Automatiser les recommandations IAM à l'aide de playbooks

Ce document explique comment activer le playbook Réponse de l'outil de recommandation IAM dans Security Command Center Enterprise pour identifier les identités sur-autorisées et supprimer automatiquement et de manière sécurisée les autorisations en trop.

Présentation

L'outil de recommandation IAM fournit des insights sur la sécurité d'évaluer l'utilisation des ressources par les comptes principaux et de prendre des mesures l’information rencontrée. Par exemple, lorsqu'une autorisation n'a pas été utilisée pour au cours des 90 derniers jours, l'outil de recommandation IAM le signale et vous recommande de la supprimer en toute sécurité.

Le playbook Réponse de l'outil de recommandation IAM utilise l'outil de recommandation IAM. pour rechercher dans votre environnement les identités de charge de travail qui possèdent des excès d'autorisations ou d'emprunt d'identité de compte de service. Au lieu d'examiner et d'appliquer manuellement les recommandations dans Identity and Access Management, activez le playbook pour qu'il le fasse automatiquement dans la console Security Operations.

Prérequis

Avant d'activer le playbook Réponse de l'outil de recommandation IAM, procédez comme suit : étapes préalables requises:

  1. Créez un rôle IAM personnalisé et configurez une autorisation spécifique pour celui-ci.
  2. Définissez la valeur Adresse e-mail Workload Identity.
  3. Attribuez le rôle personnalisé que vous avez créé à un principal existant.

Créer un rôle IAM personnalisé

  1. Dans la console Google Cloud, accédez à la page Rôles IAM.

    Accéder à la page Rôles IAM

  2. Cliquez sur Créer un rôle pour créer un rôle personnalisé avec les autorisations requises pour l'intégration.

  3. Pour un nouveau rôle personnalisé, indiquez le titre, la description et un champ Identifiant :

  4. Définissez l'étape de lancement du rôle sur Disponibilité générale.

  5. Ajoutez l'autorisation suivante au rôle créé :

    resourcemanager.organizations.setIamPolicy

  6. Cliquez sur Créer.

Définir la valeur de l'adresse e-mail Workload Identity

Pour définir l'identité à laquelle accorder le rôle personnalisé, procédez comme suit :

  1. Dans la console Opérations de sécurité, accédez à Réponse > Intégrations. Configuration.
  2. Dans le champ Rechercher de l'intégration, saisissez Google Cloud Recommender.
  3. Cliquez sur Configurer l'instance. La boîte de dialogue s'ouvre.
  4. Copiez la valeur du paramètre Workload Identity Email (Adresse e-mail Workload Identity) dans votre presse-papiers. Cette valeur doit respecter le format suivant: username@example.com

Attribuer un rôle personnalisé à un principal existant

Une fois que vous avez attribué votre nouveau rôle personnalisé à un compte principal sélectionné, celui-ci peut modifier les autorisations de n'importe quel utilisateur de votre organisation.

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM

  2. Dans le champ Filtre, collez la valeur Workload Identity Email et recherchez l'entité principale existante.

  3. Cliquez sur Modifier le compte principal. La s'ouvre.

  4. Dans le volet Modifier les accès, sous Attribuer des rôles, cliquez sur Ajouter un autre rôle.

  5. Sélectionnez le rôle personnalisé que vous avez créé et cliquez sur Enregistrer.

Activer le playbook

Par défaut, le playbook Réponse de l'outil de recommandation IAM est désactivé. Pour utiliser le playbook, activez-le manuellement :

  1. Dans la console Opérations de sécurité, accédez à Réponse > Playbooks.
  2. Dans le champ Search (Rechercher) du playbook, saisissez IAM Recommender.
  3. Dans les résultats de recherche, sélectionnez le playbook Réponse à l'outil de recommandation IAM.
  4. Dans l'en-tête du playbook, basculez le bouton pour activer le playbook.
  5. Dans l'en-tête du playbook, cliquez sur Enregistrer.

Configurer le flux d'approbation automatique

Modifier les paramètres du playbook est une configuration avancée et facultative.

Par défaut, chaque fois que le playbook identifie des autorisations inutilisées, il vous attend pour approuver ou refuser la correction avant de terminer l'exécution.

Pour configurer le flux du playbook afin de supprimer automatiquement les autorisations inutilisées chaque fois qu'elles sont détectées sans demander votre approbation, procédez comme suit :

  1. Dans la console Security Operations, accédez à Réponse > Playbooks.
  2. Sélectionnez le playbook Réponse de l'outil de recommandation IAM.
  3. Dans les composants de base du playbook, sélectionnez IAM Setup Block_1 (bloc de configuration IAM 1). La fenêtre de configuration du bloc s'ouvre. Par défaut, le paramètre remediation_mode est défini sur Manual.
  4. Dans le champ de paramètre remediation_mode, saisissez Automatic.
  5. Cliquez sur Enregistrer pour confirmer les nouveaux paramètres du mode de correction.
  6. Dans l'en-tête du playbook, cliquez sur Enregistrer.

Étape suivante

  • Apprenez-en plus sur les playbooks dans le Google SecOps dans la documentation Google Cloud.