Ce document fournit un guide par étapes pour activer la réparation du bucket public pour les playbooks de résultats d'évaluation de la posture dans le niveau Enterprise de Security Command Center.
Présentation
Security Command Center propose des solutions supplémentaires pour les failles des playbooks suivants:
- Observations sur la posture - Générique
- Résultats de la recherche de stratégies avec Jira
- Résultats de l'évaluation de la posture avec ServiceNow
Ces playbooks de résultats d'état incluent un bloc qui corrige les résultats OPEN PORT, PUBLIC IP ADDRESS et PUBLIC BUCKET ACL. Pour en savoir plus sur ces types de résultats, consultez la section Résultats concernant les failles.
Les playbooks sont préconfigurés pour traiter les résultats OPEN PORT et PUBLIC IP ADDRESS. Pour corriger les résultats PUBLIC_BUCKET_ACL, vous devez activer la correction des buckets publics pour les playbooks.
Activer la correction des buckets publics pour les playbooks
Une fois que le détecteur Security Health Analytics (SHA) a identifié les buckets Cloud Storage accessibles au public et généré les résultats PUBLIC_BUCKET_ACL, Security Command Center Enterprise les ingère et y associe des playbooks. Pour activer la correction des buckets publics pour les playbooks de résultats de la posture, vous devez créer un rôle IAM personnalisé, configurer une autorisation spécifique pour celui-ci et accorder le rôle personnalisé que vous avez créé à un principal existant.
Avant de commencer
Une instance configurée et en cours d'exécution de l'intégration Cloud Storage est requise pour corriger l'accès au bucket public. Pour valider la configuration de l'intégration, consultez la section Mettre à jour le cas d'utilisation Enterprise.
Créer un rôle IAM personnalisé
Pour créer un rôle IAM personnalisé et configurer une autorisation spécifique pour celui-ci, procédez comme suit:
Dans la console Google Cloud, accédez à la page Rôles d'IAM.
Cliquez sur Créer un rôle pour créer un rôle personnalisé avec les autorisations requises pour l'intégration.
Pour un nouveau rôle personnalisé, indiquez le titre, la description et un ID unique.
Définissez l'étape de lancement du rôle sur Disponibilité générale.
Ajoutez l'autorisation suivante au rôle créé:
resourcemanager.organizations.setIamPolicyCliquez sur Créer.
Attribuer un rôle personnalisé à un principal existant
Une fois que vous avez attribué votre nouveau rôle personnalisé à un compte principal sélectionné, celui-ci peut modifier les autorisations de n'importe quel utilisateur de votre organisation.
Pour attribuer le rôle personnalisé à un compte principal existant, procédez comme suit:
Dans la console Google Cloud, accédez à la page IAM.
Dans le champ Filtre, collez la valeur Workload Identity Email que vous utilisez pour l'intégration Cloud Storage, puis recherchez le principal existant.
Cliquez sur Modifier le compte principal. La boîte de dialogue Modifier l'accès à "PROJECT" s'ouvre.
Sous Attribuer des rôles, cliquez sur Ajouter un autre rôle.
Sélectionnez le rôle personnalisé que vous avez créé, puis cliquez sur Enregistrer.