En este documento, se explica cómo habilitar la guía de respuesta del recomendador de IAM en Security Command Center Enterprise para identificar las identidades quitar de forma automática y segura los permisos no utilizados.
Descripción general
El recomendador de IAM te proporciona estadísticas de seguridad que evalúa la forma en que las principales usan recursos y te recomiendan tomar medidas sobre la estadística encontrada. Por ejemplo, cuando un permiso no se usó para en los últimos 90 días, el recomendador de IAM lo destaca como un exceso permiso y te recomienda quitarlo de forma segura.
La guía de respuesta del recomendador de IAM usa el recomendador de IAM para analizar tu entorno en busca de identidades de carga de trabajo que tengan permisos permisos o suplantaciones de cuentas de servicio. En lugar de revisar y aplicar recomendaciones manualmente en Identity and Access Management, habilita la guía para hacerlo automáticamente en la Consola de operaciones de seguridad.
Requisitos previos
Antes de activar la guía de respuesta del recomendador de IAM, completa lo siguiente: pasos de requisitos previos:
- Crea un rol de IAM personalizado y configura un permiso específico por él.
- Define el valor de Correo electrónico de identidades para cargas de trabajo.
- Otorga el rol personalizado que creaste a una principal existente.
Crea un rol de IAM personalizado
En la consola de Google Cloud, ve a la página Roles de IAM.
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para un rol personalizado nuevo, proporciona el título, la descripción y una dirección ID.
Establece la Etapa de lanzamiento de la función en Disponibilidad general.
Agrega el siguiente permiso a la función creada:
resourcemanager.organizations.setIamPolicy
Haz clic en Crear.
Define el valor del correo electrónico de Workload Identity
Para definir qué identidad se debe otorgar al completa los siguientes pasos:
- En la consola de operaciones de seguridad, ve a Respuesta > Integraciones Configuración.
- En el campo Buscar de la integración, escribe
Google Cloud Recommender
. - Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
- Copia el valor del parámetro Workload Identity Email en la
portapapeles. El valor debe tener el siguiente formato:
username@example.com
Otorgar un rol personalizado a una principal existente
Después de otorgar tu nuevo rol personalizado a una principal seleccionada, esta podrá cambiar permisos para cualquier usuario de tu organización.
En la consola de Google Cloud, ve a la página IAM.
En el campo Filtro, pega el valor del correo electrónico de Workload Identity y busca la principal existente.
Haz clic en
Editar principal. El se abrirá una ventana de diálogo.En el panel Editar acceso en Asignar roles, haz clic en
Agrega otro rol.Selecciona el rol personalizado que creaste y haz clic en Guardar.
Habilitar la guía
De forma predeterminada, la guía de respuesta del recomendador de IAM está inhabilitada. Para usar manual, habilítala manualmente:
- En la consola de operaciones de seguridad, ve a Respuesta > Guías.
- En el campo Search de la guía, ingresa
IAM Recommender
. - En el resultado de la búsqueda, selecciona la guía Respuesta del recomendador de IAM.
- En el encabezado de la guía, usa el botón de activación para habilitar la guía.
- En el encabezado de la guía, haz clic en Guardar.
Configura el flujo de aprobación automática
Cambiar la configuración de la guía es una configuración avanzada y opcional.
De forma predeterminada, cada vez que la guía identifica permisos sin usar, se espera que apruebes o rechaces la corrección antes de completar la ejecución.
Para configurar el flujo de la guía de modo que quite automáticamente los elementos no utilizados permisos cada vez que se encuentren sin solicitar tu aprobación, completa sigue estos pasos:
- En la consola de operaciones de seguridad, ve a Respuesta > Guías.
- Selecciona la guía de respuesta del recomendador de IAM.
- En los componentes básicos de la guía, selecciona el Bloque de configuración de IAM_1. El bloque
de configuración de Terraform. De forma predeterminada, el parámetro remediation_mode
se configura en
Manual
. - En el campo del parámetro remediation_mode, ingresa
Automatic
. - Haz clic en Guardar para confirmar la nueva configuración del modo de corrección.
- En el encabezado de la guía, haz clic en Guardar.
Próximos pasos
- Obtén más información sobre las guías en la documentación de Google SecOps. en la documentación de Google Cloud.