Automatiser les recommandations IAM à l'aide de playbooks
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document explique comment activer le playbook Réponse de l'outil de recommandation IAM dans Security Command Center Enterprise pour identifier les identités disposant d'autorisations excessives et supprimer automatiquement et en toute sécurité les autorisations en excès.
Présentation
L'outil de recommandation IAM vous fournit des insights sur la sécurité qui évaluent la façon dont vos comptes principaux utilisent les ressources et vous recommandent de prendre des mesures en fonction des insights rencontrés. Par exemple, lorsqu'une autorisation n'a pas été utilisée au cours des 90 derniers jours, l'outil de recommandation IAM la met en évidence comme autorisation en excès et vous recommande de la supprimer de manière sécurisée.
Le playbook Réponse de l'outil de recommandation IAM utilise l'outil de recommandation IAM pour analyser votre environnement et identifier les identités de charge de travail qui possèdent des autorisations ou des emprunts d'identité de compte de service excessifs. Au lieu d'examiner et d'appliquer les recommandations manuellement dans Identity and Access Management, activez le playbook pour qu'il le fasse automatiquement dans Security Command Center.
Prérequis
Avant d'activer le playbook IAM Recommender Response, suivez les étapes préalables suivantes :
Créez un rôle IAM personnalisé et configurez une autorisation spécifique pour celui-ci.
Définissez la valeur Adresse e-mail Workload Identity.
Attribuez le rôle personnalisé que vous avez créé à un compte principal existant.
Créer un rôle IAM personnalisé
Dans la console Google Cloud , accédez à la page Rôles IAM.
Cliquez sur Créer un rôle pour créer un rôle personnalisé avec les autorisations requises pour l'intégration.
Pour un nouveau rôle personnalisé, indiquez le titre, la description et un ID unique.
Définissez l'étape de lancement du rôle sur Disponibilité générale.
Ajoutez l'autorisation suivante au rôle créé :
resourcemanager.organizations.setIamPolicy
Cliquez sur Créer.
Définir la valeur de l'adresse e-mail Workload Identity
Pour définir l'identité à laquelle attribuer le rôle personnalisé, procédez comme suit :
Dans la console Google Cloud , accédez à Réponse > Playbooks pour ouvrir la navigation dans la console Security Operations.
Dans le panneau de navigation de la console Security Operations, accédez à Réponse > Configuration des intégrations.
Dans le champ Rechercher de l'intégration, saisissez Google Cloud Recommender.
Cliquez sur settingsConfigurer l'instance.
La boîte de dialogue s'ouvre.
Copiez la valeur du paramètre Adresse e-mail Workload Identity dans votre presse-papiers. La valeur doit respecter le format suivant : username@example.com
Attribuer un rôle personnalisé à un compte principal existant
Une fois que vous avez accordé votre nouveau rôle personnalisé à un compte principal sélectionné, celui-ci peut modifier les autorisations de n'importe quel utilisateur de votre organisation.
Dans la console Google Cloud , accédez à la page IAM.
Dans le champ Filtre, collez la valeur Adresse e-mail Workload Identity et recherchez le compte principal existant.
Cliquez sur editModifier le compte principal. La fenêtre de dialogue s'ouvre.
Dans le volet Modifier les accès, sous Attribuer des rôles, cliquez sur
addAjouter un autre rôle.
Sélectionnez le rôle personnalisé que vous avez créé, puis cliquez sur Enregistrer.
Activer un playbook
Par défaut, le playbook Réponse de l'outil de recommandation IAM est désactivé. Pour utiliser le playbook, activez-le manuellement :
Dans la console Security Operations, accédez à Réponse > Playbooks.
Dans le champ Rechercher du playbook, saisissez IAM Recommender.
Dans les résultats de recherche, sélectionnez le playbook Réponse de l'outil de recommandation IAM.
Dans l'en-tête du playbook, basculez le bouton pour activer le playbook.
Dans l'en-tête du playbook, cliquez sur Enregistrer.
Configurer le flux d'approbation automatique
La modification des paramètres du playbook est une configuration avancée et facultative.
Par défaut, chaque fois que le playbook identifie des autorisations inutilisées, il attend que vous approuviez ou refusiez la correction avant de terminer l'exécution.
Pour configurer le flux du playbook afin de supprimer automatiquement les autorisations inutilisées chaque fois qu'elles sont détectées, sans demander votre approbation, procédez comme suit :
Dans la console Google Cloud , accédez à Réponse > Playbooks.
Sélectionnez le playbook Réponse de l'outil de recommandation IAM.
