Automatizar las recomendaciones de gestión de identidades y accesos con runbooks
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Enterprise
En este documento se explica cómo habilitar el manual de procedimientos Respuesta de Recommender de gestión de identidades y accesos en Security Command Center Enterprise para identificar las identidades con demasiados permisos y eliminar automáticamente y de forma segura los permisos innecesarios.
Información general
El recomendador de gestión de identidades y accesos te proporciona información valiosa sobre seguridad que evalúa cómo usan los recursos tus principales y te recomienda que tomes medidas en función de la información que se haya encontrado. Por ejemplo, si un permiso no se ha usado en los últimos 90 días, el recomendador de IAM lo destaca como permiso excesivo y te recomienda que lo elimines de forma segura.
El cuaderno de estrategias Respuesta del recomendador de IAM usa el recomendador de IAM para analizar tu entorno en busca de las identidades de carga de trabajo que tengan permisos excesivos o suplantaciones de cuentas de servicio. En lugar de revisar y aplicar recomendaciones manualmente en Gestión de Identidades y Accesos, habilita la guía para que lo haga automáticamente en Security Command Center.
Requisitos previos
Antes de activar el manual de instrucciones Respuesta de Recomendador de IAM, completa los siguientes pasos:
Crea un rol de IAM personalizado y configura un permiso específico para él.
Define el valor de Correo de Workload Identity.
Asigna el rol personalizado que has creado a una cuenta principal.
Crear un rol de gestión de identidades y accesos personalizado
En la Google Cloud consola, ve a la página Roles de gestión de identidades y accesos.
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para crear un rol personalizado, indica el título, la descripción y un ID único.
En Fase de lanzamiento del rol, selecciona Disponibilidad general.
Añade el siguiente permiso al rol creado:
resourcemanager.organizations.setIamPolicy
Haz clic en Crear.
Define el valor de correo de Workload Identity
Para definir la identidad a la que se va a asignar el rol personalizado, sigue estos pasos:
En la Google Cloud consola, ve a Respuesta > Libretos de respuestas para abrir
la navegación de la consola de operaciones de seguridad.
En el panel de navegación de la consola de Operaciones de seguridad, ve a Respuesta >
Configuración de integraciones.
En el campo Buscar de la integración, escribe Google Cloud Recommender.
Haz clic en settingsConfigurar instancia.
Se abrirá la ventana de diálogo.
Copia el valor del parámetro Correo de identidad de carga de trabajo en el portapapeles. El valor debe tener el siguiente formato: username@example.com
Asignar un rol personalizado a una cuenta principal
Una vez que hayas concedido tu nuevo rol personalizado a un principal seleccionado, este podrá cambiar los permisos de cualquier usuario de tu organización.
En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
En el campo Filtro, pega el valor Correo de identidad de carga de trabajo y busca el principal.
Haz clic en editEditar principal. Se abrirá la ventana de diálogo.
En el panel Editar acceso, en Asignar roles, haz clic en
addAñadir otro rol.
Selecciona el rol personalizado que has creado y haz clic en Guardar.
Habilitar playbook
De forma predeterminada, la guía Respuesta del recomendador de gestión de identidades y accesos está inhabilitada. Para usar la guía, habilítala manualmente:
En la consola de operaciones de seguridad, ve a Respuesta > Libros de jugadas.
En el campo Buscar del manual de procedimientos, introduce IAM Recommender.
En el resultado de búsqueda, selecciona el playbook IAM Recommender Response.
En el encabezado del manual de estrategias, activa el interruptor para habilitar el manual de estrategias.
En el encabezado del manual de uso, haz clic en Guardar.
Configurar el flujo de aprobación automática
Cambiar la configuración de la guía es una configuración avanzada y opcional.
De forma predeterminada, cada vez que el manual identifica permisos no utilizados, espera a que apruebes o rechaces la corrección antes de completar la ejecución.
Para configurar el flujo del cuaderno de estrategias de forma que se eliminen automáticamente los permisos no utilizados cada vez que se encuentren sin solicitar tu aprobación, sigue estos pasos:
En la Google Cloud consola, ve a Respuesta > Playbooks.
Selecciona el playbook Respuesta del recomendador de gestión de identidades y accesos.
En los componentes básicos de la guía, selecciona IAM Setup Block_1. Se abrirá la ventana de configuración del bloque. De forma predeterminada, el parámetro remediation_mode tiene el valor Manual.
