigungen in der Google Cloud Console das Symbol angezeigt.

Es gibt Fälle, in denen der IAM-Recommender keine Rollenempfehlungen für eine Rolle generiert, obwohl genügend Zeit vergangen ist und der Rolle eine Information zugeordnet ist. Das kann folgende Gründe haben:

  • Es sind keine vordefinierten IAM-Rollen vorhanden, die besser geeignet sind als die aktuelle Rolle. Wenn ein Hauptkonto bereits eine vordefinierte Rolle hat, die seine Berechtigungen minimiert oder weniger Berechtigungen als andere vordefinierte Rollen enthält, kann der IAM-Recommender keine andere vordefinierte Rolle empfehlen.

    Sie können eventuell die Berechtigungen des Hauptkontos einschränken und dafür eine benutzerdefinierte Rolle für das Hauptkonto erstellen.

  • Das Hauptkonto ist ein Dienst-Agent und die Rolle keine einfache Rolle. Der IAM-Recommender generiert nur Rollenempfehlungen für Dienst-Agents mit einer einfachen Rolle (Inhaber, Bearbeiter oder Betrachter). Weitere Informationen finden Sie unter Rollenempfehlungen für Dienst-Agents.

  • Kein anderes Hauptkonto hat die einfache Rolle "Inhaber" für das Projekt. Für jedes Projekt muss mindestens ein Hauptkonto die Rolle "Inhaber" (roles/owner) haben. Wenn nur ein Hauptkonto diese Rolle hat, wird vom IAM-Recommender nicht empfohlen, die Rolle zu widerrufen oder zu ersetzen.

In diesen Fällen wird in der Spalte Analysierte Berechtigungen in der Google Cloud Console die Berechtigungsnutzung des Hauptkontos angezeigt, aber nicht das Symbol Empfehlung verfügbar .

Vorhandene Rollenempfehlungen werden täglich anhand Ihrer letzten Berechtigungsnutzung aktualisiert. Die Daten, auf denen die Rollenempfehlungen basieren, liegen jedoch in der Regel bis zu zwei Tage hinter Ihrer tatsächlichen Nutzung zurück.

Priorität und Schweregrad

Die Empfehlungspriorität und der Schweregrad von Statistiken helfen Ihnen, die Dringlichkeit einer Empfehlung oder Statistik zu verstehen und entsprechend zu priorisieren.

Rollenempfehlungspriorität

Den Empfehlungen werden Prioritätsstufen zugewiesen, basierend auf ihrer empfundenen Dringlichkeit. Die Prioritätsstufen reichen von P0 (höchste Priorität) bis P4 (niedrigste Priorität).

Die Priorität einer Rollenempfehlung hängt von der Rolle ab, für die die Empfehlung gilt:

Details zur Empfehlung Priorität Erklärung
Empfehlungen für Rollen, die öffentlichen Zugriff auf Cloud Storage-Buckets gewähren P1 Öffentlich zugängliche Buckets sind für jeden im Internet zugänglich. Wenn Sie den öffentlichen Zugriff entfernen, haben Sie mehr Kontrolle über Ihre Daten.
Empfehlungen für Rollen, die öffentlichen Zugriff auf BigQuery-Datasets gewähren P1 Öffentlich zugängliche Datasets sind für jeden im Internet zugänglich. Wenn Sie den öffentlichen Zugriff entfernen, haben Sie mehr Kontrolle über Ihre Daten.
Empfehlungen für einfache Rollen (Inhaber, Bearbeiter und Betrachter), die für ein Projekt, einen Ordner oder eine Organisation gewährt werden P2 Einfache Rollen sind sehr moderat. Durch das Anwenden von Empfehlungen für diese Rollen können unnötige Berechtigungen erheblich reduziert werden.
Empfehlungen, die keinen öffentlichen Zugriff oder einfache Rollen gewähren P4 Diese Empfehlungen helfen Ihnen zwar, nicht erforderliche Berechtigungen zu reduzieren, entfernen den öffentlichen Zugriff oder stark moderate einfache Rollen jedoch nicht, wodurch sie eine niedrigere Priorität haben.