Dans les blocs de création du playbook, sélectionnez IAM Setup Block_1. La fenêtre de configuration du bloc s'ouvre. Par défaut, le paramètre remediation_mode est défini sur Manual.
Dans le champ du paramètre remediation_mode, saisissez Automatic.
Cliquez sur Enregistrer pour confirmer les nouveaux paramètres du mode de correction.
Dans l'en-tête du playbook, cliquez sur Enregistrer.
Étape suivante
Pour en savoir plus sur les playbooks, consultez la documentation Google SecOps.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThis document explains how to enable the **IAM Recommender Response** playbook\nin Security Command Center Enterprise to identify the over-permissioned identities and\nautomatically and safely remove the excess permissions.\n\nOverview\n\nThe IAM recommender provides you with security insights that\nassess how your principals use resources and recommends you to take an action on\nthe encountered insight. For example, when a permission was not used for\nthe last 90 days, the IAM recommender highlights it as an excess\npermission and recommends you to remove it safely.\n\nThe **IAM Recommender Response** playbook uses the IAM recommender\nto scan your environment for the workload identities that possess excess\npermissions or service account impersonations. Instead of [reviewing and applying\nrecommendations](/policy-intelligence/docs/review-apply-role-recommendations#review-apply)\nmanually in Identity and Access Management, enable the playbook to do it automatically in\nSecurity Command Center.\n\nPrerequisites\n\nBefore activating the **IAM Recommender Response** playbook, complete the following\nprerequisite steps:\n\n1. Create a custom IAM role and configure a specific permission for it.\n2. Define the **Workload Identity Email** value.\n3. Grant the custom role you've created to an existing principal.\n\nCreate a custom IAM role\n\n1. In the Google Cloud console, go to the **IAM Roles** page.\n\n [Go to IAM Roles](https://console.cloud.google.com/iam-admin/roles)\n2. Click **Create role** to create a custom role with the required permissions for\n the integration.\n\n3. For a new custom role, provide the **Title** , **Description** , and a unique\n **ID**.\n\n4. Set the **Role Launch Stage** to **General Availability**.\n\n5. Add the following permission to the created role:\n\n resourcemanager.organizations.setIamPolicy\n\n6. Click **Create**.\n\nDefine the Workload Identity Email value\n\nTo define what [identity](/iam/docs/workload-identities) to grant the custom\nrole to, complete the following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks** to open the Security Operations console navigation.\n2. In the Security Operations console navigation, go to **Response \\\u003e\n Integrations Setup**.\n3. In the integration **Search** field, type in `Google Cloud Recommender`.\n4. Click settings **Configure Instance**. The dialog window opens.\n5. Copy the value of the **Workload Identity Email** parameter to your clipboard. The value must be in the following format: `username@example.com`\n\nGrant a custom role to an existing principal\n\nAfter you grant your new custom role to a selected principal, they can change\npermissions for any user in your organization.\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n2. In the **Filter** field, paste the **Workload Identity Email** value and\n search for the existing principal.\n\n3. Click edit **Edit principal**. The\n dialog window opens.\n\n4. In the **Edit access** pane under the **Assign roles** , click\n add **Add another role**.\n\n5. Select the custom role that you've created and click **Save**.\n\nEnable playbook\n\nBy default, the **IAM Recommender Response** playbook is disabled. To use the\nplaybook, enable it manually:\n\n1. In the Security Operations console, go to **Response \\\u003e Playbooks**.\n2. In the playbook **Search** field, input `IAM Recommender`.\n3. In the search result, select the **IAM Recommender Response** playbook.\n4. In the playbook header, switch the toggle to **enable the playbook**.\n5. In the playbook header, click **Save**.\n\nConfigure the automatic approval flow\n\nChanging the playbook settings is an advanced and optional configuration.\n\nBy default, every time the playbook identifies unused permissions, it awaits for\nyou to approve or decline the remediation before completing the run.\n\nTo configure the playbook flow to automatically remove the unused\npermissions every time they are found without requesting your approval, complete\nthe following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks**.\n2. Select the **IAM Recommender Response** playbook.\n3. In the playbook building blocks, select the **IAM Setup Block_1** . The block configuration window opens. By default, the **remediation_mode** parameter is set to `Manual`.\n4. In the **remediation_mode** parameter field, enter `Automatic`.\n5. Click **Save** to confirm the new remediation mode settings.\n6. In the playbook header, click **Save**.\n\nWhat's next?\n\n- Learn more about [playbooks](/chronicle/docs/soar/respond/working-with-playbooks/whats-on-the-playbooks-screen) in the Google SecOps documentation."]]
