Automatizar recomendações do IAM usando playbooks

Neste documento, explicamos como ativar o playbook Resposta do IAM Recommender no Security Command Center Enterprise para identificar as identidades com permissão excessiva e remover as permissões em excesso de modo automático e seguro.

A funcionalidade do playbook IAM Recommender Response tem a tecnologia da Operações de segurança do Google.

Visão geral

O recomendador do IAM fornece insights de segurança que avalie como os principais usam os recursos e recomenda que você tome medidas o insight encontrado. Por exemplo, quando uma permissão não foi usada para nos últimos 90 dias, o recomendador do IAM a destaca como um excesso e recomenda que você a remova com segurança.

O playbook Resposta do recomendador do IAM usa o recomendador do IAM para verificar no seu ambiente as identidades da carga de trabalho que possuem permissões ou representações de conta de serviço. Em vez de revisar e aplicar recomendações manualmente no Identity and Access Management, permita que o playbook faça isso de forma automática console de operações de segurança.

Pré-requisitos

Antes de ativar o playbook Resposta do IAM Recommender, faça o seguinte etapas de pré-requisito:

  1. Criar um papel personalizado do IAM e configurar uma permissão específica para isso.
  2. Defina o valor do E-mail de Identidade da carga de trabalho.
  3. Conceda o papel personalizado que você criou a um principal atual.

Criar um papel personalizado do IAM

  1. No console do Google Cloud, acesse a página Papéis do IAM.

    Acessar "Papéis do IAM"

  2. Clique em Criar função para criar uma função personalizada com as permissões necessárias para a integração.

  3. Para um novo papel personalizado, forneça o Título, a Descrição e um nome ID.

  4. Defina o Estágio da inicialização do papel como Disponibilidade geral.

  5. Adicione a seguinte permissão ao papel criado:

    resourcemanager.organizations.setIamPolicy

  6. Clique em Criar.

Definir o valor do e-mail de Identidade da carga de trabalho

Para definir qual identidade conceder à siga estas etapas:

  1. No console de Operações de Segurança, acesse Resposta > Integrações Configuração.
  2. No campo Pesquisar da integração, digite Google Cloud Recommender.
  3. Clique em Configurar instância. A janela de diálogo é aberta.
  4. Copie o valor do parâmetro E-mail de Identidade da carga de trabalho para o área de transferência. O valor precisa estar no seguinte formato: username@example.com

Conceder um papel personalizado a um principal existente

Depois de conceder o novo papel personalizado a um principal selecionado, ele poderá mudar para todos os usuários na organização.

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM

  2. No campo Filtro, cole o valor do E-mail de identidade da carga de trabalho e procure o principal existente.

  3. Clique em Editar principal. A a janela de diálogo será aberta.

  4. No painel Acesso para editar em Atribuir funções, clique em Adicionar outro papel.

  5. Selecione o papel personalizado que você criou e clique em Salvar.

Ativar playbook

Por padrão, o playbook Resposta do recomendador do IAM está desativado. Para usar o playbook, ative-o manualmente:

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.
  2. No campo Pesquisa do playbook, digite IAM Recommender.
  3. No resultado da pesquisa, selecione o playbook Resposta do IAM Recommender.
  4. No cabeçalho do playbook, alterne a opção para ativar o playbook.
  5. No cabeçalho do playbook, clique em Salvar.

Configurar o fluxo de aprovação automática

Mudar as configurações do playbook é uma configuração avançada e opcional.

Por padrão, sempre que o playbook identifica permissões não utilizadas, ele aguarda aprovar ou recusar a correção antes de concluir a execução.

Configurar o fluxo do playbook para remover automaticamente sempre que forem encontradas sem solicitar sua aprovação, conclua as seguintes etapas:

  1. No console de Operações de Segurança, acesse Resposta > Playbooks.
  2. Selecione o playbook IAM Recommender Response (Resposta do recomendador do IAM).
  3. Nos elementos básicos do manual, selecione Bloco de configuração do IAM_1. O bloco a janela de configuração é aberta. Por padrão, o parâmetro remediation_mode é definido como Manual.
  4. No campo de parâmetro remediation_mode, insira Automatic.
  5. Clique em Salvar para confirmar as novas configurações do modo de correção.
  6. No cabeçalho do playbook, clique em Salvar.

A seguir

  • Saiba mais sobre os playbooks no Google SecOps na documentação do Google Cloud.