Die folgenden Best Practices können Ihnen den Einstieg in Rollenempfehlungen erleichtern.
Beginnen Sie mit einer anfänglichen Bereinigung zu starker gewährter Berechtigungen. Zu Beginn werden möglicherweise sehr viele Empfehlungen angezeigt, insbesondere wenn viele Hauptkonten umfangreiche Berechtigungen wie die Bearbeiterrolle haben. Nehmen Sie sich die Zeit, um alle Empfehlungen in Ihrem Projekt oder in Ihrer Organisation zu evaluieren. So sorgen Sie dafür, dass alle Hauptkonten angemessene Rollen haben.
Bei der ersten Bereinigung sollten Sie die folgenden Arten von Empfehlungen priorisieren:
Empfehlungen, die die Berechtigungen für Dienstkonten reduzieren.
Standardmäßig wird allen Standarddienstkonten bei Projekten die sehr starke Berechtigung "Bearbeiter" gewährt. Anderen Dienstkonten, die Sie verwalten, könnten ebenfalls höchst freizügige Rollen zugewiesen worden sein. Alle zu viel gewährten Berechtigungen erhöhen Ihr Sicherheitsrisiko, einschließlich der übermäßig privilegierten Dienstkonten. Daher empfehlen wir Ihnen, übermäßig privilegierte Dienstkonten bei der anfänglichen Bereinigung vorzuziehen.
Empfehlungen, die dazu beitragen, die Rechteausweitung zu verhindern. Durch Rollen, mit denen Hauptkonten als Dienstkonto (iam.serviceAccounts.actAs) agieren oder die „allow“-Richtlinie für eine Ressource abrufen oder festlegen können, können Hauptkonten möglicherweise ihre eigenen Privilegien erweitern. Priorisieren Sie Empfehlungen zu diesen Rollen.
Empfehlungen, die das "Lateral Movement" reduzieren. Ein "Lateral Movement" besteht, wenn ein Dienstkonto in einem Projekt die Berechtigung hat, die Identität eines Dienstkontos in einem anderen Projekt zu übernehmen. Diese Berechtigung kann zu einer Kette von Identitätsübertragungen über Projekte hinweg führen, die Hauptkonten unbeabsichtigten Zugriff auf Ressourcen gewähren. Um diesen unbeabsichtigten Zugriff zu minimieren, sollten Sie Empfehlungen priorisieren, die mit Statistiken zum "Lateral Movement" verknüpft sind.
Empfehlungen mit einer hohen Priorität. IAM-Empfehlungen werden automatisch Prioritätsstufen basierend auf den Rollenbindungen zugewiesen, denen sie zugeordnet sind. Priorisieren Sie Empfehlungen mit einer hohen Prioritätsebene, um schnell zu viel gewährte Berechtigungen zu reduzieren.
Informationen zum Ermitteln der Priorität einer Empfehlung finden Sie unter Empfehlungspriorität.
Wenn Sie in einem Projekt ein Hauptkonto mit übermäßigen Rechten finden, prüfen Sie auch andere Projekte auf Empfehlungen, die dieses Hauptkonto betreffen. Wenn einem Hauptkonto in einem Projekt zu viele Berechtigungen zugewiesen wurden, kann es sein, dass ihm auch zu viele Berechtigungen in anderen Projekten zugewiesen wurden. Evaluieren Sie die Empfehlungen für das Hauptkonto über mehrere Projekte hinweg, um den Zugriff des Hauptkonto global auf die entsprechende Ebene zu reduzieren.
Prüfen Sie nach der ersten Bereinigung die Empfehlungen weiterhin regelmäßig. Wir empfehlen Ihnen, die Empfehlungen mindestens einmal pro Woche zu prüfen. Die erneute Prüfung nimmt in der Regel deutlich weniger Zeit in Anspruch als die erste Bereinigung, da Sie nur Empfehlungen für Änderungen berücksichtigen müssen, die seit der letzten Bereinigung oder Prüfung aufgetreten sind.
Durch regelmäßiges Prüfen der Berechtigungen reduziert sich der für die Prüfung erforderliche Arbeitsaufwand. Außerdem können Sie inaktive Nutzer proaktiv erkennen und entfernen sowie die Berechtigungen aktiver Nutzer einschränken.
Best Practices zur automatischen Anwendung von Empfehlungen
Um Ihre Empfehlungen effizienter zu verwalten, können Sie das Anwenden von Empfehlungen automatisieren. Sie sollten die folgenden Punkte beachten, wenn Sie sich für die Automatisierung entscheiden.
Der Recommender versucht, Empfehlungen bereitzustellen, die keine funktionsgefährdenden Änderungen verursachen. Wir empfehlen beispielsweise keine Rollen, die Berechtigungen ausschließen, die ein Hauptkonto in den letzten 90 Tagen passiv oder aktiv genutzt hat. Außerdem werden mithilfe von maschinellem Lernen andere Berechtigungen ermittelt, die der Nutzer wahrscheinlich benötigt.
Wir können jedoch nicht garantieren, dass durch unsere Empfehlungen keine funktionsgefährdenden Änderungen verursacht werden. Eine Empfehlung kann dazu führen, dass ein Hauptkonto nicht auf die benötigten Ressourcen zugreifen kann. Wir empfehlen Ihnen, den Artikel Funktionsweise des IAM Recommenders zu lesen und zu entscheiden, wie viel Automatisierung für Sie infrage kommt. Beispielsweise können Sie die meisten Empfehlungen automatisch anwenden lassen, aber eine manuelle Prüfung für solche Empfehlungen vornehmen, die eine bestimmte Anzahl von Berechtigungen hinzufügen oder entfernen oder die eine bestimmte Rolle gewähren oder entziehen.
