IAM-Empfehlungen mithilfe von Playbooks automatisieren

In diesem Dokument wird erläutert, wie Sie das Playbook IAM Recommender-Antwort in Security Command Center Enterprise aktivieren, um die Identitäten mit übermäßigen Berechtigungen zu identifizieren und die nicht erforderlichen Berechtigungen automatisch und sicher zu entfernen.

Die Playbook-Funktionen für IAM Recommender-Antworten basieren auf Google Security Operations.

Überblick

Der IAM-Recommender bietet Ihnen Sicherheitsinformationen, mit denen Sie bewerten können, wie Ihre Hauptkonten Ressourcen verwenden, und empfiehlt Ihnen, eine Aktion für die gefundenen Informationen auszuführen. Wenn eine Berechtigung beispielsweise in den letzten 90 Tagen nicht verwendet wurde, markiert der IAM-Recommender diese als nicht erforderliche Berechtigung und empfiehlt, sie auf sichere Weise zu entfernen.

Im Playbook IAM Recommender-Antwort wird der IAM-Recommender verwendet, um Ihre Umgebung nach Arbeitslastidentitäten mit nicht erforderlichen Berechtigungen oder Dienstkonto-Identitätsübernahmen zu scannen. Anstatt Empfehlungen in Identity and Access Management manuell zu prüfen und anzuwenden, aktivieren Sie das Playbook so, dass dies automatisch in der Security Operations Console erfolgt.

Vorbereitung

Bevor Sie das Playbook IAM Recommender-Antwort aktivieren, müssen Sie die folgenden Schritte ausführen:

  1. Erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren Sie eine bestimmte Berechtigung dafür.
  2. Definieren Sie den Wert für Workload Identity Email.
  3. Gewähren Sie die erstellte benutzerdefinierte Rolle einem vorhandenen Hauptkonto.

Benutzerdefinierte IAM-Rolle erstellen

  1. Rufen Sie in der Google Cloud Console die Seite IAM-Rollen auf.

    Zur Seite „IAM-Rollen“

  2. Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.

  3. Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.

  4. Setzen Sie die Einführungsphase der Rolle auf Allgemeine Verfügbarkeit.

  5. Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:

    resourcemanager.organizations.setIamPolicy

  6. Klicken Sie auf Erstellen.

Workload Identity-E-Mail-Wert definieren

Mit den folgenden Schritten legen Sie fest, welcher Identität die benutzerdefinierte Rolle zugewiesen werden soll:

  1. Klicken Sie in der Security Operations-Konsole auf Response > Integrations Setup (Antwort > Integrationseinrichtung).
  2. Geben Sie im Integrationsfeld Search den Text Google Cloud Recommender ein.
  3. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  4. Kopieren Sie den Wert des Parameters Workload Identity Email in die Zwischenablage. Der Wert muss das folgende Format haben: username@example.com

Benutzerdefinierte Rolle einem vorhandenen Hauptkonto zuweisen

Nachdem Sie einem ausgewählten Hauptkonto Ihre neue benutzerdefinierte Rolle zugewiesen haben, kann es die Berechtigungen für jeden Nutzer in Ihrer Organisation ändern.

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Fügen Sie in das Feld Filter den Wert von Workload Identity Email ein und suchen Sie nach dem vorhandenen Hauptkonto.

  3. Klicken Sie auf Hauptkonto bearbeiten. Das Dialogfeld wird geöffnet.

  4. Klicken Sie im Bereich Bearbeitungszugriff unter Rollen zuweisen auf Weitere Rolle hinzufügen.

  5. Wählen Sie die erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.

Playbook aktivieren

Das Playbook IAM Recommender-Antwort ist standardmäßig deaktiviert. Aktivieren Sie das Playbook manuell, um es zu verwenden:

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
  2. Geben Sie IAM Recommender in das Playbook-Feld Suchen ein.
  3. Wählen Sie im Suchergebnis das Playbook IAM Recommender-Antwort aus.
  4. Stellen Sie im Playbook-Header die Ein/Aus-Schaltfläche auf Playbook aktivieren.
  5. Klicken Sie im Playbook-Header auf Speichern.

Automatischen Genehmigungsablauf konfigurieren

Das Ändern der Playbook-Einstellungen ist eine erweiterte und optionale Konfiguration.

Standardmäßig wird jedes Mal, wenn das Playbook nicht verwendete Berechtigungen ermittelt, darauf gewartet, dass Sie die Korrektur genehmigen oder ablehnen, bevor die Ausführung abgeschlossen wird.

Führen Sie die folgenden Schritte aus, um den Playbook-Ablauf so zu konfigurieren, dass die nicht verwendeten Berechtigungen jedes Mal automatisch entfernt werden, wenn sie ohne Ihre Genehmigung gefunden werden:

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
  2. Wählen Sie das Playbook IAM Recommender-Antwort aus.
  3. Wählen Sie in den Playbook-Bausteinen IAM-Einrichtungsblock_1 aus. Das Fenster für die Blockkonfiguration wird geöffnet. Der Parameter remediation_mode ist standardmäßig auf Manual gesetzt.
  4. Geben Sie im Parameterfeld remediation_mode den Wert Automatic ein.
  5. Klicken Sie auf Speichern, um die neuen Einstellungen für den Abhilfemodus zu bestätigen.
  6. Klicken Sie im Playbook-Header auf Speichern.

Nächste Schritte

  • Weitere Informationen zu Playbooks finden Sie in der Google SecOps-Dokumentation.