Mengotomatiskan rekomendasi IAM menggunakan playbook

Dokumen ini menjelaskan cara mengaktifkan playbook Respons IAM Recommender di Security Command Center Enterprise untuk mengidentifikasi identitas yang memiliki terlalu banyak izin serta menghapus izin berlebih secara otomatis dan aman.

Ringkasan

Pemberi rekomendasi IAM memberikan insight keamanan yang menilai cara penggunaan resource oleh pokok keamanan Anda dan merekomendasikan tindakan yang harus Anda lakukan terhadap insight yang ditemukan. Misalnya, jika izin tidak digunakan selama 90 hari terakhir, pemberi rekomendasi IAM akan menandainya sebagai izin berlebih dan merekomendasikan Anda untuk menghapusnya dengan aman.

Playbook IAM Recommender Response menggunakan IAM Recommender untuk memindai lingkungan Anda guna menemukan identitas workload yang memiliki izin berlebih atau peniruan akun layanan. Daripada meninjau dan menerapkan rekomendasi secara manual di Pengelolaan Akses dan Identitas, aktifkan playbook untuk melakukannya secara otomatis di Security Command Center.

Prasyarat

Sebelum mengaktifkan playbook IAM Recommender Response, selesaikan langkah-langkah prasyarat berikut:

  1. Buat peran IAM kustom dan konfigurasi izin tertentu untuk peran tersebut.
  2. Tentukan nilai Workload Identity Email.
  3. Berikan peran khusus yang telah Anda buat kepada akun utama yang ada.

Membuat peran IAM khusus

  1. Di konsol Google Cloud , buka halaman IAM Roles.

    Buka Peran IAM

  2. Klik Buat peran untuk membuat peran khusus dengan izin yang diperlukan untuk integrasi.

  3. Untuk peran khusus baru, berikan Judul, Deskripsi, dan ID unik.

  4. Tetapkan Role Launch Stage ke General Availability.

  5. Tambahkan izin berikut ke peran yang dibuat:

    resourcemanager.organizations.setIamPolicy

  6. Klik Buat.

Tentukan nilai Email Workload Identity

Untuk menentukan identitas yang akan diberi peran kustom, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka Response > Playbooks untuk membuka navigasi konsol Operasi Keamanan.
  2. Di navigasi konsol Operasi Keamanan, buka Respons > Penyiapan Integrasi.
  3. Di kolom Penelusuran integrasi, ketik Google Cloud Recommender.
  4. Klik Configure Instance. Jendela dialog akan terbuka.
  5. Salin nilai parameter Workload Identity Email ke papan klip Anda. Nilai harus dalam format berikut: username@example.com

Memberikan peran khusus kepada akun utama yang ada

Setelah Anda memberikan peran kustom baru kepada akun utama yang dipilih, akun utama tersebut dapat mengubah izin untuk pengguna mana pun di organisasi Anda.

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka IAM

  2. Di kolom Filter, tempel nilai Workload Identity Email dan cari principal yang ada.

  3. Klik Edit principal. Jendela dialog akan terbuka.

  4. Di panel Edit akses pada bagian Tetapkan peran, klik Tambahkan peran lain.

  5. Pilih peran khusus yang telah Anda buat, lalu klik Simpan.

Mengaktifkan playbook

Secara default, playbook IAM Recommender Response dinonaktifkan. Untuk menggunakan playbook, aktifkan secara manual:

  1. Di konsol Operasi Keamanan, buka Respons > Playbook.
  2. Di kolom Search playbook, masukkan IAM Recommender.
  3. Di hasil penelusuran, pilih playbook IAM Recommender Response.
  4. Di header playbook, alihkan tombol untuk mengaktifkan playbook.
  5. Di header playbook, klik Simpan.

Mengonfigurasi alur persetujuan otomatis

Mengubah setelan playbook adalah konfigurasi lanjutan dan opsional.

Secara default, setiap kali playbook mengidentifikasi izin yang tidak digunakan, playbook akan menunggu Anda menyetujui atau menolak perbaikan sebelum menyelesaikan eksekusi.

Untuk mengonfigurasi alur playbook agar otomatis menghapus izin yang tidak digunakan setiap kali izin tersebut ditemukan tanpa meminta persetujuan Anda, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka Response > Playbooks.
  2. Pilih playbook IAM Recommender Response.
  3. Di elemen penyusun playbook, pilih IAM Setup Block_1. Jendela konfigurasi blok akan terbuka. Secara default, parameter remediation_mode disetel ke Manual.
  4. Di kolom parameter remediation_mode, masukkan Automatic.
  5. Klik Simpan untuk mengonfirmasi setelan mode perbaikan baru.
  6. Di header playbook, klik Simpan.

Apa langkah selanjutnya?

  • Pelajari lebih lanjut playbook dalam dokumentasi Google SecOps.