Automatiza las recomendaciones de IAM con guías

En este documento, se explica cómo habilitar la guía Respuesta del recomendador de IAM en Security Command Center Enterprise para identificar las identidades con exceso de permisos y quitar automáticamente y de forma segura los permisos excedentes.

Descripción general

El recomendador de IAM te proporciona estadísticas de seguridad que evalúan cómo tus principales usan los recursos y te recomienda que realices una acción sobre la estadística encontrada. Por ejemplo, cuando no se usó un permiso durante los últimos 90 días, el recomendador de IAM lo destaca como un permiso excedente y te recomienda que lo quites de forma segura.

La guía Respuesta del recomendador de IAM usa el recomendador de IAM para analizar tu entorno en busca de las identidades de cargas de trabajo que poseen permisos excedentes o suplantaciones de cuentas de servicio. En lugar de revisar y aplicar recomendaciones de forma manual en Identity and Access Management, habilita la guía para que lo haga automáticamente en Security Command Center.

Requisitos previos

Antes de activar la guía Respuesta del recomendador de IAM, completa los siguientes pasos de requisitos previos:

  1. Crea un rol de IAM personalizado y configura un permiso específico para él.
  2. Define el valor de Workload Identity Email.
  3. Otorga el rol personalizado que creaste a una principal existente.

Crea un rol de IAM personalizado

  1. En la Google Cloud consola de, ve a la página Roles de IAM.

    Ir a Roles de IAM

  2. Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.

  3. Para un rol personalizado nuevo, proporciona el Título, la Descripción y un ID único.

  4. Establece la Etapa de lanzamiento del rol en Disponibilidad general.

  5. Agrega el siguiente permiso al rol creado:

    resourcemanager.organizations.setIamPolicy

  6. Haz clic en Crear.

Define el valor de Workload Identity Email

Para definir a qué identidad otorgar el rol personalizado, completa los siguientes pasos:

  1. En la Google Cloud consola de, ve a Respuesta > Guías para abrir la navegación de la consola de operaciones de seguridad.
  2. En la navegación de la consola de operaciones de seguridad, ve a Respuesta > Configuración de integraciones.
  3. En el campo Buscar de la integración, escribe Google Cloud Recommender.
  4. Haz clic en Configurar instancia. Se abrirá la ventana del cuadro de diálogo.
  5. Copia el valor del parámetro Workload Identity Email en tu portapapeles. El valor debe tener el siguiente formato: username@example.com.

Otorga un rol personalizado a una principal existente

Después de otorgar tu nuevo rol personalizado a una principal seleccionada, esta podrá cambiar los permisos de cualquier usuario de tu organización.

  1. En la Google Cloud consola de, accede a la página IAM.

    Ir a IAM

  2. En el campo Filtro, pega el valor de Workload Identity Email y busca la principal existente.

  3. Haz clic en Editar principal. Se abrirá la ventana del cuadro de diálogo.

  4. En el panel Acceso de edición , en Asignar roles , haz clic en Agregar otra función.

  5. Selecciona el rol personalizado que creaste y haz clic en Guardar.

Habilita la guía

De forma predeterminada, la guía Respuesta del recomendador de IAM está inhabilitada. Para usar la guía, habilítala de forma manual:

  1. En la consola de operaciones de seguridad, ve a Respuesta > Guías.
  2. En el campo Buscar de la guía, ingresa IAM Recommender.
  3. En el resultado de la búsqueda, selecciona la guía Respuesta del recomendador de IAM.
  4. En el encabezado de la guía, cambia el botón de activación para habilitar la guía.
  5. En el encabezado de la guía, haz clic en Guardar.

Configura el flujo de aprobación automática

Cambiar la configuración de la guía es una configuración avanzada y opcional.

De forma predeterminada, cada vez que la guía identifica permisos sin usar, espera a que apruebes o rechaces la solución antes de completar la ejecución.

Para configurar el flujo de la guía para quitar automáticamente los permisos sin usar cada vez que se encuentran sin solicitar tu aprobación, completa los siguientes pasos:

  1. En la Google Cloud consola de, ve a Respuesta > Guías.
  2. Selecciona la guía Respuesta del recomendador de IAM.
  3. En los bloques de construcción de la guía, selecciona el IAM Setup Block_1. Se abrirá la ventana de configuración del bloque. De forma predeterminada, el parámetro remediation_mode se establece en Manual.
  4. En el campo del parámetro remediation_mode, ingresa Automatic.
  5. Haz clic en Guardar para confirmar la nueva configuración del modo de solución.
  6. En el encabezado de la guía, haz clic en Guardar.

Próximos pasos

  • Obtén más información sobre las guías en la documentación de Google SecOps.