本文档介绍了如何在 Security Command Center Enterprise 中启用 IAM 建议器响应策略方案,以识别过度授予权限的身份,并自动安全地移除多余的权限。
概览
IAM Recommender 会提供安全性数据分析,评估您的主账号如何使用资源,并建议您针对发现的数据分析采取行动。例如,如果某项权限在过去 90 天内未使用过,IAM Recommender 会将其突出显示为多余的权限,并建议您安全地移除该权限。
IAM Recommender 响应剧本使用 IAM Recommender 扫描您的环境,以查找具有过高权限或服务账号模拟的工作负载身份。您无需在 Identity and Access Management 中手动查看和应用建议,只需在 Security Command Center 中启用 playbook,即可让系统自动执行此操作。
前提条件
在激活 IAM Recommender Response playbook 之前,请完成以下前提步骤:
- 创建自定义 IAM 角色并为其配置特定权限。
- 定义 Workload Identity 电子邮件地址值。
- 向现有主账号授予您创建的自定义角色。
创建自定义 IAM 角色
在 Google Cloud 控制台中,前往 IAM 角色页面。
点击创建角色,以创建具有集成所需权限的自定义角色。
对于新的自定义角色,请提供标题、说明和唯一的 ID。
将角色发布阶段设置为正式版。
向创建的角色添加以下权限:
resourcemanager.organizations.setIamPolicy点击创建。
定义工作负载身份电子邮件地址值
如需定义要向哪个身份授予自定义角色,请完成以下步骤:
- 在 Google Cloud 控制台中,依次前往响应 > 剧本,打开 Security Operations 控制台导航。
- 在 Security Operations 控制台导航栏中,依次前往响应 > 集成设置。
- 在集成搜索字段中,输入
Google Cloud Recommender。 - 点击 配置实例。 系统会打开对话框窗口。
- 将 Workload Identity Email 参数的值复制到剪贴板。该值必须采用以下格式:
username@example.com
向现有主账号授予自定义角色
向所选主账号授予新的自定义角色后,该主账号便可以更改组织中任何用户的权限。
在 Google Cloud 控制台中,前往 IAM 页面。
在过滤条件字段中,粘贴 Workload Identity 电子邮件地址值,然后搜索现有主账号。
点击 修改主账号。系统会打开对话窗口。
在修改权限窗格中的分配角色下,点击 添加其他角色。
选择您创建的自定义角色,然后点击保存。
启用 playbook
默认情况下,IAM Recommender Response playbook 处于停用状态。如需使用 playbook,请手动启用它:
- 在 Security Operations 控制台中,依次前往响应 > 剧本。
- 在剧本的搜索字段中,输入
IAM Recommender。 - 在搜索结果中,选择 IAM Recommender Response playbook。
- 在 playbook 标题中,切换开关以启用 playbook。
- 在 playbook 标题中,点击保存。
配置自动审批流程
更改 playbook 设置是一项高级配置,您可以选择是否进行此配置。
默认情况下,每次 playbook 识别出未使用的权限时,都会等待您批准或拒绝补救措施,然后再完成运行。
如需将 playbook 流程配置为在每次发现未使用的权限时自动移除这些权限,而无需征得您的批准,请完成以下步骤:
- 在 Google Cloud 控制台中,依次前往响应 > 剧本。
- 选择 IAM Recommender 回应剧本。
- 在 playbook 构建块中,选择 IAM 设置块 1。系统会打开块配置窗口。默认情况下,remediation_mode 参数设置为
Manual。 - 在 remediation_mode 参数字段中,输入
Automatic。 - 点击保存以确认新的补救模式设置。
- 在 playbook 标题中,点击保存。
后续步骤
- 如需详细了解 playbook,请参阅 Google SecOps 文档。