Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questo documento spiega come attivare il playbook Risposta del motore per suggerimenti IAM
in Security Command Center Enterprise per identificare le identità con autorizzazioni eccessive e
rimuovere automaticamente e in sicurezza le autorizzazioni in eccesso.
Panoramica
IAM Recommender fornisce insight sulla sicurezza che
valutano il modo in cui le tue entità utilizzano le risorse e ti consigliano di intraprendere un'azione in base
all'insight riscontrato. Ad esempio, quando un'autorizzazione non è stata utilizzata per gli ultimi 90 giorni, IAM Recommender la evidenzia come autorizzazione in eccesso e consiglia di rimuoverla in modo sicuro.
Il playbook IAM Recommender Response utilizza IAM Recommender
per analizzare l'ambiente alla ricerca delle identità del workload che dispongono di autorizzazioni
in eccesso o di simulazioni dell'identità del account di servizio. Anziché rivedere e applicare
i consigli
manualmente in Identity and Access Management, attiva il playbook per farlo automaticamente in
Security Command Center.
Prerequisiti
Prima di attivare il playbook IAM Recommender Response, completa i seguenti
passaggi preliminari:
Crea un ruolo IAM personalizzato e configura un'autorizzazione specifica
per questo ruolo.
Definisci il valore Email Workload Identity.
Concedi il ruolo personalizzato che hai creato a un'entità esistente.
Creare un ruolo IAM personalizzato
Nella console Google Cloud , vai alla pagina Ruoli IAM.
Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni richieste per l'integrazione.
Per un nuovo ruolo personalizzato, fornisci Titolo, Descrizione e un ID univoco.
Imposta Fase di lancio del ruolo su Disponibilità generale.
Aggiungi la seguente autorizzazione al ruolo creato:
resourcemanager.organizations.setIamPolicy
Fai clic su Crea.
Definisci il valore dell'email di Workload Identity
Per definire a quale identità concedere il ruolo personalizzato, completa i seguenti passaggi:
Nella console Google Cloud , vai a Risposta > Playbook per aprire
la navigazione della console Security Operations.
Nel menu di navigazione della console Security Operations, vai a Risposta >
Configurazione integrazioni.
Nel campo Cerca dell'integrazione, digita Google Cloud Recommender.
Fai clic su settingsConfigura istanza.
Si apre la finestra di dialogo.
Copia il valore del parametro Workload Identity Email negli appunti. Il valore deve essere nel seguente formato: username@example.com
Concedere un ruolo personalizzato a un'entità esistente
Dopo aver concesso il nuovo ruolo personalizzato a un soggetto selezionato, quest'ultimo può modificare
le autorizzazioni per qualsiasi utente della tua organizzazione.
Nel campo Filtro, incolla il valore Email Workload Identity e
cerca l'entità esistente.
Fai clic su editModifica principale. Si apre la finestra di dialogo.
Nel riquadro Modifica accesso, nella sezione Assegna ruoli, fai clic su
addAggiungi un altro ruolo.
Seleziona il ruolo personalizzato che hai creato e fai clic su Salva.
Abilita playbook
Per impostazione predefinita, il playbook Risposta del motore per suggerimenti IAM è disabilitato. Per utilizzare il
playbook, attivalo manualmente:
Nella console Security Operations, vai a Risposta > Playbook.
Nel campo Cerca del playbook, inserisci IAM Recommender.
Nel risultato di ricerca, seleziona il playbook IAM Recommender Response.
Nell'intestazione del playbook, sposta il selettore per attivare il playbook.
Nell'intestazione del playbook, fai clic su Salva.
Configurare il flusso di approvazione automatica
La modifica delle impostazioni del playbook è una configurazione avanzata e facoltativa.
Per impostazione predefinita, ogni volta che il playbook identifica autorizzazioni inutilizzate, attende
che tu approvi o rifiuti la correzione prima di completare l'esecuzione.
Per configurare il flusso del playbook in modo da rimuovere automaticamente le autorizzazioni
non utilizzate ogni volta che vengono trovate senza richiedere la tua approvazione, completa
i seguenti passaggi:
Nella console Google Cloud , vai a Risposta > Playbook.
Seleziona il playbook Risposta del motore per suggerimenti IAM.
Nei blocchi predefiniti del playbook, seleziona IAM Setup Block_1. Si apre la finestra di configurazione del blocco. Per impostazione predefinita, il parametro remediation_mode
è impostato su Manual.
