Habilitar la corrección de bucket públicos

En este documento, se proporciona una guía paso a paso para habilitar la remediación de bucket público para los libros de jugadas de resultados de postura en el nivel empresarial de Security Command Center.

Descripción general

Security Command Center admite soluciones adicionales para las vulnerabilidades en las siguientes guías:

  • Hallazgos de la postura: genéricos
  • Resultados de la postura con Jira
  • Resultados de la postura con ServiceNow

Estas guías para los hallazgos de posturas incluyen un bloque que corrige el OPEN PORT, Resultados de PUBLIC IP ADDRESS y PUBLIC BUCKET ACL. Más información sobre estos tipos de hallazgos, consulta Vulnerabilidad de análisis de datos.

Las guías se preconfiguran para procesar los hallazgos de OPEN PORT y PUBLIC IP ADDRESS. Para corregir los hallazgos de PUBLIC_BUCKET_ACL, debes habilitar la corrección de buckets públicos para las guías.

Habilitar la corrección de bucket públicos para las guías

Después de que el detector de Security Health Analytics (SHA) identifica buckets Cloud Storage que sean de acceso público y que generen la PUBLIC_BUCKET_ACL hallazgos, Security Command Center Enterprise los transfiere y les adjunta guías. Para habilitar la corrección de bucket públicos de seguridad, debes crear un rol de IAM personalizado, configurar un permiso específico para ello y otorgar el rol personalizado que crear en una principal existente.

Antes de comenzar

Se requiere una instancia configurada y en ejecución de la integración de Cloud Storage para corregir el acceso público al bucket. Para validar la configuración de integración, consulta Cómo actualizar el caso de uso de Enterprise.

Crea un rol de IAM personalizado

Para crear un rol de IAM personalizado y configurar un permiso específico para ello, completa los siguientes pasos:

  1. En la consola de Google Cloud, ve a la página Roles de IAM.

    Ir a Funciones de IAM

  2. Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.

  3. Para un rol personalizado nuevo, proporciona el título, la descripción y una dirección ID.

  4. Establece la Etapa de lanzamiento de la función en Disponibilidad general.

  5. Agrega el siguiente permiso a la función creada:

    resourcemanager.organizations.setIamPolicy

  6. Haz clic en Crear.

Otorgar un rol personalizado a una principal existente

Después de otorgar tu nuevo rol personalizado a una principal seleccionada, esta podrá cambiar permisos para cualquier usuario de tu organización.

Para otorgar el rol personalizado a una principal existente, completa los siguientes pasos:

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. En el campo Filtro, pega el valor de Correo electrónico de identidades para cargas de trabajo que que uses para la integración de Cloud Storage y buscarás principal existente.

  3. Haz clic en Editar principal. El Diálogo Acceso de edición a “PROJECT se abre.

  4. En Asignar roles, haz clic en . Agrega otro rol.

  5. Selecciona el rol personalizado que creaste y haz clic en Guardar.