Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ID リスクの確認と管理

IAM 管理者は、[セキュリティ分析情報] ダッシュボードを使用して、Google Cloud コンソールから組織、フォルダ、またはプロジェクト全体の ID リスクを確認して管理できます。

[セキュリティ分析情報] ダッシュボードでは、次のことが可能です。

人間、非人間、グループの脆弱な ID に関連するリスクを確認します。
組織、フォルダ、プロジェクトに関連付けられた ID リスクのタイプと重大度を表示します。
Google Cloudと他のサードパーティ ID プロバイダの両方について、行動につながるインサイトを使用してリスクの優先順位付けと修復を行います。

始める前に

ID リスクを確認して管理するために必要な権限を取得するには、ID リスクを確認して管理する組織、フォルダ、またはプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼します。

ID リスクを確認する: IAM Recommender 閲覧者（roles/recommender.iamViewer）
推奨事項を適用または閉じる: IAM Recommender 管理者（roles/recommender.iamAdmin）

ID のリスクを確認する

Google Cloud コンソールで、[IAM と管理] > [セキュリティ分析情報] ページに移動します。

[セキュリティ分析情報] に移動
ID リスクを確認する組織、フォルダ、またはプロジェクトを選択します。

[セキュリティ分析情報] ダッシュボードには、選択したリソースの次のウィジェットが表示されます。
- ID リスクの概要: ロールバインディングを持つ ID の合計数、リスクの高い人間、非人間、グループ ID の合計数、それらの重要度レベルが表示されます。
  
  ID の合計数は、選択したリソースに適用されている許可ポリシーの一意の ID の合計です。この数には、選択したリソースの子リソースに適用されている許可ポリシーの ID は含まれません。たとえば、選択したリソースが組織の場合、個々のフォルダまたはプロジェクトに適用されている許可ポリシーの ID は含まれません。
  
  注: ID に高リスクと低リスクの両方の推奨事項がある場合、その ID は高リスクの ID として分類されます。
- 検出結果のカテゴリ別のリスク: Unused IAM role や IAM role has excessive permissions などのカテゴリに基づいて、リスクの高い ID を一覧表示します。
  
  [検出結果のカテゴリ別のリスク] ウィジェットの検出結果の合計数は、他のウィジェットの分析情報の数と異なる場合があります。この違いは、同じリソースに対する同じ重大度の複数の分析情報が、他のウィジェットでは 1 つの検出結果にグループ化されるために発生します。
  
  注: 検出結果の詳細は、Security Command Center の検出結果ページに表示されます。カテゴリの検出結果を確認するには、同じ行の検出結果の数値をクリックします。ID とアクセスに関するすべての検出結果を確認するには、[すべての検出結果を表示] をクリックします。
- リスクの高い上位グループ: 過剰な権限が最も多いグループが表示されます。
- リスクの高い人間の上位 ID: 過剰な権限が最も高い人間の ID を表示します。
- リスクの高い非人間の上位 ID: 最も過剰な権限を持つ非人間の ID を表示します。
- アクティブな IAM の推奨事項の推移: 指定した期間のアクティブなロールの推奨事項が表示されます。

ID リスクを管理する

分析情報と推奨事項を表示して、ID に関連付けられているリスクを管理できます。

ID リスクを管理するには、ダッシュボードの任意のウィジェットで次の操作を行います。

リスクの高い ID の場合は、[分析情報] 列の分析情報の数をクリックします。
[分析情報] ペインで、タイプ別に分析情報をフィルタするには、リストから必要なタイプを選択します。
分析情報に推奨事項があるかどうかによって、詳細を表示するか、推奨事項を表示するかが異なります。
- 推奨事項のない分析情報の場合は、[詳細を表示] をクリックします。
  
  [権限] ペインには、分析情報の詳細が表示されます。
- 推奨事項を含む分析情報の場合は、[推奨事項を表示] をクリックします。
  
  [推奨事項] ペインには、推奨されるロールの削除または置き換えに関する詳細が表示されます。
  
  過剰な権限を持つグループプリンシパルに対してのみ、Privileged Access Manager を使用して、永続的なアクセス権を一時的なオンデマンドアクセス権（プレビュー）に置き換えることができます。グループのメンバーがロールの権限に永続的にアクセスする必要はないが、将来予期しない理由でアクセスが必要になる可能性がある場合は、永続的なアクセス権を削除し、Privileged Access Manager を使用して、必要なときに一時的なアクセス権をリクエストできるようにします。Privileged Access Manager を使用して過剰な権限を修復する方法については、Privileged Access Manager を使用して過剰な権限を修復するをご覧ください。
推奨事項を適用または非表示にするには、[適用] または [非表示] をクリックします。

アクセス権の変更がシステム全体に反映されるまでには時間がかかります。アクセス権の変更が伝播されるまでの時間については、アクセス権の変更の伝播をご覧ください。

注: 変更内容が Security Command Center の [検出結果] ページに表示されるまでに、最長で 24 時間ほどかかることがあります。

次のステップ

ID とアクセスの検出結果を調査する方法を確認する。
ロールの推奨事項について確認する。