Descripción general de las recomendaciones de funciones

Las recomendaciones de funciones te ayudan a identificar y quitar el exceso de permisos de tus principales, lo que mejora la configuración de seguridad de tus recursos.

Descripción general de las recomendaciones de funciones

El recomendador de IAM genera recomendaciones de roles. El recommender de IAM es uno de los recomendadores que ofrece Recommender.

Cada recomendación de función sugiere que quites o reemplaces una función que otorgue permisos excesivos a los miembros. A gran escala, estas recomendaciones te ayudan a aplicar el principio de privilegio mínimo, ya que garantizan que las principales solo tengan los permisos que en verdad necesitan.

El recomendador de IAM identifica los permisos no usados mediante las estadísticas de las políticas. Las estadísticas de políticas son hallazgos basados en el AA sobre el uso de permisos de una principal.

Algunas recomendaciones también se asocian con las estadísticas de movimiento lateral. Estas estadísticas identifican funciones que permiten que las cuentas de servicio de un proyecto actúen en nombre de otra en otro proyecto. Para obtener más información, consulta Cómo se generan estadísticas de movimiento lateral.

Cómo se generan las estadísticas de políticas

Las estadísticas de políticas destacan los permisos en los roles de una principal que esta no está usando.

El recomendador de IAM genera estadísticas de políticas mediante la comparación de la cantidad total de permisos de un principal con los permisos que usó el principal en los últimos 90 días. Si el rol se otorgó hace menos de 90 días, el recomendador de IAM analiza el uso de permisos del principal desde que se le otorgó el rol.

Existen varias formas en las que una principal puede usar un permiso:

  • De forma directa, si llama a una API que requiere el permiso

    Por ejemplo, el método roles.list en la API de REST de IAM requiere el permiso iam.roles.list. Cuando llamas al método roles.list, usas el permiso iam.roles.list.

    De manera similar, cuando llamas al método testIamPermissions de un recurso, usas todos los permisos que estás probando.

  • De forma indirecta, si usas la consola de Google Cloud para trabajar con recursos de Google Cloud

    Por ejemplo, en la consola de Google Cloud, puedes editar una instancia de máquina virtual (VM) de Compute Engine, lo que requiere permisos diferentes en función de las opciones de configuración que modifiques. Sin embargo, la consola de Google Cloud también muestra la configuración existente, para lo que se requiere el permiso compute.instances.get.

    Como resultado, cuando editas una instancia de VM en la consola de Google Cloud, debes usar el permiso compute.instances.get.

Para determinar los permisos que usó el principal, el recomendador de IAM usa datos de acceso de IAM agregados. Para aprender a exportar los datos que usa el recomendador de IAM para estas estadísticas, consulta Exporta datos para las recomendaciones de roles.

Además, este servicio usa el aprendizaje automático para identificar permisos en la función actual de una principal que puede necesitar en el futuro, incluso si la principal no usó esos permisos recientemente. Para obtener más información, consulta Aprendizaje automático para estadísticas de políticas en esta página.

Las estadísticas de políticas no se generan para todos los roles de IAM que se otorgan a los principales. Para obtener más información sobre por qué un rol puede no tener estadísticas de política, consulta Disponibilidad en esta página.

Para obtener información sobre cómo administrar las estadísticas de políticas, consulta Administra las estadísticas de políticas de proyectos, carpetas y organizaciones o Administra las estadísticas de políticas de los buckets de Cloud Storage.

Aprendizaje automático para estadísticas de políticas

En algunos casos, es probable que una principal necesite ciertos permisos que están incluidos en sus funciones actuales, pero que no usó recientemente. Para identificar estos permisos, el recomendador de IAM usa un modelo de aprendizaje automático (AA) cuando genera estadísticas de políticas.

Este modelo de aprendizaje automático se entrena en función de varios conjuntos de indicadores:

  • Patrones de simultaneidad comunes en el historial observado: el hecho de que un usuario haya usado los permisos A, B y C en el pasado proporciona un indicio de que A, B y C pueden estar relacionados de alguna manera y de que se necesitan en conjunto para llevar a cabo una tarea en Google Cloud. Si el modelo de AA detecta este patrón con suficiente frecuencia, la próxima vez que un usuario diferente use los permisos A y B, el modelo sugerirá que es probable que el usuario también necesite el permiso C.

  • Conocimiento del dominio como se lo codificó en las definiciones de las funciones: IAM proporciona cientos de funciones predefinidas diferentes que son específicas de un servicio. Si una función predefinida contiene un conjunto de permisos, esto indica con claridad que esos permisos deban otorgarse en conjunto.

Además de estos indicadores, el modelo también usa la incorporación de palabras para calcular qué tan similares son los permisos en términos de la semántica. Los permisos similares en términos de la semántica estarán “relacionados” entre sí después de la incorporación y tendrán más probabilidades de ser otorgados en conjunto. Por ejemplo, bigquery.datasets.get y bigquery.tables.list estarán muy cerca entre sí después de la incorporación.

