IAM-Empfehlungen mithilfe von Playbooks automatisieren

In diesem Dokument wird erläutert, wie Sie das Playbook IAM Recommender-Antwort aktivieren in Security Command Center Enterprise, um die zu viele Berechtigungen nicht erforderliche Berechtigungen automatisch und sicher entfernt.

Übersicht

Der IAM-Recommender bietet Ihnen Sicherheitsinformationen, mit denen Sie die Ressourcennutzung Ihrer Hauptkonten bewerten und Maßnahmen ergreifen können. Wenn beispielsweise eine Berechtigung nicht für in den letzten 90 Tagen, hebt der IAM-Recommender dies als überflüssige und empfiehlt, es auf sichere Weise zu entfernen.

Im Playbook IAM Recommender-Antwort wird der IAM-Recommender verwendet um Ihre Umgebung nach Arbeitslastidentitäten zu scannen, die überflüssige oder die Identitätsübernahme von Dienstkonten. Anstatt Empfehlungen manuell in der Identitäts- und Zugriffsverwaltung zu prüfen und anzuwenden, können Sie das Playbook in der Security Operations Console aktivieren, damit dies automatisch geschieht.

Vorbereitung

Bevor Sie das Playbook IAM Recommender-Antwort aktivieren, führen Sie die folgenden Schritte aus: erforderlichen Schritte:

  1. Benutzerdefinierte IAM-Rolle erstellen und eine bestimmte Berechtigung konfigurieren dafür.
  2. Definieren Sie den Wert Workload Identity-E-Mail.
  3. Gewähren Sie die erstellte benutzerdefinierte Rolle einem vorhandenen Hauptkonto.

Benutzerdefinierte IAM-Rolle erstellen

  1. Öffnen Sie in der Google Cloud Console die Seite IAM-Rollen.

    IAM-Rollen aufrufen

  2. Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.

  3. Geben Sie für eine neue benutzerdefinierte Rolle den Titel und die Beschreibung und einen eindeutigen ID:

  4. Setzen Sie die Einführungsphase der Rolle auf Allgemeine Verfügbarkeit.

  5. Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:

    resourcemanager.organizations.setIamPolicy

  6. Klicken Sie auf Erstellen.

Workload Identity-E-Mail-Wert definieren

So legen Sie fest, welcher Identität die benutzerdefinierte Rolle gewährt werden soll:

  1. Klicken Sie in der Security Operations Console auf Response > Integrations setup (Reaktion > Integrationseinrichtung).
  2. Geben Sie im Feld Suchen der Integration Google Cloud Recommender ein.
  3. Klicken Sie auf  Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  4. Kopieren Sie den Wert des Parameters Workload Identity Email in den Zwischenablage öffnen. Der Wert muss das folgende Format haben: username@example.com

Benutzerdefinierte Rolle einem vorhandenen Hauptkonto zuweisen

Nachdem Sie einem ausgewählten Hauptkonto Ihre neue benutzerdefinierte Rolle zugewiesen haben, kann es geändert werden Berechtigungen für jeden Nutzer in Ihrer Organisation.

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Fügen Sie in das Feld Filter den Wert von Workload Identity Email ein und suchen Sie nach dem vorhandenen Hauptkonto.

  3. Klicken Sie auf Hauptkonto bearbeiten. Die wird geöffnet.

  4. Klicken Sie im Bereich Bearbeitungszugriff unter Rollen zuweisen auf: Weitere Rolle hinzufügen.

  5. Wählen Sie die erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.

Playbook aktivieren

Das Playbook IAM Recommender-Antwort ist standardmäßig deaktiviert. So verwenden Sie den Playbook, aktivieren Sie es manuell:

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.
  2. Geben Sie IAM Recommender in das Playbook-Feld Suchen ein.
  3. Wählen Sie in den Suchergebnissen das Playbook IAM Recommender Response aus.
  4. Stellen Sie im Playbook-Header die Ein/Aus-Schaltfläche auf Playbook aktivieren.
  5. Klicken Sie im Playbook-Header auf Speichern.

Ablauf für die automatische Genehmigung konfigurieren

Das Ändern der Playbook-Einstellungen ist eine erweiterte und optionale Konfiguration.

Jedes Mal, wenn das Playbook nicht verwendete Berechtigungen identifiziert, wartet es standardmäßig auf um die Abhilfe zu genehmigen oder abzulehnen.

Um den Playbook-Ablauf so zu konfigurieren, dass nicht verwendete ohne Ihre Genehmigung zu erhalten, müssen Sie die Berechtigungen führen Sie die folgenden Schritte aus:

  1. Klicken Sie in der Security Operations Console auf Response > Playbooks.
  2. Wählen Sie das Playbook IAM Recommender Response aus.
  3. Wählen Sie in den Playbook-Bausteinen IAM-Einrichtungsblock_1 aus. Das Konfigurationsfenster für den Block wird geöffnet. Standardmäßig hat der Parameter remediation_mode ist auf Manual festgelegt.
  4. Geben Sie im Parameterfeld remediation_mode den Wert Automatic ein.
  5. Klicken Sie auf Speichern, um die neuen Einstellungen für den Abhilfemodus zu bestätigen.
  6. Klicken Sie in der Kopfzeile des Playbooks auf Speichern.

Nächste Schritte

  • Weitere Informationen zu Playbooks in Google SecOps Dokumentation.