As recomendações de papéis ajudam a identificar e remover permissões em excesso dos principais, melhorando as configurações de segurança dos recursos.
Visão geral das recomendações de papel
As recomendações de papel são geradas pelo recomendador do IAM. O recomendador do IAM é um dos recomendadores oferecidos pelo Recommender.
Cada recomendação de papel sugere que você remova ou substitua um papel que conceda aos principais permissões excessivas. Em escala, essas recomendações ajudam você a aplicar o princípio do menor privilégio, garantindo que os principais tenham apenas as permissões de que realmente precisam.
O recomendador do IAM identifica permissões em excesso usando insights de política. Os insights de política são informações baseadas em ML sobre o uso de permissões por um principal.
Algumas recomendações também são associadas a insights de movimento lateral. Esses insights identificam papéis que permitem que contas de serviço em um projeto personifiquem contas de serviço em outro projeto. Para mais informações, consulte Como os insights de movimento lateral são gerados.
Como os insights de política são gerados
Os insights de política destacam as permissões nos papéis de um principal que ele não está usando.
O recomendador do IAM gera insights de política comparando o número total de permissões de um principal com as permissões que ele usou nos últimos 90 dias. Se o papel tiver sido concedido há menos de 90 dias, o recomendador do IAM vai analisar o uso de permissões do principal desde que o papel foi concedido.
Existem algumas formas de um principal poder usar uma permissão:
Diretamente, chamando uma API que requer a permissão
Por exemplo, o método
roles.listna API REST do IAM requer a permissãoiam.roles.list. Quando você chama o métodoroles.list, você usa a permissãoiam.roles.list.Da mesma forma, ao chamar o método
testIamPermissionspara um recurso, você usa efetivamente todas as permissões que está testando.Indiretamente, usando o console Google Cloud para trabalhar com recursos Google Cloud
Por exemplo, no console do Google Cloud , é possível editar uma instância de máquina virtual (VM) do Compute Engine, que exige permissões diferentes com base nas configurações alteradas. No entanto, o console Google Cloud também mostra as configurações atuais, o que exige a permissão
compute.instances.get.Como resultado, ao editar uma instância de VM no console Google Cloud , você usa a permissão
compute.instances.get.
Para determinar as permissões usadas pelo principal, o recomendador do IAM usa dados agregados de acesso do IAM. Para saber como exportar os dados que o recomendador do IAM usa para esses insights, consulte Exportar dados para recomendações de papéis.
O recomendador do IAM também usa o machine learning para identificar as permissões no papel atual de um principal, que este provavelmente usará no futuro, mesmo que não tenha usado essas permissões recentemente. Para mais informações, consulte Machine learning para insights de política nesta página.
Os insights de política não são gerados para todos os papéis do IAM concedidos a principais. Para mais informações sobre o motivo pelo qual um papel pode não ter um insight de política, consulte Disponibilidade nesta página.
Para saber como gerenciar insights de política, consulte Gerenciar insights de política para projetos, pastas e organizações ou Gerenciar insights de política para buckets do Cloud Storage.
Machine learning para insights de política
Em alguns casos, é provável que um principal precise de determinadas permissões incluídas nos papéis atuais, mas que não tenha usado recentemente. Para identificar essas permissões, o recomendador do IAM usa um modelo de aprendizado de máquina (ML) ao gerar insights de política.
Esse modelo de machine learning é treinado com vários conjuntos de sinais:
Padrões comuns de coocorrência no histórico observado: o fato de um usuário ter usado as permissões A, B e C no passado sugere que A, B e C podem estar relacionados de alguma forma e que eles são necessários juntos para realizar uma tarefa no Google Cloud. Se o modelo de ML observar esse padrão com frequência suficiente, na próxima vez que um usuário diferente usar as permissões A e B, o modelo sugerirá que o usuário também precisará da permissão C.
Conhecimento de domínio conforme codificado nas definições do papel: o IAM fornece centenas de papéis predefinidos diferentes que são específicos do serviço. Se um papel predefinido contém um conjunto de permissões, isso é um forte sinal de que estas permissões precisam ser concedidas em conjunto.
