Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En este documento, se explica cómo habilitar la guía IAM Recommender Response en Security Command Center Enterprise para identificar las identidades con exceso de permisos y quitar los permisos excedentes de forma automática y segura.
Descripción general
El recomendador de IAM te proporciona estadísticas de seguridad que evalúan cómo tus principales usan los recursos y te recomienda que tomes medidas en relación con las estadísticas encontradas. Por ejemplo, cuando un permiso no se usó en los últimos 90 días, el recomendador de IAM lo destaca como un permiso excesivo y te recomienda que lo quites de forma segura.
El manual de estrategias de Respuesta del Recomendador de IAM usa el Recomendador de IAM para analizar tu entorno en busca de identidades para cargas de trabajo que tengan permisos excesivos o identidades temporales de cuentas de servicio. En lugar de revisar y aplicar recomendaciones manualmente en Identity and Access Management, habilita el playbook para que lo haga automáticamente en Security Command Center.
Requisitos previos
Antes de activar el playbook de IAM Recommender Response, completa los siguientes pasos previos:
Crea un rol de IAM personalizado y configúrale un permiso específico.
Define el valor de Workload Identity Email.
Otorga el rol personalizado que creaste a una cuenta principal existente.
Crea un rol de IAM personalizado
En la consola de Google Cloud , ve a la página Roles de IAM.
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para un nuevo rol personalizado, proporciona el Título, la Descripción y un ID único.
Establece la etapa de lanzamiento del rol en Disponibilidad general.
Agrega el siguiente permiso al rol creado:
resourcemanager.organizations.setIamPolicy
Haz clic en Crear.
Define el valor del correo electrónico de Workload Identity
Para definir a qué identidad se le otorgará el rol personalizado, completa los siguientes pasos:
En la consola de Google Cloud , ve a Respuesta > Playbooks para abrir la navegación de la consola de Operaciones de seguridad.
En la navegación de la consola de Operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
En el campo Buscar de la integración, escribe Google Cloud Recommender.
Haz clic en settingsConfigurar instancia.
Se abrirá la ventana del diálogo.
Copia el valor del parámetro Workload Identity Email en el portapapeles. El valor debe tener el siguiente formato: username@example.com
Otorga un rol personalizado a una principal existente
Después de otorgar tu nueva función personalizada a un principal seleccionado, este podrá cambiar los permisos de cualquier usuario de tu organización.
En la consola de Google Cloud , ve a la página IAM.
En el campo Filtro, pega el valor de Correo electrónico de Workload Identity y busca el principal existente.
Haz clic en editEditar principal. Se abrirá la ventana de diálogo.
En el panel Editar permisos, en Asignar roles, haz clic en addAgregar otro rol.
Selecciona el rol personalizado que creaste y haz clic en Guardar.
Habilita la guía
De forma predeterminada, la guía IAM Recommender Response está inhabilitada. Para usar la guía, habilítala manualmente:
En la consola de Operaciones de seguridad, ve a Respuesta > Guiones.
En el campo Buscar del manual, ingresa IAM Recommender.
En el resultado de la búsqueda, selecciona el manual IAM Recommender Response.
En el encabezado de la guía, cambia el botón de activación para habilitar la guía.
En el encabezado del manual, haz clic en Guardar.
Configura el flujo de aprobación automática
Cambiar la configuración de la guía es una configuración avanzada y opcional.
De forma predeterminada, cada vez que la guía identifica permisos sin usar, espera a que apruebes o rechaces la corrección antes de completar la ejecución.
Para configurar el flujo de la guía para que quite automáticamente los permisos no utilizados cada vez que se encuentren sin solicitar tu aprobación, completa los siguientes pasos:
En la consola de Google Cloud , ve a Respuesta > Guías.
Selecciona el playbook IAM Recommender Response.
En los bloques de creación del playbook, selecciona IAM Setup Block_1. Se abrirá la ventana de configuración del bloque. De forma predeterminada, el parámetro remediation_mode se establece en Manual.
En el campo del parámetro remediation_mode, ingresa Automatic.
Haz clic en Guardar para confirmar la nueva configuración del modo de corrección.
En el encabezado del manual, haz clic en Guardar.
