אלה השיטות המומלצות לניהול המלצות לתפקידים.
מידע נוסף על המלצות לתפקידים זמין בסקירה הכללית על המלצות לתפקידים.
איך מתחילים לעבוד עם המלצות
השיטות המומלצות הבאות יעזרו לכם להתחיל להשתמש בהמלצות לתפקידים.
מתחילים בניקוי ראשוני של הרשאות שניתנו יתר על המידה. יכול להיות שבהתחלה יוצגו לכם הרבה מאוד המלצות, במיוחד אם להרבה חשבונות משתמשים יש תפקידים עם הרבה הרשאות, כמו עורך. חשוב להקדיש זמן לטיפול בכל ההמלצות בפרויקט או בארגון כדי לוודא שלכל החשבונות הראשיים יש את התפקידים המתאימים.
כשמבצעים את הניקוי הראשוני הזה, כדאי לתת עדיפות לסוגי ההמלצות הבאים:
המלצות לצמצום ההרשאות של חשבונות שירות. כברירת מחדל, כל חשבונות השירות שמוגדרים כברירת מחדל מקבלים את התפקיד 'עריכה' בפרויקטים, שכולל הרשאות רבות. יכול להיות שגם לחשבונות שירות אחרים שאתם מנהלים הוקצו תפקידים עם הרשאות רחבות. כל ההרשאות שניתנו מעבר לנדרש מגדילות את סיכון האבטחה, כולל חשבונות שירות עם הרשאות מוגזמות. לכן מומלץ לתת עדיפות לחשבונות שירות עם הרשאות מוגזמות במהלך הניקוי הראשוני.
המלצות שיעזרו לכם למנוע הסלמת הרשאות. תפקידים שמאפשרים לחשבונות ראשיים לפעול בתור חשבון שירות (
iam.serviceAccounts.actAs) או לקבל או להגדיר את מדיניות ההרשאות של משאב, יכולים לאפשר לחשבון ראשי להסלים את ההרשאות שלו. תנו עדיפות להמלצות שקשורות לתפקידים האלה.המלצות לצמצום התנועה הרוחבית. תנועה רוחבית קורית כשלחשבון שירות בפרויקט אחד יש הרשאה להתחזות לחשבון שירות בפרויקט אחר. ההרשאה הזו יכולה לגרום להתחלת שרשרת של התחזות בפרויקטים שונים, שבגללה מוענקות לחשבונות משתמשים הרשאות גישה למשאבים בלי כוונה. כדי לצמצם את הגישה הלא מכוונת הזו, כדאי לתת עדיפות להמלצות שקשורות לתובנות לגבי תנועה רוחבית.
המלצות עם רמת עדיפות גבוהה. המלצות IAM מקבלות באופן אוטומטי רמות עדיפות על סמך הקישורים לתפקידים שהן משויכות אליהם. כדאי לתת עדיפות להמלצות עם רמת עדיפות גבוהה כדי לצמצם במהירות את ההרשאות שניתנו מעבר לנדרש.
במאמר עדיפות ההמלצות מוסבר איך נקבעת העדיפות של ההמלצות.
אם מצאתם חשבון משתמש עם הרשאות מוגזמות בפרויקט אחד, כדאי לבדוק אם יש המלצות שקשורות לחשבון המשתמש הזה בפרויקטים אחרים. אם לחשבון משתמש מסוים הוקצה תפקיד עם יותר מדי הרשאות בפרויקט אחד, יכול להיות שגם בפרויקטים אחרים הוקצו לו תפקידים עם יותר מדי הרשאות. כדאי לבדוק את ההמלצות לגבי החשבון הראשי בכמה פרויקטים כדי לצמצם את הגישה שלו לרמה המתאימה באופן גלובלי.
אחרי הניקוי הראשוני, כדאי לבדוק את ההמלצות באופן קבוע. מומלץ לבדוק את ההמלצות לפחות פעם בשבוע. הבדיקה הזו בדרך כלל תימשך הרבה פחות זמן מהניקוי הראשוני, כי תצטרכו לטפל רק בהמלצות לשינויים שבוצעו מאז הניקוי או הבדיקה האחרונים.
בדיקה קבועה של ההרשאות מצמצמת את העבודה שנדרשת לכל בדיקה, ויכולה לעזור לכם לזהות ולהסיר משתמשים לא פעילים באופן יזום, וגם להמשיך לצמצם את ההרשאות של משתמשים פעילים.
שיטות מומלצות לעבודה עם המלצות
אם אתם משתמשים ב-Recommender API או בפקודות recommender של ה-CLI של gcloud כדי לנהל המלצות, הקפידו לעדכן את הסטטוס של ההמלצות שאתם מיישמים. כך תוכלו לעקוב אחרי ההמלצות ולוודא שהשינויים שאתם מבצעים מופיעים ביומני ההמלצות.
לפני שמיישמים המלצה, חשוב לבדוק אותה בקפידה ולוודא שמבינים מתי היא עודכנה לאחרונה ואיך היא תשנה את הגישה של הגורם הראשי ל Google Cloud משאבים.
שיטות מומלצות ליישום אוטומטי של המלצות
כדי לנהל את ההמלצות בצורה יעילה יותר, כדאי להגדיר יישום אוטומטי של ההמלצות. אם מחליטים להשתמש באוטומציה, חשוב לזכור את הנקודות הבאות.
הכלי Recommender מנסה לספק המלצות שלא יגרמו לשינויים שישפיעו על הגישה. לדוגמה, אנחנו אף פעם לא נמליץ על תפקיד שכולל הרשאות שחשבון משתמש השתמש בהן, באופן פסיבי או אקטיבי, ב-90 הימים האחרונים. אנחנו גם משתמשים בלמידת מכונה כדי לזהות הרשאות אחרות שהמשתמש כנראה יצטרך.
עם זאת, אנחנו לא יכולים להבטיח שההמלצות שלנו אף פעם לא יגרמו לשינויים שישפיעו על הגישה. יכול להיות שיישום של המלצה יגרום לכך שלגורם ראשי לא תהיה גישה למשאב שהוא צריך. מומלץ לעיין במאמר איך הכלי להמלצות IAM עובד ולהחליט מה רמת האוטומציה שנוחה לכם. לדוגמה, יכול להיות שתחליטו ליישם את רוב ההמלצות באופן אוטומטי, אבל תדרשו בדיקה ידנית להמלצות שמוסיפות או מסירות מספר מסוים של הרשאות, או להמלצות שכוללות הענקה או ביטול של תפקיד ספציפי.
כשמפעילים אוטומציה של המלצות, כדאי לזהות לאיזה משאב ההמלצה מתייחסת. כדי לזהות את המשאב, משתמשים בשדה operation.resource. שדות אחרים, כמו השדה name, לא תמיד מייצגים את המשאב שאליו מתייחסת ההמלצה.