Além desses sinais, o modelo também usa a
incorporação de palavras para calcular
a semelhança semântica das permissões. Permissões semanticamente semelhantes serão consideradas "próximas" umas das outras após a incorporação e terão maior probabilidade de serem concedidas juntas. Por exemplo, bigquery.datasets.get e bigquery.tables.list estarão muito próximos uns dos outros após a incorporação.
Todos os dados usados no pipeline de machine learning do recomendador do IAM têm k-anonimato. Isso significa que os indivíduos do conjunto de dados anônimos não podem ser identificados novamente. Para atingir este nível de anonimato, descartamos todas as informações de identificação pessoal, como o ID de usuário relacionado a cada padrão de uso de permissão. Em seguida, descartaremos todos os padrões de uso que não são exibidos com frequência suficiente no Google Cloud. O modelo global é treinado com esses dados anônimos.
O modelo global pode ser ainda mais personalizado para cada organização usando federated learning, um processo de machine learning que treina modelos sem exportar dados.
Como as recomendações de papel são geradas
Se um insight de política indicar que um principal não precisa de todas as permissões no papel, o recomendador do IAM avalia o papel para determinar se ele pode ser revogado ou se há outro papel mais adequado. Se o papel puder ser revogado, o recomendador do IAM vai gerar uma recomendação de papel para revogar o papel. Se houver outro papel mais adequado, o recomendador do IAM vai gerar uma recomendação para substituir o papel por um sugerido. Esse substituto recomendado pode ser um papel personalizado novo, um papel personalizado existente ou um ou mais papéis predefinidos. Exceto no caso de recomendações para agentes de serviço, uma recomendação de papel nunca sugere uma mudança que aumente o nível de acesso de um principal.
As recomendações de papel são geradas com base apenas nos controles de acesso do IAM. Eles não consideram outros tipos de controle de acesso, como listas de controle de acesso (ACLs) e controle de acesso baseado em papéis (RBAC) do Kubernetes. Se você usa outros tipos de controle de acesso, tenha muito cuidado ao analisar suas recomendações e considere como esses controles de acesso estão relacionados às políticas de permissão.
Além disso, as recomendações de papel não são geradas para todos os papéis do IAM concedidos a principais. Para mais informações sobre o motivo pelo qual um papel pode não ter uma recomendação, consulte Disponibilidade nesta página.
Período de observação
O período de observação de uma recomendação de função é o número de dias de dados de uso de permissão em que a recomendação se baseia.
O período máximo de observação para recomendações de papéis é de 90 dias. Isso significa que o recomendador do IAM usa, no máximo, os 90 dias mais recentes de dados de uso de permissões para gerar recomendações de papéis.
O recomendador do IAM também não começa a gerar recomendações de papéis até ter um determinado número de dias de dados de uso de permissões. Essa duração é chamada de período mínimo de observação. Por padrão, o período mínimo de observação é de 90 dias, mas, para recomendações de função no nível do projeto, é possível definir manualmente 30 ou 60 dias. Para mais detalhes, consulte Configurar a geração de recomendações de papéis. Se você definir o período mínimo de observação como menos de 90 dias, vai receber recomendações mais cedo, mas a precisão delas pode ser afetada.
Se o período de observação for maior que o mínimo, mas menor que 90 dias desde que a função foi concedida, o período de observação será o tempo decorrido desde a concessão da função.
Novos papéis personalizados nas recomendações de papéis
Ao sugerir substituições para um papel, o recomendador do IAM sempre sugere um papel personalizado atual ou um ou mais papéis predefinidos, que parecem ser mais adequados às necessidades do principal.
Se o recomendador do IAM identificar um padrão de uso de permissão comum na sua organização que não esteja mapeado para um papel predefinido ou personalizado existente, também é possível criar um novo personalizado . Esse papel personalizado inclui apenas as permissões recomendadas. É possível modificar a recomendação de papel personalizado adicionando ou removendo permissões.
Se você quiser aplicar o princípio do menor privilégio da maneira mais estrita possível, escolha o novo papel personalizado. O recomendador do IAM cria o papel personalizado no nível do projeto. Você é responsável por manter e atualizar os papéis personalizados dos seus projetos.
