플레이북을 사용하여 IAM 권장사항 자동화

이 문서에서는 Security Command Center Enterprise에서 IAM 추천자 대응 플레이북을 사용 설정하여 초과 권한이 부여된 ID를 식별하고 과도한 권한을 자동으로 안전하게 삭제하는 방법을 설명합니다.

개요

IAM 추천자는 주 구성원이 리소스를 사용하는 방법을 평가하는 보안 인사이트를 제공하고 해당 인사이트에 대해 조치를 취하도록 권장합니다. 예를 들어 최근 90일 동안 권한이 사용되지 않은 경우 IAM 추천자는 이를 초과 권한으로 강조 표시하고 안전하게 삭제하도록 권장합니다.

IAM 추천자 대응 플레이북은 IAM 추천자를 사용해서 환경을 스캔하여 초과 권한 또는 서비스 계정 가장이 있는 워크로드 아이덴티티를 확인합니다. Identity and Access Management에서 권장사항을 검토하고 적용하는 대신 보안 운영 콘솔에서 자동으로 수행하도록 플레이북을 사용 설정합니다.

기본 요건

IAM 추천자 대응 플레이북을 활성화하기 전에 다음 기본 요건 단계를 완료합니다.

  1. 커스텀 IAM 역할을 만들고 이에 대해 특정 권한을 구성합니다.
  2. 워크로드 아이덴티티 이메일 값을 정의합니다.
  3. 만든 커스텀 역할을 기존 주 구성원에 부여합니다.

커스텀 IAM 역할 만들기

  1. Google Cloud 콘솔에서 IAM 역할 페이지로 이동합니다.

    IAM 역할로 이동

  2. 역할 만들기를 클릭하여 통합에 필요한 권한이 있는 커스텀 역할을 만듭니다.

  3. 새 커스텀 역할의 경우 제목, 설명, 고유 ID를 제공합니다.

  4. 역할 출시 단계정식 버전으로 설정합니다.

  5. 생성된 역할에 다음 권한을 추가합니다.

    resourcemanager.organizations.setIamPolicy

  6. 만들기를 클릭합니다.

워크로드 아이덴티티 이메일 값 정의

커스텀 역할을 부여할 아이덴티티를 정의하기 위해 다음 단계를 수행합니다.

  1. 보안 운영 콘솔에서 응답 > 통합 설정으로 이동합니다.
  2. 통합 검색 필드에 Google Cloud Recommender를 입력합니다.
  3. 인스턴스 구성을 클릭합니다. 대화상자 창이 열립니다.
  4. 워크로드 아이덴티티 이메일 매개변수 값을 클립보드에 복사합니다. 값은 username@example.com 형식이어야 합니다.

기존 주 구성원에 커스텀 역할 부여

새 커스텀 역할을 선택한 주 구성원에 부여한 후 조직 내 모든 사용자에 대해 권한을 변경할 수 있습니다.

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM으로 이동

  2. 필터 필드에 워크로드 아이덴티티 이메일 값을 붙여넣고 기존 주 구성원을 검색합니다.

  3. 주 구성원 수정을 클릭합니다. 대화상자 창이 열립니다.

  4. 역할 할당 아래의 액세스 수정 창에서 다른 역할 추가를 클릭합니다.

  5. 생성한 커스텀 역할을 선택하고 저장을 클릭합니다.

플레이북 사용 설정

기본적으로 IAM 추천자 대응 플레이북은 사용 중지되어 있습니다. 플레이북을 사용하려면 수동으로 사용 설정합니다.

  1. 보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
  2. 플레이북 검색 필드에 IAM Recommender를 입력합니다.
  3. 검색 결과에서 IAM 추천자 대응 플레이북을 선택합니다.
  4. 플레이북 헤더에서 전환 버튼을 플레이북 사용 설정으로 전환합니다.
  5. 플레이북 헤더에서 저장을 클릭합니다.

자동 승인 흐름 구성

플레이북 설정 변경은 선택적인 고급 구성입니다.

기본적으로 플레이북에서 사용되지 않은 권한이 식별될 때마다 실행을 완료하기 전 사용자가 해결 방법을 승인하거나 거절할 때까지 기다립니다.

사용자 승인을 요청하지 않고 사용되지 않은 권한이 발견될 때마다 플레이북 흐름이 이를 자동으로 삭제하도록 구성하려면 다음 단계를 수행합니다.

  1. 보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
  2. IAM 추천자 대응 플레이북을 선택합니다.
  3. 플레이북 기본 구성에서 IAM 설정 Block_1을 선택합니다. 블록 구성 창이 열립니다. 기본적으로 remediation_mode 매개변수가 Manual로 설정됩니다.
  4. remediation_mode 매개변수 필드에 Automatic을 입력합니다.
  5. 저장을 클릭하여 새 해결 모드 설정을 확인합니다.
  6. 플레이북 헤더에서 저장을 클릭합니다.

다음 단계

  • Google SecOps 문서에서 플레이북 자세히 알아보기