Automatiza las recomendaciones de IAM con guías

En este documento, se explica cómo habilitar la guía de respuesta del recomendador de IAM en Security Command Center Enterprise para identificar las identidades quitar de forma automática y segura los permisos no utilizados.

La funcionalidad de la guía Respuesta del recomendador de IAM cuenta con la tecnología de Google Security Operations.

Descripción general

El recomendador de IAM te proporciona estadísticas de seguridad que evaluar la forma en que las principales usan recursos y te recomiendan tomar medidas sobre la estadística encontrada. Por ejemplo, cuando un permiso no se usó para en los últimos 90 días, el recomendador de IAM lo destaca como un exceso permiso y te recomienda quitarlo de forma segura.

La guía de respuesta del recomendador de IAM usa el recomendador de IAM para analizar tu entorno en busca de identidades de carga de trabajo que tengan permisos permisos o suplantaciones de cuentas de servicio. En lugar de revisar y aplicar recomendaciones manualmente en Identity and Access Management, habilita la guía para hacerlo automáticamente en la Consola de operaciones de seguridad.

Requisitos previos

Antes de activar la guía de respuesta del recomendador de IAM, completa lo siguiente: pasos de requisitos previos:

  1. Crea un rol de IAM personalizado y configura un permiso específico por él.
  2. Define el valor de Correo electrónico de identidades para cargas de trabajo.
  3. Otorga el rol personalizado que creaste a una principal existente.

Crea un rol de IAM personalizado

  1. En la consola de Google Cloud, ve a la página Roles de IAM.

    Ir a Funciones de IAM

  2. Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.

  3. Para un rol personalizado nuevo, proporciona el título, la descripción y una dirección ID.

  4. Establece la Etapa de lanzamiento de la función en Disponibilidad general.

  5. Agrega el siguiente permiso a la función creada:

    resourcemanager.organizations.setIamPolicy

  6. Haz clic en Crear.

Define el valor del correo electrónico de Workload Identity

Para definir qué identidad se debe otorgar al completa los siguientes pasos:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Integraciones Configuración.
  2. En el campo Buscar de la integración, escribe Google Cloud Recommender.
  3. Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
  4. Copia el valor del parámetro Workload Identity Email en la portapapeles. El valor debe tener el siguiente formato: username@example.com

Otorgar un rol personalizado a una principal existente

Después de otorgar tu nuevo rol personalizado a una principal seleccionada, esta podrá cambiar permisos para cualquier usuario de tu organización.

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. En el campo Filtro, pega el valor del correo electrónico de Workload Identity y busca la principal existente.

  3. Haz clic en Editar principal. El se abrirá una ventana de diálogo.

  4. En el panel Editar acceso en Asignar roles, haz clic en Agrega otro rol.

  5. Selecciona el rol personalizado que creaste y haz clic en Guardar.

Habilitar la guía

De forma predeterminada, la guía de respuesta del recomendador de IAM está inhabilitada. Para usar manual, habilítala manualmente:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
  2. En el campo Search de la guía, ingresa IAM Recommender.
  3. En el resultado de la búsqueda, selecciona la guía Respuesta del recomendador de IAM.
  4. En el encabezado de la guía, usa el botón de activación para habilitar la guía.
  5. En el encabezado de la guía, haz clic en Guardar.

Configura el flujo de aprobación automática

Cambiar la configuración de la guía es una configuración avanzada y opcional.

De forma predeterminada, cada vez que la guía identifica permisos sin usar, se espera que apruebes o rechaces la corrección antes de completar la ejecución.

Para configurar el flujo de la guía de modo que quite automáticamente los elementos no utilizados permisos cada vez que se encuentren sin solicitar tu aprobación, completa sigue estos pasos:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
  2. Selecciona la guía de respuesta del recomendador de IAM.
  3. En los componentes básicos de la guía, selecciona el Bloque de configuración de IAM_1. El bloque de configuración de Terraform. De forma predeterminada, el parámetro remediation_mode se configura en Manual.
  4. En el campo del parámetro remediation_mode, ingresa Automatic.
  5. Haz clic en Guardar para confirmar la nueva configuración del modo de corrección.
  6. En el encabezado de la guía, haz clic en Guardar.

Próximos pasos

  • Obtén más información sobre las guías en la documentación de Google SecOps. en la documentación de Google Cloud.