Mit Rollenempfehlungen können Sie unnötige Berechtigungen für Ihre Hauptkonten ermitteln und entfernen und so die Sicherheitskonfigurationen Ihrer Ressourcen verbessern.
Rollenempfehlungen
Rollenempfehlungen werden vom IAM-Recommender generiert. Die IAM-Recommender ist einer der Recommender, Recommender-Angebote
Jede Rollenempfehlung schlägt vor, eine Rolle zu entfernen oder zu ersetzen, die Ihren Hauptkonten unnötige Berechtigungen gewährt. Anhand dieser Empfehlungen können Sie das Prinzip der geringsten Berechtigung durchsetzen und Hauptkonten nur die Berechtigungen erteilen, die sie tatsächlich benötigen.
Der IAM-Recommender identifiziert nicht erforderliche Berechtigungen mithilfe der Richtlinie Statistiken. Richtlinienstatistiken sind ML-basierte Ergebnisse zur Berechtigung eines Hauptkontos Nutzung.
Einige Empfehlungen beziehen sich auch auf Statistiken zum "Lateral Movement". Mit diesen Informationen werden Rollen identifiziert, mit denen Dienstkonten in einem Projekt die Identität von Dienstkonten in einem anderen Projekt übernehmen können. Weitere Informationen finden Sie unter Statistiken zum "Lateral Movement" generieren.
So werden Richtlinienstatistiken generiert
Richtlinienstatistiken zeigen die Berechtigungen in den Rollen eines Hauptkontos an, die das nicht verwendet wird.
Der IAM-Recommender generiert Richtlinienstatistiken durch Vergleich eines Gesamtzahl der Berechtigungen des Hauptkontos mit den Berechtigungen, die das Hauptkonto gewährt hat in den letzten 90 Tagen verwendet. Wenn der Rolle weniger als Vor 90 Tagen prüft der IAM-Recommender Nutzung von Berechtigungen des Hauptkontos in der Zeit seit Erteilung des Hauptkontos Rolle.
Es gibt mehrere Möglichkeiten, wie ein Hauptkonto eine Berechtigung verwenden kann:
Direkt durch Aufrufen einer API, die die Berechtigung benötigt
Für die Methode
roles.list
in der IAM REST API ist beispielsweise die Berechtigungiam.roles.list
erforderlich. Wenn Sie die Methoderoles.list
aufrufen, verwenden Sie die Berechtigungiam.roles.list
.Ebenso nutzen Sie beim Aufrufen der Methode
testIamPermissions
für eine Ressource im Prinzip alle Berechtigungen, die Sie testen.Indirekt, wenn die Google Cloud Console für die Nutzung von Google Cloud-Ressourcen verwendet wird
In der Google Cloud Console können Sie beispielsweise eine Compute Engine VM-Instanz, die unterschiedliche Berechtigungen erfordert, welche Einstellungen Sie ändern. Die Google Cloud Console zeigt jedoch auch die vorhandenen Einstellungen, für die die
compute.instances.get
erforderlich ist Berechtigung.Wenn Sie eine VM-Instanz in der Google Cloud Console bearbeiten,
compute.instances.get
verwenden.
Der IAM-Recommender verwendet auch maschinelles Lernen, um Berechtigungen zu ermitteln in der aktuellen Rolle des Hauptkontos, das es wahrscheinlich auch wenn das Hauptkonto diese Berechtigungen in letzter Zeit nicht genutzt hat. Weitere Informationen Weitere Informationen
Richtlinienstatistiken werden nicht für alle IAM-Rollen generiert, die Hauptkonten gewährt wird. Weitere Informationen darüber, warum eine Rolle möglicherweise kein Richtlinienstatistiken findest du unter Verfügbarkeit auf dieser Seite.
Informationen zum Verwalten von Richtlinienstatistiken finden Sie unter Richtlinienstatistiken verwalten für Projekte, Ordner und Organisationen oder Richtlinien verwalten Statistiken für Cloud Storage-Buckets
Maschinelles Lernen für Richtlinienstatistiken
In manchen Fällen benötigt ein Hauptkonto möglicherweise bestimmte Berechtigungen, die in seinen aktuellen Rollen enthalten sind, aber in letzter Zeit nicht verwendet wurden. Bis Berechtigungen ermitteln, verwendet der IAM-Recommender ein Machine Learning-System, (ML)-Modell beim Generieren von Richtlinienstatistiken verwenden.
Dieses ML-Modell wird mit mehreren Gruppen von Signalen trainiert:
Häufig auftretende gemeinsame Muster im ermittelten Verlauf: Die Tatsache, dass ein Nutzer in der Vergangenheit die Berechtigungen A, B und C genutzt hat, gibt einen Hinweis darauf, dass A, B und C in irgendeiner Weise zusammengehören und dass sie zusammen benötigt werden, um eine Aufgabe in Google Cloud auszuführen. Wenn das ML-Modell dieses Muster häufig genug feststellt, wird angenommen, dass ein anderer Nutzer möglicherweise auch die Berechtigung C benötigt, wenn er das nächste Mal die Berechtigungen A und B nutzt.
In die Rollendefinitionen eingebundene Fachkompetenz: IAM bietet Hunderte vordefinierter dienstspezifischer Rollen. Wenn eine vordefinierte Rolle eine Reihe von Berechtigungen enthält, ist dies ein deutlicher Hinweis darauf, dass diese Berechtigungen gemeinsam gewährt werden sollten.
