ハンドブックを使用して IAM の推奨事項を自動化する

このドキュメントでは、Security Command Center Enterprise で IAM Recommender のレスポンス ハンドブックを有効にして、過剰に権限を付与された ID を特定し、過剰な権限を自動的かつ安全に削除する方法について説明します。

概要

IAM Recommender は、プリンシパルがリソースをどのように使用しているかを評価するセキュリティ分析情報を提供し、発生した分析情報に基づいたアクションを実行することを推奨します。たとえば、過去 90 日間に権限が使用されていない場合、IAM Recommender はその権限を過剰な権限としてハイライト表示し、安全に削除することを推奨します。

IAM Recommender レスポンス ハンドブックは、IAM Recommender を使用して、過剰な権限またはサービス アカウントの権限借用を持つワークロード ID を環境内でスキャンします。Identity and Access Management で手動で推奨事項を確認して適用する代わりに、Security Command Center でハンドブックを有効にして自動的に実行します。

前提条件

IAM Recommender レスポンス ハンドブックを有効にする前に、次の前提条件の手順を完了します。

  1. カスタム IAM ロールを作成し、特定の権限を構成します。
  2. Workload Identity Email の値を定義する
  3. 作成したカスタムロールを既存のプリンシパルに付与します。

カスタム IAM ロールを作成する

  1. Google Cloud コンソールで、[IAM ロール] ページに移動します。

    IAM ロールに移動

  2. [ロールを作成] をクリックして、統合に必要な権限を持つカスタムロールを作成します。

  3. 新しいカスタムロールの場合は、[タイトル]、[説明]、一意の [ID] を指定します。

  4. [ロールのリリース段階] を [一般提供] に設定します。

  5. 作成したロールに次の権限を追加します。

    resourcemanager.organizations.setIamPolicy

  6. [作成] をクリックします。

Workload Identity Email の値を定義する

カスタムロールを付与する ID を定義するには、次の操作を行います。

  1. Google Cloud コンソールで、[レスポンス] > [ハンドブック] に移動して、Security Operations コンソールのナビゲーションを開きます。
  2. Security Operations コンソールで、[レスポンス] > [統合の設定] に移動します。
  3. 統合の [検索] フィールドに「Google Cloud Recommender」と入力します。
  4. [ インスタンスを構成] をクリックします。ダイアログ ウィンドウが開きます。
  5. Workload Identity Email パラメータの値をクリップボードにコピーします。値は次の形式にする必要があります。username@example.com

既存のプリンシパルにカスタムロールを付与する

選択したプリンシパルに新しいカスタムロールを付与すると、そのプリンシパルは組織内の任意のユーザーの権限を変更できるようになります。

  1. Google Cloud コンソールで、[IAM] ページに移動します。

    [IAM] に移動

  2. [フィルタ] フィールドに [Workload Identity Email] の値を貼り付け、既存のプリンシパルを検索します。

  3. [プリンシパルを編集する] をクリックします。ダイアログ ウィンドウが開きます。

  4. [ロールを割り当てる] の [編集権限] ペインで、 [別のロールを追加] をクリックします。

  5. 作成したカスタムロールを選択し、[保存] をクリックします。

ハンドブックを有効にする

デフォルトでは、IAM Recommender レスポンス ハンドブックは無効になっています。ハンドブックを使用するには、手動で有効にします。

  1. Security Operations コンソールで、[レスポンス] > [ハンドブック] に移動します。
  2. ハンドブックの [検索] フィールドに「IAM Recommender」と入力します。
  3. 検索結果で、IAM Recommender レスポンス ハンドブックを選択します。
  4. ハンドブックのヘッダーで、スイッチを切り替えてハンドブックを有効にします
  5. ハンドブックのヘッダーで [保存] をクリックします。

自動承認フローを構成する

ハンドブックの設定の変更は、高度なオプションの構成です。

デフォルトでは、ハンドブックで未使用の権限を識別するたびに、実行が完了するまで修正の承認または拒否を待機します。

未使用の権限が検出されるたびに承認をリクエストせずに自動的に削除するようにハンドブックのフローを構成するには、次の手順を行います。

  1. Google Cloud コンソールで、[レスポンス] > [ハンドブック] に移動します。
  2. [IAM Recommender レスポンス] ハンドブックを選択します。
  3. ハンドブックの構成要素で、[IAM Setup Block_1] を選択します。ブロック構成ウィンドウが開きます。デフォルトでは、remediation_mode パラメータは Manual に設定されています。
  4. [remediation_mode] パラメータ フィールドに「Automatic」と入力します。
  5. [保存] をクリックして、新しい修正モードの設定を確定します。
  6. ハンドブックのヘッダーで [保存] をクリックします。

次のステップ

  • ハンドブックの詳細について、Google SecOps ドキュメントを確認する。