Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este documento explica como ativar o playbook Resposta do recomendador do IAM
no Security Command Center Enterprise para identificar as identidades com permissões em excesso e
remover automaticamente e com segurança as permissões excedentes.
Visão geral
O recomendador do IAM fornece insights de segurança que
avaliam como suas principais usam recursos e recomendam que você tome uma ação com base no
insight encontrado. Por exemplo, quando uma permissão não é usada há 90 dias, o recomendador do IAM a destaca como uma permissão excessiva e recomenda que você a remova com segurança.
O playbook Resposta do recomendador do IAM usa o recomendador do IAM
para verificar seu ambiente em busca das identidades da carga de trabalho que têm permissões
em excesso ou representações de conta de serviço. Em vez de analisar e aplicar
recomendações
manualmente no Identity and Access Management, ative o playbook para fazer isso automaticamente no
Security Command Center.
Pré-requisitos
Antes de ativar o playbook Resposta do IAM Recommender, siga estas etapas de pré-requisito:
Crie um papel personalizado do IAM e configure uma permissão específica para ele.
Defina o valor do e-mail da Identidade da carga de trabalho.
Conceda o papel personalizado que você criou a um principal.
Criar um papel personalizado do IAM
No console Google Cloud , acesse a página Papéis do IAM.
Clique em Criar papel para criar um papel personalizado com as permissões necessárias para a integração.
Para uma nova função personalizada, forneça o Título, a Descrição e um ID exclusivo.
Defina a Etapa de lançamento da função como Disponibilidade geral.
Adicione a seguinte permissão ao papel criado:
resourcemanager.organizations.setIamPolicy
Clique em Criar.
Definir o valor do e-mail da Identidade da carga de trabalho
Para definir a identidade a que conceder a função personalizada, siga estas etapas:
No console Google Cloud , acesse Resposta > Playbooks para abrir
a navegação do console de operações de segurança.
Na navegação do console Security Operations, acesse Resposta >
Configuração de integrações.
No campo Pesquisar da integração, digite Google Cloud Recommender.
Clique em settingsConfigurar instância.
A janela de diálogo é aberta.
Copie o valor do parâmetro E-mail da identidade da carga de trabalho para a área de
transferência. O valor precisa estar no seguinte formato: username@example.com
Conceder uma função personalizada a um principal
Depois de conceder a nova função personalizada a um principal selecionado, ele poderá mudar
as permissões de qualquer usuário na sua organização.
No campo Filtro, cole o valor E-mail da identidade da carga de trabalho e
pesquise o principal atual.
Clique em editEditar principal. A janela de diálogo é aberta.
No painel Editar acesso, em Atribuir funções, clique em
addAdicionar outro papel.
Selecione a função personalizada que você criou e clique em Salvar.
Ativar playbook
Por padrão, o manual Resposta do recomendador do IAM está desativado. Para usar o
playbook, ative-o manualmente:
No console do Security Operations, acesse Resposta > Playbooks.
No campo Pesquisar do playbook, insira IAM Recommender.
No resultado da pesquisa, selecione o playbook Resposta do IAM Recommender.
No cabeçalho do playbook, mude a opção para ativar o playbook.
No cabeçalho do playbook, clique em Salvar.
Configurar o fluxo de aprovação automática
Mudar as configurações do playbook é uma configuração avançada e opcional.
Por padrão, sempre que o playbook identifica permissões não usadas, ele aguarda
sua aprovação ou recusa da correção antes de concluir a execução.
Para configurar o fluxo do playbook para remover automaticamente as permissões não usadas sempre que forem encontradas sem pedir sua aprovação, siga estas etapas:
No console Google Cloud , acesse Resposta > Playbooks.
Selecione o playbook Resposta do recomendador de IAM.
Nos blocos de criação do playbook, selecione IAM Setup Block_1. A janela de configuração do bloco é aberta. Por padrão, o parâmetro remediation_mode
é definido como Manual.
No campo do parâmetro remediation_mode, insira Automatic.
Clique em Salvar para confirmar as novas configurações do modo de correção.
No cabeçalho do playbook, clique em Salvar.
