IAM-Empfehlungen mit Playbooks automatisieren

In diesem Dokument wird erläutert, wie Sie das Playbook IAM Recommender Response in Security Command Center Enterprise aktivieren, um Identitäten mit zu vielen Berechtigungen zu ermitteln und die überflüssigen Berechtigungen automatisch und sicher zu entfernen.

Übersicht

Der IAM-Recommender liefert Sicherheitsinformationen, die bewerten, wie Ihre Hauptkonten Ressourcen nutzen, und empfiehlt Ihnen, Maßnahmen in Bezug auf die ermittelten Informationen zu ergreifen. Wenn eine Berechtigung beispielsweise in den letzten 90 Tagen nicht verwendet wurde, wird sie vom IAM Recommender als überflüssige Berechtigung hervorgehoben und es wird empfohlen, sie zu entfernen.

Im Playbook IAM Recommender Response wird der IAM Recommender verwendet, um Ihre Umgebung nach Arbeitslastidentitäten zu durchsuchen, die übermäßige Berechtigungen oder Identitätsübernahmen von Dienstkonten haben. Anstatt Empfehlungen manuell zu prüfen und anzuwenden, können Sie das Playbook aktivieren, damit dies automatisch in Security Command Center erfolgt.

Vorbereitung

Führen Sie vor der Aktivierung des Playbooks IAM Recommender Response die folgenden erforderlichen Schritte aus:

  1. Erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren Sie eine bestimmte Berechtigung dafür.
  2. Definieren Sie den Wert für Workload Identity-E-Mail.
  3. Weisen Sie einem vorhandenen Hauptkonto die von Ihnen erstellte benutzerdefinierte Rolle zu.

Benutzerdefinierte IAM-Rolle erstellen

  1. Rufen Sie in der Google Cloud Console die Seite IAM-Rollen auf.

    IAM-Rollen aufrufen

  2. Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.

  3. Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.

  4. Legen Sie die Rollenstartphase auf Allgemeine Verfügbarkeit fest.

  5. Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:

    resourcemanager.organizations.setIamPolicy

  6. Klicken Sie auf Erstellen.

Workload Identity-E-Mail-Wert definieren

So legen Sie fest, welcher Identität die benutzerdefinierte Rolle zugewiesen werden soll:

  1. Rufen Sie in der Google Cloud -Konsole Antwort > Playbooks auf, um die Navigation der Security Operations-Konsole zu öffnen.
  2. Klicken Sie in der Navigationsleiste der Security Operations-Konsole auf Reaktion > Einrichtung von Integrationen.
  3. Geben Sie im Feld Suchen der Integration Google Cloud Recommender ein.
  4. Klicken Sie auf  Instanz konfigurieren. Das Dialogfenster wird geöffnet.
  5. Kopieren Sie den Wert des Parameters Workload Identity-E-Mail in die Zwischenablage. Der Wert muss das folgende Format haben: username@example.com.

Einem vorhandenen Hauptkonto eine benutzerdefinierte Rolle zuweisen

Nachdem Sie einem ausgewählten Hauptkonto die neue benutzerdefinierte Rolle zugewiesen haben, kann es die Berechtigungen für jeden Nutzer in Ihrer Organisation ändern.

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Fügen Sie im Feld Filter den Wert Workload Identity-E-Mail ein und suchen Sie nach dem vorhandenen Hauptkonto.

  3. Klicken Sie auf  Hauptkonto bearbeiten. Das Dialogfeld wird geöffnet.

  4. Klicken Sie im Bereich Berechtigungen bearbeiten unter Rollen zuweisen auf Weitere Rolle hinzufügen.

  5. Wählen Sie die benutzerdefinierte Rolle aus, die Sie erstellt haben, und klicken Sie auf Speichern.

Playbook aktivieren

Das Playbook IAM Recommender Response ist standardmäßig deaktiviert. So aktivieren Sie das Playbook manuell:

  1. Rufen Sie in der Security Operations Console Reaktion > Playbooks auf.
  2. Geben Sie im Playbook-Feld Suchen IAM Recommender ein.
  3. Wählen Sie in den Suchergebnissen das Playbook IAM Recommender Response aus.
  4. Stellen Sie in der Playbook-Kopfzeile den Schieberegler um, um das Playbook zu aktivieren.
  5. Klicken Sie in der Playbook-Kopfzeile auf Speichern.

Automatischen Genehmigungsablauf konfigurieren

Das Ändern der Playbook-Einstellungen ist eine erweiterte und optionale Konfiguration.

Standardmäßig wartet das Playbook jedes Mal, wenn es nicht verwendete Berechtigungen erkennt, auf Ihre Genehmigung oder Ablehnung der Korrektur, bevor der Lauf abgeschlossen wird.

So konfigurieren Sie den Playbook-Ablauf, damit ungenutzte Berechtigungen automatisch entfernt werden, sobald sie gefunden werden, ohne dass Sie dies genehmigen müssen:

  1. Rufen Sie in der Google Cloud -Konsole Antwort > Playbooks auf.
  2. Wählen Sie das Playbook IAM Recommender Response aus.
  3. Wählen Sie in den Playbook-Bausteinen IAM Setup Block_1 aus. Das Fenster zur Blockkonfiguration wird geöffnet. Standardmäßig ist der Parameter remediation_mode auf Manual festgelegt.
  4. Geben Sie im Parameterfeld remediation_mode den Wert Automatic ein.
  5. Klicken Sie auf Speichern, um die neuen Einstellungen für den Korrekturmodus zu bestätigen.
  6. Klicken Sie in der Playbook-Kopfzeile auf Speichern.

Nächste Schritte

  • Weitere Informationen zu Playbooks finden Sie in der Google SecOps-Dokumentation.