Zusätzlich zu diesen Hinweisen verwendet das Modell auch Worteinbettung, um die semantische Ähnlichkeit der Berechtigungen zu berechnen. Semantisch ähnliche Berechtigungen liegen nach der Einbettung "nahe" beisammen und werden eher gemeinsam erteilt. Beispiel: bigquery.datasets.get
und bigquery.tables.list
liegen nach der Einbettung sehr nahe beieinander.
Alle Daten, die in der IAM-Recommender-ML-Pipeline verwendet werden, haben eine k-Anonymität. Das bedeutet, dass einzelne Personen im anonymisierten Dataset nicht neu identifiziert werden können. Um dieses Maß an Anonymität zu gewährleisten, entfernen wir alle personenbezogenen Daten, z. B. die Nutzer-ID bei den einzelnen Nutzungsmustern der Berechtigung. Anschließend werden alle Nutzungsmuster gelöscht, die in Google Cloud nicht häufig genug auftreten. Das globale Modell wird dann mit diesen anonymisierten Daten trainiert.
Das globale Modell kann mithilfe von föderiertem Lernen für jede Organisation weiter angepasst werden. Dies ist ein maschinelles Lernverfahren, das ML-Modelle trainiert, ohne Daten zu exportieren.
So werden Rollenempfehlungen generiert
Wenn aus einer Richtlinienstatistik hervorgeht, dass ein Hauptkonto nicht alle Berechtigungen in ihrer Rolle haben, bewertet der IAM-Recommender die Rolle, ob er aufgehoben werden könnte oder ob es eine andere bessere Rolle gibt passen. Wenn die Rolle widerrufen werden kann, generiert der IAM-Recommender eine Rolle Empfehlung zum Widerrufen der Rolle. Wenn es eine andere Position gibt, die besser passt, Der IAM-Recommender generiert eine Rollenempfehlung, um die Rolle zu ersetzen. mit einer vorgeschlagenen Rolle. Diese empfohlene Rolle kann eine vorhandene oder eine neue benutzerdefinierte Rolle oder auch eine oder mehrere vordefinierte Rollen sein. Außer im Fall der Empfehlungen für erhalten, schlägt eine Rollenempfehlung Änderung, mit der die Zugriffsebene eines Hauptkontos erhöht wird.
Rollenempfehlungen werden ausschließlich basierend auf IAM-Zugriffssteuerungen generiert. Andere Arten von Zugriffssteuerungen wie Access Control Lists (ACLs) und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Kubernetes werden dabei nicht berücksichtigt. Wenn Sie andere Arten von Zugriffssteuerungen nutzen, sollten Sie die Empfehlungen sorgfältig prüfen und beachten, wie diese Zugriffssteuerungen und Ihre "allow"-Richtlinien zusammenhängen.
Außerdem werden Rollenempfehlungen nicht für alle IAM- Rollen, die Hauptkonten gewährt werden. Weitere Informationen dazu, warum eine Rolle hat möglicherweise keine Rollenempfehlung, siehe Verfügbarkeit Seite.
Beobachtungszeitraum
Der Beobachtungszeitraum einer Rollenempfehlung ist die Anzahl der Tage Nutzungsdaten zu Berechtigungen, auf denen die Empfehlung basiert.
Der maximale Beobachtungszeitraum für Rollenempfehlungen beträgt 90 Tage. Das bedeutet, dass der IAM-Recommender die in den letzten 90 Tagen Rollenempfehlungen zu generieren.
Der IAM-Recommender generiert auch keine Rollenempfehlungen. bis eine bestimmte Anzahl von Tagen Daten zur Nutzung von Berechtigungen vorliegen. Diese Dauer wird als minimaler Beobachtungszeitraum bezeichnet. Standardmäßig ist das Minimum Beobachtungszeitraum beträgt 90 Tage, aber für die Rolle auf Projektebene Empfehlungen manuell auf 30 oder 60 Tage festlegen. Weitere Informationen finden Sie unter Generieren von Rollenempfehlungen konfigurieren Wenn Sie die Mindest-Beobachtungszeitraum auf weniger als 90 Tage, schneller Empfehlungen erhalten, aber die Genauigkeit kann betroffen sind.
Wenn der Beobachtungszeitraum länger als der Mindestzeitraum liegt, aber weniger als 90 Tage nach der Zuweisung der Rolle, der Beobachtungszeitraum ist der Zeitraum seit der Gewährung der Rolle.
Neue benutzerdefinierte Rollen in Rollenempfehlungen
Wenn der IAM-Recommender Ersatz für eine Rolle vorschlägt, wird immer eine vorhandene benutzerdefinierte Rolle oder mindestens eine vordefinierte Rolle vorgeschlagen. die besser zu den Anforderungen des Auftraggebers passen.
Wenn der IAM-Recommender ein gemeinsames Nutzungsmuster für Berechtigungen erkennt die keiner vorhandenen vordefinierten oder benutzerdefinierten Rolle zugeordnet ist, können Sie auch empfehlen, eine neue benutzerdefinierte Rolle. Diese benutzerdefinierte Rolle enthält nur die empfohlenen Berechtigungen. Sie können die Empfehlungen für benutzerdefinierte Rollen ändern und Berechtigungen hinzufügen oder entfernen.
Um das Prinzip der geringsten Berechtigung so strikt wie möglich umzusetzen, sollten Sie die neue benutzerdefinierte Rolle anwenden. Der IAM-Recommender erstellt die benutzerdefinierte Rolle auf Projektebene. Dabei sind Sie für die Verwaltung und Aktualisierung der benutzerdefinierten Rollen für Ihre Projekte verantwortlich.