Todos los datos que se usaron en la canalización de aprendizaje automático del recomendador de IAM cuentan con k-anonimato, lo que significa que las personas del conjunto de datos anonimizado no se pueden volver a identificar. Para lograr este nivel de anonimato, descartamos toda la información de identificación personal (PII), como el ID del usuario relacionado con cada patrón de uso de permisos. Luego, descartamos todos los patrones de uso que no aparezcan con suficiente frecuencia en Google Cloud. El modelo global se entrena en función de estos datos anonimizados.

El modelo global se puede personalizar aún más para cada organización mediante el aprendizaje federado, un proceso de aprendizaje automático mediante el cual se entrenan modelos de aprendizaje automático sin exportar datos.

Cómo se generan las recomendaciones de funciones

Si las estadísticas de una política indican que una principal no necesita todos los permisos en su función, el recomendador de IAM evalúa la función para determinar si podría revocarse o si hay otra función que mejor se adapte. Si se puede revocar la función, el recomendador de IAM genera una recomendación de función para revocarla. Si hay otra función que es más adecuada, el recomendador de IAM genera una recomendación de función para reemplazarla por una función sugerida. Este reemplazo sugerido podría ser una función personalizada nueva o existente, o una o más funciones predefinidas. Excepto en el caso de las recomendaciones para los agentes de servicio, una recomendación de rol nunca sugiere un cambio que aumente el nivel de acceso de una principal.

Las recomendaciones de funciones se generan solo en función de los controles de acceso de IAM. No tienen en cuenta otros tipos de controles de acceso, como las listas de control de acceso (LCA) y el control de acceso según la función (RBAC) de Kubernetes. Si usas otros tipos de controles de acceso, debes tener especial cuidado a la hora de revisar las recomendaciones y debes considerar cómo se relacionan esos controles de acceso con tus políticas de permisos.

Además, las recomendaciones de roles no se generan para todos los roles de IAM que se otorgan a las cuentas principales. Para obtener más información sobre por qué un rol puede no tener una recomendación de rol, consulta Disponibilidad en esta página.

Período de observación

El período de observación de una recomendación de función es la cantidad de días de datos de uso de permisos en los que se basa la recomendación.

El período de observación máximo para las recomendaciones de roles es de 90 días. Esto significa que el recomendador de IAM usa, como máximo, los datos de uso de permisos de los 90 días más recientes para generar recomendaciones de roles.

El recomendador de IAM tampoco comienza a generar recomendaciones de roles hasta que tiene una cantidad determinada de días de datos de uso de permisos. Esta duración se denomina período mínimo de observación. De forma predeterminada, el período de observación mínimo es de 90 días, pero, para las recomendaciones de roles a nivel del proyecto, puedes establecerlo manualmente en 30 o 60 días. Para obtener más información, consulta Cómo configurar la generación de recomendaciones de roles. Si configuras el período de observación mínimo en menos de 90 días, recibirás las recomendaciones antes, pero es posible que se vea afectada su precisión.

Si transcurrió más tiempo que el período de observación mínimo, pero menos de 90 días desde que se otorgó el puesto, el período de observación es el tiempo transcurrido desde que se otorgó el puesto.

Nuevas funciones personalizadas en las recomendaciones de funciones

Cuando el recomendador de IAM sugiere reemplazos para una función, siempre sugiere una función personalizada existente, o una o más funciones predefinidas, que parece ser la opción más adecuada para las necesidades del principal.

Si el recomendador de IAM identifica un patrón de uso de permisos común en tu organización que no se asigna a una función predefinida o personalizada existente, también puede recomendar que crees una nueva función personalizada a nivel de proyecto. Esta función personalizada incluye solo los permisos recomendados. Para modificar la recomendación de la función personalizada, puedes agregar o quitar permisos.

Si quieres aplicar el principio de privilegio mínimo de la manera más estricta posible, elige la nueva función personalizada. El recomendador de IAM crea la función personalizada a nivel de proyecto. Eres responsable de mantener y actualizar las funciones personalizadas de tus proyectos.

Si prefieres usar un rol que se mantenga por ti, elige el rol predefinido. Google Cloud agrega o quita permisos para actualizar estas funciones con regularidad. Para recibir notificaciones sobre estas actualizaciones, suscríbete al feed de noticias del registro de cambios de los permisos. Si eliges el rol predefinido, el principal seguirá teniendo por lo menos algunos permisos y es posible que tenga una gran cantidad de ellos que no haya usado.

El recomendador de IAM recomienda funciones personalizadas nuevas solo para roles otorgados en un proyecto. No recomienda roles personalizados nuevos para roles otorgados en otros recursos, como carpetas o organizaciones.

