使用playbook自动执行 IAM 建议

本文档介绍了如何在 Security Command Center Enterprise 中启用 IAM 建议器响应策略方案，以识别过度授予权限的身份，并自动安全地移除多余的权限。

概览

IAM Recommender 会提供安全性数据分析，评估您的主账号如何使用资源，并建议您针对发现的数据分析采取行动。例如，如果某项权限在过去 90 天内未使用过，IAM Recommender 会将其突出显示为多余的权限，并建议您安全地移除该权限。

IAM Recommender 响应剧本使用 IAM Recommender 扫描您的环境，以查找具有过高权限或服务账号模拟的工作负载身份。您无需在 Identity and Access Management 中手动查看和应用建议，只需在 Security Command Center 中启用 playbook，即可让系统自动执行此操作。

前提条件

在激活 IAM Recommender Response playbook 之前，请完成以下前提步骤：

1. 创建自定义 IAM 角色并为其配置特定权限。
2. 定义 Workload Identity 电子邮件地址值。
3. 向现有主账号授予您创建的自定义角色。

创建自定义 IAM 角色

1. 在 Google Cloud 控制台中，前往 IAM 角色页面。

   前往 IAM 角色

2. 点击创建角色，以创建具有集成所需权限的自定义角色。

3. 对于新的自定义角色，请提供标题、说明和唯一的 ID。

4. 将角色发布阶段设置为正式版。

5. 向创建的角色添加以下权限：

   resourcemanager.organizations.setIamPolicy
   

6. 点击创建。

定义工作负载身份电子邮件地址值

如需定义要向哪个身份授予自定义角色，请完成以下步骤：

1. 在 Google Cloud 控制台中，依次前往响应 > 剧本，打开 Security Operations 控制台导航。
2. 在 Security Operations 控制台导航栏中，依次前往响应 > 集成设置。
3. 在集成搜索字段中，输入 Google Cloud Recommender。
4. 点击 settings 配置实例。 系统会打开对话框窗口。
5. 将 Workload Identity Email 参数的值复制到剪贴板。该值必须采用以下格式：username@example.com

向现有主账号授予自定义角色

向所选主账号授予新的自定义角色后，该主账号便可以更改组织中任何用户的权限。

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM

2. 在过滤条件字段中，粘贴 Workload Identity 电子邮件地址值，然后搜索现有主账号。

3. 点击 edit 修改主账号。系统会打开对话窗口。

4. 在修改权限窗格中的分配角色下，点击　add　添加其他角色。

5. 选择您创建的自定义角色，然后点击保存。

启用 playbook

默认情况下，IAM Recommender Response playbook 处于停用状态。如需使用 playbook，请手动启用它：

1. 在 Security Operations 控制台中，依次前往响应 > 剧本。
2. 在 playbook 搜索字段中，输入 IAM Recommender。
3. 在搜索结果中，选择 IAM Recommender Response playbook。
4. 在 playbook 标题中，切换开关以启用 playbook。
5. 在 playbook 标题中，点击保存。

配置自动审批流程

更改 playbook 设置是一项高级配置，您可以选择是否进行此配置。

默认情况下，每次 playbook 识别出未使用的权限时，都会等待您批准或拒绝补救措施，然后再完成运行。

如需将 playbook 流程配置为在每次发现未使用的权限时自动移除这些权限，而无需征得您的批准，请完成以下步骤：

1. 在 Google Cloud 控制台中，依次前往响应 > 剧本。
2. 选择 IAM Recommender 回应剧本。
3. 在 playbook 构建块中，选择 IAM 设置块 1。系统会打开块配置窗口。默认情况下，remediation_mode 参数设置为 Manual。
4. 在 remediation_mode 参数字段中，输入 Automatic。
5. 点击保存以确认新的补救模式设置。
6. 在 playbook 标题中，点击保存。

后续步骤

• 如需详细了解 playbook，请参阅 Google SecOps 文档。