A seguir
Saiba mais sobre os playbooks na documentação do Google SecOps.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-05 UTC."],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThis document explains how to enable the **IAM Recommender Response** playbook\nin Security Command Center Enterprise to identify the over-permissioned identities and\nautomatically and safely remove the excess permissions.\n\nOverview\n\nThe IAM recommender provides you with security insights that\nassess how your principals use resources and recommends you to take an action on\nthe encountered insight. For example, when a permission was not used for\nthe last 90 days, the IAM recommender highlights it as an excess\npermission and recommends you to remove it safely.\n\nThe **IAM Recommender Response** playbook uses the IAM recommender\nto scan your environment for the workload identities that possess excess\npermissions or service account impersonations. Instead of [reviewing and applying\nrecommendations](/policy-intelligence/docs/review-apply-role-recommendations#review-apply)\nmanually in Identity and Access Management, enable the playbook to do it automatically in\nSecurity Command Center.\n\nPrerequisites\n\nBefore activating the **IAM Recommender Response** playbook, complete the following\nprerequisite steps:\n\n1. Create a custom IAM role and configure a specific permission for it.\n2. Define the **Workload Identity Email** value.\n3. Grant the custom role you've created to an existing principal.\n\nCreate a custom IAM role\n\n1. In the Google Cloud console, go to the **IAM Roles** page.\n\n [Go to IAM Roles](https://console.cloud.google.com/iam-admin/roles)\n2. Click **Create role** to create a custom role with the required permissions for\n the integration.\n\n3. For a new custom role, provide the **Title** , **Description** , and a unique\n **ID**.\n\n4. Set the **Role Launch Stage** to **General Availability**.\n\n5. Add the following permission to the created role:\n\n resourcemanager.organizations.setIamPolicy\n\n6. Click **Create**.\n\nDefine the Workload Identity Email value\n\nTo define what [identity](/iam/docs/workload-identities) to grant the custom\nrole to, complete the following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks** to open the Security Operations console navigation.\n2. In the Security Operations console navigation, go to **Response \\\u003e\n Integrations Setup**.\n3. In the integration **Search** field, type in `Google Cloud Recommender`.\n4. Click settings **Configure Instance**. The dialog window opens.\n5. Copy the value of the **Workload Identity Email** parameter to your clipboard. The value must be in the following format: `username@example.com`\n\nGrant a custom role to an existing principal\n\nAfter you grant your new custom role to a selected principal, they can change\npermissions for any user in your organization.\n\n1. In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam)\n2. In the **Filter** field, paste the **Workload Identity Email** value and\n search for the existing principal.\n\n3. Click edit **Edit principal**. The\n dialog window opens.\n\n4. In the **Edit access** pane under the **Assign roles** , click\n add **Add another role**.\n\n5. Select the custom role that you've created and click **Save**.\n\nEnable playbook\n\nBy default, the **IAM Recommender Response** playbook is disabled. To use the\nplaybook, enable it manually:\n\n1. In the Security Operations console, go to **Response \\\u003e Playbooks**.\n2. In the playbook **Search** field, input `IAM Recommender`.\n3. In the search result, select the **IAM Recommender Response** playbook.\n4. In the playbook header, switch the toggle to **enable the playbook**.\n5. In the playbook header, click **Save**.\n\nConfigure the automatic approval flow\n\nChanging the playbook settings is an advanced and optional configuration.\n\nBy default, every time the playbook identifies unused permissions, it awaits for\nyou to approve or decline the remediation before completing the run.\n\nTo configure the playbook flow to automatically remove the unused\npermissions every time they are found without requesting your approval, complete\nthe following steps:\n\n1. In the Google Cloud console, go to **Response \\\u003e Playbooks**.\n2. Select the **IAM Recommender Response** playbook.\n3. In the playbook building blocks, select the **IAM Setup Block_1** . The block configuration window opens. By default, the **remediation_mode** parameter is set to `Manual`.\n4. In the **remediation_mode** parameter field, enter `Automatic`.\n5. Click **Save** to confirm the new remediation mode settings.\n6. In the playbook header, click **Save**.\n\nWhat's next?\n\n- Learn more about [playbooks](/chronicle/docs/soar/respond/working-with-playbooks/whats-on-the-playbooks-screen) in the Google SecOps documentation."]]