Se preferir usar um papel mantido para você, escolha o papel predefinido.O Google Cloud atualiza esses papéis regularmente adicionando ou removendo permissões. Para receber notificações sobre essas atualizações, inscreva-se no feed de notícias do registro de alterações de permissões. Quando você escolhe o papel predefinido, o principal continua tendo pelo menos algumas permissões e possivelmente um grande número de permissões que não foram usadas.
O recomendador do IAM recomenda novos papéis personalizados apenas para papéis concedidos em um projeto. Ele não recomenda novos papéis personalizados para papéis concedidos em outros recursos, como pastas ou organizações.
Além disso, o recomendador do IAM não recomenda novos papéis personalizados nos seguintes casos:
- Sua organização já tem 100 ou mais papéis personalizados
- Seu projeto já tem 25 ou mais papéis personalizados
O recomendador do IAM recomenda no máximo cinco novos papéis personalizados por dia em cada projeto e no máximo 15 novos papéis personalizados em toda a organização.
Como os insights de movimento lateral são gerados
O movimento lateral ocorre quando uma conta de serviço em um projeto tem permissão para personificar uma conta de serviço em outro. Por exemplo, uma conta de serviço pode ter sido criada no projeto A, mas tem permissões para personificar uma conta de serviço no projeto B.
Essas permissões podem resultar em uma cadeia de representações entre projetos que dá aos diretores acesso não intencional aos recursos. Por exemplo, se um principal representar a conta de serviço no projeto A, ele poderá usar essa conta de serviço para personificar a conta de serviço no projeto B. Se a conta de serviço no projeto B tiver permissão para personificar outras contas de serviço em outros projetos na sua organização, o principal poderá continuar usando a representação da conta de serviço para mover do projeto para o projeto, recebendo permissões durante esse processo ir.
O recomendador do IAM gera insights de movimentação lateral identificando papéis que se encaixam nos seguintes critérios:
- O principal que recebeu o papel é uma conta de serviço que não foi criada no projeto.
O papel inclui uma das permissões a seguir, que permitem que um principal represente uma conta de serviço:
iam.serviceAccounts.actAsiam.serviceAccounts.getAccessTokeniam.serviceAccounts.getOpenIdTokeniam.serviceAccounts.implicitDelegationiam.serviceAccounts.signBlobiam.serviceAccounts.signJwt
Se um papel atender a esses critérios, o recomendador do IAM vai gerar um insight de movimento lateral para ele. Esse insight contém informações sobre as capacidades de representação da conta de serviço, incluindo quais contas de serviço ela pode representar e se usou permissões de representação nos últimos 90 dias.
O recomendador do IAM não usa insights de movimento lateral por si só para gerar novas recomendações de papel. Isso ocorre porque, se uma conta de serviço estiver usando as permissões de representação, o Recomendador do IAM não poderá sugerir a remoção delas com segurança. No entanto, se uma recomendação de papel sugerir a remoção dessas permissões porque elas não estão sendo usadas, o recomendador do IAM vinculará o insight de movimento lateral a essa recomendação. Essa vinculação ajuda você a priorizar as recomendações de papel para contas de serviço que têm permissões de representação avançadas e não utilizadas em projetos.
Para saber como gerenciar insights de movimento lateral, consulte Gerenciar insights de movimento lateral.
Disponibilidade
Os insights de política, de movimento lateral e as recomendações de papéis não são gerados para todos os papéis concedidos a principais. Leia as seções a seguir para entender os papéis para os quais insights de política, insights de movimento lateral e recomendações são gerados.
Disponibilidade do insight de política
Para que o recomendador do IAM gere um insight de política para uma função, o seguinte precisa ser verdadeiro:
A política de permissão do IAM que concede o papel precisa estar anexada a um dos seguintes recursos:
- Bucket do Cloud Storage
- Conjunto de dados do BigQuery
- Projeto
- Pasta
- Organização
O recomendador do IAM só gera insights de política para papéis concedidos nesses recursos.
A vinculação de papel que concede o papel não pode ter uma condição. O recomendador do IAM não gera insights de política para vinculações condicionais de papel.
