角色建議最佳做法

建議您採用下列最佳做法管理角色建議。

如要進一步瞭解角色建議,請參閱角色建議總覽

開始使用推薦功能

您可以參考下列最佳做法,開始使用角色建議功能。

  • 首先清除超額授予的權限。一開始,您可能會看到大量的建議,特別是如果許多主體都具備「編輯者」等高度許可的角色,請花時間處理專案或機構中的所有建議,確保所有負責人都有適當的角色。

    進行初始清理時,請優先考量下列類型的建議:

    • 建議您減少服務帳戶的權限。根據預設,所有預設服務帳戶都會在專案中獲得權限較高的「編輯者」角色。您管理的其他服務帳戶也可能已獲得高度許可的角色。所有過度授予的權限都會增加安全性風險,包括過度授予權限的服務帳戶,因此建議您在初始清理作業中優先處理過度授予權限的服務帳戶。

    • 有助於防止權限提升的建議。讓主體以服務帳戶身分 (iam.serviceAccounts.actAs) 執行動作,或取得/設定資源的允許政策的角色,可能會讓主體升高自身權限。優先考量與這些角色相關的最佳化建議。

    • 減少橫向移動的最佳化建議。「橫向移動」是指某個專案中的服務帳戶有權模擬其他專案中的服務帳戶。這項權限可能會導致跨專案的模擬連鎖,讓主體意外存取資源。為減少這種非預期存取情形,請將與橫向移動洞察資料相關的建議列為優先。

    • 高優先順序的建議:IAM 最佳化建議會根據相關角色繫結自動指派優先順序層級。優先執行優先順序較高的建議,快速減少過度授予的權限。

      如要瞭解如何決定最佳化建議的優先順序,請參閱「最佳化建議優先順序」。

    • 如果您在某個專案中發現有超出權限的主體,請查看其他專案,看看是否有涉及該主體的最佳化建議。如果某個實體在一個專案中獲得過度寬鬆的角色,則可能也會在其他專案中獲得過度寬鬆的角色。查看多個專案中主體的最佳化建議,將主體的存取權降至適當的層級。

  • 完成初步清理後,請定期查看最佳化建議。建議您每週至少查看一次最佳化建議。這項檢查通常會比初始清理作業耗費的時間少得多,因為您只需要處理自上次清理或檢查後所發生變更的最佳化建議。

    定期檢查權限可減少每次檢查所需的工作量,並協助您主動識別及移除閒置使用者,以及繼續縮小活躍使用者的權限範圍。

使用最佳化建議的最佳做法

如果您使用 Recommender APIrecommender 指令 (適用於 gcloud CLI) 管理推薦內容,請務必更新您套用的推薦內容狀態。這樣一來,您就能追蹤最佳化建議,並確保所做的變更會顯示在最佳化建議記錄中。

自動套用最佳化建議的最佳做法

為更有效率地管理最佳化建議,您可以將套用最佳化建議的程序自動化。如果您決定使用自動化功能,請務必考量以下事項。

建議工具會盡量提供不會造成存取權變更的建議。舉例來說,我們絕不會建議您建立排除實體在過去 90 天內主動或被動使用權限的角色。我們也會使用機器學習技術,找出使用者可能需要的其他權限。

不過,我們無法保證我們的最佳化建議不會導致存取權發生重大變更,因為套用最佳化建議可能會導致管理員無法存取所需的資源。建議您參閱「IAM 推薦工具的運作方式」,並決定您能接受的自動化程度。舉例來說,您可以決定自動套用大部分最佳化建議,但對於新增或移除特定數量的權限,或是涉及授予或撤銷特定角色的最佳化建議,則需要手動審查。

自動化最佳化建議時,您可能需要指出最佳化建議適用於哪些資源。如要識別資源,請使用 operation.resource 欄位。其他欄位 (例如 name 欄位) 不一定會代表推薦資源。

後續步驟