Schweregrad der Insights

Den Statistiken werden Schweregrade zugewiesen, die auf ihrer empfundene Dringlichkeit basieren. Schweregradstufen können LOW, MEDIUM, HIGH oder CRITICAL sein.

Der Schweregrad einer Richtlinienstatistik hängt von der Rolle ab, für die die Statistik gilt:

Statistikdetails Schweregrad Erklärung
Statistiken zu Rollen, die öffentlichen Zugriff auf Cloud Storage-Buckets gewähren CRITICAL Öffentlich zugängliche Buckets sind für jeden im Internet zugänglich. Wenn Sie den öffentlichen Zugriff entfernen, haben Sie mehr Kontrolle über Ihre Daten.
Statistiken zu Rollen, die öffentlichen Zugriff auf BigQuery-Datasets gewähren CRITICAL Öffentlich zugängliche Datasets sind für jeden im Internet zugänglich. Wenn Sie den öffentlichen Zugriff entfernen, haben Sie mehr Kontrolle über Ihre Daten.
Statistiken für einfache Rollen (Inhaber, Bearbeiter und Betrachter), die für ein Projekt, einen Ordner oder eine Organisation gewährt werden HIGH Einfache Rollen sind äußerst moderat. Die Ermittlung von Statistiken für diese Rollen kann die Anzahl unnötiger Berechtigungen erheblich reduzieren.
Statistiken, die keinen öffentlichen Zugriff oder keine einfachen Rollen gewähren LOW Diese Informationen lassen zwar auf nicht erforderliche Berechtigungen hinweisen, erfordern aber weder den öffentlichen Zugriff noch Berechtigungen mit weitreichenden einfachen Rollen, weshalb diese eine geringere Priorität haben.

Alle Statistiken zum "Lateral Movement" haben den Schweregrad LOW.

So werden Rollenempfehlungen angewendet

Der IAM-Recommender wendet Empfehlungen nicht automatisch an. Stattdessen müssen Sie Ihre Empfehlungen prüfen und entscheiden, ob Sie sie anwenden oder ablehnen möchten. Informationen zum Prüfen, Anwenden und Ablehnen von Rollenempfehlungen finden Sie in den folgenden Anleitungen:

Audit-Logging

Wenn Sie eine Empfehlung übernehmen oder ablehnen, erstellt der IAM-Recommender einen Logeintrag. Sie können diese Einträge im Empfehlungsverlauf oder in Ihren Google Cloud-Audit-Logs ansehen.

Untertypen von Rollenempfehlungen

Rollenempfehlungen werden je nach empfohlener Aktion in mehrere Untertypen aufgeteilt. Wenn Sie die gcloud CLI oder die REST API verwenden, können Sie Ihre Empfehlungen mithilfe dieser Untertypen filtern.

Untertyp Beschreibung
REMOVE_ROLE Eine Empfehlung zum Entfernen der Rolle des Hauptkontos auf Projekt-, Ordner- oder Organisationsebene.
REMOVE_ROLE_BIGQUERY_DATASET Eine Empfehlung, die Rolle des Hauptkontos auf Dataset-Ebene zu entfernen.
REMOVE_ROLE_STORAGE_BUCKET Eine Empfehlung zum Entfernen der Rolle des Hauptkontos auf Bucket-Ebene.
REPLACE_ROLE Eine Empfehlung, die Rolle des Hauptkontos auf Projekt-, Ordner- oder Organisationsebene durch eine Rolle mit weniger Berechtigungen zu ersetzen. Der empfohlene Ersatz kann eine vorhandene benutzerdefinierte Rolle oder eine oder mehrere vordefinierte Rollen sein.
REPLACE_ROLE_CUSTOMIZABLE Eine Empfehlung, die Rolle des Hauptkontos durch eine neue benutzerdefinierte Rolle zu ersetzen, die weniger moderat als seine aktuelle Rolle ist.
REPLACE_ROLE_BIGQUERY_DATASET Eine Empfehlung, die Rolle des Hauptkontos auf Dataset-Ebene durch eine weniger moderate Rolle zu ersetzen. Der empfohlene Ersatz kann eine vorhandene benutzerdefinierte Rolle oder eine oder mehrere vordefinierte Rollen sein.
REPLACE_ROLE_STORAGE_BUCKET Eine Empfehlung, die Rolle des Hauptkontos auf Bucket-Ebene durch eine weniger moderate Rolle zu ersetzen. Der empfohlene Ersatz kann eine vorhandene benutzerdefinierte Rolle oder eine oder mehrere vordefinierte Rollen sein.
SERVICE_AGENT_WITH_DEFAULT_ROLE Eine Empfehlung, die Rolle „Owner“, „Editor“ oder „Viewer“ eines Dienst-Agents durch die Rolle zu ersetzen, die dem Dienstkonto bei dessen Erstellung automatisch gewährt wurde. Weitere Informationen finden Sie unter Rollenempfehlungen für Dienst-Agents.
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE Eine Empfehlung, die Rolle „Owner“, „Editor“ oder „Viewer“ eines Dienst-Agents durch eine weniger umfangreiche Rolle zu ersetzen. Weitere Informationen finden Sie unter Rollenempfehlungen für Dienst-Agents.

