Praktik terbaik rekomendasi peran

Kami merekomendasikan praktik terbaik berikut untuk mengelola rekomendasi peran.

Untuk mengetahui informasi selengkapnya tentang rekomendasi peran, lihat ringkasan rekomendasi peran.

Mulai menggunakan rekomendasi

Praktik terbaik berikut dapat membantu Anda memulai rekomendasi peran.

  • Mulailah dengan pembersihan awal izin yang diberikan secara berlebihan. Awalnya, Anda mungkin melihat sejumlah besar rekomendasi, terutama jika banyak akun utama memiliki peran yang sangat permisif seperti Editor. Luangkan waktu untuk mengatasi semua rekomendasi di project atau organisasi Anda guna memastikan semua akun utama Anda memiliki peran yang sesuai.

    Saat melakukan pembersihan awal ini, prioritaskan jenis rekomendasi berikut:

    • Rekomendasi yang mengurangi izin untuk akun layanan. Secara default, semua akun layanan default diberi peran Editor yang sangat permisif pada project. Akun layanan lain yang Anda kelola mungkin juga telah diberi peran dengan izin yang sangat luas. Semua izin yang diberikan secara berlebihan meningkatkan risiko keamanan Anda, termasuk akun layanan dengan hak istimewa berlebih, jadi sebaiknya prioritaskan akun layanan dengan hak istimewa berlebih selama pembersihan awal Anda.

    • Rekomendasi yang membantu mencegah eskalasi hak istimewa. Peran yang memungkinkan akun utama bertindak sebagai akun layanan (iam.serviceAccounts.actAs) atau mendapatkan atau menetapkan kebijakan izin untuk resource berpotensi memungkinkan akun utama mengeskalasikan hak istimewanya sendiri. Prioritaskan rekomendasi yang terkait dengan peran ini.

    • Rekomendasi yang mengurangi pergerakan lateral. Pergerakan lateral adalah ketika akun layanan dalam satu project memiliki izin untuk meniru akun layanan di project lain. Izin ini dapat menyebabkan rantai peniruan identitas di seluruh project yang memberi akun utama akses yang tidak diinginkan ke resource. Untuk mengurangi akses yang tidak diinginkan ini, prioritaskan rekomendasi yang terkait dengan insight pergerakan lateral.

    • Rekomendasi dengan tingkat prioritas tinggi. Rekomendasi IAM secara otomatis diberi tingkat prioritas berdasarkan binding peran yang terkait dengannya. Prioritaskan rekomendasi dengan tingkat prioritas tinggi untuk mengurangi izin yang diberikan secara berlebihan dengan cepat.

      Untuk mempelajari cara penentuan prioritas rekomendasi, lihat artikel Prioritas rekomendasi.

    • Jika Anda menemukan akun utama yang memiliki terlalu banyak hak istimewa dalam satu project, periksa project lain untuk melihat rekomendasi yang melibatkan akun utama tersebut. Jika akun utama telah diberi peran yang terlalu permisif dalam satu project, ada kemungkinan bahwa akun utama tersebut juga telah diberi peran yang terlalu permisif dalam project lain. Tinjau rekomendasi untuk akun utama di beberapa project untuk mengurangi akses akun utama secara global ke tingkat yang sesuai.

  • Setelah pembersihan awal, periksa rekomendasi Anda secara rutin. Sebaiknya Anda memeriksa rekomendasi setidaknya seminggu sekali. Pemeriksaan ini biasanya memerlukan waktu yang jauh lebih singkat daripada pembersihan awal, karena Anda hanya perlu menangani rekomendasi untuk perubahan yang terjadi sejak pembersihan atau pemeriksaan terakhir.

    Memeriksa izin secara rutin mengurangi pekerjaan yang diperlukan untuk setiap pemeriksaan, dan dapat membantu Anda mengidentifikasi serta menghapus pengguna yang tidak aktif secara proaktif, serta terus mengurangi izin untuk pengguna aktif.

Praktik terbaik untuk menggunakan rekomendasi

Jika Anda menggunakan Recommender API atau perintah recommender untuk gcloud CLI guna mengelola rekomendasi, pastikan untuk memperbarui status rekomendasi yang Anda terapkan. Dengan begitu, Anda dapat memantau rekomendasi dan memastikan bahwa perubahan yang Anda lakukan muncul di log rekomendasi.

Sebelum menerapkan rekomendasi, tinjau dengan cermat dan pastikan Anda memahami kapan terakhir kali rekomendasi diperbarui dan bagaimana rekomendasi tersebut akan mengubah akses akun utama ke Google Cloud resource.

Praktik terbaik untuk menerapkan rekomendasi secara otomatis

Untuk mengelola rekomendasi dengan lebih efisien, Anda dapat mengotomatiskan proses penerapan rekomendasi. Jika Anda memutuskan untuk menggunakan otomatisasi, perhatikan poin-poin berikut.

Recommender mencoba memberikan rekomendasi yang tidak akan menyebabkan perubahan yang merusak akses. Misalnya, kami tidak akan pernah merekomendasikan peran yang mengecualikan izin yang telah digunakan akun utama, secara pasif atau aktif, dalam 90 hari terakhir. Kami juga menggunakan machine learning untuk mengidentifikasi izin lain yang mungkin diperlukan pengguna.

Namun, kami tidak dapat menjamin bahwa rekomendasi kami tidak akan pernah menyebabkan perubahan yang merusak akses—ada kemungkinan bahwa penerapan rekomendasi akan menyebabkan pokok tidak dapat mengakses resource yang mereka butuhkan. Sebaiknya tinjau Cara kerja pemberi rekomendasi IAM dan putuskan tingkat otomatisasi yang sesuai dengan Anda. Misalnya, Anda dapat memutuskan untuk menerapkan sebagian besar rekomendasi secara otomatis, tetapi memerlukan peninjauan manual untuk rekomendasi yang menambahkan atau menghapus sejumlah izin tertentu, atau yang melibatkan pemberian atau pencabutan peran tertentu.

Saat mengotomatiskan rekomendasi, Anda mungkin ingin mengidentifikasi resource yang terkait dengan rekomendasi. Untuk mengidentifikasi resource, gunakan kolom operation.resource. Kolom lain, seperti kolom name, tidak akan selalu merepresentasikan resource yang direkomendasikan.

Langkah berikutnya