IAM-Empfehlungen mithilfe von Playbooks automatisieren

In diesem Dokument wird erläutert, wie Sie das Playbook IAM Recommender-Antwort aktivieren in Security Command Center Enterprise, um die zu viele Berechtigungen nicht erforderliche Berechtigungen automatisch und sicher entfernt.

Die Playbook-Funktionalität IAM Recommender-Antwort basiert auf Google Security Operations

Übersicht

Der IAM-Recommender bietet Ihnen Sicherheitsinformationen, die zu bewerten, wie Ihre Hauptkonten Ressourcen nutzen, und empfiehlt Ihnen, Maßnahmen die gefundene Erkenntnis. Wenn beispielsweise eine Berechtigung nicht für in den letzten 90 Tagen, hebt der IAM-Recommender dies als überflüssige und empfiehlt, es auf sichere Weise zu entfernen.

Im Playbook IAM Recommender-Antwort wird der IAM-Recommender verwendet um Ihre Umgebung nach Arbeitslastidentitäten zu scannen, die überflüssige oder die Identitätsübernahme von Dienstkonten. Statt das Überprüfungs- und Antragsverfahren Empfehlungen in Identity and Access Management manuell aktivieren möchten, aktivieren Sie das Playbook so, dass dies automatisch im Security Operations Console.

Vorbereitung

Bevor Sie das Playbook IAM Recommender-Antwort aktivieren, führen Sie die folgenden Schritte aus: erforderlichen Schritte:

  1. Benutzerdefinierte IAM-Rolle erstellen und eine bestimmte Berechtigung konfigurieren dafür.
  2. Definieren Sie den Wert für Workload Identity Email.
  3. Gewähren Sie die erstellte benutzerdefinierte Rolle einem vorhandenen Hauptkonto.

Benutzerdefinierte IAM-Rolle erstellen

  1. Rufen Sie in der Google Cloud Console die Seite IAM-Rollen auf.

    Zur Seite „IAM-Rollen“

  2. Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit Berechtigungen zu erstellen, die für für die Integration.

  3. Geben Sie für eine neue benutzerdefinierte Rolle den Titel und die Beschreibung und einen eindeutigen ID:

  4. Setzen Sie die Einführungsphase der Rolle auf Allgemeine Verfügbarkeit.

  5. Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:

    resourcemanager.organizations.setIamPolicy

  6. Klicken Sie auf Erstellen.

Workload Identity-E-Mail-Wert definieren

Legen Sie fest, welche Identität dem benutzerdefinierten zu erhalten, führen Sie die folgenden Schritte aus:

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Integrationen Einrichtung:
  2. Geben Sie im Integrationsfeld Search den Text Google Cloud Recommender ein.
  3. Klicken Sie auf Instanz konfigurieren. Das Dialogfeld wird geöffnet.
  4. Kopieren Sie den Wert des Parameters Workload Identity Email in den Zwischenablage öffnen. Der Wert muss das folgende Format haben: username@example.com

Benutzerdefinierte Rolle einem vorhandenen Hauptkonto zuweisen

Nachdem Sie einem ausgewählten Hauptkonto Ihre neue benutzerdefinierte Rolle zugewiesen haben, kann es geändert werden Berechtigungen für jeden Nutzer in Ihrer Organisation.

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Fügen Sie in das Feld Filter den Wert von Workload Identity Email ein und suchen Sie nach dem vorhandenen Hauptkonto.

  3. Klicken Sie auf Hauptkonto bearbeiten. Die wird geöffnet.

  4. Klicken Sie im Bereich Bearbeitungszugriff unter Rollen zuweisen auf: Weitere Rolle hinzufügen.

  5. Wählen Sie die erstellte benutzerdefinierte Rolle aus und klicken Sie auf Speichern.

Playbook aktivieren

Das Playbook IAM Recommender-Antwort ist standardmäßig deaktiviert. So verwenden Sie den Playbook, aktivieren Sie es manuell:

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
  2. Geben Sie IAM Recommender in das Playbook-Feld Suchen ein.
  3. Wählen Sie im Suchergebnis das Playbook IAM Recommender-Antwort aus.
  4. Stellen Sie im Playbook-Header die Ein/Aus-Schaltfläche auf Playbook aktivieren.
  5. Klicken Sie im Playbook-Header auf Speichern.

Automatischen Genehmigungsablauf konfigurieren

Das Ändern der Playbook-Einstellungen ist eine erweiterte und optionale Konfiguration.

Jedes Mal, wenn das Playbook nicht verwendete Berechtigungen identifiziert, wartet es standardmäßig auf um die Abhilfe zu genehmigen oder abzulehnen.

Um den Playbook-Ablauf so zu konfigurieren, dass nicht verwendete ohne Ihre Genehmigung zu erhalten, müssen Sie die Berechtigungen führen Sie die folgenden Schritte aus:

  1. Gehen Sie in der Security Operations-Konsole zu Antwort > Playbooks.
  2. Wählen Sie das Playbook IAM Recommender-Antwort aus.
  3. Wählen Sie in den Playbook-Bausteinen IAM-Einrichtungsblock_1 aus. Der Block wird das Konfigurationsfenster geöffnet. Standardmäßig hat der Parameter remediation_mode ist auf Manual festgelegt.
  4. Geben Sie im Parameterfeld remediation_mode den Wert Automatic ein.
  5. Klicken Sie auf Speichern, um die neuen Einstellungen für den Abhilfemodus zu bestätigen.
  6. Klicken Sie im Playbook-Header auf Speichern.

Nächste Schritte

  • Weitere Informationen zu Playbooks in Google SecOps Dokumentation.