Rollenempfehlungen für Dienst-Agents

Für Dienst-Agents bietet der IAM-Recommender nur Empfehlungen für einfache Rollen (Inhaber, Bearbeiter oder Betrachter).

Empfehlungen für Dienst-Agents werden in zwei Untertypen unterteilt.

SERVICE_AGENT_WITH_DEFAULT_ROLE

Beim Erstellen wird einigen Dienst-Agents automatisch eine Dienst-Agent-Rolle zugewiesen, damit Ihre Google Cloud-Dienste ordnungsgemäß funktionieren. Wenn Sie diese Rolle durch eine einfache Rolle (Inhaber, Bearbeiter oder Betrachter) ersetzen, schlägt eine Rollenempfehlung möglicherweise vor, die ursprüngliche Dienst-Agent-Rolle wiederherzustellen, um nicht erforderliche Berechtigungen zu entfernen, auch wenn die Dienst-Agent-Rolle Berechtigungen hat, die nicht in der einfachen Rolle enthalten sind. Diese Empfehlungen haben den Untertyp SERVICE_AGENT_WITH_DEFAULT_ROLE. Damit können Sie nicht erforderliche Berechtigungen sicher entfernen und gleichzeitig dafür sorgen, dass alle Google Cloud-Dienste ordnungsgemäß funktionieren.

SERVICE_AGENT_WITH_DEFAULT_ROLE-Empfehlungen sind der einzige Typ von Empfehlung, der möglicherweise Rollen mit Berechtigungen vorschlagen kann, die nicht in der aktuellen Rolle enthalten sind.

SERVICE_AGENT_WITHOUT_DEFAULT_ROLE

Wenn einem Dienst-Agent bei der Erstellung nicht automatisch eine Rolle zugewiesen wird, basieren die Empfehlungen für den Dienst-Agent ausschließlich auf den Berechtigungen, die der Dienst-Agent verwendet. Diese Empfehlungen haben den Untertyp SERVICE_AGENT_WITHOUT_DEFAULT_ROLE.

Rollenempfehlungen in Security Command Center

Wenn Sie die Premium-Stufe von Security Command Center haben, können Sie einige Untertypen von Rollenempfehlungen als Ergebnisse in Security Command Center ansehen. Jeder Untertyp ist einem Detektor zugeordnet:

Empfehlungsuntertyp Ergebniskategorie
REMOVE_ROLE Unused IAM role
REPLACE_ROLE IAM role has excessive permissions
SERVICE_AGENT_WITH_DEFAULT_ROLE Service agent role replaced with basic role
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE Service agent granted basic role

Weitere Informationen zum Aufrufen von Rollenempfehlungen in Security Command Center finden Sie unter IAM Recommender in der Dokumentation zu Security Command Center.

Preise

Rollenempfehlungen auf Projekt-, Ordner- und Organisationsebene für einfache Rollen sind kostenlos verfügbar.

