IAM-Empfehlungen mit Playbooks automatisieren

In diesem Dokument wird erläutert, wie Sie das Playbook IAM Recommender Response in Security Command Center Enterprise aktivieren, um Identitäten mit zu vielen Berechtigungen zu identifizieren und die überschüssigen Berechtigungen automatisch und sicher zu entfernen.

Übersicht

Der IAM-Recommender bietet Ihnen Sicherheitsinformationen, mit denen Sie beurteilen können, wie Ihre Prinzipale Ressourcen verwenden. Außerdem empfiehlt er Ihnen, Maßnahmen in Bezug auf die gefundenen Informationen zu ergreifen. Wenn eine Berechtigung beispielsweise in den letzten 90 Tagen nicht verwendet wurde, wird sie vom IAM-Recommender als überschüssige Berechtigung hervorgehoben und Sie werden aufgefordert, sie sicher zu entfernen.

Das Playbook IAM Recommender Response verwendet den IAM-Recommender, um Ihre Umgebung nach Arbeitslastidentitäten zu durchsuchen, die über überschüssige Berechtigungen oder Dienstkonto-Identitätsübernahmen verfügen. Anstatt Empfehlungen in Identity and Access Management manuell zu prüfen und anzuwenden, können Sie das Playbook aktivieren, um dies automatisch in Security Command Center zu tun.

Vorbereitung

Führen Sie vor der Aktivierung des Playbooks IAM Recommender Response die folgenden Schritte aus:

  1. Erstellen Sie eine benutzerdefinierte IAM-Rolle und konfigurieren Sie eine bestimmte Berechtigung dafür.
  2. Definieren Sie den Wert für Workload Identity Email.
  3. Weisen Sie die erstellte benutzerdefinierte Rolle einem vorhandenen Prinzipal zu.

Benutzerdefinierte IAM-Rolle erstellen

  1. Rufen Sie in der Google Cloud Console die Seite IAM-Rollen auf.

    IAM-Rollen aufrufen

  2. Klicken Sie auf Rolle erstellen , um eine benutzerdefinierte Rolle mit den erforderlichen Berechtigungen für die Integration zu erstellen.

  3. Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.

  4. Legen Sie die Phase der Rollenerstellung auf Allgemeine Verfügbarkeit fest.

  5. Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:

    resourcemanager.organizations.setIamPolicy

  6. Klicken Sie auf Erstellen.

Wert für „Workload Identity Email“ definieren

So definieren Sie, welcher Identität die benutzerdefinierte Rolle zugewiesen werden soll:

  1. Rufen Sie in der Google Cloud Console Antwort > Playbooks auf, um die Navigation der Security Operations Console zu öffnen.
  2. Rufen Sie in der Navigation der Security Operations Console Antwort > Einrichtung der Integrationen auf.
  3. Geben Sie im Feld Suchen der Integration Google Cloud Recommender ein.
  4. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  5. Kopieren Sie den Wert des Parameters Workload Identity Email in die Zwischenablage. Der Wert muss das folgende Format haben: username@example.com

Benutzerdefinierte Rolle einem vorhandenen Prinzipal zuweisen

Nachdem Sie einem ausgewählten Prinzipal Ihre neue benutzerdefinierte Rolle zugewiesen haben, kann dieser die Berechtigungen für jeden Nutzer in Ihrer Organisation ändern.

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Fügen Sie im Feld Filter den Wert für Workload Identity Email ein und suchen Sie nach dem vorhandenen Prinzipal.

  3. Klicken Sie auf Prinzipal bearbeiten. Das Dialogfeld wird geöffnet.

  4. Klicken Sie im Bereich Bearbeitungszugriff unter Rollen zuweisen auf Weitere Rolle hinzufügen.

  5. Wählen Sie die erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.

Playbook aktivieren

Das Playbook IAM Recommender Response ist standardmäßig deaktiviert. Wenn Sie das Playbook verwenden möchten, müssen Sie es manuell aktivieren:

  1. Rufen Sie in der Security Operations Console Antwort > Playbooks auf.
  2. Geben Sie im Feld Suchen des Playbooks IAM Recommender ein.
  3. Wählen Sie in den Suchergebnissen das Playbook IAM Recommender Response aus.
  4. Stellen Sie im Playbook-Header den Schieberegler auf Playbook aktivieren.
  5. Klicken Sie im Playbook-Header auf Speichern.

Automatischen Genehmigungsablauf konfigurieren

Das Ändern der Playbook-Einstellungen ist eine erweiterte und optionale Konfiguration.

Standardmäßig wartet das Playbook jedes Mal, wenn es nicht verwendete Berechtigungen identifiziert, auf Ihre Genehmigung oder Ablehnung der Abhilfemaßnahme, bevor es die Ausführung abschließt.

So konfigurieren Sie den Playbook-Ablauf, dass nicht verwendete Berechtigungen automatisch entfernt werden, ohne dass Sie um Ihre Genehmigung gebeten werden:

  1. Rufen Sie in der Google Cloud Console Antwort > Playbooks auf.
  2. Wählen Sie das Playbook IAM Recommender Response aus.
  3. Wählen Sie in den Playbook-Bausteinen den Block IAM Setup Block_1 aus. Das Fenster zur Blockkonfiguration wird geöffnet. Standardmäßig ist der Parameter remediation_mode auf Manual gesetzt.
  4. Geben Sie im Feld für den Parameter remediation_mode Automatic ein.
  5. Klicken Sie auf Speichern , um die neuen Einstellungen für den Abhilfemodus zu bestätigen.
  6. Klicken Sie im Playbook-Header auf Speichern.

Nächste Schritte

  • Weitere Informationen zu Playbooks finden Sie in der Google SecOps Dokumentation.