Neste documento, explicamos como ativar o playbook Resposta do IAM Recommender no Security Command Center Enterprise para identificar as identidades com permissão excessiva e remover as permissões em excesso de modo automático e seguro.
Visão geral
O recomendador do IAM fornece insights de segurança que avaliam como as principais pessoas usam recursos e recomendam que você tome uma ação com base no insight encontrado. Por exemplo, quando uma permissão não é usada nos últimos 90 dias, o recomendador do IAM a destaca como uma permissão em excesso e recomenda a remoção dela com segurança.
O playbook Resposta do recomendador do IAM usa o recomendador do IAM para verificar no seu ambiente as identidades da carga de trabalho que possuem permissões ou representações de conta de serviço. Em vez de analisar e aplicar recomendações manualmente no Identity and Access Management, ative o playbook para fazer isso automaticamente no console de operações de segurança.
Pré-requisitos
Antes de ativar o playbook Resposta do recomendador de IAM, siga as etapas de pré-requisito a seguir:
- Criar um papel personalizado do IAM e configurar uma permissão específica para isso.
- Defina o valor do E-mail de Identidade da carga de trabalho.
- Conceda o papel personalizado que você criou a um principal atual.
Criar um papel personalizado do IAM
No console do Google Cloud, acesse a página Papéis do IAM.
Clique em Criar função para criar um papel personalizado com as permissões necessárias para a integração.
Para um novo papel personalizado, forneça o Título, a Descrição e um nome ID.
Defina o Estágio da inicialização do papel como Disponibilidade geral.
Adicione a seguinte permissão à função criada:
resourcemanager.organizations.setIamPolicy
Clique em Criar.
Definir o valor do e-mail da Identidade da carga de trabalho
Para definir qual identidade conceder à siga estas etapas:
- No console de Operações de Segurança, acesse Resposta > Integrações Configuração.
- No campo Pesquisar da integração, digite
Google Cloud Recommender
. - Clique em Configurar instância. A janela de diálogo é aberta.
- Copie o valor do parâmetro Workload Identity Email para a
área de transferência. O valor precisa estar no seguinte formato:
username@example.com
Conceder um papel personalizado a um principal existente
Depois de conceder o novo papel personalizado a um principal selecionado, ele poderá mudar para todos os usuários na organização.
No console do Google Cloud, abra a página IAM.
No campo Filtro, cole o valor do E-mail de identidade da carga de trabalho e procure o principal existente.
Clique em
Editar principal. O a janela de diálogo será aberta.No painel Acesso para editar em Atribuir funções, clique em
Adicionar outro papel.Selecione o papel personalizado que você criou e clique em Salvar.
Ativar o playbook
Por padrão, o playbook Resposta do recomendador do IAM está desativado. Para usar o playbook, ative-o manualmente:
- No console de Operações de Segurança, acesse Resposta > Playbooks.
- No campo Pesquisa do playbook, digite
IAM Recommender
. - No resultado da pesquisa, selecione o playbook Resposta do IAM Recommender.
- No cabeçalho do playbook, ative a opção para ativar o playbook.
- No cabeçalho do playbook, clique em Salvar.
Configurar o fluxo de aprovação automática
Mudar as configurações do playbook é uma configuração avançada e opcional.
Por padrão, sempre que o playbook identifica permissões não utilizadas, ele aguarda aprovar ou recusar a correção antes de concluir a execução.
Para configurar o fluxo de playbook para remover automaticamente as permissões não usadas sempre que elas forem encontradas sem solicitar sua aprovação, siga estas etapas:
- No console de operações de segurança, acesse Resposta > Playbooks.
- Selecione o playbook IAM Recommender Response (Resposta do recomendador do IAM).
- Nos blocos de construção do playbook, selecione IAM Setup Block_1. O bloco
a janela de configuração é aberta. Por padrão, o parâmetro remediation_mode
é definido como
Manual
. - No campo de parâmetro remediation_mode, insira
Automatic
. - Clique em Salvar para confirmar as novas configurações do modo de correção.
- No cabeçalho do playbook, clique em Salvar.
A seguir
- Saiba mais sobre os playbooks na Central de SecOps do Google na documentação do Google Cloud.