本文档介绍了如何启用 IAM Recommender Response playbook ,以识别权限过高的身份和 自动、安全地移除多余的权限
概览
IAM Recommender 可为您提供安全性数据分析 评估主账号如何使用资源,并建议您对 获取的数据洞见例如,当某项权限未用于 过去 90 天,IAM Recommender 会将其突出显示为 权限,并建议您安全地将其移除。
IAM Recommender Response playbook 使用 IAM Recommender 扫描环境中的工作负载身份 权限或服务账号模拟。您不用查看并应用 建议 手动在 Identity and Access Management 中进行操作,启用 playbook 以在 Security Operations 控制台。
前提条件
在启用 IAM Recommender Response Playbook 之前,请完成以下操作 必备步骤:
- 创建自定义 IAM 角色并配置特定权限 。
- 定义 Workload Identity Email 值。
- 将您创建的自定义角色授予现有主账号。
创建自定义 IAM 角色
在 Google Cloud 控制台中,前往 IAM 角色页面。
点击创建角色以创建具有所需权限的自定义角色 集成。
对于新的自定义角色,请提供名称、说明和 ID。
将角色发布阶段设置为正式版。
为已创建的角色添加以下权限:
resourcemanager.organizations.setIamPolicy点击创建。
定义 Workload Identity Email 值
定义要授予自定义的身份 角色,请完成以下步骤:
- 在 Security Operations 控制台中,转到响应 > 集成 设置。
- 在集成的 Search 字段中,输入
Google Cloud Recommender。 - 点击 Configure Instance。 此时会打开对话框窗口。
- 将 Workload Identity Email 参数的值复制到
剪贴板。该值必须采用以下格式:
username@example.com
向现有主账号授予自定义角色
将新的自定义角色授予选定的主账号后,这些主账号可以更改 您组织中的任何用户的权限。
在 Google Cloud 控制台中,转到 IAM 页面。
在 Filter 字段中,粘贴 Workload Identity Email 值,并 搜索现有主账号。
点击 修改主账号。通过 对话框窗口即会打开
在分配角色下的修改访问权限窗格中,点击 添加其他角色。
选择您已创建的自定义角色,然后点击保存。
启用 playbook
默认情况下,IAM Recommender Response playbook 处于停用状态。要使用 playbook,手动启用它:
- 在 Security Operations 控制台中,转到响应 > playbook。
- 在 playbook Search(搜索)字段中,输入
IAM Recommender。 - 在搜索结果中,选择 IAM Recommender Response playbook。
- 在 Playbook 标题中,将开关切换到启用 Playbook。
- 在 playbook 标题中,点击保存。
配置自动审批流程
更改 playbook 设置是一项高级可选配置。
默认情况下,每当 playbook 发现未使用的权限时,就会等待 批准或拒绝补救措施,然后再完成运行。
配置 playbook 流程以自动移除未使用的资源 则不必请求您的批准, 执行下列步骤:
- 在 Security Operations 控制台中,转到响应 > playbook。
- 选择 IAM Recommender Response playbook。
- 在 Playbook 构建块中,选择 IAM Setup Block_1。代码块
会打开配置窗口。默认情况下,remediation_mode 参数
已设置为
Manual。 - 在 remediation_mode 参数字段中,输入
Automatic。 - 点击保存以确认新的修复模式设置。
- 在 playbook 标题中,点击保存。
后续步骤
- 详细了解 Google SecOps 中的策略方案 文档。