如何解决服务代理权限过多的 IAM 推荐警报?

问题描述 投票:0回答:1

我遇到了 Google Cloud Security Command Center 报告的漏洞。报告指出:

“IAM 推荐程序检测到服务代理被授予了基本 IAM 角色之一:所有者、编辑者或查看者。基本角色是过于宽松的旧角色,不应授予服务代理。”

有问题的特定服务帐户的格式为:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

它似乎是我项目的 Google API 服务代理,由 Google Cloud 自动创建。我尚未手动分配此服务帐户或配置其角色。

我的问题:

鉴于此服务帐号是由 Google Cloud 自动创建和分配的,修改该帐号的权限是否安全?

在不破坏依赖于该帐户的 Google Cloud 服务的情况下解决此安全问题的正确方法是什么?

我想解决此漏洞,但不确定从服务帐户中删除编辑者角色的后果。

谢谢您的帮助!

enter image description here

security google-cloud-platform
1个回答
0
投票

是的,修改此服务帐户的权限是安全的。

禁用自动角色授予时,您必须决定向默认服务帐户授予哪些角色,然后自行授予这些角色。如果默认服务帐户已具有编辑者角色,您可以将编辑者角色替换为权限较小的角色。

要安全地修改服务帐户的角色,请使用 策略模拟器 查看更改的影响,然后授予和撤销适当的角色。

您还可以创建自定义角色并仅包含建议的权限,您可以通过添加或删除权限来修改这些权限。

文档中所述:

创建时,某些服务代理会自动被授予服务代理角色,以确保您的 Google Cloud 服务正常运行。如果您将此角色替换为基本角色(所有者、编辑者或查看者),角色建议可能会建议您恢复原始服务代理角色以删除多余的权限,即使该服务代理角色具有基本角色中没有的权限。角色。这些建议有子类型

SERVICE_AGENT_WITH_DEFAULT_ROLE。 它们可帮助您安全删除多余的权限,同时确保所有 Google Cloud 服务正常运行。

SERVICE_AGENT_WITH_DEFAULT_ROLE 建议是唯一可能建议具有不属于当前角色的权限的角色的建议类型。

您还可以详细了解如何撤销或替换现有角色

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.