IAM-Empfehlungen mit Playbooks automatisieren

In diesem Dokument wird erläutert, wie Sie das Playbook IAM Recommender Response in Security Command Center Enterprise aktivieren, um Identitäten mit zu vielen Berechtigungen zu identifizieren und die überzähligen Berechtigungen automatisch und sicher zu entfernen.

Übersicht

Der IAM-Recommender bietet Ihnen Sicherheitsinformationen, mit denen Sie die Ressourcennutzung Ihrer Hauptkonten bewerten und Maßnahmen ergreifen können. Wenn eine Berechtigung beispielsweise in den letzten 90 Tagen nicht verwendet wurde, wird sie vom IAM-Recommender als überflüssige Berechtigung gekennzeichnet und es wird empfohlen, sie zu entfernen.

Im Playbook IAM Recommender Response wird der IAM Recommender verwendet, um Ihre Umgebung nach Arbeitslastidentitäten mit zu vielen Berechtigungen oder Identitätsübernahmen von Dienstkonten zu durchsuchen. Anstatt Empfehlungen manuell in Identity and Access Management zu prüfen und anzuwenden, können Sie das Playbook in der Security Operations Console aktivieren, damit dies automatisch geschieht.

Vorbereitung

Bevor Sie das Playbook IAM Recommender Response aktivieren, müssen Sie die folgenden Voraussetzungen erfüllen:

  1. Erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren Sie eine bestimmte Berechtigung dafür.
  2. Definieren Sie den Wert Workload Identity-E-Mail.
  3. Weisen Sie die von Ihnen erstellte benutzerdefinierte Rolle einem vorhandenen Hauptkonto zu.

Benutzerdefinierte IAM-Rolle erstellen

  1. Öffnen Sie in der Google Cloud Console die Seite IAM-Rollen.

    IAM-Rollen aufrufen

  2. Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.

  3. Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.

  4. Legen Sie die Rollenstartphase auf General Availability fest.

  5. Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:

    resourcemanager.organizations.setIamPolicy
    
  6. Klicken Sie auf Erstellen.

Workload Identity-E-Mail-Wert definieren

So legen Sie fest, welcher Identität die benutzerdefinierte Rolle gewährt werden soll:

  1. Klicken Sie in der Security Operations Console auf Response > Integrations setup (Reaktion > Integrationseinrichtung).
  2. Geben Sie im Feld Suchen der Integration Google Cloud Recommender ein.
  3. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  4. Kopieren Sie den Wert des Parameters Workload Identity-E-Mail in die Zwischenablage. Der Wert muss das folgende Format haben: username@example.com.

Einem vorhandenen Hauptkonto eine benutzerdefinierte Rolle zuweisen

Nachdem Sie einer ausgewählten Hauptperson Ihre neue benutzerdefinierte Rolle gewährt haben, kann sie die Berechtigungen für alle Nutzer in Ihrer Organisation ändern.

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Fügen Sie im Feld Filter den Wert Workload Identity-E-Mail ein und suchen Sie nach dem vorhandenen Prinzipal.

  3. Klicken Sie auf Hauptkonto bearbeiten. Das Dialogfeld wird geöffnet.

  4. Klicken Sie im Bereich Berechtigungen bearbeiten unter Rollen zuweisen auf Weitere Rolle hinzufügen.

  5. Wählen Sie die von Ihnen erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.

Playbook aktivieren

Das Playbook IAM Recommender Response ist standardmäßig deaktiviert. Wenn Sie das Playbook verwenden möchten, aktivieren Sie es manuell:

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.
  2. Geben Sie im Feld Suchen des Playbooks IAM Recommender ein.
  3. Wählen Sie in den Suchergebnissen das Playbook IAM Recommender Response aus.
  4. Stellen Sie in der Playbook-Überschrift den Schalter auf Playbook aktivieren.
  5. Klicken Sie in der Kopfzeile des Playbooks auf Speichern.

Ablauf für die automatische Genehmigung konfigurieren

Das Ändern der Playbook-Einstellungen ist eine erweiterte und optionale Konfiguration.

Standardmäßig wird jedes Mal, wenn das Playbook nicht verwendete Berechtigungen erkennt, gewartet, bis Sie die Behebung genehmigen oder ablehnen, bevor die Ausführung abgeschlossen wird.

So konfigurieren Sie den Playbook-Vorgang so, dass nicht verwendete Berechtigungen jedes Mal automatisch entfernt werden, wenn sie gefunden werden, ohne dass Ihre Genehmigung angefordert wird:

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.
  2. Wählen Sie das Playbook IAM Recommender Response aus.
  3. Wählen Sie in den Playbook-Bausteinen IAM-Einrichtung Block_1 aus. Das Fenster zur Blockkonfiguration wird geöffnet. Standardmäßig ist der Parameter remediation_mode auf Manual festgelegt.
  4. Geben Sie im Parameterfeld remediation_mode den Wert Automatic ein.
  5. Klicken Sie auf Speichern, um die neuen Einstellungen für den Abhilfemodus zu bestätigen.
  6. Klicken Sie in der Kopfzeile des Playbooks auf Speichern.

Nächste Schritte

  • Weitere Informationen zu Playbooks finden Sie in der Google SecOps-Dokumentation.