本文档介绍了如何在 Security Command Center Enterprise 中启用 IAM Recommender Response 手册,以识别拥有过多权限的身份,并自动安全地移除多余权限。
概览
IAM Recommender 会为您提供安全数据分析,以便评估主账号使用资源的方式,并建议您根据遇到的数据分析采取行动。例如,如果某个权限在过去 90 天内未使用过,IAM 建议工具会将其标记为多余的权限,并建议您安全地将其移除。
IAM Recommender 响应 Playbook 使用 IAM Recommender 扫描您的环境,以查找具有过多权限或服务账号模拟功能的工作负载身份。您可以启用 Playbook,让其在 Security Operations 控制台中自动查看和应用建议,而无需在 Identity and Access Management 中手动执行此操作。
前提条件
在启用 IAM 建议程序响应 Playbook 之前,请完成以下前提步骤:
- 创建自定义 IAM 角色并为其配置特定权限。
- 定义 Workload Identity 电子邮件地址值。
- 向现有主账号授予您创建的自定义角色。
创建自定义 IAM 角色
在 Google Cloud 控制台中,前往 IAM 角色页面。
点击创建角色,创建具有集成所需权限的自定义角色。
对于新的自定义角色,请提供标题、说明和唯一的 ID。
将角色发布阶段设置为正式版。
向新创建的角色添加以下权限:
resourcemanager.organizations.setIamPolicy点击创建。
定义 Workload Identity 电子邮件地址值
如需定义要向哪个身份授予自定义角色,请完成以下步骤:
- 在安全运营控制台中,依次选择响应 > 集成设置。
- 在集成 Search(搜索)字段中,输入
Google Cloud Recommender。 - 点击 Configure Instance(配置实例)。 系统随即会打开对话框窗口。
- 将 Workload Identity Email 参数的值复制到剪贴板。该值必须采用以下格式:
username@example.com
向现有主账号授予自定义角色
向所选主账号授予新自定义角色后,该主账号便可以更改贵组织中任何用户的权限。
在 Google Cloud 控制台中,转到 IAM 页面。
在过滤条件字段中,粘贴 Workload Identity 电子邮件地址值,然后搜索现有正文。
点击 修改主账号。系统随即会打开对话框窗口。
在修改权限窗格中,点击分配角色下的 添加其他角色。
选择您创建的自定义角色,然后点击保存。
启用 Playbook
默认情况下,IAM Recommender Response 剧本会处于停用状态。如需使用该 Playbook,请手动启用该 Playbook:
- 在安全运营控制台中,依次选择响应 > 预设响应方案。
- 在 Playbook 的搜索字段中,输入
IAM Recommender。 - 在搜索结果中,选择 IAM Recommender Response 手册。
- 在 Playbook 标题中,将切换开关切换为启用 Playbook。
- 在 Playbook 标题中,点击保存。
配置自动审批流程
更改 Playbook 设置是一项高级且可选的配置。
默认情况下,每当 Playbook 识别到未使用的权限时,都会等待您批准或拒绝补救措施,然后再完成运行。
如需配置 Playbook 流程,以便在每次发现未使用的权限时自动移除这些权限,而无需您批准,请完成以下步骤:
- 在安全运营控制台中,依次选择响应 > 预设响应方案。
- 选择 IAM Recommender Response 手册。
- 在 Playbook 构建块中,选择 IAM 设置 Block_1。系统会打开屏蔽设置窗口。默认情况下,remediation_mode 参数设置为
Manual。 - 在 remediation_mode 参数字段中,输入
Automatic。 - 点击保存以确认新的补救措施模式设置。
- 在 Playbook 标题中,点击保存。
后续步骤
- 如需详细了解 Playbook,请参阅 Google SecOps 文档。