En el campo del parámetro remediation_mode, introduce Automatic.
Haz clic en Guardar para confirmar los nuevos ajustes del modo de corrección.
En el encabezado del manual de uso, haz clic en Guardar.
Siguientes pasos
Consulta más información sobre las guías en la documentación de Google SecOps.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThis document explains how to enable the **IAM Recommender Response** playbook\nin Security Command Center Enterprise to identify the over-permissioned identities and\nautomatically and safely remove the excess permissions.\n\nOverview\n\nThe IAM recommender provides you with security insights that\nassess how your principals use resources and recommends you to take an action on\nthe encountered insight. For example, when a permission was not used for\nthe last 90 days, the IAM recommender highlights it as an excess\npermission and recommends you to remove it safely.\n\nThe **IAM Recommender Response** playbook uses the IAM recommender\nto scan your environment for the workload identities that possess excess\npermissions or service account impersonations. Instead of [reviewing and applying\nrecommendations](/policy-intelligence/docs/review-apply-role-recommendations#review-apply)\nmanually in Identity and Access Management, enable the playbook to do it automatically in\nSecurity Command Center.\n\nPrerequisites\n\nBefore activating the **IAM Recommender Response** playbook, complete the following\nprerequisite steps:\n\n1. Create a custom IAM role and configure a specific permission for it.\n2. Define the **Workload Identity Email** value.\n3. Grant the custom role you've created to an existing principal.\n\nCreate a custom IAM role\n\n1. In the Google Cloud console, go to the **IAM Roles** page.\n\n [Go to IAM Roles](https://console.cloud.google.com/iam-admin/roles)\n2. Click **Create role** to create a custom role with the required permissions for\n the integration.\n\n3. For a new custom role, provide the **Title** , **Description** , and a unique\n **ID**.\n\n4. Set the **Role Launch Stage** to **General Availability**.\n\n5. Add the following permission to the created role:\n\n resourcemanager.organizations.setIamPolicy\n\n6. Click **Create**.\n\nDefine the Workload Identity Email value\n\nTo define what [identity](/iam/docs/workload-identities) to grant the custom\nrole to, complete the following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks** to open the Security Operations console navigation.\n2. In the Security Operations console navigation, go to **Response \\\u003e\n Integrations Setup**.\n3. In the integration **Search** field, type in `Google Cloud Recommender`.\n4. Click settings **Configure Instance**. The dialog window opens.\n5. Copy the value of the **Workload Identity Email** parameter to your clipboard. The value must be in the following format: `username@example.com`\n\nGrant a custom role to an existing principal\n\nAfter you grant your new custom role to a selected principal, they can change\npermissions for any user in your organization.\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n2. In the **Filter** field, paste the **Workload Identity Email** value and\n search for the existing principal.\n\n3. Click edit **Edit principal**. The\n dialog window opens.\n\n4. In the **Edit access** pane under the **Assign roles** , click\n add **Add another role**.\n\n5. Select the custom role that you've created and click **Save**.\n\nEnable playbook\n\nBy default, the **IAM Recommender Response** playbook is disabled. To use the\nplaybook, enable it manually:\n\n1. In the Security Operations console, go to **Response \\\u003e Playbooks**.\n2. In the playbook **Search** field, input `IAM Recommender`.\n3. In the search result, select the **IAM Recommender Response** playbook.\n4. In the playbook header, switch the toggle to **enable the playbook**.\n5. In the playbook header, click **Save**.\n\nConfigure the automatic approval flow\n\nChanging the playbook settings is an advanced and optional configuration.\n\nBy default, every time the playbook identifies unused permissions, it awaits for\nyou to approve or decline the remediation before completing the run.\n\nTo configure the playbook flow to automatically remove the unused\npermissions every time they are found without requesting your approval, complete\nthe following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks**.\n2. Select the **IAM Recommender Response** playbook.\n3. In the playbook building blocks, select the **IAM Setup Block_1** . The block configuration window opens. By default, the **remediation_mode** parameter is set to `Manual`.\n4. In the **remediation_mode** parameter field, enter `Automatic`.\n5. Click **Save** to confirm the new remediation mode settings.\n6. In the playbook header, click **Save**.\n\nWhat's next?\n\n- Learn more about [playbooks](/chronicle/docs/soar/respond/working-with-playbooks/whats-on-the-playbooks-screen) in the Google SecOps documentation."]]