Die folgenden erweiterten IAM-Recommender-Funktionen erfordern eine Aktivierung der Premium-Stufe von Security Command Center auf Organisationsebene:

  • Empfehlungen für Rollen, die nicht zu den einfachen Rollen gehören
  • Empfehlungen für Rollen, die für andere Ressourcen als Organisationen, Ordner und Projekte gewährt wurden, z. B. Empfehlungen für Rollen, die Cloud Storage-Buckets zugewiesen wurden
  • Empfehlungen, die benutzerdefinierte Rollen vorschlagen
  • Richtlinienstatistiken
  • Informationen zu Lateralbewegungen

Weitere Informationen finden Sie unter Fragen zur Abrechnung.

Beispiele für Rollenempfehlungen

Die folgenden Beispiele zeigen verschiedene Arten von möglichen Empfehlungen.

Vorhandene Rolle widerrufen

Dem Nutzer my-user@example.com wurde in einem Projekt die Rolle „Sucher“ zugewiesen. Die Rolle „Sucher“ umfasst sechs Berechtigungen, mit denen sich der Nutzer Ressourcen im Projekt ansehen kann. In den letzten 90 Tagen hat sich my-user@example.com jedoch keine Ressourcen angesehen.

Daher generiert der IAM-Recommender eine Rollenempfehlung, die vorschlägt, die Browserrolle für my-user@example.com zu widerrufen:

Console

gcloud

{
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
    }
  ],
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "remove",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/browser"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    ],
    "overview": {
      "member": "user:my-user@example.com",
      "removedRole": "roles/browser",
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
    }
  },
  "description": "This role has not been used during the observation window.",
  "etag": "\"9fc3241da8bfab51\"",
  "lastRefreshTime": "2022-05-20T07:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 6
      }
    }
  },
  "priority": "P4",
  "recommenderSubtype": "REMOVE_ROLE",
  "stateInfo": {
    "state": "ACTIVE"
  }
}

REST

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
  "description": "This role has not been used during the observation window.",
  "lastRefreshTime": "2022-05-20T07:00:00Z",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 6
      }
    }
  },
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "remove",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/browser"
            }
          }
        ]
      }
    ],
    "overview": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "member": "user:my-user@example.com",
      "removedRole": "roles/browser"
    }
  },
  "stateInfo": {
    "state": "ACTIVE"
  },
  "etag": "\"9fc3241da8bfab51\"",
  "recommenderSubtype": "REMOVE_ROLE",
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
    }
  ],
  "priority": "P4"
}

Vorhandene Rolle ersetzen

Einem Dienstkonto wurde die Rolle „Bearbeiter“ (roles/editor) für ein Projekt zugewiesen. Diese einfache Rolle umfasst mehr als 3.000 Berechtigungen und ermöglicht umfassenden Zugriff auf das Projekt. In den letzten 90 Tagen hat das Dienstkonto nur wenige dieser Berechtigungen verwendet.

Daher generiert der IAM-Recommender eine Rollenempfehlung, in der vorgeschlagen wird, die Rolle „Bearbeiter“ zu widerrufen und durch eine Kombination aus zwei anderen Rollen zu ersetzen. Dadurch werden Tausende nicht erforderliche Berechtigungen entfernt:

Console

gcloud

{
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
    }
  ],
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "add",
            "path": "/iamPolicy/bindings/*/members/-",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/iam.serviceAccountUser"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "value": "user:my-user@example.com"
          },
          {
            "action": "add",
            "path": "/iamPolicy/bindings/*/members/-",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "value": "user:my-user@example.com"
          },
          {
            "action": "remove",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/editor"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    ],
    "overview": {
      "addedRoles": [
        "roles/iam.serviceAccountUser",
        "roles/storage.objectAdmin"
      ],
      "member": "user:my-user@example.com",
      "minimumObservationPeriodInDays": "0",
      "removedRole": "roles/editor",
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
    }
  },
  "description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
  "etag": "\"0da9a354c2a83d96\"",
  "lastRefreshTime": "2022-06-22T07:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 2998
      }
    }
  },
  "priority": "P2",
  "recommenderSubtype": "REPLACE_ROLE",
  "stateInfo": {
    "state": "ACTIVE"
  }
}

