Automatizar recomendações do IAM usando playbooks

Este documento explica como ativar o playbook Resposta do recomendador do IAM no Security Command Center Enterprise para identificar as identidades com permissões em excesso e remover automaticamente e com segurança as permissões excedentes.

Visão geral

O recomendador do IAM fornece insights de segurança que avaliam como suas principais usam recursos e recomendam que você tome uma ação com base no insight encontrado. Por exemplo, quando uma permissão não é usada há 90 dias, o recomendador do IAM a destaca como uma permissão excessiva e recomenda que você a remova com segurança.

O playbook Resposta do recomendador do IAM usa o recomendador do IAM para verificar seu ambiente em busca das identidades da carga de trabalho que têm permissões em excesso ou representações de conta de serviço. Em vez de analisar e aplicar recomendações manualmente no Identity and Access Management, ative o playbook para fazer isso automaticamente no Security Command Center.

Pré-requisitos

Antes de ativar o playbook Resposta do IAM Recommender, siga estas etapas de pré-requisito:

  1. Crie um papel personalizado do IAM e configure uma permissão específica para ele.
  2. Defina o valor do e-mail da Identidade da carga de trabalho.
  3. Conceda o papel personalizado que você criou a um principal.

Criar um papel personalizado do IAM

  1. No console Google Cloud , acesse a página Papéis do IAM.

    Acessar funções do IAM

  2. Clique em Criar papel para criar um papel personalizado com as permissões necessárias para a integração.

  3. Para uma nova função personalizada, forneça o Título, a Descrição e um ID exclusivo.

  4. Defina a Etapa de lançamento da função como Disponibilidade geral.

  5. Adicione a seguinte permissão ao papel criado:

    resourcemanager.organizations.setIamPolicy

  6. Clique em Criar.

Definir o valor do e-mail da Identidade da carga de trabalho

Para definir a identidade a que conceder a função personalizada, siga estas etapas:

  1. No console Google Cloud , acesse Resposta > Playbooks para abrir a navegação do console de operações de segurança.
  2. Na navegação do console Security Operations, acesse Resposta > Configuração de integrações.
  3. No campo Pesquisar da integração, digite Google Cloud Recommender.
  4. Clique em Configurar instância. A janela de diálogo é aberta.
  5. Copie o valor do parâmetro E-mail da identidade da carga de trabalho para a área de transferência. O valor precisa estar no seguinte formato: username@example.com

Conceder uma função personalizada a um principal

Depois de conceder a nova função personalizada a um principal selecionado, ele poderá mudar as permissões de qualquer usuário na sua organização.

  1. No console Google Cloud , acesse a página IAM.

    Acessar IAM

  2. No campo Filtro, cole o valor E-mail da identidade da carga de trabalho e pesquise o principal atual.

  3. Clique em Editar principal. A janela de diálogo é aberta.

  4. No painel Editar acesso, em Atribuir funções, clique em Adicionar outro papel.

  5. Selecione a função personalizada que você criou e clique em Salvar.

Ativar playbook

Por padrão, o manual Resposta do recomendador do IAM está desativado. Para usar o playbook, ative-o manualmente:

  1. No console do Security Operations, acesse Resposta > Playbooks.
  2. No campo Pesquisar do playbook, insira IAM Recommender.
  3. No resultado da pesquisa, selecione o playbook Resposta do IAM Recommender.
  4. No cabeçalho do playbook, mude a opção para ativar o playbook.
  5. No cabeçalho do playbook, clique em Salvar.

Configurar o fluxo de aprovação automática

Mudar as configurações do playbook é uma configuração avançada e opcional.

Por padrão, sempre que o playbook identifica permissões não usadas, ele aguarda sua aprovação ou recusa da correção antes de concluir a execução.

Para configurar o fluxo do playbook para remover automaticamente as permissões não usadas sempre que forem encontradas sem pedir sua aprovação, siga estas etapas:

  1. No console Google Cloud , acesse Resposta > Playbooks.
  2. Selecione o playbook Resposta do recomendador de IAM.
  3. Nos blocos de criação do playbook, selecione IAM Setup Block_1. A janela de configuração do bloco é aberta. Por padrão, o parâmetro remediation_mode é definido como Manual.
  4. No campo do parâmetro remediation_mode, insira Automatic.
  5. Clique em Salvar para confirmar as novas configurações do modo de correção.
  6. No cabeçalho do playbook, clique em Salvar.

A seguir

  • Saiba mais sobre os playbooks na documentação do Google SecOps.