Además, el recomendador de IAM no recomienda funciones personalizadas nuevas en los siguientes casos:

  • Tu organización ya tiene 100 funciones personalizadas o más.
  • Tu proyecto ya tiene 25 funciones personalizadas o más.

El recomendador de IAM no recomienda más de 5 funciones personalizadas nuevas por día en cada proyecto ni más de 15 funciones personalizadas nuevas en toda la organización.

Cómo se generan las estadísticas de movimiento lateral

El movimiento posterior es cuando una cuenta de servicio en un proyecto tiene permiso para actuar en nombre de una cuenta de servicio en otro proyecto. Por ejemplo, es posible que se haya creado una cuenta de servicio en el proyecto A, pero que tenga permisos para actuar en nombre de una cuenta de servicio en el proyecto B.

Estos permisos pueden generar una cadena de robo de identidad en todos los proyectos que les otorga a las principales acceso no deseado a los recursos. Por ejemplo, si un principal actúa en nombre de la cuenta de servicio del proyecto A, puede usarla para actuar en nombre de la cuenta de servicio del proyecto B. Si la cuenta de servicio en el proyecto B tiene permiso para actuar en nombre de otras cuentas en otros proyectos de tu organización, la principal podría seguir usando el robo de identidad de la cuenta de servicio para moverse de un proyecto a otro, lo que le permite obtener permisos a medida que avanzan.

El recomendador de IAM genera estadísticas de movimiento lateral mediante la identificación de roles que se ajustan a los siguientes criterios:

  • La principal a la que se le otorgó el rol es una cuenta de servicio que no se creó en el proyecto.
  • La función incluye uno de los siguientes permisos, que permiten que una principal actúe en nombre de una cuenta de servicio:

    • iam.serviceAccounts.actAs
    • iam.serviceAccounts.getAccessToken
    • iam.serviceAccounts.getOpenIdToken
    • iam.serviceAccounts.implicitDelegation
    • iam.serviceAccounts.signBlob
    • iam.serviceAccounts.signJwt

Si un rol se ajusta a estos criterios, el recomendador de IAM genera una estadística de movimiento lateral para el rol. Esta estadística contiene información sobre las capacidades de uso de identidad de la cuenta de servicio, incluso qué cuentas de servicio puede usar y si utilizó algún permiso de uso de identidad en los últimos 90 días.

El recomendador de IAM no usa las estadísticas de movimiento lateral por sí solas para generar nuevas recomendaciones de roles. Esto se debe a que, si una cuenta de servicio usa sus permisos de uso de identidad, el recomendador de IAM no puede sugerir de forma segura su eliminación. Sin embargo, si una recomendación de función sugiere quitar estos permisos porque no se usan, el recomendador de IAM vinculará la estadística de movimiento lateral a esa recomendación. Esta vinculación te ayuda a priorizar las recomendaciones de funciones para las cuentas de servicio que tienen permisos de uso de identidad potentes y sin usar en todos los proyectos.

Para obtener información sobre cómo administrar las estadísticas de movimiento lateral, consulta Administra las estadísticas de movimiento lateral.

Disponibilidad

Las estadísticas de políticas, las estadísticas de movimiento lateral y las recomendaciones de roles no se generan para todos los roles que se otorgan a las principales. Lee las siguientes secciones para comprender los roles para los que se generan las estadísticas de políticas, las estadísticas de movimiento lateral y las recomendaciones.

Disponibilidad de estadísticas de la política

Para que el recomendador de IAM genere una estadística de política para un rol, se deben cumplir los siguientes requisitos:

  • La política de permiso de IAM que otorga el rol debe estar asociada a uno de los siguientes recursos:

    • Bucket de Cloud Storage
    • Conjunto de datos de BigQuery
    • Proyecto
    • Carpeta
    • Organización

    El recomendador de IAM solo genera estadísticas de políticas para los roles que se otorgan en estos recursos.

  • La vinculación de roles que otorga el rol no debe tener una condición. El recomendador de IAM no genera estadísticas de políticas para las vinculaciones de roles condicionales.

  • El principal al que se le otorga el rol debe ser uno de los siguientes tipos de principales:

    • Usuario
    • Cuenta de servicio
    • Grupo
    • allUsers
    • allAuthenticatedUsers
    • Valores de conveniencia de Cloud Storage
    • Membresía en grupos especiales de BigQuery
    • Uno de los siguientes tipos de identidades federadas:

      • Todas las identidades en un grupo de Workload Identity:
      • Identidad única en un grupo de Workload Identity
      • Todas las identidades en un grupo de identidad de personal
      • Identidad única en un grupo de identidad de personal
      • Todos los pods de Google Kubernetes Engine que usan una cuenta de servicio de Kubernetes específica

    Para obtener detalles sobre el formato del identificador de cada tipo de principal, consulta Identificadores de principal.

El recomendador de IAM puede tardar hasta 10 días en generar estadísticas de políticas para un rol otorgado recientemente.

