查看和管理身份风险

作为 IAM 管理员，您可以使用安全性分析洞见 信息中心，通过 Google Cloud 控制台查看和管理组织、文件夹或项目中的身份风险。

借助安全性分析洞见信息中心，您可以执行以下操作：

查看易受攻击的人类身份、非人类身份和群组身份。
查看与组织、文件夹或项目关联的身份风险的类型和严重级别。
针对 Google Cloud 和其他第三方身份提供方，通过富有实用价值的分析洞见来确定问题优先级并解决问题。

准备工作

如需获得查看和管理身份风险所需的权限，请让管理员向您授予您要查看和管理身份风险的组织、文件夹或项目的以下 IAM 角色：

查看身份风险： IAM Recommender Viewer (roles/recommender.iamViewer)
应用或忽略建议： IAM Recommender Admin (roles/recommender.iamAdmin)

查看身份风险

在 Google Cloud 控制台中，前往 IAM 和管理 > 安全性分析洞见 页面。

前往安全性分析洞见
选择您要查看身份风险的组织、文件夹或项目。

安全性分析洞见 信息中心会为所选资源显示以下 widget：
- 身份风险概览：显示具有一个或多个角色绑定的身份总数；人类身份、非人类身份和群组身份中存在风险的身份总数；以及各自的严重级别。
  
  身份总数是附加到所选资源的允许政策中的唯一身份之和。此数字不包括附加到所选资源的子资源的允许政策中的身份。例如，如果所选资源是组织，则不包括附加到其各个文件夹或项目的允许政策中的身份。
  
  **注意：** 如果某个身份同时具有高风险和低风险建议，则该身份会被归类为高风险身份。
- 风险（按发现结果类别）：显示按类别列出的存在风险的身份，例如 Unused IAM role 或 IAM role has excessive permissions。
  
  风险（按发现结果类别） widget 中的发现结果总数可能与其他 widget 中的分析洞见数量不同。出现这种差异的原因是，对于同一资源，其他 widget 中会将多个严重级别相同的分析洞见归为一条发现结果。
  
  注意：发现结果的详细信息显示在 Security Command Center 中的发现结果页面 上。如需查看某个类别的发现结果，请点击同一行中的发现结果数量。如需查看所有身份和访问权限发现结果，请点击查看所有发现结果 。
- 风险最高的群组：显示拥有过多权限的群组。
- 风险最高的人类身份：显示拥有过多权限的人类身份。
- 风险最高的非人类身份：显示拥有过多权限的非人类身份。
- 有效的 IAM 建议趋势：显示指定时间段内有效的角色建议。

管理身份风险

您可以查看分析洞见和建议，以管理与身份关联的风险。

如需管理身份风险，请在信息中心内的任意 widget 中执行以下操作：

对于存在风险的身份，请点击分析洞见 列中的分析洞见数量。
在分析洞见 窗格中，如需按类型过滤分析洞见，请从列表中选择所需的类型。
根据分析洞见是否有建议，您可以查看其详细信息或查看其建议。
- 对于没有建议的分析洞见，请点击查看详细信息 。
  
  权限窗格会提供有关分析洞见的详细信息。
- 对于有建议的分析洞见，请点击查看建议 。
  
  建议窗格会提供有关建议移除或替换角色的详细信息。
如需应用或忽略建议，请点击应用或忽略。

访问权限更改需要一段时间才能在系统中传播。如需了解访问权限更改传播的平均时间，请参阅访问权限更改传播。

注意：更改可能需要长达 24 小时才会显示在 Security Command Center 中的 发现结果 页面上。

后续步骤

了解如何调查身份和访问权限发现结果。
了解角色建议。