O principal que recebe o papel precisa ser um dos seguintes tipos:
- Usuário
- Conta de serviço
- Grupo
allUsersallAuthenticatedUsers- Valores de conveniência do Cloud Storage
- Associação a grupos especiais do BigQuery
Um dos seguintes tipos de identidades federadas:
- Todas as identidades em um pool de Identidades de carga de trabalho:
- Identidade única em um pool de identidades de carga de trabalho
- Todas as identidades em um pool de Identidades de força de trabalho:
- Identidade única em um pool de identidades de força de trabalho
Todos os pods do Google Kubernetes Engine que usam uma conta de serviço específica do Kubernetes
Para detalhes sobre o formato de identificador de cada tipo de participante, consulte Identificadores de participantes.
Pode levar até 10 dias para o Recomendador do IAM gerar insights de política para uma função recém-concedida.
Os insights de política atuais são atualizados diariamente com base no uso recente de permissões. No entanto, os dados em que os insights de política se baseiam geralmente ficam até dois dias atrás do seu uso real.
Disponibilidade de insight de movimento lateral
Os insights de movimento lateral são gerados para papéis concedidos nos seguintes recursos:
- Organizações
- Pastas
- Projetos
- Contas de serviço
Disponibilidade da recomendação de papéis
Para que o recomendador do IAM gere uma recomendação de papel, os seguintes itens precisam ser atendidos:
- A função precisa ter um insight de política associado a ela. O insight desta política serve como base para a recomendação.
- Ele precisa ser maior que o período mínimo de observação desde que a função foi concedida. Isso garante que o recomendador do IAM tenha dados de uso suficientes para fazer uma recomendação. Por padrão, o período mínimo de observação é de 90 dias, mas você pode definir manualmente como 30 ou 60 dias. Para mais detalhes, consulte Configurar a geração de recomendações de função.
- Se o principal que recebe o papel for um agente de serviço, o papel precisa ser Proprietário, Editor ou Leitor. O recomendador do IAM não gera recomendações de papéis para agentes de serviço com outros papéis. Para mais detalhes, consulte Recomendações de papéis para agentes de serviço.
Se uma função foi concedida recentemente ou não tem insights, a coluna Permissões analisadas no console Google Cloud mostra um ícone .
Em alguns casos, o recomendador do IAM não gera recomendações de papéis para um papel, mesmo que já tenha passado tempo suficiente e o papel tenha um insight associado a ele. Isso pode acontecer pelos seguintes motivos:
Não há papéis do IAM predefinidos que sejam mais apropriados do que o papel atual. Se um principal já tiver um papel predefinido que minimize as permissões dele ou inclua menos permissões do que outros papéis predefinidos, o recomendador do IAM não poderá recomendar um papel predefinido diferente.
Você pode reduzir as permissões do principal criando um papel personalizado para ele.
O principal é um agente de serviço e o papel não é um papel básico. O recomendador do IAM só gera recomendações de papéis para agentes de serviço que têm um papel básico (Proprietário, Editor ou Leitor). Para mais detalhes, consulte Recomendações de papéis para agentes de serviço.
Nenhum outro principal tem o papel básico de Proprietário do projeto. Pelo menos um principal precisa ter o papel Proprietário (
roles/owner) em cada projeto. Se apenas um principal tiver esse papel, o recomendador do IAM não recomendará a revogação ou a substituição do papel.
Nesses casos, a coluna Permissões analisadas no consoleGoogle Cloud mostra o uso de permissões do principal, mas não tem um ícone Recomendação disponível .
.As recomendações de função atuais são atualizadas diariamente com base no uso recente de permissões. No entanto, os dados em que as recomendações de função se baseiam geralmente ficam até dois dias atrás do seu uso real.
Prioridade e gravidade
A prioridade da recomendação e a gravidade do insight ajudam você a entender a urgência de uma recomendação ou um insight e a priorizar de acordo.
Prioridade de recomendação do papel
As recomendações recebem níveis de prioridade com base na urgência percebida.
Os níveis de prioridade variam de P1 (prioridade mais alta) a P4 (prioridade mais baixa).