Wenn Sie eine Rolle verwenden möchten, die für Sie verwaltet wird, wählen Sie die vordefinierte Rolle. Google Cloud aktualisiert diese Rollen regelmäßig durch Hinzufügen oder Entfernen von Berechtigungen. Wenn Sie über diese Aktualisierungen benachrichtigt werden möchten, abonnieren Sie den Nachrichten-Feed für das Änderungslog der IAM-Berechtigungen. Wenn Sie das Feld vordefinierte Rolle hat, hat das Hauptkonto weiterhin mindestens einige Berechtigungen, und möglicherweise auch sehr viele Berechtigungen, die sie nicht genutzt haben.
Der IAM-Recommender empfiehlt neue benutzerdefinierte Rollen nur für gewährte Rollen für ein Projekt. Es werden keine neuen benutzerdefinierten Rollen für Rollen empfohlen, die in anderen wie Ordner oder Organisationen.
Außerdem empfiehlt der IAM-Recommender keine neuen benutzerdefinierten Rollen in folgenden Fällen:
- Ihre Organisation enthält bereits 100 oder mehr benutzerdefinierte Rollen.
- Ihr Projekt enthält bereits 25 oder mehr benutzerdefinierte Rollen.
Der IAM-Recommender empfiehlt nicht mehr als 5 neue benutzerdefinierte Rollen pro Tag in jedem Projekt und nicht mehr als 15 neue benutzerdefinierte Rollen im für das gesamte Unternehmen.
Statistiken zum "Lateral Movement" generieren
Ein "Lateral Movement" besteht, wenn ein Dienstkonto in einem Projekt die Berechtigung hat, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Beispielsweise kann es sein, dass ein Dienstkonto in Projekt A erstellt wurde, aber berechtigt ist, die Identität eines Dienstkontos in Projekt B zu übernehmen.
Diese Berechtigungen können zu einer Kette von Identitätsübertragungen über Projekte hinweg führen, die Hauptkonten unbeabsichtigten Zugriff auf Ressourcen gewähren. Wenn ein Hauptkonto beispielsweise die Identität des Dienstkontos in Projekt A übernimmt, können die zugehörigen Berechtigungen auch die Übernahme der Identität des Dienstkontos in Projekt B ermöglichen. Wenn das Dienstkonto in Projekt B die Berechtigung hat, die Identität anderer Dienstkonten in anderen Projekten Ihrer Organisation zu übernehmen, kann das Hauptkonto weiterhin die Identität des Dienstkontos verwenden, um von Projekt zu Projekt zu wechseln. Dabei werden die Berechtigungen übernommen.
Der IAM-Recommender generiert Informationen zur seitlichen Bewegung, indem er Stellen, die folgende Kriterien erfüllen:
- Das Hauptkonto, dem die Rolle gewährt wurde, ist ein Dienstkonto, das nicht die im Projekt erstellt wurden.
Die Rolle enthält eine der folgenden Berechtigungen, mit denen ein Hauptkonto die Identität eines Dienstkontos übernehmen kann:
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
iam.serviceAccounts.getOpenIdToken
iam.serviceAccounts.implicitDelegation
iam.serviceAccounts.signBlob
iam.serviceAccounts.signJwt
Wenn eine Rolle diese Kriterien erfüllt, generiert der IAM-Recommender eine Bewegungserkenntnisse für die Rolle. Diese Statistik enthält Informationen zum die Möglichkeiten des Dienstkontos zur Identitätsübernahme, einschließlich der Dienstkonten, die es Identitätsdiebstahl möglich ist und ob er Berechtigungen zur Identitätsübernahme in den letzten 90 Tage.
Der IAM-Recommender verwendet keine Insights zur seitlichen Bewegung allein um neue Rollenempfehlungen zu generieren. Wenn ein Dienstkonto Identitätswechselberechtigungen verwendet, kann der IAM-Recommender schlagen vor, sie zu entfernen. Wenn eine Rollenempfehlung vorschlägt, Berechtigungen, weil sie nicht verwendet werden, führt der IAM-Recommender verknüpft die Erkenntnisse zur seitlichen Bewegung mit dieser Empfehlung. Diese Verknüpfung hilft Ihnen, Rollenempfehlungen für Dienstkonten zu priorisieren, die leistungsstarke, nicht verwendete Identitätswechselberechtigungen für Projekte haben.
Informationen zum Verwalten von Statistiken für "Lateral Movement" finden Sie unter Statistiken zum "Lateral Movement" verwalten.
Verfügbarkeit
Richtlinienstatistiken, Informationen zur seitlichen Bewegung und Rollenempfehlungen sind nicht die für alle Rollen generiert werden, die Hauptkonten zugewiesen sind. Folgendes lesen zu den Rollen in den Richtlinien, zur seitlichen Verschiebung Erkenntnisse und Empfehlungen generiert werden.
Verfügbarkeit von Richtlinienstatistiken
Damit der IAM-Recommender eine Richtlinienstatistik für eine Rolle generiert, muss der muss Folgendes zutreffen:
Die IAM-Zulassungsrichtlinie, die die Rolle gewährt, muss ist an eine der folgenden Ressourcen angehängt:
- Cloud Storage-Bucket
- BigQuery-Dataset
- Projekt
- Ordner
- Organisation
Der IAM-Recommender generiert nur Richtlinienstatistiken für Rollen die für diese Ressourcen gewährt werden.
