如何使用CureIAM自动清理GCP基础设施中的IAM账号权限

2024-01-18 17:20

本文主要是介绍如何使用CureIAM自动清理GCP基础设施中的IAM账号权限,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

关于CureIAM

CureIAM是一款针对GCP基础设施的账号权限安全检查与管理工具,该工具易于使用,是一个功能强大且易于使用的可靠高性能引擎。在该工具的帮助下,广大研究人员能够以自动化的形式在GCP云基础设施上实践最低权限原则。

CureIAM可以允许DevOps和安全团队快速清理GCP基础设施中授予超过所需权限的帐户,并且整个过程都能够以自动化的形式实现。

功能介绍

1、配置驱动:CureIAM的整个工作流都是配置驱动的;

2、可扩展:CureIAM被设计为功能可扩展的,得益于其插件系统、多进程和多线程设计模式;

3、插件驱动:CureIAM代码库完全面向插件,这意味着我们可以直接安装现有插件,也可以创建新插件来添加更多功能;

4、操作跟踪:CureIAM采取的每一个操作都会被记录下来,并用于后续的安全审计活动;

5、评分和执行:CureIAM会对每一条操作建议使用各种参数进行评分;

工具下载

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。在运行该工具之前,请确保下列路径之一有配置文件存在:/etc/CureIAM.yaml、~/.CureIAM.yaml、~/CureIAM.yaml或CureIAM.yaml,以及项目目录中是否包含一个服务账号JSON文件(cureiamSA.json)。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

$ git clone https://github.com/gojek/CureIAM.git

然后切换到项目目录中,使用pip工具和requirements.txt文件安装该工具所需的其他依赖组件:

$ pip install -r requirements.txt

工具使用

下列命令即可直接运行CureIAM:

$ python -m CureIAM -n

设置CureIAM进程为计划任务:

$ python -m CureIAM

查看工具帮助信息:

$ python -m CureIAM --help

除此之外,CureIAM还可以在Docker环境中运行,或在K8s集群部署下用于CI/CD:

# 从Dockerfile构建Docker镜像$ docker build -t cureiam .# 以计划任务运行镜像$ docker run -d cureiam# 运行镜像$ docker run -f cureiam -m cureiam -n

工具配置

CureIAM.yaml配置文件是CureIAM引擎的核心,引擎所做的所有操作都基于该配置文件管道过来的配置信息实现。

首先,我们需要配置第一部分,即日志配置和计划任务配置:

logger:version: 1disable_existing_loggers: falseformatters:verysimple:format: >-[%(process)s]%(name)s:%(lineno)d - %(message)sdatefmt: "%Y-%m-%d %H:%M:%S"handlers:rich_console:class: rich.logging.RichHandlerformatter: verysimplefile:class: logging.handlers.TimedRotatingFileHandlerformatter: simplefilename: /tmp/CureIAM.logwhen: midnightencoding: utf8backupCount: 5loggers:adal-python:level: INFOroot:level: INFOhandlers:- rich_console- fileschedule: "16:00"

下一部分需要配置不同模块,即插件部分,这里我们可以声明需要使用的不同插件:

plugins:gcpCloud:plugin: CureIAM.plugins.gcp.gcpcloud.GCPCloudIAMRecommendationsparams:key_file_path: cureiamSA.jsonfilestore:plugin: CureIAM.plugins.files.filestore.FileStoregcpIamProcessor:plugin: CureIAM.plugins.gcp.gcpcloudiam.GCPIAMRecommendationProcessorparams:mode_scan: truemode_enforce: trueenforcer:key_file_path: cureiamSA.jsonallowlist_projects:- alphablocklist_projects:- betablocklist_accounts:- foo@bar.comallowlist_account_types:- user- group- serviceAccountblocklist_account_types:- Nonemin_safe_to_apply_score_user: 0min_safe_to_apply_score_group: 0min_safe_to_apply_score_SA: 50esstore:plugin: CureIAM.plugins.elastic.esstore.EsStoreparams:# Change http to https later if your elastic are using httpsscheme: httphost: es-host.comport: 9200index: cureiam-stgusername: securitypassword: securepassword

每一个插件的声明格式如下:

plugins:<plugin-name>:plugin: <class-name-as-python-path>params:param1: val1param2: val2

插件定义完成之后,就是要定义用于安全审计的管道了:

audits:IAMAudit:clouds:- gcpCloudprocessors:- gcpIamProcessorstores:- filestore- esstore

最后,让CureIAM运行之前定义的安全审计任务即可:

run:- IAMAudits

工具运行截图

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

CureIAM:【GitHub传送门】

参考资料

https://github.com/cloudmarker/cloudmarker

这篇关于如何使用CureIAM自动清理GCP基础设施中的IAM账号权限的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/619716

相关文章

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的

【北交大信息所AI-Max2】使用方法

BJTU信息所集群AI_MAX2使用方法 使用的前提是预约到相应的算力卡,拥有登录权限的账号密码,一般为导师组共用一个。 有浏览器、ssh工具就可以。 1.新建集群Terminal 浏览器登陆10.126.62.75 (如果是1集群把75改成66) 交互式开发 执行器选Terminal 密码随便设一个(需记住) 工作空间:私有数据、全部文件 加速器选GeForce_RTX_2080_Ti