Mengotomatiskan rekomendasi IAM menggunakan playbook

Dokumen ini menjelaskan cara mengaktifkan playbook IAM Recommender Response di Security Command Center Enterprise untuk mengidentifikasi identitas yang diberi izin berlebihan dan secara otomatis serta menghapus kelebihan izin tersebut.

Fungsi playbook IAM Recommender Response didukung oleh Chronicle Security Operations.

Ringkasan

Pemberi rekomendasi IAM memberi Anda insight keamanan yang menilai cara akun utama Anda menggunakan resource dan merekomendasikan Anda untuk mengambil tindakan atas insight yang ditemukan. Misalnya, jika izin tidak digunakan selama 90 hari terakhir, pemberi rekomendasi IAM menandainya sebagai izin berlebih dan merekomendasikan Anda untuk menghapusnya dengan aman.

Playbook Respons Pemberi Rekomendasi IAM menggunakan pemberi rekomendasi IAM untuk memindai lingkungan Anda guna mencari identitas beban kerja yang memiliki izin berlebih atau peniruan identitas akun layanan. Daripada meninjau dan menerapkan rekomendasi secara manual di Identity and Access Management, aktifkan playbook untuk melakukannya secara otomatis di konsol Security Operations.

Prasyarat

Sebelum mengaktifkan playbook IAM Recommender Response, selesaikan langkah-langkah prasyarat berikut:

  1. Buat peran IAM khusus dan konfigurasi izin khusus untuk peran tersebut.
  2. Tentukan nilai Workload Identity Email.
  3. Berikan peran khusus yang telah Anda buat ke akun utama yang ada.

Membuat peran IAM khusus

  1. Di konsol Google Cloud, buka halaman Peran IAM.

    Buka Peran IAM

  2. Klik Buat peran untuk membuat peran khusus dengan izin yang diperlukan untuk integrasi.

  3. Untuk peran khusus baru, berikan Judul, Deskripsi, dan ID yang unik.

  4. Tetapkan Tahap Peluncuran Peran ke Ketersediaan Umum.

  5. Tambahkan izin berikut ke peran yang dibuat:

    resourcemanager.organizations.setIamPolicy

  6. Klik Create.

Menentukan nilai Workload Identity Email

Untuk menentukan identitas yang akan diberi peran khusus, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Respons > Penyiapan Integrasi.
  2. Dalam kolom Search integrasi, ketik Google Cloud Recommender.
  3. Klik Configure Instance. Jendela dialog akan terbuka.
  4. Salin nilai parameter Workload Identity Email ke papan klip Anda. Nilai harus dalam format berikut: username@example.com

Memberikan peran khusus ke akun utama yang ada

Setelah Anda memberikan peran khusus baru kepada akun utama yang dipilih, akun tersebut dapat mengubah izin untuk setiap pengguna di organisasi Anda.

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Di kolom Filter, tempel nilai Workload Identity Email dan telusuri akun utama yang ada.

  3. Klik Edit principal. Jendela dialog akan terbuka.

  4. Di panel Edit access pada bagian Assign roles, klik Add another role.

  5. Pilih peran khusus yang telah Anda buat, lalu klik Simpan.

Aktifkan playbook

Secara default, playbook IAM Recommender Response dinonaktifkan. Untuk menggunakan playbook, aktifkan playbook secara manual:

  1. Di konsol Security Operations, buka Respons > Playbook.
  2. Di kolom Penelusuran playbook, masukkan IAM Recommender.
  3. Di hasil penelusuran, pilih playbook IAM Recommender Response.
  4. Di header playbook, alihkan tombol untuk mengaktifkan playbook.
  5. Di header playbook, klik Save.

Mengonfigurasi alur persetujuan otomatis

Mengubah setelan playbook merupakan konfigurasi lanjutan dan bersifat opsional.

Secara default, setiap kali playbook mengidentifikasi izin yang tidak digunakan, playbook menunggu Anda untuk menyetujui atau menolak perbaikan sebelum menyelesaikan proses.

Untuk mengonfigurasi alur playbook agar otomatis menghapus izin yang tidak digunakan setiap kali ditemukan tanpa meminta persetujuan Anda, selesaikan langkah-langkah berikut:

  1. Di konsol Security Operations, buka Respons > Playbook.
  2. Pilih playbook IAM Recommender Response.
  3. Di elemen penyusun playbook, pilih IAM Setup Block_1. Jendela konfigurasi blok akan terbuka. Secara default, parameter remediation_mode ditetapkan ke Manual.
  4. Di kolom parameter remediation_mode, masukkan Automatic.
  5. Klik Simpan untuk mengonfirmasi setelan mode perbaikan baru.
  6. Di header playbook, klik Save.

Apa langkah selanjutnya?

  • Pelajari playbook lebih lanjut di dokumentasi Chronicle SecOps.