Automatizza i consigli IAM utilizzando i playbook

Questo documento spiega come attivare il playbook Risposta del motore per suggerimenti IAM in Security Command Center Enterprise per identificare le identità con autorizzazioni eccessive e rimuovere automaticamente e in sicurezza le autorizzazioni in eccesso.

Panoramica

Il Recommender IAM fornisce approfondimenti sulla sicurezza che valutano il modo in cui i tuoi principali utilizzano le risorse e ti consigliano di intraprendere un'azione in base all'insight rilevato. Ad esempio, quando un'autorizzazione non è stata utilizzata negli ultimi 90 giorni, il consigliatore IAM la evidenzia come autorizzazione in eccesso e consiglia di rimuoverla in sicurezza.

Il playbook Risposta del motore per suggerimenti IAM utilizza il motore per suggerimenti IAM per eseguire la scansione dell'ambiente alla ricerca delle identità del carico di lavoro che dispongono di autorizzazioni in eccesso o di simulazioni dell'identità degli account di servizio. Anziché esaminare e applicare i consigli manualmente in Identity and Access Management, abilita il playbook a farlo automaticamente nella console Security Operations.

Prerequisiti

Prima di attivare il playbook Risposta del Recommender IAM, completa i seguenti passaggi di prerequisito:

  1. Crea un ruolo IAM personalizzato e configura un'autorizzazione specifica per questo ruolo.
  2. Definisci il valore Indirizzo email Workload Identity.
  3. Concedi il ruolo personalizzato che hai creato a un entità esistente.

Creare un ruolo IAM personalizzato

  1. Nella console Google Cloud, vai alla pagina Ruoli IAM.

    Vai a Ruoli IAM

  2. Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni richieste per l'integrazione.

  3. Per un nuovo ruolo personalizzato, fornisci il Titolo, la Descrizione e un ID univoco.

  4. Imposta Fase di lancio del ruolo su Disponibilità generale.

  5. Aggiungi la seguente autorizzazione al ruolo creato:

    resourcemanager.organizations.setIamPolicy

  6. Fai clic su Crea.

Definisci il valore Email di Workload Identity

Per definire a quale identità concedere il ruolo personalizzato, completa i seguenti passaggi:

  1. Nella console Security Operations, vai a Risposta > Configurazione delle integrazioni.
  2. Nel campo Cerca dell'integrazione, digita Google Cloud Recommender.
  3. Fai clic su Configura istanza. Si apre la finestra di dialogo.
  4. Copia il valore del parametro Workload Identity Email negli appunti. Il valore deve essere nel seguente formato: username@example.com

Concedere un ruolo personalizzato a un entità esistente

Dopo aver concesso il nuovo ruolo personalizzato a un principale selezionato, quest'ultimo potrà modificare le autorizzazioni per qualsiasi utente della tua organizzazione.

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Nel campo Filtro, incolla il valore Indirizzo email Workload Identity e cerca il principale esistente.

  3. Fai clic su Modifica principale. Si apre la finestra di dialogo.

  4. Nel riquadro Modifica accesso in Assegna ruoli, fai clic su Aggiungi un altro ruolo.

  5. Seleziona il ruolo personalizzato che hai creato e fai clic su Salva.

Attivare il playbook

Per impostazione predefinita, il playbook Risposta del motore per suggerimenti IAM è disabilitato. Per utilizzare il playbook, attivalo manualmente:

  1. Nella console Security Operations, vai a Risposta > Playbook.
  2. Nel campo Cerca del playbook, inserisci IAM Recommender.
  3. Nel risultato di ricerca, seleziona il playbook Risposta del Recommender IAM.
  4. Nell'intestazione del playbook, attiva l'opzione Attiva il playbook.
  5. Nell'intestazione del playbook, fai clic su Salva.

Configurare il flusso di approvazione automatica

La modifica delle impostazioni del playbook è una configurazione avanzata e facoltativa.

Per impostazione predefinita, ogni volta che il playbook identifica autorizzazioni inutilizzate, attende che tu approvi o rifiuti la correzione prima di completare l'esecuzione.

Per configurare il flusso del playbook in modo che rimuovi automaticamente le autorizzazioni non utilizzate ogni volta che vengono rilevate senza richiedere la tua approvazione, svolgi i seguenti passaggi:

  1. Nella console Security Operations, vai a Risposta > Playbook.
  2. Seleziona il playbook Risposta del motore per suggerimenti IAM.
  3. Nei componenti di base del playbook, seleziona IAM Setup Block_1. Si apre la finestra di configurazione del blocco. Per impostazione predefinita, il parametro remediation_mode è impostato su Manual.
  4. Nel campo del parametro remediation_mode, inserisci Automatic.
  5. Fai clic su Salva per confermare le nuove impostazioni della modalità di correzione.
  6. Nell'intestazione del playbook, fai clic su Salva.

Passaggi successivi

  • Scopri di più sulle guide pratiche nella documentazione di Google SecOps.