Wenn Sie Empfehlungen automatisieren, möchten Sie möglicherweise wissen, für welche Ressource eine Empfehlung gilt. Zum Identifizieren der Ressource verwenden Sie das Feld operation.resource. Andere Felder wie das Feld name stellen nicht immer die Ressource dar, für die die Empfehlung bestimmt ist.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-11 (UTC)."],[],[],null,["# Role recommendations best practices\n\nWe recommend the following best practices for managing role recommendations.\n\nFor more information about role recommendations, see the\n[role recommendation overview](/policy-intelligence/docs/role-recommendations-overview).\n\nGetting started with recommendations\n------------------------------------\n\nThe following best practices can help you get started with role recommendations.\n\n- **Begin with an initial cleanup of over-granted permissions.** Initially, you\n might see a very large number of recommendations, especially if many\n principals have highly permissive roles like Editor. Take the time to address\n all recommendations in your project or organization to ensure that all of your\n principals have the appropriate roles.\n\n When doing this initial cleanup, prioritize the following types of\n recommendations:\n - **Recommendations that reduce permissions for service accounts.**\n By default, all [default service accounts](/iam/docs/service-account-types#default) are\n granted the highly permissive Editor role on projects. Other\n service accounts that you manage might also have been granted highly\n permissive roles. All over-granted permissions increase your security\n risk, including overly privileged service accounts, so we recommend\n prioritizing overly privileged service accounts during your\n initial cleanup.\n\n - **Recommendations that help prevent privilege escalation.** Roles that\n let principals act as a service account (`iam.serviceAccounts.actAs`)\n or get or set the allow policy for a resource can potentially let a\n principal escalate their own privilege. Prioritize recommendations\n relating to these roles.\n\n - **Recommendations that reduce lateral movement.** Lateral movement is when\n a service account in one project has permission to impersonate a service\n account in another project. This permission can result in a chain of\n impersonations across projects that gives principals unintended access to\n resources. To mitigate this unintended access, prioritize recommendations\n that are associated with [lateral movement\n insights](/policy-intelligence/docs/role-recommendations-overview#lateral-movement-insights).\n\n - **Recommendations with a high priority level.** IAM\n recommendations are automatically assigned priority levels based on the\n role bindings they're associated with. Prioritize recommendations with\n a high priority level to quickly reduce over-granted permissions.\n\n To learn how a recommendation's priority is determined, see\n [Recommendation priority](/policy-intelligence/docs/role-recommendations-overview#priority).\n - **When you find an over-privileged principal in one project, check other\n projects for recommendations involving that principal.** If a principal\n has been granted an overly permissive role in one project, it is possible\n that they have been granted overly permissive roles in other projects as\n well. Review recommendations for the principal across multiple projects to\n globally reduce the principal's access to the appropriate level.\n\n- After the initial cleanup, **check your recommendations regularly.** We\n recommend that you check your recommendations at least once a week. This check\n will usually take much less time than the initial cleanup, because you will\n only need to address recommendations for changes that have occurred since the\n last cleanup or check.\n\n Regularly checking permissions reduces the work required for each check, and\n can help you proactively identify and remove inactive users, as well as\n continue to downscope permissions for active users.\n\nBest practices for working with recommendations\n-----------------------------------------------\n\nIf you use the [Recommender API](/recommender/docs/reference/rest) or the\n[`recommender` commands for the gcloud CLI](/sdk/gcloud/reference/recommender) to\nmanage recommendations, make sure to update the state of recommendations that\nyou apply. This allows you to keep track of your recommendations and ensures\nthat the changes you make appear in your [recommendations logs](/policy-intelligence/docs/review-apply-role-recommendations#logs).\n\nBest practices for applying recommendations automatically\n---------------------------------------------------------\n\nTo manage your recommendations more efficiently, you might want to automate the\nprocess of applying recommendations. If you decide to use automation, keep the\nfollowing points in mind.\n\nRecommender tries to provide recommendations that will not\ncause breaking changes in access. For example, we will never recommend a role\nthat excludes permissions that a principal has used,\n[passively or actively](/policy-intelligence/docs/role-recommendations-overview#permissions-used), in the last\n90 days. We also use [machine learning](/policy-intelligence/docs/role-recommendations-overview#ml) to\nidentify other permissions that the user is likely to need.\n\nHowever, we cannot guarantee that our recommendations will never cause breaking\nchanges in access---it is possible that applying a recommendation will\nresult in a principal being unable to access a resource that they need. We\nrecommend reviewing\n[How the IAM recommender works](/policy-intelligence/docs/role-recommendations-overview#how-recommender-works) and\ndeciding how much automation you are comfortable with. For example, you might\ndecide to apply most recommendations automatically, but require a manual review\nfor recommendations that add or remove a certain number of permissions, or that\ninvolve granting or revoking a specific role.\n\nWhen automating recommendations, you might want to identify which resource a\nrecommendation is for. To identify the resource, use the `operation.resource`\nfield. Other fields, such as the `name` field, will not always represent the\nresource that the recommendation is for.\n\nWhat's next\n-----------\n\n- Understand [role recommendations](/policy-intelligence/docs/role-recommendations-overview).\n- Learn the steps for [reviewing and applying recommendations](/policy-intelligence/docs/review-apply-role-recommendations).\n- Find out how to [export data for IAM recommendations](/policy-intelligence/docs/export-role-recommendations-data)."]]
