IAM 管理者は、 組織、フォルダ、またはプロジェクト全体の ID リスクを Google Cloud コンソールから [セキュリティ分析情報] ダッシュボードを使用して確認して管理できます。
[セキュリティ分析情報] ダッシュボードでは、次のことが可能です。
人間、非人間、グループの脆弱な ID を確認します。
組織、フォルダ、プロジェクトに関連付けられた ID リスクのタイプと重大度を表示します。
と他のサードパーティ ID プロバイダの両方について、行動につながるインサイトを使用して問題の優先順位付けと修復を行います。 Google Cloud
始める前に
ID リスクを確認して管理するために必要な権限を取得するには、ID リスクを確認して管理する組織、フォルダ、またはプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼します。
-
ID リスクを確認する:
IAM Recommender 閲覧者 (
roles/recommender.iamViewer) -
推奨事項を適用または拒否する:
IAM Recommender 管理者 (
roles/recommender.iamAdmin)
ID リスクを確認する
コンソールで、[IAM と管理] >[セキュリティ分析情報] ページに移動します。 Google Cloud
ID リスクを確認する組織、フォルダ、またはプロジェクトを選択します。
[セキュリティ分析情報] ダッシュボードには、選択したリソースの次のウィジェットが表示されます。
ID リスクの概要: 1 つ以上の ロール バインディングを持つ ID の合計数、人間、非人間、 グループ ID 全体のリスクの高い ID の合計数、それぞれの重大度レベルが表示されます。
ID の合計数は、選択したリソースにアタッチされている許可ポリシーの一意の ID の合計です。この数には、選択したリソースの子リソースにアタッチされている許可ポリシーの ID は含まれません。たとえば、選択したリソースが組織の場合、個々のフォルダまたはプロジェクトにアタッチされている許可ポリシーの ID は含まれません。
検出結果のカテゴリ別のリスク: や
IAM role has excessive permissionsなどのカテゴリに基づいてリストされた、リスクの高い ID が表示されます。Unused IAM role[検出結果のカテゴリ別のリスク] ウィジェットの検出結果の合計数は、他のウィジェットの分析情報の数と異なる場合があります。この違いは、同じリソースに対して同じ重大度の複数の分析情報が、他のウィジェットで 1 つの検出結果にグループ化されるために発生します。
リスクの高い上位グループ: 最も過剰な権限を持つグループが表示されます。
リスクの高い人間の上位 ID: 最も過剰な権限を持つ人間の ID が表示されます。
リスクの高い非人間の上位 ID: 最も 過剰な権限を持つ非人間の ID が表示されます。
アクティブな IAM の推奨事項の推移: 指定した期間のアクティブなロールの推奨事項が表示されます。
ID リスクを管理する
分析情報と推奨事項を表示して、ID に関連付けられたリスクを管理できます。
ID リスクを管理するには、ダッシュボードの任意のウィジェットから次の操作を行います。
リスクの高い ID の場合、[分析情報] 列の分析情報の数をクリックします。
[分析情報] ペインで、分析情報をタイプでフィルタするには、リストから必要なタイプを選択します。
分析情報に推奨事項があるかどうかに応じて、詳細を表示するか、推奨事項を表示できます。
推奨事項のない分析情報の場合は、[詳細を表示] をクリックします。
[権限] ペインに、分析情報の詳細が表示されます。
推奨事項のある分析情報の場合は、[推奨事項を表示] をクリックします。
[推奨事項] ペインに、推奨されるロールの削除または置き換えの詳細が表示されます。
推奨事項を適用または拒否するには、[適用] または [拒否] をクリックします。
アクセス権の変更がシステム全体に反映されるまで時間がかかります。アクセス権の変更が伝播されるまでの時間については、 アクセス変更の伝播をご覧ください。