Las estadísticas de políticas existentes se actualizan a diario según el uso reciente de los permisos. Sin embargo, los datos en los que se basan las estadísticas de políticas suelen retrasarse hasta dos días con respecto al uso real.

Disponibilidad de estadísticas de movimiento lateral

Las estadísticas de movimiento lateral se generan para los roles que se otorgan en los siguientes recursos:

  • Organizaciones
  • Carpetas
  • Proyectos
  • Cuentas de servicio

Disponibilidad de la recomendación de función

Para que el recomendador de IAM genere una recomendación de rol para un rol, se deben cumplir los siguientes requisitos:

  • El rol debe tener una estadística de políticas asociada. Esta estadística de la política sirve como base para la recomendación.
  • Debe haber transcurrido más tiempo que el período mínimo de observación desde que se otorgó el rol. Esto garantiza que el recomendador de IAM tenga suficientes datos de uso para hacer una recomendación. De forma predeterminada, el período de observación mínimo es de 90 días, pero puedes establecerlo manualmente en 30 o 60 días. Para obtener más información, consulta Cómo configurar la generación de recomendaciones de roles.
  • Si el principal al que se le otorgó el rol es un agente de servicio, el rol debe ser propietario, editor o visualizador. El recomendador de IAM no genera recomendaciones de roles para agentes de servicio con otros roles. Para obtener más información, consulta Recomendaciones de roles para agentes de servicio.

Si se otorgó un rol hace poco o no tiene estadísticas, la columna Permisos analizados en la consola de Google Cloud muestra un ícono .

Hay algunos casos en los que el recomendador de IAM no genera recomendaciones de roles para un rol, a pesar de que pasó suficiente tiempo y el rol tiene una estadística asociada. Esto puede suceder por los siguientes motivos:

  • No hay funciones predefinidas de IAM que sean más apropiadas que la función actual. Si un principal ya tiene una función predefinida que minimiza sus permisos o que incluye menos permisos que otras funciones predefinidas, el recomendador de IAM no puede recomendar una función predefinida diferente.

    Es posible que seas capaz de reducir los permisos de la principal si creas una función personalizada para la principal.

  • El principal es un agente de servicio y el rol no es un rol básico. El recomendador de IAM solo genera recomendaciones de roles para los agentes de servicio que tienen un rol básico (propietario, editor o visualizador). Para obtener más información, consulta Recomendaciones de roles para agentes de servicio.

  • Ningún otro miembro tiene la función básica de propietario para el proyecto. En cada proyecto debe haber al menos una principal que tenga la función de propietario (roles/owner). Si solo una principal tiene este rol, el recomendador de IAM no recomendará revocarlo ni reemplazarlo.

En estos casos, en la columna Permisos analizados de la consola de Google Cloud, se muestra el uso de permisos de la principal, pero no tiene un ícono de Recomendación disponible .

Las recomendaciones de roles existentes se actualizan a diario según tu uso reciente de permisos. Sin embargo, los datos en los que se basan las recomendaciones de roles suelen retrasarse hasta dos días con respecto al uso real.

Prioridad y gravedad

La prioridad de las recomendaciones y la gravedad de las estadísticas te ayudan a comprender la urgencia de una recomendación o estadística, y a priorizarla según corresponda.

Prioridad de recomendación de funciones

A las recomendaciones se les asignan niveles de prioridad según la urgencia percibida. Los niveles de prioridad varían de P1 (prioridad más alta) a P4 (prioridad más baja).

La prioridad de una recomendación de función depende de la función para la que se hace la recomendación:

Detalles de la recomendación Prioridad Explicación
Recomendaciones para roles que otorgan acceso público a los buckets de Cloud Storage P1 Cualquier persona que tenga acceso a Internet puede acceder a los buckets de acceso público. Si quitas el acceso público, tendrás más control sobre tus datos.
Recomendaciones para roles que otorgan acceso público a conjuntos de datos de BigQuery P1 Cualquier persona que tenga acceso a Internet puede acceder a los conjuntos de datos de acceso público. Si quitas el acceso público, tendrás más control sobre tus datos.
Recomendaciones para los roles básicos (propietario, editor y visualizador) que se otorgan en un proyecto, una carpeta o una organización P2 Los roles básicos son muy permisivos, y la aplicación de recomendaciones para estos roles puede reducir en gran medida los permisos excesivos.
Recomendaciones que no otorgan acceso público ni roles básicos P4 Si bien estas recomendaciones te ayudan a reducir los permisos excesivos, no quitan el acceso público ni los roles básicos muy permisivos, lo que las hace tener una prioridad menor.

Gravedad de la estadística

A las estadísticas se les asignan niveles de gravedad según la urgencia percibida. Los niveles de gravedad pueden ser LOW, MEDIUM, HIGH o CRITICAL.