Nel campo del parametro remediation_mode, inserisci Automatic.
Fai clic su Salva per confermare le nuove impostazioni della modalità di correzione.
Nell'intestazione del playbook, fai clic su Salva.
Passaggi successivi
Scopri di più sui playbook nella documentazione di Google SecOps.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThis document explains how to enable the **IAM Recommender Response** playbook\nin Security Command Center Enterprise to identify the over-permissioned identities and\nautomatically and safely remove the excess permissions.\n\nOverview\n\nThe IAM recommender provides you with security insights that\nassess how your principals use resources and recommends you to take an action on\nthe encountered insight. For example, when a permission was not used for\nthe last 90 days, the IAM recommender highlights it as an excess\npermission and recommends you to remove it safely.\n\nThe **IAM Recommender Response** playbook uses the IAM recommender\nto scan your environment for the workload identities that possess excess\npermissions or service account impersonations. Instead of [reviewing and applying\nrecommendations](/policy-intelligence/docs/review-apply-role-recommendations#review-apply)\nmanually in Identity and Access Management, enable the playbook to do it automatically in\nSecurity Command Center.\n\nPrerequisites\n\nBefore activating the **IAM Recommender Response** playbook, complete the following\nprerequisite steps:\n\n1. Create a custom IAM role and configure a specific permission for it.\n2. Define the **Workload Identity Email** value.\n3. Grant the custom role you've created to an existing principal.\n\nCreate a custom IAM role\n\n1. In the Google Cloud console, go to the **IAM Roles** page.\n\n [Go to IAM Roles](https://console.cloud.google.com/iam-admin/roles)\n2. Click **Create role** to create a custom role with the required permissions for\n the integration.\n\n3. For a new custom role, provide the **Title** , **Description** , and a unique\n **ID**.\n\n4. Set the **Role Launch Stage** to **General Availability**.\n\n5. Add the following permission to the created role:\n\n resourcemanager.organizations.setIamPolicy\n\n6. Click **Create**.\n\nDefine the Workload Identity Email value\n\nTo define what [identity](/iam/docs/workload-identities) to grant the custom\nrole to, complete the following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks** to open the Security Operations console navigation.\n2. In the Security Operations console navigation, go to **Response \\\u003e\n Integrations Setup**.\n3. In the integration **Search** field, type in `Google Cloud Recommender`.\n4. Click settings **Configure Instance**. The dialog window opens.\n5. Copy the value of the **Workload Identity Email** parameter to your clipboard. The value must be in the following format: `username@example.com`\n\nGrant a custom role to an existing principal\n\nAfter you grant your new custom role to a selected principal, they can change\npermissions for any user in your organization.\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n2. In the **Filter** field, paste the **Workload Identity Email** value and\n search for the existing principal.\n\n3. Click edit **Edit principal**. The\n dialog window opens.\n\n4. In the **Edit access** pane under the **Assign roles** , click\n add **Add another role**.\n\n5. Select the custom role that you've created and click **Save**.\n\nEnable playbook\n\nBy default, the **IAM Recommender Response** playbook is disabled. To use the\nplaybook, enable it manually:\n\n1. In the Security Operations console, go to **Response \\\u003e Playbooks**.\n2. In the playbook **Search** field, input `IAM Recommender`.\n3. In the search result, select the **IAM Recommender Response** playbook.\n4. In the playbook header, switch the toggle to **enable the playbook**.\n5. In the playbook header, click **Save**.\n\nConfigure the automatic approval flow\n\nChanging the playbook settings is an advanced and optional configuration.\n\nBy default, every time the playbook identifies unused permissions, it awaits for\nyou to approve or decline the remediation before completing the run.\n\nTo configure the playbook flow to automatically remove the unused\npermissions every time they are found without requesting your approval, complete\nthe following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks**.\n2. Select the **IAM Recommender Response** playbook.\n3. In the playbook building blocks, select the **IAM Setup Block_1** . The block configuration window opens. By default, the **remediation_mode** parameter is set to `Manual`.\n4. In the **remediation_mode** parameter field, enter `Automatic`.\n5. Click **Save** to confirm the new remediation mode settings.\n6. In the playbook header, click **Save**.\n\nWhat's next?\n\n- Learn more about [playbooks](/chronicle/docs/soar/respond/working-with-playbooks/whats-on-the-playbooks-screen) in the Google SecOps documentation."]]
