Abilita la correzione del bucket pubblico

Questo documento fornisce una guida passo passo per attivare la correzione dei bucket pubblici per i playbook dei risultati relativi alla postura nel livello Enterprise di Security Command Center.

Panoramica

Security Command Center supporta ulteriori correzioni per le vulnerabilità in i seguenti playbook:

  • Risultati della postura - Generici
  • Risultati di postura con Jira
  • Risultati della postura con ServiceNow

Questi playbook per i risultati relativi alla posizione includono un blocco che corregge i risultati OPEN PORT, PUBLIC IP ADDRESS e PUBLIC BUCKET ACL. Per ulteriori informazioni su questi tipi di risultati, consulta Vulnerabilità risultati.

I playbook sono preconfigurati per elaborare OPEN PORT e PUBLIC IP ADDRESS i risultati. Per correggere i risultati di PUBLIC_BUCKET_ACL devi abilitare la correzione del bucket pubblico per i playbook.

Abilita la correzione del bucket pubblico per i playbook

Dopo che il rilevatore Security Health Analytics (SHA) ha identificato ai bucket Cloud Storage accessibili pubblicamente e che generano PUBLIC_BUCKET_ACL risultato: Security Command Center Enterprise importa i risultati allegando i playbook. Per attivare la correzione dei bucket pubblici per i playbook dei risultati relativi alla posizione, devi creare un ruolo IAM personalizzato, configurare un'autorizzazione specifica per il ruolo e concederlo a un entità esistente.

Prima di iniziare

Per risolvere il problema dell'accesso pubblico al bucket è necessaria un'istanza configurata e in esecuzione dell'integrazione di Cloud Storage. Per convalidare la configurazione dell'integrazione, consulta Aggiornare il caso d'uso Enterprise.

Crea un ruolo IAM personalizzato

Per creare un ruolo IAM personalizzato e configurare un'autorizzazione specifica per questo, completa i seguenti passaggi:

  1. Nella console Google Cloud, vai alla pagina Ruoli di IAM.

    Vai a Ruoli IAM

  2. Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni necessarie per: l'integrazione.

  3. Per un nuovo ruolo personalizzato, fornisci titolo, descrizione e un indirizzo ID.

  4. Imposta la Fase di lancio del ruolo su Disponibilità generale.

  5. Aggiungi la seguente autorizzazione al ruolo creato:

    resourcemanager.organizations.setIamPolicy

  6. Fai clic su Crea.

Concedi un ruolo personalizzato a un'entità esistente

Dopo aver concesso il nuovo ruolo personalizzato a un'entità selezionata, questa può modificare autorizzazioni per qualsiasi utente nella tua organizzazione.

Per concedere il ruolo personalizzato a un'entità esistente, completa i seguenti passaggi:

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Nel campo Filter (Filtro), incolla il valore di Workload Identity Email che utilizzi per l'integrazione di Cloud Storage e cercare un'entità esistente.

  3. Fai clic su Modifica principale. La Modifica l'accesso alla finestra di dialogo "PROJECT" si apre.

  4. In Assegna ruoli, fai clic su Aggiungi un altro ruolo.

  5. Seleziona il ruolo personalizzato che hai creato e fai clic su Salva.