REST

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
  "description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
  "lastRefreshTime": "2022-06-22T07:00:00Z",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 2998
      }
    }
  },
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "add",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/-",
            "value": "user:my-user@example.com",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/iam.serviceAccountOwner"
            }
          },
          {
            "action": "add",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/-",
            "value": "user:my-user@example.com",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
            }
          },
          {
            "action": "remove",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/editor"
            }
          }
        ]
      }
    ],
    "overview": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "member": "user:my-user@example.com",
      "removedRole": "roles/editor",
      "addedRoles": [
        "roles/iam.serviceAccountUser",
        "roles/storage.objectAdmin"
      ],
      "minimumObservationPeriodInDays": "0"
    }
  },
  "stateInfo": {
    "state": "ACTIVE"
  },
  "etag": "\"0da9a354c2a83d96\"",
  "recommenderSubtype": "REPLACE_ROLE",
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
    }
  ],
  "priority": "P2"
}

Benutzerdefinierte Rolle erstellen

Dem Nutzer my-user@example.com wurde für ein Projekt die Rolle „Cloud Trace-Administrator“ (roles/cloudtrace.admin) zugewiesen. Die Rolle enthält mehr als 10 Berechtigungen. Richtlinienstatistiken zeigen jedoch, dass my-user@example.com in den letzten 90 Tagen nur 4 dieser Berechtigungen genutzt hat.

Daher generiert der IAM-Recommender eine Rollenempfehlung, die Ihnen vorschlägt, eine benutzerdefinierte Rolle zu erstellen, die nur die Berechtigungen enthält, die my-user@example.com tatsächlich verwendet hat:

Console

gcloud

Der Untertyp REPLACE_ROLE_CUSTOMIZABLE gibt an, dass der IAM-Recommender empfiehlt, eine benutzerdefinierte Rolle mit den verwendeten Berechtigungen zu erstellen. Die verwendeten Berechtigungen können Sie unter [Verknüpfte Richtlinieninformationen abrufen][get-policy-insight] abrufen.

{
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
    }
  ],
  "associatedResourceNames": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "add",
            "path": "/iamPolicy/bindings/*/members/-",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "value": "user:my-user@example.com"
          },
          {
            "action": "remove",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    ],
    "overview": {
      "minimumObservationPeriodInDays": "0"
    }
  },
  "description": "Replace the current role with a smaller role to cover the permissions needed.",
  "etag": "\"c7f57a4725d32d66\"",
  "lastRefreshTime": "2022-06-22T07:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
  "originalContent": {},
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {},
      "revokedIamPermissionsCount": 1
    }
  },
  "priority": "P4",
  "recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

REST

Der Untertyp REPLACE_ROLE_CUSTOMIZABLE gibt an, dass der IAM-Recommender empfiehlt, eine benutzerdefinierte Rolle mit den verwendeten Berechtigungen zu erstellen. Die verwendeten Berechtigungen können Sie unter [Verknüpfte Richtlinieninformationen abrufen][get-policy-insight] abrufen.

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
  "description": "Replace the current role with a smaller role to cover the permissions needed.",
  "lastRefreshTime": "2022-06-22T07:00:00Z",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 1
      }
    }
  },
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "add",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/-",
            "value": "user:my-user@example.com",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
            }
          },
          {
            "action": "remove",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
            }
          }
        ]
      }
    ],
    "overview": {
      "minimumObservationPeriodInDays": "0"
    }
  },
  "stateInfo": {
    "state": "ACTIVE"
  },
  "etag": "\"c7f57a4725d32d66\"",
  "recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
    }
  ],
  "priority": "P4"
}

Die Rollenempfehlung schlägt auch eine weitere Option vor, wodurch die vorhandene Rolle durch die Rolle „Cloud Trace-Nutzer“ (roles/cloudtrace.user) ersetzt wird. Diese vordefinierte Rolle umfasst etwas weniger Berechtigungen als die Rolle „Cloud Trace-Administrator“.

