Consigliamo le seguenti best practice per la gestione dei suggerimenti sui ruoli.
Per ulteriori informazioni sui suggerimenti sui ruoli, consulta la panoramica dei suggerimenti sui ruoli.
Iniziare a utilizzare i consigli
Le best practice riportate di seguito possono aiutarti a iniziare a utilizzare i suggerimenti sui ruoli.
Inizia con una pulizia iniziale delle autorizzazioni concesse in eccesso. Inizialmente, potresti vedere un numero molto elevato di consigli, soprattutto se molte entità hanno ruoli molto permissivi come Editor. Prenditi il tempo di seguire tutti i consigli nel tuo progetto o nella tua organizzazione per assicurarti che tutti i principali abbiano i ruoli appropriati.
Durante questa pulizia iniziale, dai la priorità ai seguenti tipi di consigli:
Consigli per ridurre le autorizzazioni per gli account di servizio. Per impostazione predefinita, a tutti gli account di servizio predefiniti viene concesso il ruolo Editor altamente permissivo nei progetti. Anche ad altri account di servizio che gestisci potrebbero essere stati assegnati ruoli molto permissivi. Tutte le autorizzazioni concesse in eccesso aumentano il rischio per la sicurezza, inclusi gli account di servizio con privilegi eccessivi, pertanto ti consigliamo di dare la priorità agli account di servizio con privilegi eccessivi durante la pulizia iniziale.
Consigli che aiutano a prevenire l'escalation dei privilegi. I ruoli che consentono alle entità di agire come account di servizio (
iam.serviceAccounts.actAs
) o di ottenere o impostare il criterio di autorizzazione per una risorsa possono potenzialmente consentire a un'entità di eseguire la riassegnazione del proprio privilegio. Assegna la priorità ai consigli relativi a questi ruoli.Consigli per ridurre il movimento laterale. Il movimento laterale si verifica quando un account di servizio in un progetto è autorizzato a simulare l'identità di un account di servizio in un altro progetto. Questa autorizzazione può comportare una catena di usurpazioni di identità tra i progetti che consente agli amministratori di accedere involontariamente alle risorse. Per ridurre al minimo questo accesso indesiderato, dai la priorità ai consigli associati agli approfondimenti sul movimento laterale.
Consigli con un livello di priorità elevato. Ai consigli IAM vengono assegnati automaticamente livelli di priorità in base alle associazioni di ruoli a cui sono associati. Dai la priorità ai consigli con un livello di priorità elevato per ridurre rapidamente le autorizzazioni concesse in eccesso.
Per scoprire come viene determinata la priorità di un consiglio, consulta Priorità dei consigli.
Quando trovi un'entità con privilegi eccessivi in un progetto, controlla gli altri progetti per trovare consigli che la riguardano. Se a un'entità è stato assegnato un ruolo eccessivamente permissivo in un progetto, è possibile che gli siano stati assegnati ruoli eccessivamente permissivi anche in altri progetti. Esamina i consigli per il principale in più progetti per ridurre a livello globale l'accesso del principale al livello appropriato.
Dopo la pulizia iniziale, controlla regolarmente i consigli. Ti consigliamo di controllare i consigli almeno una volta alla settimana. Questo controllo solitamente richiede molto meno tempo della pulizia iniziale, perché dovrai solo seguire i consigli per le modifiche che si sono verificate dall'ultima pulizia o dall'ultimo controllo.
La verifica regolare delle autorizzazioni riduce il lavoro necessario per ogni controllo e può aiutarti a identificare e rimuovere in modo proattivo gli utenti inattivi, nonché a continuare a ridurre l'ambito delle autorizzazioni per gli utenti attivi.
Best practice per l'utilizzo dei consigli
Se utilizzi l'API Recommender o i
recommender
comandi per l'interfaccia a riga di comando gcloud per gestire i consigli, assicurati di aggiornare lo stato dei consigli che applichi. In questo modo puoi tenere traccia dei tuoi consigli e assicurarti che le modifiche apportate vengano visualizzate nei log dei consigli.
Best practice per l'applicazione automatica dei consigli
Per gestire i consigli in modo più efficiente, ti consigliamo di automatizzare il processo di applicazione. Se decidi di utilizzare l'automazione, tieni presente i seguenti punti.
Il Recommender tenta di fornire consigli che non causino modifiche sostanziali nell'accesso. Ad esempio, non consiglieremo mai un ruolo che escluda le autorizzazioni utilizzate da un principale, passivamente o attivamente, negli ultimi 90 giorni. Utilizziamo anche il machine learning per identificare altre autorizzazioni di cui l'utente potrebbe aver bisogno.
Tuttavia, non possiamo garantire che i nostri consigli non causeranno mai modifiche sostanziali all'accesso. È possibile che l'applicazione di un consiglio impedisca a un amministratore di accedere a una risorsa di cui ha bisogno. Ti consigliamo di esaminare come funziona il Recommender IAM e di decidere quanto ti senti a tuo agio con l'automazione. Ad esempio, potresti decidere di applicare automaticamente la maggior parte dei consigli, ma richiedere una revisione manuale per i consigli che aggiungono o rimuovono un determinato numero di autorizzazioni o che comportano la concessione o la revoca di un ruolo specifico.
Quando automatizzi i consigli, ti consigliamo di identificare la risorsa a cui si riferisce un consiglio. Per identificare la risorsa, utilizza il campo operation.resource
. Altri campi, come il campo name
, non rappresentano sempre la risorsa per la quale è stato fornito il consiglio.
Passaggi successivi
- Scopri di più sui suggerimenti sui ruoli.
- Scopri la procedura per esaminare e applicare i consigli.
- Scopri come esportare i dati per i suggerimenti IAM.