Die Rollenbindung, durch die die Rolle zugewiesen wird, darf keine Bedingung haben. Die IAM-Recommender generiert keine Richtlinienstatistiken für bedingte Rollenbindungen
Das Hauptkonto, dem die Rolle gewährt wurde, muss eines der folgenden sein Hauptkontotypen:
- Nutzer
- Dienstkonto
- Gruppe
allUsers
allAuthenticatedUsers
- Cloud Storage-Konvergenzwerte
- BigQuery: Spezielle Gruppenmitgliedschaft
Einer der folgenden Typen von föderierten Identitäten:
- Alle Identitäten in einem Workload Identity-Pool:
- Einzelne Identität im Workload Identity-Pool
- Alle Identitäten in einem Workforce Identity-Pool
- Einzelne Identität im Workforce Identity-Pool
Alle Google Kubernetes Engine-Pods, die ein bestimmtes Kubernetes-Dienstkonto verwenden
Weitere Informationen zum Kennungsformat für jeden Hauptkontotyp finden Sie unter Haupt-IDs.
Es kann bis zu 10 Tage dauern, bis der IAM-Recommender verwendet wird. um Richtlinienstatistiken für eine neu zugewiesene Rolle zu generieren.
Vorhandene Richtlinienstatistiken werden täglich anhand Ihrer kürzlich erteilten Berechtigung aktualisiert Nutzung. Die Daten, auf denen die Richtlinienstatistiken basieren, liegen jedoch in der Regel nicht vor. bis zu zwei Tage hinter Ihrer tatsächlichen Nutzung zurück.
Verfügbarkeit von Statistiken zum "Lateral Movement"
Informationen zur seitlichen Bewegung werden für Rollen generiert, die auf der folgenden Ressourcen:
- Organisationen
- Ordner
- Projekte
- Dienstkonten
Verfügbarkeit von Rollenempfehlungen
Damit der IAM-Recommender eine Rollenempfehlung für eine Rolle generieren kann, muss Folgendes zutreffen:
- Mit der Rolle muss eine Richtlinienstatistik verknüpft sein. Diese Richtlinie dient als Grundlage für die Empfehlung.
- Es muss länger als die Mindestbeobachtungszeit gewesen sein Zeitraum seit dem Gewähren der Rolle. Dadurch wird sichergestellt, Der IAM-Recommender verfügt über genügend Nutzungsdaten, um eine Empfehlung zu geben. Von beträgt der Beobachtungszeitraum mindestens 90 Tage, manuell auf 30 oder 60 Tage einstellen. Weitere Informationen finden Sie unter Konfigurieren Erstellung von Rollenempfehlungen.
- Wenn das Hauptkonto, dem die Rolle gewährt wurde, ein Dienst-Agent ist, muss die Rolle „Owner“, „Editor“ oder „Viewer“ lauten. Der IAM-Recommender generiert keine Rollenempfehlungen für Dienst-Agents mit anderen Rollen. Für Weitere Informationen finden Sie unter Rollenempfehlungen für Dienst-Agents.
Wenn eine Rolle erst vor Kurzem gewährt wurde oder über keine Statistiken verfügt, wird der Die Spalte Analysierte Berechtigungen in der Google Cloud Console zeigt eine
-Symbol.Es gibt einige Fälle, in denen der IAM-Recommender keine Rolle generiert Empfehlungen für eine Rolle, obwohl genug Zeit vergangen ist und die Stelle eine damit verbundene Erkenntnis. Das kann folgende Gründe haben:
Es sind keine vordefinierten IAM-Rollen vorhanden, die besser geeignet sind als die aktuelle Rolle. Wenn für ein Hauptkonto bereits ein vordefiniertes Rolle, die ihre Berechtigungen minimiert oder die weniger Berechtigungen umfasst als andere vordefinierte Rollen, kann der IAM-Recommender eine andere vordefinierte Rolle empfehlen.
Sie können eventuell die Berechtigungen des Hauptkontos einschränken und dafür eine benutzerdefinierte Rolle für das Hauptkonto erstellen.
Das Hauptkonto ist ein Dienst-Agent und die Rolle kein einfache Rolle. Der IAM-Recommender generiert nur eine Rolle Empfehlungen für Servicemitarbeiter mit einer einfachen Rolle (Inhaber, Bearbeiter oder Betrachter). Weitere Informationen finden Sie unter Rollenempfehlungen für Dienste. Agents.
Kein anderes Hauptkonto hat die einfache Rolle "Inhaber" für das Projekt. Für jedes Projekt muss mindestens ein Hauptkonto die Rolle "Inhaber" (
roles/owner
) haben. Wenn nur ein Hauptkonto diese Rolle hat, wird der IAM-Recommender empfehlen, die Rolle zu widerrufen oder zu ersetzen.
In diesen Fällen wird die Spalte Analysierte Berechtigungen im In der Google Cloud Console wird die Nutzung von Berechtigungen des Hauptkontos angezeigt, hat aber keine eine Empfehlung verfügbar .
Vorhandene Rollenempfehlungen werden täglich anhand Ihrer aktuellen Berechtigungsnutzung. Die Daten, auf denen die Rollenempfehlungen basieren, liegt normalerweise bis zu zwei Tage hinter Ihrer tatsächlichen Nutzung.
Priorität und Schweregrad
Die Empfehlungspriorität und der Schweregrad von Statistiken helfen Ihnen, die Dringlichkeit einer Empfehlung oder Statistik zu verstehen und entsprechend zu priorisieren.
Rollenempfehlungspriorität
Den Empfehlungen werden Prioritätsstufen zugewiesen, basierend auf ihrer empfundenen Dringlichkeit.
