IAM 管理員可以透過Google Cloud 控制台的「安全洞察」資訊主頁,查看及管理機構、資料夾或專案的整體身分識別風險。
您可以在「安全性深入分析」資訊主頁執行下列操作:
查看容易受到攻擊的人員、非人員和群組身分。
查看與機構、資料夾或專案相關聯的身分風險類型和嚴重程度。
針對 Google Cloud和其他第三方身分識別供應商,運用實用洞察資料排定問題處理優先順序並採取補救措施。
事前準備
如要取得檢視及管理身分識別風險所需的權限,請要求管理員在您要檢視及管理身分識別風險的組織、資料夾或專案中,授予您下列 IAM 角色:
-
查看身分識別風險:
IAM 推薦功能檢視者 (
roles/recommender.iamViewer) -
套用或關閉建議:
IAM Recommender 管理員 (
roles/recommender.iamAdmin)
查看身分風險
在 Google Cloud 控制台,依序前往「IAM & Admin」(IAM 與管理) >「Security Insights」(安全性洞察) 頁面。
選取要查看身分識別風險的機構、資料夾或專案。
「安全性深入分析」資訊主頁會顯示所選資源的下列小工具:
身分風險總覽:顯示具有一或多個角色繫結的身分總數;真人、非真人和群組身分中,風險身分的總數;以及各自的嚴重程度。
身分總數是附加至所選資源的允許政策中,不重複身分的總和。這項數字不包含附加至所選資源子資源的允許政策中的身分。舉例來說,如果您選取的資源是機構,則系統不會納入附加至個別資料夾或專案的允許政策身分。
各發現項目類別的風險:顯示依類別 (例如
Unused IAM role或IAM role has excessive permissions) 列出的風險身分。「各發現項目類別的風險」小工具中的發現項目總數,可能與其他小工具中的洞察資料數量不同。這是因為在其他小工具中,系統會將同一資源的相同嚴重程度的多項洞察資料,歸類為單一發現項目。
風險最高的群組:顯示權限過高情形最嚴重的群組。
風險最高的真人身分:顯示權限過高的真人身分。
風險最高的非真人身分:顯示權限過高的非真人身分。
有效的 IAM 建議趨勢:顯示指定時間範圍內有效的角色建議。
管理身分識別風險
您可以查看深入分析和建議,管理與身分相關的風險。
如要管理身分識別風險,請在資訊主頁的任何小工具中執行下列操作:
如要查看高風險身分識別的深入分析資料,請按一下「深入分析」欄中的深入分析資料數量。
在「洞察」窗格中,如要依類型篩選洞察資料,請從清單中選取所需類型。
視深入分析結果是否提供建議而定,您可以查看詳細資料或建議。
如要查看沒有建議的洞察資料,請按一下「查看詳細資料」。
「權限」窗格會提供洞察資料的詳細資訊。
如要查看附有建議的洞察資料,請按一下「查看建議」。
「建議」窗格會顯示建議移除或替換角色的詳細資料。
如要套用或略過建議,請按一下「套用」或「略過」。
存取權變更需要一段時間才會全面套用到系統。如要瞭解存取權變更平均需要多久才會生效,請參閱「存取權變更生效」一文。
後續步驟
- 瞭解如何調查身分與存取權發現項目。
- 瞭解角色建議。