Questo documento fornisce una guida passo passo per attivare la correzione dei bucket pubblici per i playbook dei risultati relativi alla posizione nel livello Enterprise di Security Command Center.
Panoramica
Security Command Center supporta ulteriori correzioni per le vulnerabilità nei seguenti playbook:
- Risultati relativi alla postura: generici
- Risultati della postura con Jira
- Risultati relativi alla postura con ServiceNow
Questi playbook per i risultati relativi alla posizione includono un blocco che corregge i risultati OPEN PORT,
PUBLIC IP ADDRESS e PUBLIC BUCKET ACL. Per ulteriori informazioni su questi tipi di risultati, consulta Risultati delle vulnerabilità.
I playbook sono preconfigurati per elaborare i risultati OPEN PORT e PUBLIC IP ADDRESS. Per risolvere i problemi rilevati in PUBLIC_BUCKET_ACL, devi attivare la correzione dei bucket pubblici per i playbook.
Attivare la correzione dei bucket pubblici per i playbook
Dopo che il rilevatore Security Health Analytics (SHA) ha identificato i bucket Cloud Storage accessibili pubblicamente e generato i risultati PUBLIC_BUCKET_ACL, Security Command Center Enterprise li acquisisce e vi allega i playbook. Per attivare la correzione dei bucket pubblici per i playbook dei risultati relativi alla postura, devi creare un ruolo IAM personalizzato, configurare un'autorizzazione specifica per il ruolo e concederlo a un entità esistente.
Prima di iniziare
Per risolvere il problema dell'accesso pubblico al bucket è necessaria un'istanza dell'integrazione di Cloud Storage configurata ed eseguita. Per convalidare la configurazione dell'integrazione, consulta Aggiornare il caso d'uso Enterprise.
Creare un ruolo IAM personalizzato
Per creare un ruolo IAM personalizzato e configurare un'autorizzazione specifica per questo, completa i seguenti passaggi:
Nella console Google Cloud, vai alla pagina Ruoli di IAM.
Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni richieste per l'integrazione.
Per un nuovo ruolo personalizzato, fornisci il Titolo, la Descrizione e un ID univoco.
Imposta Fase di lancio del ruolo su Disponibilità generale.
Aggiungi la seguente autorizzazione al ruolo creato:
resourcemanager.organizations.setIamPolicyFai clic su Crea.
Concedere un ruolo personalizzato a un entità esistente
Dopo aver concesso il nuovo ruolo personalizzato a un principale selezionato, quest'ultimo potrà modificare le autorizzazioni per qualsiasi utente della tua organizzazione.
Per concedere il ruolo personalizzato a un entità esistente, completa i seguenti passaggi:
Nella console Google Cloud, vai alla pagina IAM.
Nel campo Filtro, incolla il valore Workload Identity Email che utilizzi per l'integrazione di Cloud Storage e cerca il principale esistente.
Fai clic su Modifica principale. Viene visualizzata la finestra di dialogo Modifica l'accesso a "PROJECT".
In Assegna ruoli, fai clic su Aggiungi un altro ruolo.
Seleziona il ruolo personalizzato che hai creato e fai clic su Salva.