La gravedad de una estadística de política depende del rol para el que se genera:

Detalles de la estadística Gravedad Explicación
Estadísticas de los roles que otorgan acceso público a los buckets de Cloud Storage CRITICAL Cualquier persona que tenga acceso a Internet puede acceder a los buckets de acceso público. Si quitas el acceso público, tendrás más control sobre tus datos.
Estadísticas de los roles que otorgan acceso público a los conjuntos de datos de BigQuery CRITICAL Cualquier persona que tenga acceso a Internet puede acceder a los conjuntos de datos de acceso público. Si quitas el acceso público, tendrás más control sobre tus datos.
Estadísticas de los roles básicos (propietario, editor y visualizador) que se otorgan en un proyecto, una carpeta o una organización HIGH Los roles básicos son muy permisivos, y abordar estadísticas para estos roles puede reducir en gran medida los permisos excesivos.
Estadísticas que no otorgan acceso público ni roles básicos LOW Aunque estas estadísticas destacan los permisos excesivos, no implican acceso público ni roles básicos muy permisivos, lo que les otorga una prioridad más baja.

Todas las estadísticas de movimiento lateral tienen una gravedad de LOW.

Cómo se aplican las recomendaciones de funciones

El recomendador de IAM no aplica recomendaciones de forma automática. En su lugar, debes revisar tus recomendaciones y decidir si las aplicas o las descartas. Para aprender a revisar, aplicar y descartar recomendaciones de roles, consulta una de las siguientes guías:

Registros de auditoría

Cuando aplicas o descartas una recomendación, el recomendador de IAM crea una entrada de registro. Puedes ver estas entradas en el historial de recomendaciones o puedes verlas en tus registros de auditoría de Google Cloud.

Subtipos de recomendación de función

Las recomendaciones de funciones se dividen en varios subtipos diferentes según la acción que recomiendan. Si usas la CLI de gcloud o la API de REST, puedes usar estos subtipos para filtrar las recomendaciones.

Subtipo Descripción
REMOVE_ROLE Una recomendación para quitar el rol de la principal a nivel del proyecto, de la carpeta o de la organización.
REMOVE_ROLE_BIGQUERY_DATASET Una recomendación para quitar el rol a nivel del conjunto de datos de la principal.
REMOVE_ROLE_STORAGE_BUCKET Una recomendación para quitar el rol de nivel de bucket del principal.
REPLACE_ROLE Una recomendación para reemplazar el rol de la principal a nivel del proyecto, de la carpeta o de la organización por una función menos permisiva. El reemplazo recomendado podría ser un rol personalizado existente o uno o más roles predefinidos.
REPLACE_ROLE_CUSTOMIZABLE Una recomendación para reemplazar la función de la principal por una nueva función personalizada que sea menos permisiva que su función actual.
REPLACE_ROLE_BIGQUERY_DATASET Una recomendación para reemplazar el rol a nivel del conjunto de datos de la principal por una función menos permisiva. El reemplazo recomendado podría ser un rol personalizado existente o una o más funciones predefinidas.
REPLACE_ROLE_STORAGE_BUCKET Una recomendación para reemplazar el rol a nivel del bucket de la principal por una función menos permisiva. El reemplazo recomendado podría ser un rol personalizado existente o una o más funciones predefinidas.
SERVICE_AGENT_WITH_DEFAULT_ROLE Una recomendación para reemplazar el rol de propietario, editor o visualizador de un agente de servicio por el rol que se otorgó automáticamente a la cuenta de servicio cuando se creó. Para obtener más información, consulta Recomendaciones de roles para agentes de servicio.
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE Una recomendación para reemplazar la función de propietario, editor o visualizador de un agente de servicio por una función menos permisiva. Para obtener más información, consulta Recomendaciones de roles para agentes de servicio.

Recomendaciones de roles para los agentes de servicio

En el caso de los agentes de servicio, el recomendador de IAM solo proporciona recomendaciones para los roles básicos (propietario, editor o visualizador).

Las recomendaciones para los agentes de servicio se dividen en dos subtipos de recomendación.

SERVICE_AGENT_WITH_DEFAULT_ROLE

Durante la creación, a algunos agentes de servicio se les otorga automáticamente un rol de agente de servicio para garantizar que los servicios de Google Cloud funcionen correctamente. Si reemplazas esta función por un rol básico (propietario, editor o visualizador), el recomendador de funciones podría sugerir que restablezcas la función de agente de servicio original para quitar el exceso de permisos, incluso si la función de agente de servicio tiene permisos que no se encuentran en el rol básico. Estas recomendaciones tienen el subtipo SERVICE_AGENT_WITH_DEFAULT_ROLE. Te ayudan a quitar de forma segura los permisos no usados, al tiempo que se garantiza que todos los servicios de Google Cloud funcionen de forma correcta.

Las recomendaciones de SERVICE_AGENT_WITH_DEFAULT_ROLE son el único tipo de recomendación que podría sugerir funciones con permisos que no están en la función actual.

