Questo documento spiega come attivare il playbook IAM Recommender Response (Risposta del motore per suggerimenti IAM) in Security Command Center Enterprise per identificare le identità autorizzate in eccesso e rimuovere in modo automatico e sicuro le autorizzazioni in eccesso.
La funzionalità del playbook Risposta del motore per suggerimenti IAM si basa su Google Security Operations.
Panoramica
Il motore per suggerimenti IAM fornisce insight sulla sicurezza che valutano il modo in cui le entità utilizzano le risorse e ti consiglia di intervenire sull'insight rilevato. Ad esempio, se un'autorizzazione non è stata utilizzata negli ultimi 90 giorni, il motore per suggerimenti IAM la evidenzia come autorizzazione in eccesso e ti consiglia di rimuoverla in modo sicuro.
Il playbook Risposta del motore per suggerimenti IAM utilizza il motore per suggerimenti IAM per analizzare l'ambiente alla ricerca di identità dei carichi di lavoro che possiedono autorizzazioni in eccesso o impersonificazione degli account di servizio. Anziché esaminare e applicare i consigli manualmente in Identity and Access Management, abilita il playbook in modo da farlo automaticamente nella console operativa di sicurezza.
Prerequisiti
Prima di attivare il playbook Risposta del motore per suggerimenti IAM, completa i seguenti passaggi preliminari:
- Creare un ruolo IAM personalizzato e configurare un'autorizzazione specifica.
- Definisci il valore Workload Identity Email (Email sull'identità del carico di lavoro).
- Concedi il ruolo personalizzato che hai creato a un'entità esistente.
Creare un ruolo IAM personalizzato
Nella console Google Cloud, vai alla pagina Ruoli IAM.
Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni necessarie per l'integrazione.
Per un nuovo ruolo personalizzato, fornisci Titolo, Descrizione e un ID univoco.
Imposta Fase di lancio del ruolo su Disponibilità generale.
Aggiungi la seguente autorizzazione al ruolo creato:
resourcemanager.organizations.setIamPolicy
Fai clic su Crea.
Definisci il valore email Workload Identity
Per definire l'identità a cui concedere il ruolo personalizzato, completa questi passaggi:
- Nella console operativa di sicurezza, vai a Risposta > Configurazione delle integrazioni.
- Nel campo dell'integrazione Search, digita
Google Cloud Recommender
. - Fai clic su Configura istanza. Si apre la finestra di dialogo.
- Copia il valore del parametro Workload Identity Email negli appunti. Il valore deve essere nel seguente formato:
username@example.com
Concedi un ruolo personalizzato a un'entità esistente
Dopo aver concesso il nuovo ruolo personalizzato a un'entità selezionata, questa potrà modificare le autorizzazioni per qualsiasi utente dell'organizzazione.
Nella console Google Cloud, vai alla pagina IAM.
Nel campo Filtro, incolla il valore Workload Identity Email e cerca l'entità esistente.
Fai clic su
Modifica entità. Si apre la finestra di dialogo.Nel riquadro Modifica accesso, in Assegna ruoli, fai clic su
Aggiungi un altro ruolo.Seleziona il ruolo personalizzato che hai creato e fai clic su Salva.
Abilita playbook
Per impostazione predefinita, il playbook Risposta del motore per suggerimenti IAM è disattivato. Per utilizzare il playbook, abilitalo manualmente:
- Nella console operativa di sicurezza, vai a Risposta > Playbook.
- Nel campo Cerca del playbook, inserisci
IAM Recommender
. - Nel risultato di ricerca, seleziona il playbook Risposta del motore per suggerimenti IAM.
- Nell'intestazione del playbook, imposta il pulsante di attivazione/disattivazione su Abilita il playbook.
- Nell'intestazione del playbook, fai clic su Salva.
Configura il flusso di approvazione automatica
La modifica delle impostazioni del playbook è una configurazione avanzata e facoltativa.
Per impostazione predefinita, ogni volta che il playbook identifica le autorizzazioni inutilizzate, è in attesa che tu approvi o rifiuti la correzione prima di completare l'esecuzione.
Per configurare il flusso del playbook in modo da rimuovere automaticamente le autorizzazioni inutilizzate ogni volta che vengono trovate senza richiedere la tua approvazione, completa questi passaggi:
- Nella console operativa di sicurezza, vai a Risposta > Playbook.
- Seleziona il playbook Risposta del motore per suggerimenti IAM.
- Nei componenti di base del playbook, seleziona IAM setup Block_1 (Blocco configurazione IAM). Si apre la finestra di configurazione
dei blocchi. Per impostazione predefinita, il parametro remediation_mode è impostato su
Manual
. - Nel campo del parametro remediation_mode, inserisci
Automatic
. - Fai clic su Salva per confermare le nuove impostazioni della modalità di correzione.
- Nell'intestazione del playbook, fai clic su Salva.
Che cosa succede dopo?
- Scopri di più sui playbook nella documentazione di Google SecOps.