A prioridade de uma recomendação de papel depende do papel a que ela se refere:
| Detalhes da recomendação | Prioridade | Explicação |
|---|---|---|
| Recomendações de papéis que concedem acesso público a buckets do Cloud Storage | P1 |
Os buckets acessíveis publicamente podem ser acessados por qualquer pessoa na Internet. Remover o acesso público oferece mais controle sobre seus dados. |
| Recomendações de funções que concedem acesso público a conjuntos de dados do BigQuery | P1 |
Qualquer pessoa na Internet pode acessar conjuntos de dados disponíveis publicamente. Remover o acesso público oferece mais controle sobre seus dados. |
| Recomendações para papéis básicos (proprietário, editor e leitor) concedidos em um projeto, uma pasta ou uma organização | P2 |
Os papéis básicos são altamente permissivos, e a aplicação de recomendações para esses papéis pode reduzir muito o excesso de permissões. |
| Recomendações que não concedem acesso público ou papéis básicos | P4 |
Embora essas recomendações ajudem a reduzir o excesso de permissões, elas não removem o acesso público nem os papéis básicos altamente permissivos, o que as torna uma prioridade menor. |
Gravidade do insight
Os insights recebem níveis de gravidade com base na urgência percebida. Os níveis
de gravidade podem ser LOW, MEDIUM, HIGH ou CRITICAL.
A gravidade de um insight de política depende da função a que ele se destina:
| Detalhes do insight | Gravidade | Explicação |
|---|---|---|
| Insights sobre papéis que concedem acesso público a buckets do Cloud Storage | CRITICAL |
Os buckets acessíveis publicamente podem ser acessados por qualquer pessoa na Internet. Remover o acesso público oferece mais controle sobre seus dados. |
| Insights para funções que concedem acesso público a conjuntos de dados do BigQuery | CRITICAL |
Qualquer pessoa na Internet pode acessar conjuntos de dados disponíveis publicamente. Remover o acesso público oferece mais controle sobre seus dados. |
| Insights para papéis básicos (proprietário, editor e Leitor) concedidos em um projeto, pasta ou organização | HIGH |
Os papéis básicos são altamente permissivos, e a análise de insights para esses papéis pode reduzir muito as permissões em excesso. |
| Insights que não concedem acesso público ou papéis básicos | LOW |
Embora esses insights destaquem permissões em excesso, eles não envolvem acesso público ou papéis básicos altamente permissivos, o que os torna uma prioridade menor. |
Todos os insights de movimento lateral têm uma gravidade de LOW.
Como as recomendações de papel são aplicadas
O recomendador do IAM não aplica recomendações automaticamente. Em vez disso, você precisa avaliar as recomendações e decidir se quer aplicá-las ou dispensá-las. Para saber como analisar, aplicar e dispensar recomendações de papéis, consulte um dos seguintes guias:
- Revisar e aplicar recomendações de papéis para projetos, pastas e organizações
- Analisar e aplicar recomendações de papéis para buckets do Cloud Storage
- Analisar e aplicar recomendações de função para conjuntos de dados do BigQuery
Registro de auditoria
Quando você aplica ou descarta uma recomendação, o recomendador do IAM cria uma entrada de registro. É possível ver essas entradas no histórico de recomendações ou nos registros de auditoria do Google Cloud .
Subtipos de recomendações de papéis
As recomendações de papel são divididas em vários subtipos diferentes com base na ação que recomendam. Se você usa a CLI gcloud ou a API REST, use esses subtipos para filtrar as recomendações.
