Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

查看和管理身份风险

作为 IAM 管理员，您可以使用安全性分析洞见 信息中心，通过 Google Cloud 控制台查看和管理组织、文件夹或项目中的身份风险。

借助安全性分析洞见 信息中心，您可以执行以下操作：

查看与易受攻击的人类、非人类和群组身份相关的风险。
查看与组织、文件夹或项目相关的身份风险的类型和严重级别。
针对和其他第三方身份提供方，通过富有实用价值的分析洞见来确定风险优先级并解决风险。 Google Cloud

准备工作

如需获得查看和管理身份风险所需的权限，请让管理员向您授予您要查看和管理身份风险的组织、文件夹或项目的以下 IAM 角色：

查看身份风险： IAM Recommender Viewer (roles/recommender.iamViewer)
应用或忽略建议： IAM Recommender Admin (roles/recommender.iamAdmin)

查看身份风险

在 Google Cloud 控制台中，前往 IAM 和管理 > 安全性分析洞见 页面。

前往“安全性分析洞见”
选择您要查看身份风险的组织、文件夹或项目。

安全性分析洞见 信息中心会显示所选资源的以下微件：
- 身份风险概览：显示具有角色绑定的身份总数、存在风险的人类、非人类和群组身份总数及其严重级别。
  
  身份总数是附加到所选资源的允许政策中的唯一身份之和。此数字不包括附加到所选资源的子资源的允许政策中的身份。例如，如果所选资源是组织，则不包括附加到其各个文件夹或项目的允许政策中的身份。
  
  **注意：** 如果某个身份同时具有高风险和低风险建议，则该身份会被归类为高风险身份。
- 风险（按发现结果类别）：根据类别（例如 Unused IAM role 或 IAM role has excessive permissions）列出存在风险的身份。
  
  风险（按发现结果类别） 微件中的发现结果总数可能与其他微件中的分析洞见数量不同。出现这种差异的原因是，对于同一资源，其他微件中会将多个严重级别相同的分析洞见归为一条发现结果。
  
  注意：发现结果的详细信息显示在 Security Command Center 中的发现结果页面 上。如需查看某个类别的发现结果，请点击同一行中的发现结果数量。如需查看所有身份和访问权限发现结果，请点击查看所有发现结果 。
- 风险最高的群组：显示拥有过多权限的群组。
- 风险最高的人类身份：显示拥有过多权限的人类身份。
- 风险最高的非人类身份：显示拥有过多权限的非人类身份。
- 有效的 IAM 建议趋势：显示指定时间段内有效的角色建议。

管理身份风险

您可以查看分析洞见和建议，以管理与身份相关的风险。

如需管理身份风险，请在信息中心内的任意微件中执行以下操作：

对于存在风险的身份，请点击分析洞见 列中的分析洞见数量。
在分析洞见 窗格中，如需按类型过滤分析洞见，请从列表中选择所需的类型。
根据分析洞见是否有建议，您可以查看其详细信息或查看其建议。
- 对于没有建议的分析洞见，请点击查看详细信息 。
  
  权限窗格会提供有关分析洞见的详细信息。
- 对于有建议的分析洞见，请点击查看建议 。
  
  建议窗格会提供有关建议移除或替换角色的详细信息。
  
  只有对于拥有过多权限的群组主账号，您才能选择使用 Privileged Access Manager 将永久访问权限替换为临时按需访问权限（预览版）。如果群组成员不需要对角色的权限拥有永久访问权限，但将来可能因意外原因需要这些权限，您可以移除其永久访问权限，并使用 Privileged Access Manager 允许他们在需要时请求临时访问权限。如需了解如何使用 Privileged Access Manager 解决权限过多的问题，请参阅使用 Privileged Access Manager 解决权限过多的问题。
如需应用或忽略建议，请点击应用或忽略。

访问权限更改需要一段时间才能在系统中传播。如需了解访问权限更改传播的平均时间，请参阅访问权限更改传播。

注意：更改可能需要长达 24 小时才会显示在 Security Command Center 中的 发现结果 页面上。

后续步骤

了解如何调查身份和访问权限发现结果。
了解角色建议。