本文說明如何在 Security Command Center Enterprise 中啟用 IAM 建議工具回應劇本,找出權限過多的身分,並自動安全地移除多餘權限。
總覽
IAM 建議會提供安全性深入分析,評估主體使用資源的方式,並建議您對遇到的深入分析採取行動。舉例來說,如果某項權限在過去 90 天內從未使用,IAM 建議就會將其標示為超額權限,並建議您安全地移除該權限。
IAM 建議工具回應劇本會使用 IAM 建議工具掃描環境,找出具有多餘權限或服務帳戶模擬的工作負載身分。您不必在身分與存取權管理中手動檢查及套用最佳化建議,只要在 Security Command Center 中啟用劇本,系統就會自動執行這項操作。
必要條件
啟用 IAM Recommender 回應劇本前,請先完成下列必要步驟:
- 建立自訂 IAM 角色,並為該角色設定特定權限。
- 定義「Workload Identity 電子郵件」值。
- 將您建立的自訂角色指派給現有主體。
建立自訂 IAM 角色
前往 Google Cloud 控制台的「IAM Roles」頁面。
按一下「建立角色」,建立具備整合項目所需權限的自訂角色。
如果是新的自訂角色,請提供「標題」、「說明」和專屬「ID」。
將「角色發布階段」設為「正式發布」。
為建立的角色新增下列權限:
resourcemanager.organizations.setIamPolicy點選「建立」。
定義 Workload Identity 電子郵件值
如要定義要將自訂角色授予哪個身分,請完成下列步驟:
- 在 Google Cloud 控制台中,依序前往「Response」>「Playbooks」,開啟 Security Operations 控制台導覽。
- 在 Security Operations 控制台導覽中,依序前往「Response」>「Integrations Setup」。
- 在整合的「搜尋」欄位中輸入
Google Cloud Recommender。 - 按一下 「設定執行個體」。 對話方塊視窗隨即開啟。
- 將「Workload Identity Email」參數的值複製到剪貼簿。值必須採用下列格式:
username@example.com
將自訂角色指派給現有主體
將新的自訂角色授予所選主體後,該主體就能變更機構中任何使用者的權限。
前往 Google Cloud 控制台的「IAM」頁面。
在「Filter」(篩選條件) 欄位中,貼上「Workload Identity Email」(Workload Identity 電子郵件) 值,然後搜尋現有主體。
按一下「Edit principal」(編輯主體)。對話方塊視窗隨即開啟。
在「指派角色」下方的「編輯存取權」窗格中,按一下 「新增其他角色」。
選取您建立的自訂角色,然後按一下「儲存」。
啟用應對手冊
預設情況下,IAM 建議工具回應應對手冊會停用。如要使用應對手冊,請手動啟用:
- 在 Security Operations 控制台中,依序前往「Response」>「Playbooks」。
- 在劇本的「Search」(搜尋) 欄位中輸入
IAM Recommender。 - 在搜尋結果中,選取「IAM Recommender Response」劇本。
- 在劇本標題中,切換切換鈕來啟用劇本。
- 在 Playbook 標題中,按一下「儲存」。
設定自動核准流程
變更應對手冊設定是進階選用設定。
根據預設,每當劇本識別出未使用的權限,就會等待您核准或拒絕補救措施,然後再完成執行。
如要設定劇本流程,在每次發現未使用的權限時自動移除,而不需要求您核准,請完成下列步驟:
- 在 Google Cloud 控制台中,依序前往「Response」>「Playbooks」。
- 選取「IAM Recommender Response」劇本。
- 在劇本建構區塊中,選取「IAM Setup Block_1」。系統會開啟方塊設定視窗,根據預設,remediation_mode 參數會設為
Manual。 - 在 remediation_mode 參數欄位中輸入
Automatic。 - 按一下「儲存」確認新的補救模式設定。
- 在 Playbook 標題中,按一下「儲存」。
後續步驟
- 如要進一步瞭解應對手冊,請參閱 Google SecOps 說明文件。