| Subtipo | Descrição |
|---|---|
REMOVE_ROLE |
Uma recomendação para remover o papel do principal no nível do projeto, da pasta ou da organização. |
REMOVE_ROLE_BIGQUERY_DATASET |
Uma recomendação para remover o papel do principal no nível do conjunto de dados. |
REMOVE_ROLE_STORAGE_BUCKET |
Uma recomendação para remover o papel do principal no nível do bucket. |
REPLACE_ROLE |
Uma recomendação para substituir o papel do principal no nível do projeto, da pasta ou da organização por um papel menos permissivo. O substituto recomendado pode ser um papel personalizado atual ou um ou mais papéis predefinidos. |
REPLACE_ROLE_CUSTOMIZABLE |
Uma recomendação para substituir o papel da principal por um novo papel personalizado menos permissivo que o papel atual. |
REPLACE_ROLE_BIGQUERY_DATASET |
Uma recomendação para substituir o papel do principal no nível do conjunto de dados por um papel menos permissivo. O substituto recomendado pode ser um papel personalizado atual ou um ou mais papéis predefinidos. |
REPLACE_ROLE_STORAGE_BUCKET |
Uma recomendação para substituir o papel do principal no nível do bucket por um papel menos permissivo. O substituto recomendado pode ser um papel personalizado atual ou um ou mais papéis predefinidos. |
SERVICE_AGENT_WITH_DEFAULT_ROLE |
Uma recomendação para substituir o papel de Proprietário, Editor ou Leitor de um agente de serviço pelo papel concedido automaticamente à conta de serviço quando ela foi criada. Para mais informações, consulte Recomendações de papéis para agentes de serviço. |
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE |
Uma recomendação para substituir o papel de Proprietário, Editor ou Leitor de um agente de serviço por um papel menos permissivo. Para mais informações, consulte Recomendações de papéis para agentes de serviço. |
Recomendações de papéis para agentes de serviço
Para agentes de serviço, o recomendador do IAM fornece recomendações apenas para papéis básicos (Proprietário, Editor ou Leitor).
As recomendações para agentes de serviço são divididas em dois subtipos.
SERVICE_AGENT_WITH_DEFAULT_ROLE
Durante a criação, alguns agentes de serviço recebem automaticamente um papel de agente de serviço para garantir que os serviços do Google Cloud funcionem corretamente. Se você substituir esse papel por um papel básico (Proprietário, Editor ou Leitor),
uma recomendação de papel poderá sugerir que você restaure o papel original do agente de serviço
para remover permissões em excesso, mesmo que o papel do agente de serviço tenha
permissões que não estão no papel básico. Essas recomendações têm o
subtipo SERVICE_AGENT_WITH_DEFAULT_ROLE. Elas ajudam você a remover com segurança as permissões em excesso e garantir que todos os serviços do Google Cloud funcionem corretamente.
As recomendações de SERVICE_AGENT_WITH_DEFAULT_ROLE são o único tipo de
recomendação que pode sugerir papéis com permissões que não estejam no papel
atual.
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE
Se um agente de serviço não receber automaticamente um papel durante a criação, as recomendações serão baseadas exclusivamente nas permissões usadas pelo agente. Essas recomendações têm o subtipo
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE.
Recomendações de papéis no Security Command Center
Se você tem o nível Premium ou Enterprise do Security Command Center, é possível ver alguns subtipos de recomendações de função como descobertas no Security Command Center. Cada subtipo está associado a um detector:
| Subtipo de recomendação | Categoria da descoberta |
|---|---|
REMOVE_ROLE |
Unused IAM role |
REPLACE_ROLE |
IAM role has excessive permissions |
SERVICE_AGENT_WITH_DEFAULT_ROLE |
Service agent role replaced with basic role |
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE |
Service agent granted basic role |
Para mais informações sobre como ver recomendações de papéis no Security Command Center, consulte Recomendador do IAM na documentação do Security Command Center.
Preços
As recomendações de papéis nos níveis de projeto, pasta e organização para papéis básicos estão disponíveis sem custos financeiros.
Os seguintes recursos avançados do recomendador do IAM estão disponíveis com ativações no nível do projeto ou da organização do nível Premium ou Enterprise do Security Command Center:
- Recomendações para papéis não básicos
- Recomendações para papéis concedidos em recursos que não sejam organizações, pastas e projetos. Por exemplo, recomendações para papéis concedidos em buckets do Cloud Storage.
- Recomendações que sugerem papéis personalizados
- Insights de política
- Insights de movimento lateral
Para mais informações, consulte Perguntas de faturamento.
Exemplos de recomendações de papéis
Estes exemplos mostram os tipos de recomendações que talvez você receba:
Revogar um papel atual
O usuário my-user@example.com recebeu o papel Navegador em um projeto.
O papel Navegador inclui seis permissões que autorizam o usuário a ver os recursos
no projeto. No entanto, durante os últimos 90 dias,
my-user@example.com não viu nenhum recurso.
