使用操作手冊自動執行身分與存取權管理最佳化建議

本文說明如何在 Security Command Center Enterprise 中啟用 IAM 建議工具回應劇本，找出權限過多的身分，並自動安全地移除多餘權限。

總覽

IAM 建議會提供安全性深入分析，評估主體使用資源的方式，並建議您對遇到的深入分析採取行動。舉例來說，如果某項權限在過去 90 天內從未使用，IAM 建議就會將其標示為超額權限，並建議您安全地移除該權限。

IAM 建議工具回應劇本會使用 IAM 建議工具掃描環境，找出具有多餘權限或服務帳戶模擬的工作負載身分。您不必在身分與存取權管理中手動檢查及套用最佳化建議，只要在 Security Command Center 中啟用劇本，系統就會自動執行這項操作。

必要條件

啟用 IAM Recommender 回應劇本前，請先完成下列必要步驟：

1. 建立自訂 IAM 角色，並為該角色設定特定權限。
2. 定義「Workload Identity Email」值。
3. 將您建立的自訂角色指派給現有主體。

建立自訂 IAM 角色

1. 前往 Google Cloud 控制台的「IAM Roles」頁面。

   前往「IAM Roles」(身分與存取權管理角色)

2. 按一下「建立角色」，建立具有整合所需權限的自訂角色。

3. 如果是新的自訂角色，請提供「標題」、「說明」和專屬「ID」。

4. 將「角色發布階段」設為「正式發布」。

5. 為建立的角色新增下列權限：

   resourcemanager.organizations.setIamPolicy
   

6. 點選「建立」。

定義 Workload Identity 電子郵件值

如要定義要將自訂角色授予哪個身分，請完成下列步驟：

1. 在 Google Cloud 控制台中，依序前往「Response」>「Playbooks」，開啟 Security Operations 控制台導覽。
2. 在 Security Operations 控制台導覽中，依序前往「Response」>「Integrations Setup」。
3. 在整合的「搜尋」欄位中輸入 Google Cloud Recommender。
4. 按一下 settings「設定執行個體」。 對話方塊視窗隨即開啟。
5. 將「Workload Identity Email」參數的值複製到剪貼簿。值必須採用下列格式：username@example.com

將自訂角色指派給現有主體

將新的自訂角色授予所選主體後，該主體就能變更機構中任何使用者的權限。

1. 前往 Google Cloud 控制台的「IAM」頁面。

   前往身分與存取權管理頁面

2. 在「Filter」(篩選條件) 欄位中，貼上「Workload Identity Email」(Workload Identity 電子郵件) 值，然後搜尋現有主體。

3. 按一下「編輯主體」edit。對話方塊視窗隨即開啟。

4. 在「指派角色」下方的「編輯存取權」窗格中，按一下 add「新增其他角色」。

5. 選取您建立的自訂角色，然後按一下「儲存」。

啟用應對手冊

預設情況下，IAM 建議工具回應應對手冊會停用。如要使用應對手冊，請手動啟用：

1. 在 Security Operations 控制台中，依序前往「Response」>「Playbooks」。
2. 在劇本的「Search」(搜尋) 欄位中輸入 IAM Recommender。
3. 在搜尋結果中，選取「IAM Recommender Response」劇本。
4. 在劇本標題中，切換切換鈕來啟用劇本。
5. 在 Playbook 標題中，按一下「儲存」。

設定自動核准流程

變更應對手冊設定是進階選用設定。

根據預設，每當劇本識別出未使用的權限，就會等待您核准或拒絕補救措施，然後再完成執行。

如要設定劇本流程，在每次發現未使用的權限時自動移除，而不需要求您核准，請完成下列步驟：

1. 在 Google Cloud 控制台中，依序前往「Response」>「Playbooks」。
2. 選取「IAM Recommender Response」劇本。
3. 在劇本建構區塊中，選取「IAM Setup Block_1」。系統會開啟方塊設定視窗，根據預設，remediation_mode 參數會設為 Manual。
4. 在 remediation_mode 參數欄位中輸入 Automatic。
5. 按一下「儲存」確認新的補救模式設定。
6. 在 Playbook 標題中，按一下「儲存」。

後續步驟

• 如要進一步瞭解應對手冊，請參閱 Google SecOps 說明文件。