SERVICE_AGENT_WITHOUT_DEFAULT_ROLE

Si a un agente de servicio no se le asigna un rol de forma automática durante la creación, las recomendaciones para el agente de servicio se basan exclusivamente en los permisos que usa el agente de servicio. Estas recomendaciones tienen el subtipo SERVICE_AGENT_WITHOUT_DEFAULT_ROLE.

Recomendaciones de roles en Security Command Center

Si tienes el nivel Premium de Security Command Center, puedes ver algunos subtipos de recomendaciones de roles como resultados en Security Command Center. Cada subtipo está asociado con un detector:

Subtipo de recomendación Categoría
REMOVE_ROLE Unused IAM role
REPLACE_ROLE IAM role has excessive permissions
SERVICE_AGENT_WITH_DEFAULT_ROLE Service agent role replaced with basic role
SERVICE_AGENT_WITHOUT_DEFAULT_ROLE Service agent granted basic role

Para obtener más información sobre cómo ver las recomendaciones de roles en Security Command Center, consulta Recomendador de IAM en la documentación de Security Command Center.

Precios

Las recomendaciones de roles a nivel de proyecto, carpeta y organización para roles básicos están disponibles sin cargo.

Las siguientes funciones avanzadas del Recomendador de IAM requieren una activación a nivel de la organización del nivel premium de Security Command Center:

  • Recomendaciones para roles no básicos
  • Recomendaciones para roles otorgados en recursos que no son organizaciones, carpetas ni proyectos (por ejemplo, recomendaciones para roles otorgados en buckets de Cloud Storage)
  • Recomendaciones que sugieren roles personalizados
  • Estadísticas de políticas
  • Estadísticas de movimiento lateral

Para obtener más información, consulta Preguntas sobre facturación.

Ejemplos de recomendaciones de funciones

En los siguientes ejemplos, se muestran los tipos de recomendaciones que puedes recibir.

Revoca una función existente

Al usuario my-user@example.com se le otorgó la función de navegador en un proyecto. La función de navegador incluye seis permisos que le permiten al usuario ver los recursos del proyecto. Sin embargo, durante los últimos 90 días, my-user@example.com no vio ningún recurso.

Por lo tanto, el recomendador de IAM genera una recomendación de función que sugiere que revoques la función de navegador de my-user@example.com:

Console

gcloud

{
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
    }
  ],
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "remove",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/browser"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    ],
    "overview": {
      "member": "user:my-user@example.com",
      "removedRole": "roles/browser",
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
    }
  },
  "description": "This role has not been used during the observation window.",
  "etag": "\"9fc3241da8bfab51\"",
  "lastRefreshTime": "2022-05-20T07:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 6
      }
    }
  },
  "priority": "P4",
  "recommenderSubtype": "REMOVE_ROLE",
  "stateInfo": {
    "state": "ACTIVE"
  }
}

REST

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fe512038-5455-49g1-8f9c-752e31c8c154",
  "description": "This role has not been used during the observation window.",
  "lastRefreshTime": "2022-05-20T07:00:00Z",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 6
      }
    }
  },
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "remove",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/browser"
            }
          }
        ]
      }
    ],
    "overview": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "member": "user:my-user@example.com",
      "removedRole": "roles/browser"
    }
  },
  "stateInfo": {
    "state": "ACTIVE"
  },
  "etag": "\"9fc3241da8bfab51\"",
  "recommenderSubtype": "REMOVE_ROLE",
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/86c14538-dcfd-4326-afe5-ee8ac921e06a"
    }
  ],
  "priority": "P4"
}

Reemplaza una función existente

A una cuenta de servicio se le otorgó la función de editor (roles/editor) en un proyecto. Esta función básica incluye más de 3,000 permisos y otorga amplio acceso al proyecto. Sin embargo, durante los últimos 90 días, la cuenta de servicio solo usó algunos de esos permisos.

Por lo tanto, el recomendador de IAM genera una recomendación de función que sugiere que revoques la función de editor y la reemplaces por una combinación de otras dos funciones, lo que quita miles de permisos excedentes:

Console

gcloud

{
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
    }
  ],
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "add",
            "path": "/iamPolicy/bindings/*/members/-",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/iam.serviceAccountUser"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "value": "user:my-user@example.com"
          },
          {
            "action": "add",
            "path": "/iamPolicy/bindings/*/members/-",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "value": "user:my-user@example.com"
          },
          {
            "action": "remove",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/editor"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    ],
    "overview": {
      "addedRoles": [
        "roles/iam.serviceAccountUser",
        "roles/storage.objectAdmin"
      ],
      "member": "user:my-user@example.com",
      "minimumObservationPeriodInDays": "0",
      "removedRole": "roles/editor",
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012"
    }
  },
  "description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
  "etag": "\"0da9a354c2a83d96\"",
  "lastRefreshTime": "2022-06-22T07:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 2998
      }
    }
  },
  "priority": "P2",
  "recommenderSubtype": "REPLACE_ROLE",
  "stateInfo": {
    "state": "ACTIVE"
  }
}