Die Prioritätsstufen reichen von P0
(höchste Priorität) bis P4
(niedrigste Priorität).
Die Priorität einer Rollenempfehlung hängt von der Rolle ab, die die Empfehlung ist für:
Details zur Empfehlung | Priorität | Erklärung |
---|---|---|
Empfehlungen für Rollen, die öffentlichen Zugriff gewähren auf Cloud Storage-Buckets | P1 |
Öffentlich zugängliche Buckets sind für jeden im Internet zugänglich. Wenn Sie den öffentlichen Zugriff entfernen, haben Sie mehr Kontrolle über Ihre Daten. |
Empfehlungen für Rollen, die öffentlichen Zugriff gewähren auf BigQuery-Datasets | P1 |
Öffentlich zugängliche Datasets sind für jeden im Internet zugänglich. Wenn Sie den öffentlichen Zugriff entfernen, haben Sie mehr Kontrolle über Ihre Daten. |
Empfehlungen für einfache Rollen (Inhaber, Bearbeiter und Betrachter), die: die für ein Projekt, einen Ordner oder eine Organisation gewährt wurden | P2 |
Einfache Rollen sind sehr moderat. Es werden Empfehlungen für durch diese Rollen unnötige Berechtigungen deutlich reduzieren. |
Empfehlungen, die keinen öffentlichen Zugriff oder einfache Rollen gewähren | P4 |
Diese Empfehlungen helfen Ihnen, nicht erforderliche Berechtigungen zu reduzieren, sie entfernen weder den öffentlichen Zugriff noch umfangreiche einfache Rollen, wodurch sie eine niedrigere Priorität haben. |
Schweregrad der Insights
Den Statistiken werden Schweregrade zugewiesen, die auf ihrer empfundene Dringlichkeit basieren. Schweregradstufen können LOW
, MEDIUM
, HIGH
oder CRITICAL
sein.
Der Schweregrad einer Richtlinienstatistik hängt von der Rolle ab, für die die Statistik gilt:
Statistikdetails | Schweregrad | Erklärung |
---|---|---|
Statistiken zu Rollen, die öffentlichen Zugriff auf Cloud Storage gewähren Buckets | CRITICAL |
Öffentlich zugängliche Buckets sind für jeden im Internet zugänglich. Wenn Sie den öffentlichen Zugriff entfernen, haben Sie mehr Kontrolle über Ihre Daten. |
Statistiken für Rollen, die öffentlichen Zugriff gewähren auf BigQuery-Datasets | CRITICAL |
Öffentlich zugängliche Datasets sind für jeden im Internet zugänglich. Wenn Sie den öffentlichen Zugriff entfernen, haben Sie mehr Kontrolle über Ihre Daten. |
Statistiken für einfache Rollen (Inhaber, Bearbeiter und Betrachter), die gewährt wurden für ein Projekt, einen Ordner oder eine Organisation | HIGH |
Einfache Rollen sind sehr freizügig. Für diese unnötige Berechtigungen erheblich reduzieren. |
Statistiken, die keinen öffentlichen Zugriff oder keine einfachen Rollen gewähren | LOW |
Auch wenn diese Statistiken auf nicht erforderliche Berechtigungen hinweisen, mit öffentlichem Zugang oder sehr freizügigen einfachen Rollen, eine niedrigere Priorität haben. |
Alle Statistiken zum "Lateral Movement" haben den Schweregrad LOW
.
So werden Rollenempfehlungen angewendet
Der IAM-Recommender wendet Empfehlungen nicht automatisch an. Stattdessen müssen Sie Ihre Empfehlungen prüfen und entscheiden, ob Sie sie anwenden oder ablehnen möchten. Informationen zum Überprüfen, Anwenden und Ablehnen von Rollenempfehlungen finden Sie in einem der folgenden Leitfäden:
- Rollenempfehlungen für Projekte, Ordner und Apps prüfen und anwenden Organisationen
- Rollenempfehlungen für Cloud Storage prüfen und anwenden Buckets
- Rollenempfehlungen für BigQuery prüfen und anwenden Datasets
Audit-Logging
Wenn Sie eine Empfehlung übernehmen oder ablehnen, erstellt der IAM-Recommender Logeintrag. Sie können diese Einträge im Empfehlungsverlauf oder in Ihren Google Cloud-Audit-Logs ansehen.
Untertypen von Rollenempfehlungen
Rollenempfehlungen werden je nach empfohlener Aktion in mehrere Untertypen aufgeteilt. Wenn Sie die gcloud CLI oder die REST API verwenden, können Sie Ihre Empfehlungen mithilfe dieser Untertypen filtern.
