作为 IAM 管理员,您可以使用安全性分析洞见信息中心,通过Google Cloud 控制台查看和管理组织、文件夹或项目中的身份风险。
借助安全性分析洞见信息中心,您可以执行以下操作:
查看易受攻击的人类、非人类和群组身份。
查看与组织、文件夹或项目关联的身份风险的类型和严重程度。
针对 Google Cloud和其他第三方身份提供方,通过富有实用价值的分析洞见来确定问题优先级并解决问题。
准备工作
如需获得审核和管理身份风险所需的权限,请让管理员向您授予您要审核和管理身份风险的组织、文件夹或项目的以下 IAM 角色:
-
查看身份风险:
IAM Recommender Viewer (
roles/recommender.iamViewer) -
应用或关闭建议:
IAM Recommender Admin (
roles/recommender.iamAdmin)
查看身份风险
在 Google Cloud 控制台中,前往 IAM 和管理 > 安全洞见页面。
选择您要查看身份风险的组织、文件夹或项目。
安全性分析洞见信息中心会针对所选资源显示以下 widget:
身份风险概览:显示具有一个或多个角色绑定的身份总数;人类身份、非人类身份和群组身份的风险身份总数;以及各自的严重程度。
身份总数是指附加到所选资源的允许政策中的唯一身份数量之和。此数字不包括附加到所选资源的子资源的允许政策中的身份。例如,如果您选择的资源是组织,则不会包含附加到其各个文件夹或项目的允许政策中的身份。
风险(按发现结果类别):显示按类别(例如
Unused IAM role或IAM role has excessive permissions)列出的存在风险的身份。风险(按发现结果类别)微件中的发现结果总数可能与其他微件中的数据洞见数量不同。出现此差异的原因是,在其他 widget 中,同一资源的多个相同严重程度的分析洞见会归为一条发现。
风险最高的群组:显示拥有过多权限的群组。
风险最高的人类身份:显示拥有过多权限的人类身份。
风险最高的非人类身份:显示拥有过多权限的非人类身份。
有效的 IAM 建议趋势:显示指定时间段内有效的角色建议。
管理身份风险
您可以查看数据分析和建议,以管理与身份相关的风险。
如需管理身份风险,请在信息中心内的任意 widget 中执行以下操作:
对于存在风险的身份,请点击数据分析列中的数据分析数量。
在数据洞见窗格中,如需按类型过滤数据洞见,请从列表中选择所需类型。
根据数据分析是否有可用的建议,您可以查看其详细信息或查看其建议。
对于没有建议的数据洞见,请点击查看详情。
权限窗格会提供有关数据分析的详细信息。
对于包含建议的数据洞见,请点击查看建议。
建议窗格会提供有关建议的角色移除或替换的详细信息。
如需应用或忽略建议,请点击应用或忽略。
访问权限更改需要一段时间才能在整个系统中生效。如需了解访问权限更改传播的平均时间,请参阅访问权限更改传播。
后续步骤
- 了解如何调查身份和访问权限发现结果。
- 了解角色建议。