ハンドブックを使用して IAM の推奨事項を自動化する

このドキュメントでは、Security Command Center Enterprise で IAM Recommender のレスポンス ハンドブックを有効にして、過剰に権限を付与された ID を特定し、過剰な権限を自動的かつ安全に削除する方法について説明します。

概要

IAM Recommender は、プリンシパルがリソースをどのように使用しているかを評価するセキュリティ分析情報を提供し、発生した分析情報に基づいたアクションを実行することを推奨します。たとえば、過去 90 日間に権限が使用されていない場合、IAM Recommender はそれを過剰な権限としてハイライト表示し、安全に削除することを推奨します。

IAM Recommender Response ハンドブックでは、IAM Recommender を使用して、過剰な権限またはサービス アカウントの権限借用を持つワークロード ID が環境にないかスキャンします。Identity and Access Management で手動で推奨事項を確認して適用するのではなく、ハンドブックを有効にして、セキュリティ運用コンソールで自動的に行うようにします。

前提条件

IAM Recommender Response ハンドブックを有効にする前に、次の前提条件の手順を完了します。

  1. カスタム IAM ロールを作成し、そのロールに特定の権限を構成します。
  2. [Workload Identity Email] 値を定義します。
  3. 作成したカスタムロールを既存のプリンシパルに付与します。

カスタム IAM ロールを作成する

  1. Google Cloud コンソールの [IAM ロール] ページに移動します。

    IAM ロールに移動

  2. [ロールを作成] をクリックして、統合に必要な権限を持つカスタムロールを作成します。

  3. 新しいカスタムロールの場合は、タイトル説明、一意のID を指定します。

  4. [ロールのリリース ステージ] を [一般提供] に設定します。

  5. 作成したロールに次の権限を追加します。

    resourcemanager.organizations.setIamPolicy

  6. [作成] をクリックします。

Workload Identity Email の値を定義する

カスタムロールを付与する ID を定義するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[レスポンス] > [統合の設定] に移動します。
  2. 統合の [検索] フィールドに、「Google Cloud Recommender」と入力します。
  3. [ インスタンスを構成] をクリックします。ダイアログ ウィンドウが開きます。
  4. [Workload Identity Email] パラメータの値をクリップボードにコピーします。値は次の形式にする必要があります。username@example.com

既存のプリンシパルにカスタムロールを付与する

選択したプリンシパルに新しいカスタムロールを付与すると、プリンシパルは組織内の任意のユーザーの権限を変更できます。

  1. Google Cloud コンソールの [IAM] ページに移動します。

    [IAM] に移動

  2. [フィルタ] フィールドに [Workload Identity Email] の値を貼り付け、既存のプリンシパルを検索します。

  3. [プリンシパルを編集します] をクリックします。 ダイアログ ウィンドウが開きます。

  4. [ロールを割り当てる] の [編集権限] ペインで、 [別のロールを追加] をクリックします。

  5. 作成したカスタムロールを選択し、[保存] をクリックします。

ハンドブックを有効にする

デフォルトでは、IAM Recommender Response ハンドブックは無効になっています。ハンドブックを使用するには、手動で有効にします。

  1. セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。
  2. ハンドブックの [検索] フィールドに「IAM Recommender」と入力します。
  3. 検索結果で、[IAM Recommender Response] ハンドブックを選択します。
  4. ハンドブックのヘッダーで、スイッチを切り替えてハンドブックを有効にします
  5. ハンドブックのヘッダーで、[保存] をクリックします。

自動承認フローを構成する

ハンドブックの設定の変更は、高度なオプションの構成です。

デフォルトでは、ハンドブックで未使用の権限を識別するたびに、実行が完了するまで修正の承認または拒否を待機します。

未使用の権限が検出されるたびに承認をリクエストせずに自動的に削除するようにハンドブックのフローを構成するには、次の手順を行います。

  1. セキュリティ運用コンソールで、[レスポンス] > [ハンドブック] に移動します。
  2. [IAM Recommender Response] ハンドブックを選択します。
  3. ハンドブックの構成要素で、[IAM Setup Block_1] を選択します。ブロック構成ウィンドウが開きます。デフォルトでは、remediation_mode パラメータは Manual に設定されています。
  4. remediation_mode パラメータ フィールドに、「Automatic」と入力します。
  5. [保存] をクリックして、新しい修正モードの設定を確定します。
  6. ハンドブックのヘッダーで、[保存] をクリックします。

次のステップ

  • ハンドブックの詳細について、Google SecOps ドキュメントを確認する。