Portanto, o recomendador do IAM gera uma recomendação de papel
sugerindo que você revogue o papel Navegador de my-user@example.com:
Console
gcloud
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/browser"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"member": "user:my-user@example.com",
"removedRole": "roles/browser",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
}
},
"description": "This role has not been used during the observation window.",
"etag": "\"9fc3241da8bfab51\"",
"lastRefreshTime": "2022-05-20T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 6
}
}
},
"priority": "P4",
"recommenderSubtype": "REMOVE_ROLE",
"stateInfo": {
"state": "ACTIVE"
}
}
REST
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
"description": "This role has not been used during the observation window.",
"lastRefreshTime": "2022-05-20T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 6
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/browser"
}
}
]
}
],
"overview": {
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"member": "user:my-user@example.com",
"removedRole": "roles/browser"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"9fc3241da8bfab51\"",
"recommenderSubtype": "REMOVE_ROLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
}
],
"priority": "P4"
}
Substituir um papel atual
Uma conta de serviço recebeu o papel Editor (roles/editor) em um projeto.
Esse papel básico inclui mais de 3.000 permissões e concede amplo acesso
ao projeto. No entanto, durante os últimos 90 dias, a
conta de serviço usou apenas algumas permissões.
Portanto, o recomendador do IAM gera uma recomendação de papel sugerindo que você revogue o papel Editor e substitua-o por uma combinação de dois outros papéis, o que remove milhares de permissões excedentes:
Console
gcloud
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/iam.serviceAccountUser"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/editor"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"addedRoles": [
"roles/iam.serviceAccountUser",
"roles/storage.objectAdmin"
],
"member": "user:my-user@example.com",
"minimumObservationPeriodInDays": "0",
"removedRole": "roles/editor",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
}
},
"description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
"etag": "\"0da9a354c2a83d96\"",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 2998
}
}
},
"priority": "P2",
"recommenderSubtype": "REPLACE_ROLE",
"stateInfo": {
"state": "ACTIVE"
}
}
REST
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
"description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 2998
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/iam.serviceAccountOwner"
}
},
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
}
},
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/editor"
}
}
]
}
],
"overview": {
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"member": "user:my-user@example.com",
"removedRole": "roles/editor",
"addedRoles": [
"roles/iam.serviceAccountUser",
"roles/storage.objectAdmin"
],
"minimumObservationPeriodInDays": "0"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"0da9a354c2a83d96\"",
"recommenderSubtype": "REPLACE_ROLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
}
],
"priority": "P2"
}
Criar um papel personalizado
O usuário my-user@example.com recebeu o papel Administrador do Cloud Trace
(roles/cloudtrace.admin) em um projeto. O papel inclui mais de 10
permissões, mas um insight de política indica que, nos últimos
90 dias, my-user@example.com usou apenas 4
dessas
permissões.
Portanto, o recomendador do IAM gera uma recomendação de papel
sugerindo que você crie um papel personalizado que inclua apenas as permissões que
my-user@example.com realmente usou:
Console
gcloud
O subtipo REPLACE_ROLE_CUSTOMIZABLE indica que o recomendador do IAM recomenda criar um papel personalizado com as permissões usadas. Para ver as permissões usadas, receba o insight de política
associado.
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
}
],
"associatedResourceNames": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"minimumObservationPeriodInDays": "0"
}
},
"description": "Replace the current role with a smaller role to cover the permissions needed.",
"etag": "\"c7f57a4725d32d66\"",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
"originalContent": {},
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {},
"revokedIamPermissionsCount": 1
}
},
"priority": "P4",
"recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
"stateInfo": {
"state": "ACTIVE"
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
REST
O subtipo REPLACE_ROLE_CUSTOMIZABLE indica que
o recomendador do IAM recomenda criar um papel personalizado com as permissões
usadas. Para ver as permissões usadas, receba o insight de política
associado.
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
"description": "Replace the current role with a smaller role to cover the permissions needed.",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 1
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
}
},
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
}
}
]
}
],
"overview": {
"minimumObservationPeriodInDays": "0"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"c7f57a4725d32d66\"",
"recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
}
],
"priority": "P4"
}
O Recomendador do IAM também sugere outra opção, que é substituir
o papel atual pelo de Usuário do Cloud Trace (roles/cloudtrace.user).
