Praktik terbaik berikut dapat membantu Anda memulai rekomendasi peran.
Mulailah dengan pembersihan awal izin yang diberikan secara berlebihan. Awalnya, Anda
mungkin melihat rekomendasi dalam jumlah sangat besar, terutama jika banyak
akun utama memiliki peran yang sangat permisif seperti Editor. Luangkan waktu untuk mengatasi
semua rekomendasi di project atau organisasi Anda untuk memastikan bahwa semua
akun utama Anda memiliki peran yang sesuai.
Saat melakukan pembersihan awal ini, prioritaskan jenis rekomendasi berikut:
Rekomendasi yang mengurangi izin untuk akun layanan.
Secara default, semua akun layanan default
diberi peran Editor yang sangat permisif pada project. Akun layanan
lain yang Anda kelola mungkin juga telah diberi peran yang sangat
permisif. Semua izin yang diberikan secara berlebihan akan meningkatkan risiko keamanan, termasuk akun layanan yang memiliki hak istimewa yang berlebihan. Jadi, sebaiknya prioritaskan akun layanan yang memiliki hak istimewa yang berlebihan selama pembersihan awal.
Rekomendasi yang membantu mencegah eskalasi hak istimewa. Peran yang
memungkinkan akun utama bertindak sebagai akun layanan (iam.serviceAccounts.actAs)
atau mendapatkan atau menetapkan kebijakan izin untuk resource berpotensi memungkinkan
akun utama mengeskalasi hak istimewanya sendiri. Prioritaskan rekomendasi
terkait peran ini.
Rekomendasi yang mengurangi pergerakan lateral. Pergerakan lateral adalah saat akun layanan dalam satu project memiliki izin untuk meniru akun layanan di project lain. Izin ini dapat menyebabkan rantai peniruan identitas di seluruh project yang memberi akun utama akses yang tidak diinginkan ke resource. Untuk mengurangi akses yang tidak diinginkan ini, prioritaskan rekomendasi
yang terkait dengan insight
pergerakan lateral.
Rekomendasi dengan tingkat prioritas tinggi. Rekomendasi IAM secara otomatis ditetapkan tingkat prioritasnya berdasarkan binding peran yang terkait dengannya. Prioritaskan rekomendasi dengan
tingkat prioritas tinggi untuk mengurangi izin yang diberikan secara berlebihan dengan cepat.
Untuk mempelajari cara menentukan prioritas rekomendasi, lihat
Prioritas rekomendasi.
Jika Anda menemukan akun utama yang memiliki hak istimewa berlebih di satu project, periksa project
lain untuk mengetahui rekomendasi yang melibatkan akun utama tersebut. Jika akun utama
telah diberi peran yang terlalu permisif di satu project, akun utama tersebut mungkin
juga diberi peran yang terlalu permisif di project lain. Tinjau rekomendasi untuk akun utama di beberapa project untuk secara global mengurangi akses akun utama ke tingkat yang sesuai.
Setelah pembersihan awal, periksa rekomendasi Anda secara rutin. Sebaiknya
periksa rekomendasi Anda minimal seminggu sekali. Pemeriksaan ini
biasanya akan memerlukan waktu jauh lebih singkat daripada pembersihan awal, karena Anda
hanya perlu menindaklanjuti rekomendasi untuk perubahan yang telah terjadi sejak
pembersihan atau pemeriksaan terakhir.
Memeriksa izin secara rutin akan mengurangi pekerjaan yang diperlukan untuk setiap pemeriksaan, dan
dapat membantu Anda mengidentifikasi dan menghapus pengguna yang tidak aktif secara proaktif, serta
terus mengurangi cakupan izin untuk pengguna aktif.
Praktik terbaik untuk menggunakan rekomendasi
Jika Anda menggunakan Recommender API atau
perintah recommender untuk gcloud CLI untuk
mengelola rekomendasi, pastikan untuk memperbarui status rekomendasi yang
Anda terapkan. Hal ini memungkinkan Anda melacak rekomendasi dan memastikan
bahwa perubahan yang Anda buat muncul di log rekomendasi.
Praktik terbaik untuk menerapkan rekomendasi secara otomatis
Untuk mengelola rekomendasi dengan lebih efisien, sebaiknya otomatiskan
proses penerapan rekomendasi. Jika Anda memutuskan untuk menggunakan otomatisasi, perhatikan
hal-hal berikut.
Rekomendator mencoba memberikan rekomendasi yang tidak akan
menyebabkan perubahan yang mengganggu akses. Misalnya, kami tidak akan pernah merekomendasikan peran
yang mengecualikan izin yang telah digunakan akun utama,
secara pasif atau aktif, dalam 90 hari
terakhir. Kami juga menggunakan machine learning untuk
mengidentifikasi izin lain yang mungkin diperlukan pengguna.
Namun, kami tidak dapat menjamin bahwa rekomendasi kami tidak akan pernah menyebabkan perubahan
yang mengganggu akses. Ada kemungkinan bahwa penerapan rekomendasi akan
menyebabkan akun utama tidak dapat mengakses resource yang mereka butuhkan. Sebaiknya
tinjau
Cara kerja pemberi rekomendasi IAM dan
putuskan tingkat otomatisasi yang sesuai dengan Anda. Misalnya, Anda mungkin
memutuskan untuk menerapkan sebagian besar rekomendasi secara otomatis, tetapi memerlukan peninjauan manual
untuk rekomendasi yang menambahkan atau menghapus sejumlah izin tertentu, atau yang
melibatkan pemberian atau pencabutan peran tertentu.
