IAM 管理者は、セキュリティ分析情報ダッシュボードを使用して、Google Cloud コンソールから組織、フォルダ、またはプロジェクト全体の ID リスクを確認して管理できます。
[セキュリティ分析情報] ダッシュボードでは、次のことができます。
脆弱な人間、非人間、グループの ID を確認します。
組織、フォルダ、プロジェクトに関連付けられた ID リスクのタイプと重大度を表示します。
Google Cloudと他のサードパーティ ID プロバイダの両方について、実用的な分析情報を使用して問題の優先順位付けと修復を行います。
始める前に
ID リスクを確認して管理するために必要な権限を取得するには、ID リスクを確認して管理する組織、フォルダ、またはプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼します。
-
ID リスクを確認する: IAM Recommender 閲覧者 (
roles/recommender.iamViewer) -
推奨事項を適用または閉じる:
IAM Recommender 管理者 (
roles/recommender.iamAdmin)
ID のリスクを確認する
Google Cloud コンソールで、[IAM と管理] > [セキュリティ分析情報] ページに移動します。
ID リスクを確認する組織、フォルダ、またはプロジェクトを選択します。
[セキュリティ分析情報] ダッシュボードには、選択したリソースの次のウィジェットが表示されます。
認証のリスクの概要: 1 つ以上のロール バインディングを持つ ID の合計数、人間、非人間、グループ ID 全体でのリスクの高い ID の合計数、それぞれの重大度レベルが表示されます。
ID の合計数は、選択したリソースに適用されている許可ポリシーの一意の ID の合計数です。この数には、選択したリソースの子リソースに適用されている許可ポリシーの ID は含まれません。たとえば、選択したリソースが組織の場合、個々のフォルダまたはプロジェクトに適用されている許可ポリシーの ID は含まれません。
検出結果のカテゴリ別のリスク:
Unused IAM roleやIAM role has excessive permissionsなどのカテゴリに基づいてリストされたリスクの高い ID が表示されます。[検出結果のカテゴリ別のリスク] ウィジェットの検出結果の合計数は、他のウィジェットの分析情報の数と異なる場合があります。この違いは、同じリソースに対する同じ重大度の複数の分析情報が、他のウィジェットでは 1 つの検出結果にグループ化されるために発生します。
リスクの高い上位グループ: 最も過剰な権限を持つグループが表示されます。
リスクの高い人間の上位 ID: 過剰な権限が最も高い人間の ID を表示します。
リスクの高い非人間の上位 ID: 過剰な権限が最も多い非人間の ID を表示します。
アクティブな IAM の推奨事項の推移: 指定した期間のアクティブなロールの推奨事項を表示します。
ID リスクを管理する
分析情報と推奨事項を表示して、ID に関連付けられているリスクを管理できます。
ID リスクを管理するには、ダッシュボードの任意のウィジェットで次の操作を行います。
リスクの高い ID の場合は、[分析情報] 列の分析情報の数をクリックします。
[分析情報] ペインで、タイプ別に分析情報をフィルタするには、リストから必要なタイプを選択します。
分析情報に推奨事項があるかどうかによって、詳細を表示するか、推奨事項を表示するかが異なります。
推奨事項のない分析情報の場合は、[詳細を表示] をクリックします。
[権限] ペインには、分析情報の詳細が表示されます。
推奨事項を含む分析情報の場合は、[推奨事項を表示] をクリックします。
[推奨事項] ペインには、推奨されるロールの削除または置き換えに関する詳細が表示されます。
推奨事項を適用または非表示にするには、[適用] または [非表示] をクリックします。
アクセス権の変更がシステム全体に反映されるまでには時間がかかります。アクセス権の変更が伝播されるまでの時間については、アクセス権の変更の伝播をご覧ください。
次のステップ
- ID とアクセスの検出結果を調査する方法を確認する。
- ロールの推奨事項について確認する。