Automatizzare i consigli IAM utilizzando i playbook

Questo documento spiega come attivare il playbook Risposta del motore per suggerimenti IAM in Security Command Center Enterprise per identificare le identità con autorizzazioni eccessive e rimuovere automaticamente e in sicurezza le autorizzazioni in eccesso.

Panoramica

Il Recommender IAM fornisce approfondimenti sulla sicurezza che valutano il modo in cui le entità utilizzano le risorse e consigliano di intraprendere un'azione in base all'insight rilevato. Ad esempio, quando un'autorizzazione non è stata utilizzata negli ultimi 90 giorni, il consigliatore IAM la evidenzia come autorizzazione in eccesso e consiglia di rimuoverla in sicurezza.

Il playbook Risposta del motore per suggerimenti IAM utilizza il motore per suggerimenti IAM per eseguire la scansione dell'ambiente alla ricerca di identità dei carichi di lavoro con autorizzazioni in eccesso o simulazioni dell'identità degli account di servizio. Anziché esaminare e applicare i consigli manualmente in Identity and Access Management, consenti al playbook di farlo automaticamente nella console Security Operations.

Prerequisiti

Prima di attivare il playbook IAM Recommender Response, completa i seguenti passaggi di prerequisito:

  1. Crea un ruolo IAM personalizzato e configura un'autorizzazione specifica per questo ruolo.
  2. Definisci il valore di Workload Identity Email.
  3. Concedi il ruolo personalizzato che hai creato a un entità esistente.

Crea un ruolo IAM personalizzato

  1. Nella console Google Cloud, vai alla pagina Ruoli IAM.

    Vai a Ruoli IAM

  2. Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni richieste per l'integrazione.

  3. Per un nuovo ruolo personalizzato, fornisci il Titolo, la Descrizione e un ID univoco.

  4. Imposta la Fase di lancio del ruolo su Disponibilità generale.

  5. Aggiungi la seguente autorizzazione al ruolo creato:

    resourcemanager.organizations.setIamPolicy

  6. Fai clic su Crea.

Definisci il valore Email di Workload Identity

Per definire quale identità concedere alla richiesta , completa i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Integrazioni Configurazione.
  2. Nel campo Cerca dell'integrazione, digita Google Cloud Recommender.
  3. Fai clic su Configura istanza. Si apre la finestra di dialogo.
  4. Copia il valore del parametro Workload Identity Email negli appunti. Il valore deve avere il seguente formato: username@example.com

Concedere un ruolo personalizzato a un entità esistente

Dopo aver concesso il nuovo ruolo personalizzato a un'entità selezionata, questa può modificare autorizzazioni per qualsiasi utente nella tua organizzazione.

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Nel campo Filtro, incolla il valore Indirizzo email Workload Identity e cerca il principale esistente.

  3. Fai clic su Modifica entità. La si apre la finestra di dialogo.

  4. Nel riquadro Modifica accesso in Assegna ruoli, fai clic su Aggiungi un altro ruolo.

  5. Seleziona il ruolo personalizzato che hai creato e fai clic su Salva.

Abilita playbook

Per impostazione predefinita, il playbook Risposta del motore per suggerimenti IAM è disabilitato. Per utilizzare playbook, abilitalo manualmente:

  1. Nella console Security Operations, vai a Risposta > Playbook.
  2. Nel campo Ricerca del playbook, inserisci IAM Recommender.
  3. Nel risultato di ricerca, seleziona il playbook Risposta del Recommender IAM.
  4. Nell'intestazione del playbook, attiva l'opzione Attiva il playbook.
  5. Nell'intestazione del playbook, fai clic su Salva.

Configurare il flusso di approvazione automatica

La modifica delle impostazioni del playbook è una configurazione avanzata e facoltativa.

Per impostazione predefinita, ogni volta che il playbook identifica autorizzazioni inutilizzate, attende devi approvare o rifiutare la correzione prima di completare l'esecuzione.

Per configurare il flusso del playbook in modo che rimuovi automaticamente le autorizzazioni non utilizzate ogni volta che vengono rilevate senza richiedere la tua approvazione, svolgi i seguenti passaggi:

  1. Nella Security Operations Console, vai a Risposta > Playbook.
  2. Seleziona il playbook Risposta del motore per suggerimenti IAM.
  3. Nei blocchi di base del playbook, seleziona IAM Setup Block_1. Il blocco viene aperta la finestra di configurazione. Per impostazione predefinita, il parametro remediation_mode è impostato su Manual.
  4. Nel campo del parametro remediation_mode, inserisci Automatic.
  5. Fai clic su Salva per confermare le nuove impostazioni della modalità di correzione.
  6. Nell'intestazione del playbook, fai clic su Salva.

Passaggi successivi

  • Scopri di più sui playbook in Google SecOps. documentazione.