Activer la correction des buckets publics

Ce document fournit un guide par étapes pour activer le bucket public de correction pour les playbooks sur les résultats des stratégies au niveau Enterprise Security Command Center.

Présentation

Security Command Center permet de corriger les failles présentes dans les playbooks suivants:

  • Observations sur la posture - Générique
  • Conclusions de la posture avec Jira
  • Résultats de la stratégie avec ServiceNow

Ces playbooks sur les résultats des stratégies incluent un bloc qui corrige les OPEN PORT, PUBLIC IP ADDRESS et PUBLIC BUCKET ACL. Pour plus d'informations sur ces types de résultats, consultez la page Rapport sur les failles résultats.

Les playbooks sont préconfigurés pour traiter les résultats OPEN PORT et PUBLIC IP ADDRESS. Pour corriger les résultats PUBLIC_BUCKET_ACL, vous devez activer la correction du bucket public pour les playbooks.

Activer la correction des buckets publics pour les playbooks

Une fois que le détecteur Security Health Analytics (SHA) a identifié les buckets Cloud Storage accessibles au public et généré les résultats PUBLIC_BUCKET_ACL, Security Command Center Enterprise les ingère et y associe des playbooks. Pour activer la correction des buckets publics pour les playbooks de résultats de la posture, vous devez créer un rôle IAM personnalisé, configurer une autorisation spécifique pour celui-ci et accorder le rôle personnalisé que vous avez créé à un principal existant.

Avant de commencer

Une instance configurée et en cours d'exécution de l'intégration Cloud Storage est pour corriger l'accès au bucket public. Pour valider la configuration de l'intégration, consultez la section Mettre à jour le cas d'utilisation Enterprise.

Créer un rôle IAM personnalisé

Pour créer un rôle IAM personnalisé et configurer une autorisation spécifique pour celui-ci, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Rôles d'IAM.

    Accéder à la page Rôles IAM

  2. Cliquez sur Créer un rôle pour créer un rôle personnalisé avec les autorisations requises pour l'intégration.

  3. Pour un nouveau rôle personnalisé, indiquez le titre, la description et un ID unique.

  4. Définissez l'étape de lancement du rôle sur Disponibilité générale.

  5. Ajoutez l'autorisation suivante au rôle créé :

    resourcemanager.organizations.setIamPolicy

  6. Cliquez sur Créer.

Attribuer un rôle personnalisé à un compte principal existant

Une fois que vous avez attribué votre nouveau rôle personnalisé à un compte principal sélectionné, celui-ci peut modifier les autorisations de n'importe quel utilisateur de votre organisation.

Pour attribuer le rôle personnalisé à un compte principal existant, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page IAM.

    Accéder à IAM

  2. Dans le champ Filtre, collez la valeur Workload Identity Email que vous utilisez pour l'intégration Cloud Storage, puis recherchez le principal existant.

  3. Cliquez sur Modifier le compte principal. La boîte de dialogue Modifier l'accès à "PROJECT" s'ouvre.

  4. Sous Attribuer des rôles, cliquez sur . Ajoutez un autre rôle.

  5. Sélectionnez le rôle personnalisé que vous avez créé, puis cliquez sur Enregistrer.