Untertyp | Beschreibung |
---|---|
REMOVE_ROLE |
Eine Empfehlung, die Projekt- und Ordnerebene des Hauptkontos oder eine Rolle auf Organisationsebene. |
REMOVE_ROLE_BIGQUERY_DATASET |
Eine Empfehlung, die Rolle des Hauptkontos auf Dataset-Ebene zu entfernen. |
REMOVE_ROLE_STORAGE_BUCKET |
Eine Empfehlung zum Entfernen der Rolle des Hauptkontos auf Bucket-Ebene. |
REPLACE_ROLE |
Eine Empfehlung, die Projekt- und Ordnerebene des Hauptkontos mit einer weniger freiwilligen Rolle erstellen können. Die empfohlenen Dabei kann es sich um eine vorhandene benutzerdefinierte Rolle oder eine oder mehrere vordefinierte Rollen handeln. Rollen. |
REPLACE_ROLE_CUSTOMIZABLE |
Empfehlung, die Rolle des Hauptkontos durch eine neue zu ersetzen benutzerdefinierte Rolle hat, die weniger freizügig aktuelle Rolle. |
REPLACE_ROLE_BIGQUERY_DATASET |
Eine Empfehlung, die Rolle des Hauptkontos auf Dataset-Ebene durch eine weniger gültige Rolle zu ersetzen Berechtigungen. Als Ersatz könnte ein vorhandener benutzerdefinierter Rolle oder eine oder mehrere vordefinierte Rollen. |
REPLACE_ROLE_STORAGE_BUCKET |
Eine Empfehlung, die Rolle des Hauptkontos auf Bucket-Ebene durch eine weniger gültige Rolle zu ersetzen Berechtigungen. Als Ersatz könnte ein vorhandener benutzerdefinierter Rolle oder eine oder mehrere vordefinierte Rollen. |
SERVICE_AGENT_WITH_DEFAULT_ROLE |
Empfehlung, den Inhaber, Bearbeiter oder Betrachter eines Dienst-Agents zu ersetzen Rolle mit der Rolle, die dem Dienstkonto automatisch gewährt wurde als es erstellt wurde. Weitere Informationen finden Sie unter Rollenempfehlungen für Dienst-Agents |
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE |
Empfehlung, den Inhaber, Bearbeiter oder Betrachter eines Dienst-Agents zu ersetzen mit einer weniger freizügigen Rolle. Weitere Informationen finden Sie unter Rollenempfehlungen für Dienst-Agents |
Rollenempfehlungen für Dienst-Agents
Für Dienst-Agents gilt: Der IAM-Recommender bietet nur Empfehlungen für einfache Rollen („Inhaber“, „Bearbeiter“ oder „Betrachter“).
Empfehlungen für Dienst-Agents werden in zwei Untertypen unterteilt.
SERVICE_AGENT_WITH_DEFAULT_ROLE
Beim Erstellen wird einigen Dienst-Agents automatisch ein Dienst-Agent gewährt
Rolle, um sicherzustellen, dass Ihre Google Cloud-Dienste funktionieren
nicht ordnungsgemäß funktioniert. Wenn Sie diese Rolle durch eine einfache Rolle (Inhaber, Bearbeiter oder Betrachter) ersetzen,
Eine Rollenempfehlung könnte vorschlagen, den ursprünglichen Dienst-Agent wiederherzustellen
nicht erforderliche Berechtigungen entfernen, auch wenn die Dienst-Agent-Rolle
Berechtigungen, die nicht in der einfachen Rolle enthalten sind. Diese Empfehlungen haben die
Untertyp SERVICE_AGENT_WITH_DEFAULT_ROLE
. Sie helfen Ihnen, überschüssige
Berechtigungen gewähren und gleichzeitig dafür sorgen, dass alle Google Cloud-Dienste ordnungsgemäß funktionieren.
SERVICE_AGENT_WITH_DEFAULT_ROLE
-Empfehlungen sind der einzige Typ von Empfehlung, der möglicherweise Rollen mit Berechtigungen vorschlagen kann, die nicht in der aktuellen Rolle enthalten sind.
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE
Wenn einem Dienst-Agent bei der Erstellung nicht automatisch eine Rolle zugewiesen wird,
Empfehlungen für den Dienst-Agent basieren ausschließlich auf den Berechtigungen
den der Dienst-Agent verwendet. Diese Empfehlungen haben den Untertyp
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE
Rollenempfehlungen in Security Command Center
Wenn Sie die Premium-Stufe von Security Command Center haben, können Sie einige Untertypen von Rollen ansehen Empfehlungen als Ergebnisse in Security Command Center. Jeder Untertyp ist mit einem Detektor:
Empfehlungsuntertyp | Ergebniskategorie |
---|---|
REMOVE_ROLE |
Unused IAM role |
REPLACE_ROLE |
IAM role has excessive permissions |
SERVICE_AGENT_WITH_DEFAULT_ROLE |
Service agent role replaced with basic role |
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE |
Service agent granted basic role |
Weitere Informationen zum Ansehen von Rollenempfehlungen in Security Command Center Siehe IAM Recommender in Security Command Center Dokumentation.
Preise
Rollenempfehlungen auf Projekt-, Ordner- und Organisationsebene für einfache Rollen sind kostenlos verfügbar.
Für die folgenden erweiterten IAM-Recommender-Features ist ein Aktivierung der Premium-Stufe von Security Command Center auf Organisationsebene:
- Empfehlungen für Rollen, die nicht zu den einfachen Rollen gehören
- Empfehlungen für Rollen, die anderen Ressourcen als Organisationen gewährt wurden Ordner und Projekte, z. B. Empfehlungen für gewährte Rollen für Cloud Storage-Buckets
- Empfehlungen, die benutzerdefinierte Rollen vorschlagen
- Richtlinienstatistiken
- Informationen zu Lateralbewegungen
Weitere Informationen finden Sie unter Fragen zur Abrechnung.
Beispiele für Rollenempfehlungen
Die folgenden Beispiele zeigen verschiedene Arten von möglichen Empfehlungen.
Vorhandene Rolle widerrufen
Dem Nutzer my-user@example.com
wurde in einem Projekt die Rolle „Sucher“ zugewiesen.
Die Rolle „Sucher“ umfasst sechs Berechtigungen, mit denen sich der Nutzer Ressourcen im Projekt ansehen kann. In den letzten 90 Tagen hat sich my-user@example.com
jedoch keine Ressourcen angesehen.
