Automatiza las recomendaciones de IAM con guías

En este documento, se explica cómo habilitar la guía IAM Recommender Response en Security Command Center Enterprise para identificar las identidades con exceso de permisos y quitar los permisos excedentes de forma automática y segura.

Descripción general

El recomendador de IAM te proporciona estadísticas de seguridad que evalúan cómo tus principales usan los recursos y te recomienda que tomes medidas en relación con las estadísticas encontradas. Por ejemplo, cuando un permiso no se usó en los últimos 90 días, el recomendador de IAM lo destaca como un permiso excesivo y te recomienda que lo quites de forma segura.

El manual de estrategias de Respuesta del Recomendador de IAM usa el Recomendador de IAM para analizar tu entorno en busca de identidades para cargas de trabajo que tengan permisos excesivos o identidades temporales de cuentas de servicio. En lugar de revisar y aplicar recomendaciones manualmente en Identity and Access Management, habilita el playbook para que lo haga automáticamente en Security Command Center.

Requisitos previos

Antes de activar el playbook de IAM Recommender Response, completa los siguientes pasos previos:

  1. Crea un rol de IAM personalizado y configúrale un permiso específico.
  2. Define el valor de Workload Identity Email.
  3. Otorga el rol personalizado que creaste a una cuenta principal existente.

Crea un rol de IAM personalizado

  1. En la consola de Google Cloud , ve a la página Roles de IAM.

    Ir a Roles de IAM

  2. Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.

  3. Para un nuevo rol personalizado, proporciona el Título, la Descripción y un ID único.

  4. Establece la etapa de lanzamiento del rol en Disponibilidad general.

  5. Agrega el siguiente permiso al rol creado:

    resourcemanager.organizations.setIamPolicy

  6. Haz clic en Crear.

Define el valor del correo electrónico de Workload Identity

Para definir a qué identidad se le otorgará el rol personalizado, completa los siguientes pasos:

  1. En la consola de Google Cloud , ve a Respuesta > Guías para abrir la navegación de la consola de Operaciones de seguridad.
  2. En la navegación de la consola de Operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
  3. En el campo Buscar de la integración, escribe Google Cloud Recommender.
  4. Haz clic en Configurar instancia. Se abrirá la ventana de diálogo.
  5. Copia el valor del parámetro Workload Identity Email en el portapapeles. El valor debe tener el siguiente formato: username@example.com

Otorga un rol personalizado a una principal existente

Después de otorgar tu nueva función personalizada a un principal seleccionado, este podrá cambiar los permisos de cualquier usuario de tu organización.

  1. En la consola de Google Cloud , ve a la página IAM.

    Ir a IAM

  2. En el campo Filtro, pega el valor de Correo electrónico de Workload Identity y busca el principal existente.

  3. Haz clic en Editar principal. Se abrirá la ventana de diálogo.

  4. En el panel Editar permisos, en Asignar roles, haz clic en Agregar otro rol.

  5. Selecciona el rol personalizado que creaste y haz clic en Guardar.

Habilita la guía

De forma predeterminada, la guía IAM Recommender Response está inhabilitada. Para usar la guía, habilítala manualmente:

  1. En la consola de Operaciones de seguridad, ve a Respuesta > Guiones.
  2. En el campo Buscar del manual, ingresa IAM Recommender.
  3. En el resultado de la búsqueda, selecciona el manual IAM Recommender Response.
  4. En el encabezado de la guía, cambia el botón de activación para habilitar la guía.
  5. En el encabezado del manual, haz clic en Guardar.

Configura el flujo de aprobación automática

Cambiar la configuración de la guía es una configuración avanzada y opcional.

De forma predeterminada, cada vez que la guía identifica permisos sin usar, espera a que apruebes o rechaces la corrección antes de completar la ejecución.

Para configurar el flujo de la guía para que quite automáticamente los permisos no utilizados cada vez que se encuentren sin solicitar tu aprobación, completa los siguientes pasos:

  1. En la consola de Google Cloud , ve a Respuesta > Guías.
  2. Selecciona el playbook IAM Recommender Response.
  3. En los bloques de creación del playbook, selecciona IAM Setup Block_1. Se abrirá la ventana de configuración del bloque. De forma predeterminada, el parámetro remediation_mode se establece en Manual.
  4. En el campo del parámetro remediation_mode, ingresa Automatic.
  5. Haz clic en Guardar para confirmar la nueva configuración del modo de corrección.
  6. En el encabezado del manual, haz clic en Guardar.

Próximos pasos

  • Obtén más información sobre las guías en la documentación de Google SecOps.