Saat mengotomatiskan rekomendasi, Anda mungkin ingin mengidentifikasi resource mana yang menjadi tujuan rekomendasi. Untuk mengidentifikasi resource, gunakan kolom
operation.resource. Kolom lain, seperti kolom name, tidak akan selalu mewakili
resource yang menjadi tujuan rekomendasi.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-08-11 UTC."],[],[],null,["# Role recommendations best practices\n\nWe recommend the following best practices for managing role recommendations.\n\nFor more information about role recommendations, see the\n[role recommendation overview](/policy-intelligence/docs/role-recommendations-overview).\n\nGetting started with recommendations\n------------------------------------\n\nThe following best practices can help you get started with role recommendations.\n\n- **Begin with an initial cleanup of over-granted permissions.** Initially, you\n might see a very large number of recommendations, especially if many\n principals have highly permissive roles like Editor. Take the time to address\n all recommendations in your project or organization to ensure that all of your\n principals have the appropriate roles.\n\n When doing this initial cleanup, prioritize the following types of\n recommendations:\n - **Recommendations that reduce permissions for service accounts.**\n By default, all [default service accounts](/iam/docs/service-account-types#default) are\n granted the highly permissive Editor role on projects. Other\n service accounts that you manage might also have been granted highly\n permissive roles. All over-granted permissions increase your security\n risk, including overly privileged service accounts, so we recommend\n prioritizing overly privileged service accounts during your\n initial cleanup.\n\n - **Recommendations that help prevent privilege escalation.** Roles that\n let principals act as a service account (`iam.serviceAccounts.actAs`)\n or get or set the allow policy for a resource can potentially let a\n principal escalate their own privilege. Prioritize recommendations\n relating to these roles.\n\n - **Recommendations that reduce lateral movement.** Lateral movement is when\n a service account in one project has permission to impersonate a service\n account in another project. This permission can result in a chain of\n impersonations across projects that gives principals unintended access to\n resources. To mitigate this unintended access, prioritize recommendations\n that are associated with [lateral movement\n insights](/policy-intelligence/docs/role-recommendations-overview#lateral-movement-insights).\n\n - **Recommendations with a high priority level.** IAM\n recommendations are automatically assigned priority levels based on the\n role bindings they're associated with. Prioritize recommendations with\n a high priority level to quickly reduce over-granted permissions.\n\n To learn how a recommendation's priority is determined, see\n [Recommendation priority](/policy-intelligence/docs/role-recommendations-overview#priority).\n - **When you find an over-privileged principal in one project, check other\n projects for recommendations involving that principal.** If a principal\n has been granted an overly permissive role in one project, it is possible\n that they have been granted overly permissive roles in other projects as\n well. Review recommendations for the principal across multiple projects to\n globally reduce the principal's access to the appropriate level.\n\n- After the initial cleanup, **check your recommendations regularly.** We\n recommend that you check your recommendations at least once a week. This check\n will usually take much less time than the initial cleanup, because you will\n only need to address recommendations for changes that have occurred since the\n last cleanup or check.\n\n Regularly checking permissions reduces the work required for each check, and\n can help you proactively identify and remove inactive users, as well as\n continue to downscope permissions for active users.\n\nBest practices for working with recommendations\n-----------------------------------------------\n\nIf you use the [Recommender API](/recommender/docs/reference/rest) or the\n[`recommender` commands for the gcloud CLI](/sdk/gcloud/reference/recommender) to\nmanage recommendations, make sure to update the state of recommendations that\nyou apply. This allows you to keep track of your recommendations and ensures\nthat the changes you make appear in your [recommendations logs](/policy-intelligence/docs/review-apply-role-recommendations#logs).\n\nBest practices for applying recommendations automatically\n---------------------------------------------------------\n\nTo manage your recommendations more efficiently, you might want to automate the\nprocess of applying recommendations. If you decide to use automation, keep the\nfollowing points in mind.\n\nRecommender tries to provide recommendations that will not\ncause breaking changes in access. For example, we will never recommend a role\nthat excludes permissions that a principal has used,\n[passively or actively](/policy-intelligence/docs/role-recommendations-overview#permissions-used), in the last\n90 days. We also use [machine learning](/policy-intelligence/docs/role-recommendations-overview#ml) to\nidentify other permissions that the user is likely to need.\n\nHowever, we cannot guarantee that our recommendations will never cause breaking\nchanges in access---it is possible that applying a recommendation will\nresult in a principal being unable to access a resource that they need. We\nrecommend reviewing\n[How the IAM recommender works](/policy-intelligence/docs/role-recommendations-overview#how-recommender-works) and\ndeciding how much automation you are comfortable with. For example, you might\ndecide to apply most recommendations automatically, but require a manual review\nfor recommendations that add or remove a certain number of permissions, or that\ninvolve granting or revoking a specific role.\n\nWhen automating recommendations, you might want to identify which resource a\nrecommendation is for. To identify the resource, use the `operation.resource`\nfield. Other fields, such as the `name` field, will not always represent the\nresource that the recommendation is for.\n\nWhat's next\n-----------\n\n- Understand [role recommendations](/policy-intelligence/docs/role-recommendations-overview).\n- Learn the steps for [reviewing and applying recommendations](/policy-intelligence/docs/review-apply-role-recommendations).\n- Find out how to [export data for IAM recommendations](/policy-intelligence/docs/export-role-recommendations-data)."]]