Rollenaustausch mit von maschinellem Lernen vorgeschlagenen Berechtigungen

Einem Dienstkonto wurde die Rolle „Bearbeiter“ (roles/editor) für ein Projekt zugewiesen. Diese einfache Rolle umfasst mehr als 3.000 Berechtigungen und gewährt umfassenden Zugriff auf ein Projekt. Eine Richtlinienstatistik gibt jedoch an, dass das Dienstkonto in den letzten 90 Tagen weniger als 10 Berechtigungen genutzt hat.

Die Richtlinienstatistik zeigt auch mehrere Berechtigungen an, die das Dienstkonto in Zukunft benötigen wird. Der IAM-Recommender hat diese Berechtigungen mithilfe von maschinellem Lernen identifiziert.

Der IAM-Recommender generiert eine Rollenempfehlung, in der vorgeschlagen wird, die Rolle „Bearbeiter“ zu widerrufen und durch die Rolle „Storage-Objekt-Administrator“ (roles/storage.objectAdmin) zu ersetzen, die vollständige Kontrolle über Objekte in einem Cloud Storage-Bucket gewährt. Durch diese Änderung werden Tausende nicht erforderliche Berechtigungen entfernt. Gleichzeitig werden weiterhin die vom Dienstkonto verwendeten Berechtigungen und die Berechtigungen einbezogen, die das Dienstkonto in Zukunft wahrscheinlich benötigt:

Console

Der IAM-Recommender verwendet das Symbol für maschinelles Lernen , um Berechtigungen zu identifizieren, die auf Grundlage des maschinellen Lernens des IAM-Recommenders und nicht anhand der Berechtigungsnutzung hinzugefügt wurden. In diesem Beispiel wurde die Berechtigung resourcemanager.projects.get auf Basis des maschinellen Lernens empfohlen:

gcloud

Berechtigungen, die auf Grundlage des maschinellen Lernens des IAM-Recommenders und nicht anhand der Berechtigungsnutzung hinzugefügt wurden, sind nicht in der Empfehlung selbst aufgeführt. Stattdessen werden sie in den Richtlinienstatistiken für die Empfehlung aufgeführt. Alle ML-basierten Berechtigungen werden im Feld inferredPermissions der Statistik aufgeführt. In diesem Beispiel wurde die Berechtigung resourcemanager.projects.get aufgrund des maschinellen Lernens empfohlen:

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '5069'
  exercisedPermissions:
  - permission: storage.objects.create
  - permission: storage.objects.delete
  - permission: storage.objects.get
  - permission: storage.objects.list
  inferredPermissions:
  - permission: resourcemanager.projects.get
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/editor
description: 4 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012
severity: HIGH

Informationen zum Abrufen von Richtlinienstatistiken finden Sie unter [Richtlinienstatistiken prüfen][get-policy-insight].

REST

Berechtigungen, die auf Grundlage des maschinellen Lernens des IAM-Recommenders und nicht anhand der Berechtigungsnutzung hinzugefügt wurden, sind nicht in der Empfehlung selbst aufgeführt. Stattdessen werden sie in den Richtlinienstatistiken für die Empfehlung aufgeführt. Alle ML-basierten Berechtigungen werden im Feld inferredPermissions der Statistik aufgeführt. In diesem Beispiel wurde die Berechtigung resourcemanager.projects.get aufgrund des maschinellen Lernens empfohlen:

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "4 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/editor",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.objects.create"
      },
      {
        "permission": "storage.objects.delete"
      },
      {
        "permission": "storage.objects.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [
      {
        "permission": "resourcemanager.projects.get"
      }
    ],
    "currentTotalPermissionsCount": "5069"
  },
  "lastRefreshTime": "2020-07-12T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"d3cdec23cc712bd0\"",
  "severity": "HIGH"
}

Informationen zum Abrufen von Richtlinienstatistiken finden Sie unter [Richtlinienstatistiken prüfen][get-policy-insight].

Nächste Schritte