Te recomendamos que sigas estas prácticas recomendadas para gestionar las recomendaciones de roles.
Para obtener más información sobre las recomendaciones de roles, consulta el resumen de las recomendaciones de roles.
Empezar a usar las recomendaciones
Las siguientes prácticas recomendadas pueden ayudarte a empezar a usar las recomendaciones de roles.
Empieza con una limpieza inicial de los permisos concedidos en exceso. Al principio, es posible que veas un número muy elevado de recomendaciones, sobre todo si muchas entidades principales tienen roles muy permisivos, como Editor. Dedica tiempo a aplicar todas las recomendaciones de tu proyecto u organización para asegurarte de que todas tus entidades tengan los roles adecuados.
Cuando hagas esta limpieza inicial, da prioridad a los siguientes tipos de recomendaciones:
Recomendaciones que reducen los permisos de las cuentas de servicio. De forma predeterminada, todas las cuentas de servicio predeterminadas tienen asignado el rol Editor, que es muy permisivo, en los proyectos. Es posible que a otras cuentas de servicio que gestionas también se les hayan concedido roles con muchos permisos. Todos los permisos concedidos en exceso aumentan el riesgo de seguridad, incluidas las cuentas de servicio con demasiados privilegios, por lo que te recomendamos que priorices estas cuentas durante la limpieza inicial.
Recomendaciones que ayudan a evitar la apropiación de privilegios. Los roles que permiten que las entidades actúen como una cuenta de servicio (
iam.serviceAccounts.actAs) o que obtengan o definan la política de autorización de un recurso pueden permitir que una entidad aumente sus propios privilegios. Priorizar las recomendaciones relacionadas con estos roles.Recomendaciones que reducen el movimiento lateral. El movimiento lateral se produce cuando una cuenta de servicio de un proyecto tiene permiso para suplantar la identidad de una cuenta de servicio de otro proyecto. Este permiso puede provocar una cadena de suplantaciones de identidad entre proyectos que dé a las entidades acceso no deseado a los recursos. Para mitigar este acceso no intencionado, priorice las recomendaciones asociadas a estadísticas de movimientos laterales.
Recomendaciones con un nivel de prioridad alto. Las recomendaciones de IAM se asignan automáticamente a niveles de prioridad en función de las vinculaciones de roles a las que estén asociadas. Prioriza las recomendaciones con un nivel de prioridad alto para reducir rápidamente los permisos excesivos.
Para saber cómo se determina la prioridad de una recomendación, consulta el artículo Prioridad de las recomendaciones.
Cuando encuentres una entidad de seguridad con demasiados privilegios en un proyecto, busca recomendaciones relacionadas con esa entidad de seguridad en otros proyectos. Si a una principal se le ha concedido un rol demasiado permisivo en un proyecto, es posible que también se le hayan concedido roles demasiado permisivos en otros proyectos. Revisa las recomendaciones del principal en varios proyectos para reducir de forma global el acceso del principal al nivel adecuado.
Después de la limpieza inicial, consulta las recomendaciones con frecuencia. Te recomendamos que consultes tus recomendaciones al menos una vez a la semana. Esta comprobación suele tardar mucho menos que la limpieza inicial, ya que solo tendrás que aplicar las recomendaciones de los cambios que se hayan producido desde la última limpieza o comprobación.
Si compruebas los permisos con regularidad, se reduce el trabajo necesario para cada comprobación y puedes identificar y eliminar de forma proactiva a los usuarios inactivos, así como seguir reduciendo los permisos de los usuarios activos.
Prácticas recomendadas para trabajar con recomendaciones
Si usas la API Recommender o los comandos recommender de gcloud CLI para gestionar las recomendaciones, asegúrate de actualizar el estado de las recomendaciones que apliques. De esta forma, podrás hacer un seguimiento de tus recomendaciones y asegurarte de que los cambios que hagas aparezcan en tus registros de recomendaciones.
Prácticas recomendadas para aplicar recomendaciones automáticamente
Para gestionar tus recomendaciones de forma más eficiente, puedes automatizar el proceso de aplicación. Si decides usar la automatización, ten en cuenta los siguientes puntos.
Recommender intenta proporcionar recomendaciones que no provoquen cambios drásticos en el acceso. Por ejemplo, nunca recomendaremos un rol que excluya permisos que una cuenta principal haya usado, de forma pasiva o activa, en los últimos 90 días. También usamos el aprendizaje automático para identificar otros permisos que probablemente necesite el usuario.
Sin embargo, no podemos garantizar que nuestras recomendaciones nunca provoquen cambios en el acceso. Es posible que, al aplicar una recomendación, un principal no pueda acceder a un recurso que necesite. Te recomendamos que consultes cómo funciona el recomendador de gestión de identidades y accesos y que decidas el nivel de automatización que te parezca adecuado. Por ejemplo, puedes decidir aplicar la mayoría de las recomendaciones automáticamente, pero requerir una revisión manual para las recomendaciones que añadan o quiten un número determinado de permisos, o que impliquen conceder o revocar un rol específico.
Cuando automatices recomendaciones, puede que quieras identificar a qué recurso se dirige una recomendación. Para identificar el recurso, usa el campo operation.resource. Otros campos, como el campo name, no siempre representarán el recurso al que se refiere la recomendación.
Siguientes pasos
- Consulta qué son las recomendaciones de roles.
- Consulte los pasos para revisar y aplicar recomendaciones.
- Consulta cómo exportar datos para las recomendaciones de gestión de identidades y accesos.