Esse papel predefinido inclui menos permissões que o papel
Administrador do Cloud Trace.
Substituição de papéis com permissões sugeridas por machine learning
Uma conta de serviço recebeu o papel Editor (roles/editor) em um projeto.
Esse papel básico inclui mais de 3.000 permissões e concede amplo acesso
a um projeto. No entanto, um insight de política indica que, nos últimos
90 dias, a conta de serviço usou menos de 10
permissões.
O insight de política também destaca várias permissões que a conta de serviço provavelmente precisará no futuro. O recomendador do IAM identificou essas permissões usando o machine learning.
O recomendador do IAM gera uma recomendação de papel sugerindo que você revogue o papel de Editor e substitua-o pelo papel de Administrador de objetos do Storage (roles/storage.objectAdmin), que concede controle total de objetos em um bucket do Cloud Storage. Essa mudança remove milhares de permissões em excesso, ainda incluindo as permissões usadas pela conta de serviço e as permissões que ela provavelmente precisará no futuro:
Console
O recomendador do IAM usa um ícone machine learning
para identificar permissões que foram adicionadas com base no
machine learning do recomendador do IAM, e não no uso de permissões.
Neste exemplo, a permissão resourcemanager.projects.get foi recomendada com base em machine learning:
para identificar permissões que foram adicionadas com base no
machine learning do recomendador do IAM, e não no uso de permissões.
Neste exemplo, a permissão 
gcloud
As permissões adicionadas com base no aprendizado de máquina do recomendador do IAM, e não no uso de permissões, não são listadas na recomendação. Em vez disso, eles são listados nos insights de política associados à recomendação. Todas as permissões baseadas em ML são listadas no campo inferredPermissions do insight. Neste exemplo, a permissão resourcemanager.projects.get foi recomendada com base em machine learning:
associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
condition:
description: ''
expression: ''
location: ''
title: ''
currentTotalPermissionsCount: '5069'
exercisedPermissions:
- permission: storage.objects.create
- permission: storage.objects.delete
- permission: storage.objects.get
- permission: storage.objects.list
inferredPermissions:
- permission: resourcemanager.projects.get
member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
role: roles/editor
description: 4 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
stateInfo:
state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012
severity: HIGH
Para saber como receber um insight de política, consulte uma das seguintes opções:
REST
As permissões adicionadas com base no aprendizado de máquina do recomendador do IAM, e não no uso de permissões, não são listadas na recomendação. Em vez disso, eles são listados nos insights de política associados à recomendação. Todas as permissões baseadas em ML são listadas no campo inferredPermissions do insight. Neste exemplo, a permissão resourcemanager.projects.get foi recomendada com base em machine learning:
{
"name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
"description": "4 of the permissions in this role binding were used in the past 90 days.",
"content": {
"role": "roles/editor",
"member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
"condition": {
"expression": "",
"title": "",
"description": "",
"location": ""
},
"exercisedPermissions": [
{
"permission": "storage.objects.create"
},
{
"permission": "storage.objects.delete"
},
{
"permission": "storage.objects.get"
},
{
"permission": "storage.objects.list"
}
],
"inferredPermissions": [
{
"permission": "resourcemanager.projects.get"
}
],
"currentTotalPermissionsCount": "5069"
},
"lastRefreshTime": "2020-07-12T07:00:00Z",
"observationPeriod": "7776000s",
"stateInfo": {
"state": "ACTIVE"
},
"category": "SECURITY",
"associatedRecommendations": [
{
"recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
}
],
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
],
"insightSubtype": "PERMISSIONS_USAGE",
"etag": "\"d3cdec23cc712bd0\"",
"severity": "HIGH"
}
Para saber como receber um insight de política, consulte uma das seguintes opções:
A seguir
- Entenda as práticas recomendadas para usar recomendações de papéis.
- Revisar e aplicar recomendações de papéis para projetos, pastas e organizações.
- Analise e aplique suas recomendações de papéis para buckets do Cloud Storage
- Analise e aplique as recomendações de função para conjuntos de dados do BigQuery
- Saiba mais sobre o Recomendador.
- Entenda papéis predefinidos e papéis personalizados no IAM.