Próximos pasos
Obtén más información sobre las guías en la documentación de Google SecOps.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThis document explains how to enable the **IAM Recommender Response** playbook\nin Security Command Center Enterprise to identify the over-permissioned identities and\nautomatically and safely remove the excess permissions.\n\nOverview\n\nThe IAM recommender provides you with security insights that\nassess how your principals use resources and recommends you to take an action on\nthe encountered insight. For example, when a permission was not used for\nthe last 90 days, the IAM recommender highlights it as an excess\npermission and recommends you to remove it safely.\n\nThe **IAM Recommender Response** playbook uses the IAM recommender\nto scan your environment for the workload identities that possess excess\npermissions or service account impersonations. Instead of [reviewing and applying\nrecommendations](/policy-intelligence/docs/review-apply-role-recommendations#review-apply)\nmanually in Identity and Access Management, enable the playbook to do it automatically in\nSecurity Command Center.\n\nPrerequisites\n\nBefore activating the **IAM Recommender Response** playbook, complete the following\nprerequisite steps:\n\n1. Create a custom IAM role and configure a specific permission for it.\n2. Define the **Workload Identity Email** value.\n3. Grant the custom role you've created to an existing principal.\n\nCreate a custom IAM role\n\n1. In the Google Cloud console, go to the **IAM Roles** page.\n\n [Go to IAM Roles](https://console.cloud.google.com/iam-admin/roles)\n2. Click **Create role** to create a custom role with the required permissions for\n the integration.\n\n3. For a new custom role, provide the **Title** , **Description** , and a unique\n **ID**.\n\n4. Set the **Role Launch Stage** to **General Availability**.\n\n5. Add the following permission to the created role:\n\n resourcemanager.organizations.setIamPolicy\n\n6. Click **Create**.\n\nDefine the Workload Identity Email value\n\nTo define what [identity](/iam/docs/workload-identities) to grant the custom\nrole to, complete the following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks** to open the Security Operations console navigation.\n2. In the Security Operations console navigation, go to **Response \\\u003e\n Integrations Setup**.\n3. In the integration **Search** field, type in `Google Cloud Recommender`.\n4. Click settings **Configure Instance**. The dialog window opens.\n5. Copy the value of the **Workload Identity Email** parameter to your clipboard. The value must be in the following format: `username@example.com`\n\nGrant a custom role to an existing principal\n\nAfter you grant your new custom role to a selected principal, they can change\npermissions for any user in your organization.\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n2. In the **Filter** field, paste the **Workload Identity Email** value and\n search for the existing principal.\n\n3. Click edit **Edit principal**. The\n dialog window opens.\n\n4. In the **Edit access** pane under the **Assign roles** , click\n add **Add another role**.\n\n5. Select the custom role that you've created and click **Save**.\n\nEnable playbook\n\nBy default, the **IAM Recommender Response** playbook is disabled. To use the\nplaybook, enable it manually:\n\n1. In the Security Operations console, go to **Response \\\u003e Playbooks**.\n2. In the playbook **Search** field, input `IAM Recommender`.\n3. In the search result, select the **IAM Recommender Response** playbook.\n4. In the playbook header, switch the toggle to **enable the playbook**.\n5. In the playbook header, click **Save**.\n\nConfigure the automatic approval flow\n\nChanging the playbook settings is an advanced and optional configuration.\n\nBy default, every time the playbook identifies unused permissions, it awaits for\nyou to approve or decline the remediation before completing the run.\n\nTo configure the playbook flow to automatically remove the unused\npermissions every time they are found without requesting your approval, complete\nthe following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks**.\n2. Select the **IAM Recommender Response** playbook.\n3. In the playbook building blocks, select the **IAM Setup Block_1** . The block configuration window opens. By default, the **remediation_mode** parameter is set to `Manual`.\n4. In the **remediation_mode** parameter field, enter `Automatic`.\n5. Click **Save** to confirm the new remediation mode settings.\n6. In the playbook header, click **Save**.\n\nWhat's next?\n\n- Learn more about [playbooks](/chronicle/docs/soar/respond/working-with-playbooks/whats-on-the-playbooks-screen) in the Google SecOps documentation."]]
