Automatiza las recomendaciones de IAM con guías

En este documento, se explica cómo habilitar la guía de respuesta del recomendador de IAM en Security Command Center Enterprise para identificar las identidades con permisos excesivos y quitar los permisos excesivos de forma automática y segura.

Descripción general

El recomendador de IAM te proporciona estadísticas de seguridad que miden cómo tus principales usan los recursos y te recomiendan que realices una acción en función de la estadística encontrada. Por ejemplo, cuando no se usó un permiso durante los últimos 90 días, el recomendador de IAM lo destaca como un permiso excesivo y te recomienda quitarlo de forma segura.

La guía de respuesta del recomendador de IAM usa el recomendador de IAM para analizar tu entorno en busca de identidades de cargas de trabajo que tengan permisos excesivos o suplantación de identidad de cuentas de servicio. En lugar de revisar y aplicar recomendaciones manualmente en Identity and Access Management, habilita la guía de prácticas para que lo haga automáticamente en la consola de Security Operations.

Requisitos previos

Antes de activar la guía de IAM Recommender Response, completa los siguientes pasos previos:

  1. Crea un rol de IAM personalizado y configúrale un permiso específico.
  2. Define el valor de Workload Identity Email.
  3. Otorga el rol personalizado que creaste a una cuenta principal existente.

Crea un rol de IAM personalizado

  1. En la consola de Google Cloud, ve a la página Roles de IAM.

    Ve a Roles de IAM

  2. Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.

  3. Para un nuevo rol personalizado, proporciona el Título, la Descripción y un ID único.

  4. Establece la etapa de lanzamiento del rol en Disponibilidad general.

  5. Agrega el siguiente permiso al rol creado:

    resourcemanager.organizations.setIamPolicy

  6. Haz clic en Crear.

Define el valor de correo electrónico de Workload Identity

Para definir a qué identidad se le otorgará el rol personalizado, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Response > Integrations setup.
  2. En el campo Buscar de la integración, escribe Google Cloud Recommender.
  3. Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
  4. Copia el valor del parámetro Workload Identity Email en tu portapapeles. El valor debe tener el siguiente formato: username@example.com

Otorga un rol personalizado a una cuenta principal existente

Después de otorgar el nuevo rol personalizado a un principal seleccionado, este podrá cambiar los permisos de cualquier usuario de tu organización.

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. En el campo Filtro, pega el valor Workload Identity Email y busca el principal existente.

  3. Haz clic en Editar principal. Se abrirá la ventana de diálogo.

  4. En el panel Editar acceso, en Asignar roles, haz clic en Agregar otra función.

  5. Selecciona el rol personalizado que creaste y haz clic en Guardar.

Habilita la guía

De forma predeterminada, la guía de respuesta del recomendador de IAM está inhabilitada. Para usar la guía, habilítala de forma manual:

  1. En la consola de Security Operations, ve a Respuesta > Guías de respuesta.
  2. En el campo Buscar de la guía de secuencias de comandos, ingresa IAM Recommender.
  3. En el resultado de la búsqueda, selecciona la guía de respuesta del recomendador de IAM.
  4. En el encabezado de la guía, activa el botón de activación para habilitar la guía.
  5. En el encabezado de la guía, haz clic en Guardar.

Configura el flujo de aprobación automática

Cambiar la configuración de la guía es una configuración avanzada y opcional.

De forma predeterminada, cada vez que la guía identifica permisos sin usar, espera que apruebes o rechaces la solución antes de completar la ejecución.

Para configurar el flujo de la guía de instrucciones para que quite automáticamente los permisos que no se usan cada vez que se encuentren sin solicitar tu aprobación, completa los siguientes pasos:

  1. En la consola de Security Operations, ve a Respuesta > Guías de respuesta.
  2. Selecciona la guía de respuesta del recomendador de IAM.
  3. En los bloques de construcción de la guía de referencia, selecciona IAM Setup Block_1. Se abrirá la ventana de configuración del bloque. De forma predeterminada, el parámetro remediation_mode se establece en Manual.
  4. En el campo de parámetros remediation_mode, ingresa Automatic.
  5. Haz clic en Guardar para confirmar la nueva configuración del modo de solución.
  6. En el encabezado de la guía, haz clic en Guardar.

Próximos pasos

  • Obtén más información sobre las guías en la documentación de SecOps de Google.