Daher generiert der IAM-Recommender eine Rollenempfehlung.
und schlägt vor, dass Sie my-user@example.com
die Rolle „Browser“ entziehen:
Console
gcloud
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/browser"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"member": "user:my-user@example.com",
"removedRole": "roles/browser",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
}
},
"description": "This role has not been used during the observation window.",
"etag": "\"9fc3241da8bfab51\"",
"lastRefreshTime": "2022-05-20T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 6
}
}
},
"priority": "P4",
"recommenderSubtype": "REMOVE_ROLE",
"stateInfo": {
"state": "ACTIVE"
}
}
REST
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
"description": "This role has not been used during the observation window.",
"lastRefreshTime": "2022-05-20T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 6
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/browser"
}
}
]
}
],
"overview": {
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"member": "user:my-user@example.com",
"removedRole": "roles/browser"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"9fc3241da8bfab51\"",
"recommenderSubtype": "REMOVE_ROLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
}
],
"priority": "P4"
}
Vorhandene Rolle ersetzen
Einem Dienstkonto wurde die Rolle „Bearbeiter“ (roles/editor
) für ein Projekt zugewiesen.
Diese einfache Rolle umfasst mehr als 3.000 Berechtigungen und ermöglicht umfassenden Zugriff auf das Projekt. In den letzten 90 Tagen hat das Dienstkonto nur wenige dieser Berechtigungen verwendet.
Daher generiert der IAM-Recommender eine Rollenempfehlung. und vorschlagen Sie, die Rolle "Bearbeiter" zu widerrufen und durch eine Kombination aus zwei weitere Rollen, wodurch Tausende nicht erforderliche Berechtigungen entfernt werden:
Console
gcloud
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
}
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/iam.serviceAccountUser"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/editor"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"addedRoles": [
"roles/iam.serviceAccountUser",
"roles/storage.objectAdmin"
],
"member": "user:my-user@example.com",
"minimumObservationPeriodInDays": "0",
"removedRole": "roles/editor",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
}
},
"description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
"etag": "\"0da9a354c2a83d96\"",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 2998
}
}
},
"priority": "P2",
"recommenderSubtype": "REPLACE_ROLE",
"stateInfo": {
"state": "ACTIVE"
}
}
REST
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
"description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 2998
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/iam.serviceAccountOwner"
}
},
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
}
},
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/editor"
}
}
]
}
],
"overview": {
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"member": "user:my-user@example.com",
"removedRole": "roles/editor",
"addedRoles": [
"roles/iam.serviceAccountUser",
"roles/storage.objectAdmin"
],
"minimumObservationPeriodInDays": "0"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"0da9a354c2a83d96\"",
"recommenderSubtype": "REPLACE_ROLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
}
],
"priority": "P2"
}
Benutzerdefinierte Rolle erstellen
Dem Nutzer my-user@example.com
wurde für ein Projekt die Rolle „Cloud Trace-Administrator“ (roles/cloudtrace.admin
) zugewiesen. Die Rolle enthält mehr als 10 Berechtigungen. Richtlinienstatistiken zeigen jedoch, dass my-user@example.com
in den letzten 90 Tagen nur 4 dieser Berechtigungen genutzt hat.
Daher generiert der IAM-Recommender eine Rollenempfehlung.
und schlägt vor, eine benutzerdefinierte Rolle zu erstellen,
die nur die Berechtigungen enthält,
my-user@example.com
tatsächlich verwendet:
Console
gcloud
Der Untertyp REPLACE_ROLE_CUSTOMIZABLE
gibt an, dass der
Der IAM-Recommender empfiehlt, eine benutzerdefinierte Rolle mit den verwendeten
Berechtigungen. Zum Ansehen der verwendeten Berechtigungen rufen Sie die zugehörige Richtlinie ab
Statistik.
{
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
}
],
"associatedResourceNames": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
],
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"path": "/iamPolicy/bindings/*/members/-",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"value": "user:my-user@example.com"
},
{
"action": "remove",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
},
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"resourceType": "cloudresourcemanager.googleapis.com/Project"
}
]
}
],
"overview": {
"minimumObservationPeriodInDays": "0"
}
},
"description": "Replace the current role with a smaller role to cover the permissions needed.",
"etag": "\"c7f57a4725d32d66\"",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
"originalContent": {},
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {},
"revokedIamPermissionsCount": 1
}
},
"priority": "P4",
"recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
"stateInfo": {
"state": "ACTIVE"
},
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
]
}
REST
Der Untertyp REPLACE_ROLE_CUSTOMIZABLE
gibt an, dass
empfiehlt der IAM-Recommender, eine benutzerdefinierte Rolle mit den verwendeten
Berechtigungen. Zum Ansehen der verwendeten Berechtigungen rufen Sie die zugehörige Richtlinie ab
Statistik.
{
"name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
"description": "Replace the current role with a smaller role to cover the permissions needed.",
"lastRefreshTime": "2022-06-22T07:00:00Z",
"primaryImpact": {
"category": "SECURITY",
"securityProjection": {
"details": {
"revokedIamPermissionsCount": 1
}
}
},
"content": {
"operationGroups": [
{
"operations": [
{
"action": "add",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/-",
"value": "user:my-user@example.com",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
}
},
{
"action": "remove",
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"path": "/iamPolicy/bindings/*/members/*",
"pathFilters": {
"/iamPolicy/bindings/*/condition/expression": "",
"/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
"/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
}
}
]
}
],
"overview": {
"minimumObservationPeriodInDays": "0"
}
},
"stateInfo": {
"state": "ACTIVE"
},
"etag": "\"c7f57a4725d32d66\"",
"recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
"associatedInsights": [
{
"insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
}
],
"priority": "P4"
}
Die Rollenempfehlung schlägt auch eine weitere Option vor, wodurch die vorhandene Rolle durch die Rolle „Cloud Trace-Nutzer“ (roles/cloudtrace.user
) ersetzt wird. Diese vordefinierte Rolle umfasst etwas weniger Berechtigungen als die Rolle „Cloud Trace-Administrator“.
