IAM Recommender がプリンシパルに過剰な権限があることを特定した場合は、プリンシパルの永続ロール バインディングを Privileged Access Manager(PAM)の一時的なオンデマンド利用資格に移行することで、検出結果を修正できます。
このアプローチにより、最小権限のポスチャーを実現できます。また、頻繁には使用されないが重要なタスクに必要なアクセス権を誤って取り消してしまうリスクも回避できます。
始める前に
- ロールが付与されているリソース(プロジェクト、フォルダ、組織)で Privileged Access Manager がオンボーディングされ、有効になっていることを確認します。
- このガイドを完了するために必要な権限があることを確認します。
必要なロールと権限
このガイドのタスクを実行するために必要な権限を取得するには、 Google Cloud プロジェクトに対して次の IAM ロールを付与するよう管理者に依頼してください。
-
ロールの推奨事項を表示するには:
- Recommender IAM 管理者 (
roles/recommender.iamAdmin) - Recommender IAM 閲覧者 (
roles/recommender.iamViewer)
- Recommender IAM 管理者 (
-
Privileged Access Manager(PAM)の利用資格を作成するには:
- Privileged Access Manager 管理者 (
roles/privilegedaccessmanager.admin) - プロジェクト IAM 管理者 (
roles/resourcemanager.projectIamAdmin)
- Privileged Access Manager 管理者 (
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、このガイドのタスクを完了するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
このガイドのタスクを完了するには、次の権限が必要です。
-
ロールの推奨事項を表示するには:
-
recommender.iamPolicyInsights.list -
recommender.iamPolicyRecommendations.list -
resourcemanager.projects.get
-
-
PAM 利用資格を作成するには:
-
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.locations.get -
resourcemanager.projects.get -
resourcemanager.projects.setIamPolicy
-
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
ロールを Privileged Access Manager の利用資格に移行する
ロールを Privileged Access Manager の利用資格に移行すると、IAM Recommender は Privileged Access Manager と連携して利用資格を作成し、元の永続ロール バインディングを削除します。この操作は、 Google Cloud コンソールの [セキュリティ分析情報] ページまたは [IAM] ページから行うことができます。
セキュリティ インサイト
[セキュリティ分析情報] ページからロールを移行する手順は次のとおりです。
Google Cloud コンソールで、[IAM と管理] > [セキュリティ分析情報] ページに移動します。
[過剰な権限を持つ上位グループ] ウィジェットを見つけます。
権限を修正するグループの [分析情報] 列で、対応するリンクをクリックします。
対処する分析情報の種類で、[推奨事項を表示] をクリックします。
[概要] ページで、[ロールを削除し、ロールにオンデマンドのアクセス権を付与する] を選択します。
必要なロールを持つ利用資格を作成するには、必要な詳細情報を入力して [適用] をクリックします。フォームの [ロール] フィールドと [リソース] フィールドは、推奨事項に基づいて事前入力されます。[期間] のデフォルトは 8 時間です。詳細な手順については、利用資格を作成するをご覧ください。
Privileged Access Manager は、構成に基づいて新しい利用資格を作成し、リソースの許可ポリシーから永続的なロール バインディングを削除します。
アクセス権の変更が有効になるまで 1 ~ 2 分かかります。
IAM
[IAM] ページでロールを移行するには、次の操作を行います。
Google Cloud コンソールで、[IAM] ページに移動します。
プリンシパルのリストで、権限を修復するグループを見つけます。
そのグループ プリンシパルの推奨事項を表示するには、[セキュリティ分析情報] 列の分析情報をクリックします。
[概要] ページで、[ロールを削除し、ロールにオンデマンドのアクセス権を付与する] を選択します。
必要なロールを持つ利用資格を作成するには、必要な詳細情報を入力して [適用] をクリックします。フォームの [ロール] フィールドと [リソース] フィールドは、推奨事項に基づいて事前入力されます。[期間] のデフォルトは 8 時間です。詳細な手順については、利用資格を作成するをご覧ください。
Privileged Access Manager は、構成に基づいて新しい利用資格を作成し、リソースの許可ポリシーから永続的なロール バインディングを削除します。
アクセス権の変更が有効になるまで 1 ~ 2 分かかります。
推奨事項を元に戻す
推奨事項を元に戻すには、推奨事項を元に戻すをご覧ください。
レコメンデーションを元に戻すと、システムは元の IAM バインディングを復元し、作成された Privileged Access Manager 利用資格を削除します。