Automatiser les recommandations IAM à l'aide de playbooks

Ce document explique comment activer le playbook Réponse de l'outil de recommandation IAM dans Security Command Center Enterprise. Celui-ci permet d'identifier les identités disposant d'autorisations excessives et de supprimer automatiquement et en toute sécurité les autorisations en excès.

Présentation

L'outil de recommandation IAM vous fournit des insights sur la sécurité qui évaluent l'utilisation des ressources par vos comptes principaux et vous suggère des mesures à prendre en fonction de ces insights. Par exemple, lorsqu'une autorisation n'a pas été utilisée au cours des 90 derniers jours, l'outil de recommandation IAM la met en évidence comme autorisation en excès et vous recommande de la supprimer de manière sécurisée.

Le playbook Réponse de l'outil de recommandation IAM utilise l'outil de recommandation IAM pour analyser votre environnement et identifier les identités des charges de travail qui possèdent des autorisations ou des emprunts d'identité de compte de service en excès. Au lieu d'examiner et d'appliquer les recommandations manuellement dans Identity and Access Management, activez le playbook pour qu'il le fasse automatiquement dans Security Command Center.

Prérequis

Avant d'activer le playbook Réponse de l'outil de recommandation IAM, suivez les étapes préalables suivantes :

  1. Créez un rôle IAM personnalisé et configurez une autorisation spécifique pour celui-ci.
  2. Définissez la valeur Adresse e-mail Workload Identity.
  3. Attribuez le rôle personnalisé que vous avez créé à un compte principal existant.

Créer un rôle IAM personnalisé

  1. Dans la console Google Cloud , accédez à la page Rôles IAM.

    Accéder aux rôles IAM

  2. Cliquez sur Créer un rôle pour créer un rôle personnalisé doté des autorisations requises pour l'intégration.

  3. Pour un nouveau rôle personnalisé, indiquez le titre, la description et un identifiant unique.

  4. Définissez l'étape de lancement du rôle sur Disponibilité générale.

  5. Ajoutez l'autorisation suivante au rôle créé :

    resourcemanager.organizations.setIamPolicy

  6. Cliquez sur Créer.

Définir la valeur de l'adresse e-mail Workload Identity

Pour définir l'identité à laquelle accorder le rôle personnalisé, procédez comme suit :

  1. Dans la console Google Cloud , accédez à Réponse > Playbooks pour ouvrir le menu de navigation dans la console Security Operations.
  2. Dans le menu de navigation de la console Security Operations, accédez à Réponse > Configuration des intégrations.
  3. Dans le champ Rechercher de l'intégration, saisissez Google Cloud Recommender.
  4. Cliquez sur Configurer l'instance. La boîte de dialogue s'ouvre.
  5. Copiez la valeur du paramètre Adresse e-mail Workload Identity dans votre presse-papiers. La valeur doit respecter le format suivant : username@example.com

Attribuer un rôle personnalisé à un compte principal existant

Une fois que vous avez accordé le nouveau rôle personnalisé à un compte principal existant, ce compte peut modifier les autorisations de n'importe quel utilisateur de votre organisation.

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Dans le champ Filtre, collez la valeur de l'adresse e-mail Workload Identity copiée précédemment et recherchez le compte principal existant.

  3. Cliquez sur Modifier le compte principal. La fenêtre de dialogue s'ouvre.

  4. Dans le volet Modifier l'accès, sous Attribuer des rôles, cliquez sur Ajouter un autre rôle.

  5. Sélectionnez le rôle personnalisé que vous avez créé, puis cliquez sur Enregistrer.

Activer un playbook

Par défaut, le playbook Réponse de l'outil de recommandation IAM est désactivé. Pour utiliser le playbook, activez-le manuellement :

  1. Dans la console Security Operations, accédez à Réponse > Playbooks.
  2. Dans le champ Rechercher du playbook, saisissez IAM Recommender.
  3. Dans les résultats de recherche, sélectionnez le playbook Réponse de l'outil de recommandation IAM.
  4. Activez le playbook à l'aide du bouton bascule qui s'affiche dans l'en-tête.
  5. Dans l'en-tête du playbook, cliquez sur Enregistrer.

Configurer le flux d'approbation automatique

Modifier les paramètres du playbook est une option avancée et facultative.

Par défaut, chaque fois que le playbook identifie des autorisations non utilisées, il attend que vous approuviez ou refusiez la correction avant de terminer l'exécution.

Pour configurer le flux du playbook afin de supprimer automatiquement les autorisations non utilisées dès leur détection, sans demander votre approbation, procédez comme suit :

  1. Dans la console Google Cloud , accédez à Réponse > Playbooks.
  2. Sélectionnez le playbook Réponse de l'outil de recommandation IAM.
  3. Dans les composants de base du playbook, sélectionnez IAM Setup Block_1. La fenêtre de configuration du composant s'ouvre. Par défaut, le paramètre remediation_mode est défini sur Manual.
  4. Dans le champ du paramètre remediation_mode, saisissez Automatic.
  5. Cliquez sur Enregistrer pour confirmer les nouveaux paramètres du mode de correction.
  6. Dans l'en-tête du playbook, cliquez sur Enregistrer.

Étape suivante

  • Pour en savoir plus sur les playbooks, consultez la documentation Google SecOps.