In diesem Dokument wird erläutert, wie Sie das Playbook IAM Recommender Response in Security Command Center Enterprise aktivieren, um die Identitäten mit unnötigen Berechtigungen zu identifizieren und die nicht erforderlichen Berechtigungen automatisch und sicher zu entfernen.
Die Playbook-Funktionen für IAM Recommender Response basieren auf Google Security Operations.
Überblick
Der IAM-Recommender bietet Sicherheitsinformationen, die bewerten, wie Ihre Hauptkonten Ressourcen nutzen, und empfiehlt Ihnen, eine Aktion für die erkannte Statistik auszuführen. Wenn eine Berechtigung beispielsweise in den letzten 90 Tagen nicht verwendet wurde, wird sie vom IAM-Recommender als nicht erforderliche Berechtigung gekennzeichnet und empfohlen, sie sicher zu entfernen.
Im Playbook IAM Recommender Response wird der IAM-Recommender verwendet, um Ihre Umgebung nach Arbeitslastidentitäten zu scannen, die nicht erforderliche Berechtigungen oder Identitätsübernahmen von Dienstkonten haben. Anstatt Empfehlungen manuell in Identity and Access Management manuell zu prüfen und anzuwenden, aktivieren Sie das Playbook so, dass dies automatisch in der Security Operations Console erfolgt.
Vorbereitung
Bevor Sie das Playbook IAM Recommender Response aktivieren, müssen Sie die folgenden erforderlichen Schritte ausführen:
- Erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren Sie eine bestimmte Berechtigung dafür.
- Definieren Sie den Wert für Workload Identity-E-Mail.
- Weisen Sie die erstellte benutzerdefinierte Rolle einem vorhandenen Hauptkonto zu.
Benutzerdefinierte IAM-Rolle erstellen
Rufen Sie in der Google Cloud Console die Seite IAM-Rollen auf.
Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit Berechtigungen zu erstellen, die für die Integration erforderlich sind.
Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.
Setzen Sie die Phase des Rollen-Starts auf Allgemeine Verfügbarkeit.
Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:
resourcemanager.organizations.setIamPolicy
Klicken Sie auf Erstellen.
Workload Identity-E-Mail-Wert definieren
Führen Sie die folgenden Schritte aus, um festzulegen, welcher Identität die benutzerdefinierte Rolle zugewiesen werden soll:
- Rufen Sie in der Security Operations-Konsole Antwort > Einrichtung von Integrationen auf.
- Geben Sie im Search-Feld der Integration
Google Cloud Recommender
ein. - Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.
- Kopieren Sie den Wert des Parameters Workload Identity Email in die Zwischenablage. Der Wert muss das folgende Format haben:
username@example.com
Einem vorhandenen Hauptkonto eine benutzerdefinierte Rolle gewähren
Nachdem Sie einem ausgewählten Hauptkonto Ihre neue benutzerdefinierte Rolle gewährt haben, kann es die Berechtigungen für jeden Nutzer in Ihrer Organisation ändern.
Öffnen Sie in der Google Cloud Console die Seite IAM.
Fügen Sie im Feld Filter den Wert für Workload Identity-E-Mail ein und suchen Sie nach dem vorhandenen Hauptkonto.
Klicken Sie auf
Hauptkonto bearbeiten. Das Dialogfeld wird geöffnet.Klicken Sie im Bereich Zugriff bearbeiten unter Rollen zuweisen auf
Weitere Rolle hinzufügen.Wählen Sie die erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.
Playbook aktivieren
Das Playbook IAM Recommender Response ist standardmäßig deaktiviert. Aktivieren Sie das Playbook manuell, um es zu verwenden:
- Gehen Sie in der Security Operations Console zu Antworten > Playbooks.
- Geben Sie im Feld Suche des Playbooks den Wert
IAM Recommender
ein. - Wählen Sie im Suchergebnis das Playbook IAM Recommender-Antwort aus.
- Stellen Sie die Ein/Aus-Schaltfläche in der Playbook-Kopfzeile auf Playbook aktivieren.
- Klicken Sie in der Playbook-Kopfzeile auf Speichern.
Automatischen Genehmigungsablauf konfigurieren
Das Ändern der Playbook-Einstellungen ist eine erweiterte und optionale Konfiguration.
Standardmäßig wird jedes Mal, wenn das Playbook nicht verwendete Berechtigungen identifiziert, Sie darauf warten, dass Sie die Abhilfe genehmigen oder ablehnen, bevor Sie die Ausführung abschließen.
Führen Sie die folgenden Schritte aus, um den Playbook-Ablauf so zu konfigurieren, dass die nicht verwendeten Berechtigungen jedes Mal automatisch entfernt werden, wenn sie gefunden werden, ohne Ihre Genehmigung anzufordern:
- Gehen Sie in der Security Operations Console zu Antworten > Playbooks.
- Wählen Sie das Playbook IAM Recommender-Antwort aus.
- Wählen Sie in den Playbook-Bausteinen den IAM-Einrichtungsblock_1 aus. Das Fenster für die Blockkonfiguration wird geöffnet. Der Parameter remediation_mode ist standardmäßig auf
Manual
festgelegt. - Geben Sie im Feld für den Parameter remediation_mode den Wert
Automatic
ein. - Klicken Sie auf Speichern, um die neuen Einstellungen für den Abhilfemodus zu bestätigen.
- Klicken Sie in der Playbook-Kopfzeile auf Speichern.
Nächste Schritte
- Weitere Informationen zu Playbooks finden Sie in der Dokumentation zu Google SecOps.