角色建議最佳做法

管理角色建議時,建議採取下列最佳做法。

如要進一步瞭解角色建議,請參閱角色建議總覽

開始使用最佳化建議

如要開始使用角色建議,請參考下列最佳做法。

  • 首先,請先清理過度授予的權限。一開始您可能會看到大量建議,特別是許多主體具有「編輯者」等高權限角色時。請花時間處理專案或機構中的所有建議,確保所有主體都具備適當的角色。

    進行初步清理時,請優先處理下列類型的建議:

    • 減少服務帳戶權限的最佳化建議。 根據預設,所有預設服務帳戶都會獲得專案的「編輯者」角色,這項角色具有高度的權限。您管理的其他服務帳戶可能也已獲授高權限角色。所有過度授予的權限都會增加安全風險,包括權限過多的服務帳戶,因此建議您在初始清理期間,優先處理權限過多的服務帳戶。

    • 有助於防止權限提升的建議。如果主體可透過角色模擬服務帳戶 (iam.serviceAccounts.actAs),或取得/設定資源的允許政策,主體就可能提升自己的權限。優先處理與這些角色相關的建議。

    • 減少橫向移動的最佳化建議。「橫向移動」是指某個專案中的服務帳戶有權模擬其他專案中的服務帳戶。這項權限可能會導致跨專案的模擬鏈結,讓主體非預期地存取資源。為防範這類非預期存取行為,請優先處理與橫向移動深入分析相關的建議。

    • 優先順序高的建議。系統會根據 IAM 建議相關聯的角色繫結,自動指派優先順位。優先處理優先順序較高的建議,快速減少過度授予的權限。

      如要瞭解最佳化建議的優先順序如何決定,請參閱「最佳化建議優先順序」一文。

    • 在某個專案中發現權限過高的主體時,請檢查其他專案,看看是否有涉及該主體的建議。如果主體在某個專案中獲得過於寬鬆的角色,可能也會在其他專案中獲得過於寬鬆的角色。查看多個專案中主體的建議,在全球範圍內將主體的存取權降至適當層級。

  • 完成初始清理後,請定期查看最佳化建議。建議您每週至少查看一次最佳化建議。這項檢查通常比初始清理作業快得多,因為您只需要處理上次清理或檢查後發生的變更建議。

    定期檢查權限可減少每次檢查所需的工作量,並協助您主動識別及移除閒置使用者,以及持續縮減有效使用者的權限範圍。

採用最佳做法,充分運用最佳化建議

如果您使用 Recommender APIgcloud CLI 的 recommender 指令管理建議,請務必更新您套用建議的狀態。方便您追蹤最佳化建議,並確保所做的變更會顯示在最佳化建議記錄中。

套用最佳化建議前,請仔細查看內容,並確認您瞭解上次重新整理的時間,以及這項建議會如何變更主體對 Google Cloud 資源的存取權。

自動套用最佳化建議的最佳做法

如要更有效率地管理最佳化建議,不妨自動套用建議。如果您決定使用自動化功能,請注意以下幾點。

建議工具會盡量提供不會導致存取權中斷的建議。舉例來說,如果主體在過去 90 天內被動或主動使用過某些權限,我們絕不會建議您使用排除這些權限的角色。我們也會使用機器學習技術,找出使用者可能需要的其他權限。

不過,我們無法保證建議絕對不會導致存取權發生重大變更。套用建議後,主體可能無法存取所需資源。建議您先參閱「身分與存取權管理建議工具的運作方式」,再決定要採用多少自動化功能。舉例來說,您可能會決定自動套用大多數建議,但對於新增或移除特定數量權限,或是授予或撤銷特定角色的建議,則要求手動審查。

自動套用最佳化建議時,您可能想找出建議適用的資源。如要識別資源,請使用 operation.resource 欄位。其他欄位 (例如 name 欄位) 不一定會代表建議適用的資源。

後續步驟