本文档介绍了如何在 Security Command Center Enterprise 中启用 IAM Recommender Response 手册,以识别拥有过多权限的身份,并自动安全地移除多余权限。
概览
IAM Recommender 可为您提供安全性数据分析 评估主账号如何使用资源,并建议您对 获取的数据洞见例如,当某项权限未用于 过去 90 天,IAM Recommender 将其突出显示为 权限,并建议您安全地将其移除。
IAM Recommender Response playbook 使用 IAM Recommender 扫描环境中的工作负载身份 权限或服务账号模拟。您不用查看并应用 建议 手动在 Identity and Access Management 中进行操作,启用 playbook 以在 Security Operations 控制台。
前提条件
在启用 IAM 建议程序响应 Playbook 之前,请完成以下前提步骤:
- 创建自定义 IAM 角色并配置特定权限 。
- 定义 Workload Identity 电子邮件地址值。
- 向现有主账号授予您创建的自定义角色。
创建自定义 IAM 角色
在 Google Cloud 控制台中,前往 IAM 角色页面。
点击创建角色,创建具有集成所需权限的自定义角色。
对于新的自定义角色,请提供其名称、说明以及 ID。
将角色发布阶段设置为正式版。
向新创建的角色添加以下权限:
resourcemanager.organizations.setIamPolicy点击创建。
定义 Workload Identity Email 值
如需定义要向哪个身份授予自定义角色,请完成以下步骤:
- 在安全运营控制台中,依次选择响应 > 集成设置。
- 在集成 Search(搜索)字段中,输入
Google Cloud Recommender。 - 点击 Configure Instance。 系统随即会打开对话框窗口。
- 将 Workload Identity Email 参数的值复制到
剪贴板。该值必须采用以下格式:
username@example.com
向现有主账号授予自定义角色
将新的自定义角色授予选定的主账号后,这些主账号可以更改 您组织中的任何用户的权限。
在 Google Cloud 控制台中,转到 IAM 页面。
在过滤条件字段中,粘贴 Workload Identity 电子邮件地址值,然后搜索现有主体。
点击 修改主账号。通过 对话框窗口即会打开
在修改权限窗格中,点击分配角色下的 添加其他角色。
选择您已创建的自定义角色,然后点击保存。
启用 Playbook
默认情况下,IAM Recommender Response 剧本已停用。如需使用该 Playbook,请手动启用该 Playbook:
- 在安全运营控制台中,依次选择响应 > 预设响应方案。
- 在 Playbook 的搜索字段中,输入
IAM Recommender。 - 在搜索结果中,选择 IAM Recommender Response playbook。
- 在 Playbook 标题中,将开关切换到启用 Playbook。
- 在 Playbook 标题中,点击保存。
配置自动审批流程
更改 Playbook 设置是一项高级且可选的配置。
默认情况下,每当 playbook 发现未使用的权限时,就会等待 批准或拒绝补救措施,然后再完成运行。
如需配置 Playbook 流程,以便在每次发现未使用的权限时自动移除这些权限,而无需您批准,请完成以下步骤:
- 在 Security Operations 控制台中,转到响应 > playbook。
- 选择 IAM Recommender Response 手册。
- 在 Playbook 构建块中,选择 IAM Setup Block_1。代码块
则会打开配置窗口。默认情况下,remediation_mode 参数
已设置为
Manual。 - 在 remediation_mode 参数字段中,输入
Automatic。 - 点击保存以确认新的修复模式设置。
- 在 playbook 标题中,点击保存。
后续步骤
- 如需详细了解 Playbook,请参阅 Google SecOps 文档。