Automatize as recomendações de IAM com manuais de procedimentos

Este documento explica como ativar o manual de procedimentos IAM Recommender Response no Security Command Center Enterprise para identificar as identidades com autorizações excessivas e remover automaticamente e em segurança as autorizações em excesso.

Vista geral

O recomendador do IAM fornece-lhe estatísticas de segurança que avaliam a forma como os seus principais usam os recursos e recomenda que tome uma medida relativa à estatística encontrada. Por exemplo, quando uma autorização não é usada nos últimos 90 dias, o recomendador do IAM realça-a como uma autorização excessiva e recomenda que a remova em segurança.

O guia interativo Resposta do IAM Recommender usa o IAM Recommender para analisar o seu ambiente em busca das identidades de carga de trabalho que têm autorizações excessivas ou representações de contas de serviço. Em vez de rever e aplicar recomendações manualmente na gestão de identidades e acessos, ative o manual de procedimentos para o fazer automaticamente no Security Command Center.

Pré-requisitos

Antes de ativar o playbook IAM Recommender Response, conclua os seguintes passos prévios:

  1. Crie uma função de IAM personalizada e configure uma autorização específica para a mesma.
  2. Defina o valor do email do Workload Identity.
  3. Conceda a função personalizada que criou a um principal existente.

Crie uma função do IAM personalizada

  1. Na Google Cloud consola, aceda à página Funções da IAM.

    Aceda a Funções de IAM

  2. Clique em Criar função para criar uma função personalizada com as autorizações necessárias para a integração.

  3. Para uma nova função personalizada, indique o Título, a Descrição e um ID exclusivo.

  4. Defina o Role Launch Stage como General Availability.

  5. Adicione a seguinte autorização à função criada:

    resourcemanager.organizations.setIamPolicy

  6. Clique em Criar.

Defina o valor do email do Workload Identity

Para definir a identidade à qual conceder a função personalizada, conclua os seguintes passos:

  1. Na Google Cloud consola, aceda a Resposta > Manuais de procedimentos para abrir a navegação da consola de operações de segurança.
  2. Na navegação da consola Security Operations, aceda a Resposta > Configuração de integrações.
  3. No campo Pesquisar de integração, escreva Google Cloud Recommender.
  4. Clique em Configurar instância. É aberta a janela de diálogo.
  5. Copie o valor do parâmetro Workload Identity Email para a área de transferência. O valor tem de estar no seguinte formato: username@example.com

Conceda uma função personalizada a um principal existente

Depois de conceder a nova função personalizada a um principal selecionado, este pode alterar as autorizações de qualquer utilizador na sua organização.

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM

  2. No campo Filtro, cole o valor do Email da identidade da carga de trabalho e pesquise o principal existente.

  3. Clique em Editar principal. É aberta a janela de diálogo.

  4. No painel Editar acesso, em Atribuir funções, clique em Adicionar outra função.

  5. Selecione a função personalizada que criou e clique em Guardar.

Ative o guia interativo

Por predefinição, o manual de procedimentos IAM Recommender Response está desativado. Para usar o manual de estratégias, ative-o manualmente:

  1. Na consola de operações de segurança, aceda a Resposta > Manuais de procedimentos.
  2. No campo Pesquisar do manual de estratégias, introduza IAM Recommender.
  3. No resultado da pesquisa, selecione o manual de procedimentos IAM Recommender Response.
  4. No cabeçalho do manual de soluções, mude o botão para ativar o manual de soluções.
  5. No cabeçalho do manual de estratégias, clique em Guardar.

Configure o fluxo de aprovação automática

A alteração das definições do manual de estratégias é uma configuração avançada e opcional.

Por predefinição, sempre que o manual de soluções identifica autorizações não usadas, aguarda a sua aprovação ou recusa da correção antes de concluir a execução.

Para configurar o fluxo do manual de soluções de forma a remover automaticamente as autorizações não usadas sempre que são encontradas sem pedir a sua aprovação, conclua os seguintes passos:

  1. Na Google Cloud consola, aceda a Resposta > Manuais de procedimentos.
  2. Selecione o manual IAM Recommender Response.
  3. Nos blocos de construção do manual de estratégias, selecione IAM Setup Block_1. É aberta a janela de configuração do bloco. Por predefinição, o parâmetro remediation_mode está definido como Manual.
  4. No campo do parâmetro remediation_mode, introduza Automatic.
  5. Clique em Guardar para confirmar as novas definições do modo de correção.
  6. No cabeçalho do manual de estratégias, clique em Guardar.

O que se segue?