角色建议最佳实践

我们建议您遵循以下最佳做法来管理角色建议。

如需详细了解角色建议,请参阅角色建议概览

建议使用入门

以下最佳实践可帮助您开始使用角色建议。

  • 首先对过度授予的权限执行初始清理。最初,您可能会看到大量建议,尤其是在许多主账号具有高度宽松的角色(例如 Editor)的情况下。请花点时间查看项目或组织中的所有建议,以确保所有主账号都具有适当的角色。

    在执行此类初始清理时,请优先考虑以下类型的建议:

    • 缩减服务账号权限的建议。默认情况下,所有默认服务账号都具有针对项目的高度宽松的 Editor 角色。您管理的其他服务账号也可能具有高度宽松的角色。所有过度授予的权限(包括具有过度特权的服务账号)都会增加安全风险,因此我们建议您在初始清理期间优先清理具有过度特权的服务账号。

    • 有助于防止提升权限的建议。如果某些角色允许主账号充当服务账号 (iam.serviceAccounts.actAs) 或者获取或设置资源的允许政策,则这些角色可能会允许主账号提升自己的权限。请优先考虑与这些角色有关的建议。

    • 减少横向移动的建议。横向移动是指一个项目中的服务账号有权模拟另一个项目中的服务账号。此权限可能导致项目之间发生模拟,导致主账号意外访问资源。为了缓解这种意外访问,请优先考虑与横向移动数据分析相关的建议。

    • 优先级高的建议。系统会根据 IAM 建议关联的角色绑定自动分配优先级。请优先考虑优先级高的建议,以快速减少过度授予的权限。

      如需了解建议的优先级是如何确定的,请参阅建议优先级

    • 如果您在一个项目中发现某个具有过度特权的主账号,请查看其他项目以获取涉及该主账号的建议。如果某个主账号在一个项目中具有过度宽松的角色,则该主账号在其他项目中也可能具有过度宽松的角色。请查看多个项目中针对该主账号的建议,以便在全局范围内将该主账号的访问权限降低到适当的级别。

  • 完成初始清理后,请定期查看建议。我们建议您每周至少查看一次建议。这样的查看方式通常比初始清理所花费的时间少得多,因为您只需要查看自上次清理或查看以来发生的更改的建议。

    定期查看权限可以减少每次查看所需完成的工作,并且可以帮助您主动识别和移除不活跃的用户,以及继续缩减活跃用户的权限。

有关使用建议的最佳做法

如果您使用 Recommender APIgcloud CLI 的 recommender 命令来管理建议,请务必更新您所应用的建议的状态。这样一来,您就可以跟踪建议,并确保所做的更改显示在建议日志中。

自动应用建议的最佳做法

为了更高效地管理建议,您可能需要自动执行应用建议的流程。如果您决定使用自动化操作,请注意以下要点。

Recommender 会尝试提供不会对访问权限造成破坏性更改的建议。例如,我们绝不会推荐一个具有以下特点的角色:该角色排除主账号在过去 90 天内消极或积极使用的权限。我们还使用机器学习来识别用户可能需要的其他权限。

但是,我们不能保证我们的建议绝不会对访问权限造成破坏性更改 - 应用建议可能会导致主账号无法访问所需的资源。我们建议您查看 IAM Recommender 的工作原理,并确定适合您的自动化程度。例如,您可能决定自动应用大多数建议,但对以下建议需要手动查看:添加或移除一定数量的权限的建议,或者涉及授予或撤消特定角色的建议。

自动执行建议时,您可能希望确定建议适用于的资源。要识别资源,请使用 operation.resource 字段。其他字段(如 name 字段)并不总是表示建议所针对的资源。

后续步骤