Consigliamo le seguenti best practice per la gestione dei suggerimenti sui ruoli.
Per saperne di più sui suggerimenti sui ruoli, consulta la panoramica dei suggerimenti sui ruoli.
Inizia a utilizzare i consigli
Le seguenti best practice possono aiutarti a iniziare a utilizzare i suggerimenti sui ruoli.
Inizia con una pulizia iniziale delle autorizzazioni concesse in eccesso. Inizialmente, potresti visualizzare un numero molto elevato di consigli, soprattutto se molte entità hanno ruoli molto permissivi come Editor. Dedica del tempo a risolvere tutti i suggerimenti nel tuo progetto o nella tua organizzazione per assicurarti che tutti i tuoi principal dispongano dei ruoli appropriati.
Quando esegui questa pulizia iniziale, dai la priorità ai seguenti tipi di consigli:
Consigli che riducono le autorizzazioni per i service account. Per impostazione predefinita, a tutti gli account di servizio predefiniti viene concesso il ruolo Editor altamente permissivo sui progetti. Anche ad altri service account che gestisci potrebbero essere stati concessi ruoli con autorizzazioni elevate. Tutte le autorizzazioni concesse in eccesso aumentano il rischio per la sicurezza, inclusi i service account con privilegi eccessivi, pertanto ti consigliamo di dare la priorità a questi ultimi durante la pulizia iniziale.
Consigli che aiutano a prevenire l'escalation dei privilegi. I ruoli che consentono alle entità di agire come un account di servizio (
iam.serviceAccounts.actAs) o di ottenere o impostare il criterio di autorizzazione per una risorsa possono potenzialmente consentire a un'entità di aumentare il proprio privilegio. Dai la priorità ai consigli relativi a questi ruoli.Consigli che riducono il movimento laterale. Il movimento laterale si verifica quando un account di servizio in un progetto è autorizzato a simulare l'identità di un service account in un altro progetto. Questa autorizzazione può comportare una catena di simulazioni dell'identità tra progetti che concede alle entità l'accesso involontario alle risorse. Per mitigare questo accesso non intenzionale, dai la priorità ai suggerimenti associati agli insight sul movimento laterale.
Suggerimenti con un livello di priorità elevato. I consigli IAM vengono assegnati automaticamente ai livelli di priorità in base ai binding dei ruoli a cui sono associati. Dai la priorità ai suggerimenti con un livello di priorità elevato per ridurre rapidamente le autorizzazioni concesse in eccesso.
Per scoprire come viene determinata la priorità di un suggerimento, consulta Priorità dei suggerimenti.
Quando trovi un'entità con privilegi eccessivi in un progetto, controlla altri progetti per i consigli che la riguardano. Se a un'entità è stato concesso un ruolo eccessivamente permissivo in un progetto, è possibile che le siano stati concessi ruoli eccessivamente permissivi anche in altri progetti. Esamina i consigli per l'entità di sicurezza in più progetti per ridurre a livello globale l'accesso dell'entità di sicurezza al livello appropriato.
Dopo la pulizia iniziale, controlla regolarmente i consigli. Ti consigliamo di controllare i consigli almeno una volta alla settimana. Questo controllo di solito richiede molto meno tempo rispetto alla pulizia iniziale, perché dovrai solo occuparti dei consigli per le modifiche apportate dall'ultima pulizia o controllo.
Il controllo regolare delle autorizzazioni riduce il lavoro richiesto per ogni controllo e può aiutarti a identificare e rimuovere in modo proattivo gli utenti inattivi, nonché a continuare a ridurre le autorizzazioni per gli utenti attivi.
Best practice per lavorare con i consigli
Se utilizzi l'API Recommender o i
comandi recommender per gcloud CLI per
gestire i suggerimenti, assicurati di aggiornare lo stato dei suggerimenti che
applichi. In questo modo puoi tenere traccia dei consigli e assicurarti che le modifiche apportate vengano visualizzate nei log dei consigli.
Prima di applicare un consiglio, esaminalo attentamente e assicurati di capire quando è stato aggiornato l'ultima volta e in che modo cambierà l'accesso del principal alle risorse. Google Cloud
Best practice per l'applicazione automatica dei consigli
Per gestire i consigli in modo più efficiente, ti consigliamo di automatizzare la procedura di applicazione. Se decidi di utilizzare l'automazione, tieni presente i seguenti punti.
Il motore per suggerimenti tenta di fornire consigli che non causino modifiche sostanziali all'accesso. Ad esempio, non consiglieremo mai un ruolo che esclude le autorizzazioni che un principal ha utilizzato, passivamente o attivamente, negli ultimi 90 giorni. Utilizziamo anche il machine learning per identificare altre autorizzazioni di cui l'utente potrebbe aver bisogno.
Tuttavia, non possiamo garantire che i nostri consigli non causino mai modifiche all'accesso: è possibile che l'applicazione di un consiglio impedisca a un principal di accedere a una risorsa di cui ha bisogno. Ti consigliamo di esaminare come funziona IAM Recommender e di decidere il livello di automazione che preferisci. Ad esempio, potresti decidere di applicare automaticamente la maggior parte dei consigli, ma richiedere una revisione manuale per i consigli che aggiungono o rimuovono un determinato numero di autorizzazioni o che comportano la concessione o la revoca di un ruolo specifico.
Quando automatizzi i consigli, potresti voler identificare la risorsa a cui si riferisce un consiglio. Per identificare la risorsa, utilizza il campo operation.resource. Altri campi, come il campo name, non rappresenteranno sempre la risorsa a cui si riferisce il consiglio.
Passaggi successivi
- Informazioni sui suggerimenti sui ruoli.
- Scopri i passaggi per esaminare e applicare i consigli.
- Scopri come esportare i dati per i suggerimenti IAM.