Ce document explique comment activer le playbook Réponse à l'outil de recommandation IAM dans Security Command Center Enterprise pour identifier les identités disposant d'autorisations excessives, et supprimer automatiquement et en toute sécurité les autorisations en excès.
La fonctionnalité du playbook Réponse à l'outil de recommandation IAM est optimisée par les opérations de sécurité Google.
Présentation
L'outil de recommandation IAM fournit des insights de sécurité qui évaluent la manière dont vos comptes principaux utilisent les ressources et vous recommande de prendre des mesures en fonction de l'insight détecté. Par exemple, lorsqu'une autorisation n'a pas été utilisée au cours des 90 derniers jours, l'outil de recommandation IAM la met en évidence en tant qu'autorisation en excès et vous recommande de la supprimer en toute sécurité.
Le playbook Réponse à l'outil de recommandation IAM utilise l'outil de recommandation IAM pour analyser votre environnement afin d'identifier les identités de charge de travail qui possèdent des autorisations en excès ou des emprunts d'identité de compte de service. Au lieu d'examiner et d'appliquer les recommandations manuellement dans Identity and Access Management, activez le playbook pour qu'il le fasse automatiquement dans la console Opérations de sécurité.
Prérequis
Avant d'activer le playbook Réponse de l'outil de recommandation IAM, effectuez les étapes préalables suivantes:
- Créez un rôle IAM personnalisé et configurez une autorisation spécifique pour celui-ci.
- Définissez la valeur de l'adresse e-mail Workload Identity.
- Attribuez le rôle personnalisé que vous avez créé à un compte principal existant.
Créer un rôle IAM personnalisé
Dans la console Google Cloud, accédez à la page Rôles IAM.
Cliquez sur Créer un rôle pour créer un rôle personnalisé disposant des autorisations requises pour l'intégration.
Pour un nouveau rôle personnalisé, indiquez le titre, la description et un ID unique.
Définissez l'étape de lancement du rôle sur Disponibilité générale.
Ajoutez l'autorisation suivante au rôle créé:
resourcemanager.organizations.setIamPolicy
Cliquez sur Créer.
Définir la valeur de l'adresse e-mail Workload Identity
Pour définir l'identité à laquelle attribuer le rôle personnalisé, procédez comme suit:
- Dans la console Opérations de sécurité, accédez à Réponse > Configuration des intégrations.
- Dans le champ Search (Rechercher) d'intégration, saisissez
Google Cloud Recommender
. - Cliquez sur Configurer l'instance. La boîte de dialogue s'ouvre.
- Copiez la valeur du paramètre Adresse e-mail de la charge de travail Identity dans votre presse-papiers. La valeur doit respecter le format suivant:
username@example.com
Attribuer un rôle personnalisé à un compte principal existant
Une fois que vous avez attribué votre nouveau rôle personnalisé à un compte principal sélectionné, il peut modifier les autorisations de n'importe quel utilisateur de votre organisation.
Dans la console Google Cloud, accédez à la page IAM.
Dans le champ Filtre, collez la valeur Adresse e-mail Workload Identity et recherchez le compte principal existant.
Cliquez sur
Modifier le compte principal. La boîte de dialogue s'ouvre.Dans le volet Modifier l'accès, sous Attribuer des rôles, cliquez sur
Ajouter un autre rôle.Sélectionnez le rôle personnalisé que vous avez créé, puis cliquez sur Enregistrer.
Activer le playbook
Par défaut, le playbook Réponse à l'outil de recommandation IAM est désactivé. Pour utiliser le playbook, activez-le manuellement:
- Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
- Dans le champ Rechercher du playbook, saisissez
IAM Recommender
. - Dans le résultat de recherche, sélectionnez le playbook Réponse à l'outil de recommandation IAM.
- Dans l'en-tête du playbook, basculez le bouton pour l'activer.
- Dans l'en-tête du playbook, cliquez sur Enregistrer.
Configurer le flux d'approbation automatique
La modification des paramètres des playbooks est une configuration avancée facultative.
Par défaut, chaque fois que le playbook identifie des autorisations inutilisées, il attend que vous approuviez ou refusiez la correction avant de terminer l'exécution.
Pour configurer le flux du playbook afin de supprimer automatiquement les autorisations inutilisées chaque fois qu'elles sont trouvées sans demander votre approbation, procédez comme suit:
- Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
- Sélectionnez le playbook Réponse à l'outil de recommandation IAM.
- Dans les composants de base du playbook, sélectionnez le bloc de configuration IAM_1. La fenêtre de configuration du bloc s'ouvre. Par défaut, le paramètre remediation_mode est défini sur
Manual
. - Dans le champ de paramètre remediation_mode, saisissez
Automatic
. - Cliquez sur Enregistrer pour confirmer les nouveaux paramètres du mode correction.
- Dans l'en-tête du playbook, cliquez sur Enregistrer.
Étape suivante
- Pour en savoir plus sur les playbooks, consultez la documentation Google SecOps.