REST

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/4637db3d-dba5-45eb-95ac-b4ee4b4cd14e",
  "description": "Replace the current role with smaller predefined roles to cover the permissions needed.",
  "lastRefreshTime": "2022-06-22T07:00:00Z",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 2998
      }
    }
  },
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "add",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/-",
            "value": "user:my-user@example.com",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/iam.serviceAccountOwner"
            }
          },
          {
            "action": "add",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/-",
            "value": "user:my-user@example.com",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/storage.objectAdmin"
            }
          },
          {
            "action": "remove",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/editor"
            }
          }
        ]
      }
    ],
    "overview": {
      "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
      "member": "user:my-user@example.com",
      "removedRole": "roles/editor",
      "addedRoles": [
        "roles/iam.serviceAccountUser",
        "roles/storage.objectAdmin"
      ],
      "minimumObservationPeriodInDays": "0"
    }
  },
  "stateInfo": {
    "state": "ACTIVE"
  },
  "etag": "\"0da9a354c2a83d96\"",
  "recommenderSubtype": "REPLACE_ROLE",
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/3d4ef3d6-bdf0-4330-975d-c65cb929c44d"
    }
  ],
  "priority": "P2"
}

Crea un rol personalizado

Al usuario my-user@example.com se le otorgó la función de administrador de Cloud Trace (roles/cloudtrace.admin) en un proyecto. La función incluye más de 10 permisos, pero una estadística de la política indica que, durante los últimos 90 días, my-user@example.com solo utilizó 4 de esos permisos.

Por lo tanto, el recomendador de IAM genera una recomendación de función que sugiere que crees una función personalizada que incluya solo los permisos que my-user@example.com usó:

Console

gcloud

El subtipo REPLACE_ROLE_CUSTOMIZABLE indica que el recomendador de IAM recomienda crear un rol personalizado con los permisos usados. Para ver los permisos utilizados, obtén la estadística de la política asociada.

{
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
    }
  ],
  "associatedResourceNames": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "add",
            "path": "/iamPolicy/bindings/*/members/-",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "value": "user:my-user@example.com"
          },
          {
            "action": "remove",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
            },
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "resourceType": "cloudresourcemanager.googleapis.com/Project"
          }
        ]
      }
    ],
    "overview": {
      "minimumObservationPeriodInDays": "0"
    }
  },
  "description": "Replace the current role with a smaller role to cover the permissions needed.",
  "etag": "\"c7f57a4725d32d66\"",
  "lastRefreshTime": "2022-06-22T07:00:00Z",
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
  "originalContent": {},
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {},
      "revokedIamPermissionsCount": 1
    }
  },
  "priority": "P4",
  "recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ]
}

REST

El subtipo REPLACE_ROLE_CUSTOMIZABLE indica que el recomendador de IAM recomienda crear un rol personalizado con los permisos usados. Para ver los permisos utilizados, obtén la estadística de la política asociada.

{
  "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/ba1fc977-fddd-3856-a829-f69649ae8075",
  "description": "Replace the current role with a smaller role to cover the permissions needed.",
  "lastRefreshTime": "2022-06-22T07:00:00Z",
  "primaryImpact": {
    "category": "SECURITY",
    "securityProjection": {
      "details": {
        "revokedIamPermissionsCount": 1
      }
    }
  },
  "content": {
    "operationGroups": [
      {
        "operations": [
          {
            "action": "add",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/-",
            "value": "user:my-user@example.com",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/role": "roles/cloudtrace.user"
            }
          },
          {
            "action": "remove",
            "resourceType": "cloudresourcemanager.googleapis.com/Project",
            "resource": "//cloudresourcemanager.googleapis.com/projects/123456789012",
            "path": "/iamPolicy/bindings/*/members/*",
            "pathFilters": {
              "/iamPolicy/bindings/*/condition/expression": "",
              "/iamPolicy/bindings/*/members/*": "user:my-user@example.com",
              "/iamPolicy/bindings/*/role": "roles/cloudtrace.admin"
            }
          }
        ]
      }
    ],
    "overview": {
      "minimumObservationPeriodInDays": "0"
    }
  },
  "stateInfo": {
    "state": "ACTIVE"
  },
  "etag": "\"c7f57a4725d32d66\"",
  "recommenderSubtype": "REPLACE_ROLE_CUSTOMIZABLE",
  "associatedInsights": [
    {
      "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/2799dc04-b12e-4cf6-86aa-d81907d31f58"
    }
  ],
  "priority": "P4"
}

El recomendador de funciones también sugiere otra opción, que consiste en reemplazar la función existente por la función de usuario de Cloud Trace (roles/cloudtrace.user). Esta función predefinida incluye unos pocos permisos menos que la función de administrador de Cloud Trace.