Rollenaustausch mit von maschinellem Lernen vorgeschlagenen Berechtigungen
Einem Dienstkonto wurde die Rolle „Bearbeiter“ (roles/editor
) für ein Projekt zugewiesen.
Diese einfache Rolle umfasst mehr als 3.000 Berechtigungen und gewährt umfassenden Zugriff auf ein Projekt. Eine Richtlinienstatistik gibt jedoch an, dass das Dienstkonto in den letzten 90 Tagen weniger als 10 Berechtigungen genutzt hat.
Die Richtlinienstatistik zeigt auch mehrere Berechtigungen an, die das Dienstkonto in Zukunft benötigen wird. Der IAM-Recommender hat diese erkannt Berechtigungen mithilfe von maschinellem Lernen.
Der IAM-Recommender generiert eine Rollenempfehlung, die Ihnen vorschlägt,
Rolle „Bearbeiter“ widerrufen und durch die Rolle „Storage-Objekt-Administrator“ ersetzen
(roles/storage.objectAdmin
), die vollständige Kontrolle über Objekte in einem
Cloud Storage-Bucket. Durch diese Änderung werden Tausende unnötige Berechtigungen entfernt, während
Dabei werden jedoch sowohl die vom Dienstkonto verwendeten Berechtigungen
Berechtigungen, die das Dienstkonto wahrscheinlich in Zukunft benötigt:
Console
Der IAM-Recommender nutzt ein maschinelles Lernen.
um die Berechtigungen zu kennzeichnen, die basierend auf der
Machine Learning des IAM-Recommenders statt auf die Nutzung von Berechtigungen.
In diesem Beispiel wurde die Berechtigung resourcemanager.projects.get
empfohlen
basierend auf maschinellem Lernen:
gcloud
Berechtigungen, die basierend auf dem Computer des IAM-Recommenders hinzugefügt wurden
und nicht auf die Nutzung von Berechtigungen
werden in der Empfehlung nicht berücksichtigt.
selbst. Stattdessen werden sie in den Richtlinienstatistiken aufgeführt, die mit der
Empfehlung. Alle ML-basierten Berechtigungen sind in der inferredPermissions
aufgeführt.
der Statistik. In diesem Beispiel hat die resourcemanager.projects.get
Basierend auf dem maschinellen Lernen wurde eine Berechtigung empfohlen:
associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
condition:
description: ''
expression: ''
location: ''
title: ''
currentTotalPermissionsCount: '5069'
exercisedPermissions:
- permission: storage.objects.create
- permission: storage.objects.delete
- permission: storage.objects.get
- permission: storage.objects.list
inferredPermissions:
- permission: resourcemanager.projects.get
member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
role: roles/editor
description: 4 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
stateInfo:
state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012
severity: HIGH
Hier erfahren Sie, wie Sie Richtlinienstatistiken abrufen:
REST
Berechtigungen, die basierend auf dem Computer des IAM-Recommenders hinzugefügt wurden
und nicht auf die Nutzung von Berechtigungen
werden in der Empfehlung nicht berücksichtigt.
selbst. Stattdessen werden sie in den Richtlinienstatistiken aufgeführt, die mit der
Empfehlung. Alle ML-basierten Berechtigungen sind in der inferredPermissions
aufgeführt.
der Statistik. In diesem Beispiel hat die resourcemanager.projects.get
Basierend auf dem maschinellen Lernen wurde eine Berechtigung empfohlen:
{
"name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
"description": "4 of the permissions in this role binding were used in the past 90 days.",
"content": {
"role": "roles/editor",
"member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
"condition": {
"expression": "",
"title": "",
"description": "",
"location": ""
},
"exercisedPermissions": [
{
"permission": "storage.objects.create"
},
{
"permission": "storage.objects.delete"
},
{
"permission": "storage.objects.get"
},
{
"permission": "storage.objects.list"
}
],
"inferredPermissions": [
{
"permission": "resourcemanager.projects.get"
}
],
"currentTotalPermissionsCount": "5069"
},
"lastRefreshTime": "2020-07-12T07:00:00Z",
"observationPeriod": "7776000s",
"stateInfo": {
"state": "ACTIVE"
},
"category": "SECURITY",
"associatedRecommendations": [
{
"recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
}
],
"targetResources": [
"//cloudresourcemanager.googleapis.com/projects/123456789012"
],
"insightSubtype": "PERMISSIONS_USAGE",
"etag": "\"d3cdec23cc712bd0\"",
"severity": "HIGH"
}
Hier erfahren Sie, wie Sie Richtlinienstatistiken abrufen:
Nächste Schritte
- Best Practices für die Verwendung von Rollenempfehlungen
- Rollenempfehlungen für Projekte, Ordner und Apps prüfen und anwenden Organisationen.
- Rollenempfehlungen für Cloud Storage prüfen und anwenden Buckets
- Rollenempfehlungen für BigQuery prüfen und anwenden Datasets
- Recommender
- Vordefinierte Rollen und benutzerdefinierte Rollen in IAM