Reemplazo de funciones por permisos que sugiere el aprendizaje automático

A una cuenta de servicio se le otorgó la función de editor (roles/editor) en un proyecto. Esta función básica incluye más de 3,000 permisos y otorga amplio acceso a un proyecto. Sin embargo, una estadística de políticas indica que, durante los últimos 90 días, la cuenta de servicio usó menos de 10 permisos.

Las estadísticas de la política también destacan varios permisos que es probable que la cuenta de servicio necesite en el futuro. El recomendador de IAM identificó estos permisos mediante aprendizaje automático.

El recomendador de IAM genera una recomendación de rol que sugiere que se revoque el rol de editor y se reemplace por el rol de administrador de objetos de almacenamiento (roles/storage.objectAdmin), que otorga control total de los objetos en un bucket de Cloud Storage. Este cambio quita miles de permisos no utilizados, a la vez que incluye los permisos que la cuenta de servicio usó y los permisos que es posible que la cuenta de servicio necesite en el futuro:

Console

El recomendador de IAM usa un ícono de aprendizaje automático para identificar los permisos que se agregaron en función del aprendizaje automático del recomendador de IAM, en lugar del uso de los permisos. En este ejemplo, se recomendó el permiso resourcemanager.projects.get en función del aprendizaje automático:

gcloud

Los permisos que se agregaron en función del aprendizaje automático del recomendador de IAM, en lugar del uso de los permisos, no se incluyen en la recomendación. En cambio, se enumeran en las estadísticas de políticas asociadas con la recomendación. Todos los permisos basados en el aprendizaje automático se enumeran en el campo inferredPermissions de la estadística. En este ejemplo, se recomendó el permiso resourcemanager.projects.get en función del aprendizaje automático:

associatedRecommendations:
- recommendation: projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/0573b702-96a5-4622-a916-c762e7b0731f
category: SECURITY
content:
  condition:
    description: ''
    expression: ''
    location: ''
    title: ''
  currentTotalPermissionsCount: '5069'
  exercisedPermissions:
  - permission: storage.objects.create
  - permission: storage.objects.delete
  - permission: storage.objects.get
  - permission: storage.objects.list
  inferredPermissions:
  - permission: resourcemanager.projects.get
  member: serviceAccount:my-service-account@my-project.iam.gserviceaccount.com
  role: roles/editor
description: 4 of the permissions in this role binding were used in the past 90 days.
etag: '"d3cdec23cc712bd0"'
insightSubtype: PERMISSIONS_USAGE
lastRefreshTime: '2020-07-11T07:00:00Z'
name: projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/0d3ce433-f067-4e78-b6ae-03d7d1f6f040
observationPeriod: 7776000s
stateInfo:
  state: ACTIVE
targetResources:
- //cloudresourcemanager.googleapis.com/projects/123456789012
severity: HIGH

Para obtener información sobre cómo obtener estadísticas de políticas, consulta una de las siguientes opciones:

REST

Los permisos que se agregaron en función del aprendizaje automático del recomendador de IAM, en lugar del uso de los permisos, no se incluyen en la recomendación. En cambio, se enumeran en las estadísticas de políticas asociadas con la recomendación. Todos los permisos basados en el aprendizaje automático se enumeran en el campo inferredPermissions de la estadística. En este ejemplo, se recomendó el permiso resourcemanager.projects.get en función del aprendizaje automático:

{
  "name": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/07841f74-02ce-4de8-bbe6-fc4eabb68568",
  "description": "4 of the permissions in this role binding were used in the past 90 days.",
  "content": {
    "role": "roles/editor",
    "member": "serviceAccount:my-service-account@my-project.iam.gserviceaccount.com",
    "condition": {
      "expression": "",
      "title": "",
      "description": "",
      "location": ""
    },
    "exercisedPermissions": [
      {
        "permission": "storage.objects.create"
      },
      {
        "permission": "storage.objects.delete"
      },
      {
        "permission": "storage.objects.get"
      },
      {
        "permission": "storage.objects.list"
      }
    ],
    "inferredPermissions": [
      {
        "permission": "resourcemanager.projects.get"
      }
    ],
    "currentTotalPermissionsCount": "5069"
  },
  "lastRefreshTime": "2020-07-12T07:00:00Z",
  "observationPeriod": "7776000s",
  "stateInfo": {
    "state": "ACTIVE"
  },
  "category": "SECURITY",
  "associatedRecommendations": [
    {
      "recommendation": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/b1932220-867d-43d1-bd74-fb95876ab656"
    }
  ],
  "targetResources": [
    "//cloudresourcemanager.googleapis.com/projects/123456789012"
  ],
  "insightSubtype": "PERMISSIONS_USAGE",
  "etag": "\"d3cdec23cc712bd0\"",
  "severity": "HIGH"
}

Para obtener información sobre cómo obtener estadísticas de políticas, consulta una de las siguientes opciones:

¿Qué sigue?