Existem vários Google Cloud produtos e serviços que pode usar para ajudar a sua organização a desenvolver uma abordagem para a gestão de identidades e a gestão de acessos para aplicações e cargas de trabalho em execução no Google Cloud. Este documento destina-se a administradores de segurança, gestores de operações e arquitetos empresariais que trabalham em equipas de clientes e que querem saber mais sobre estas ferramentas e controlos, bem como sobre a forma de os usar.
Este documento pressupõe que tem o seguinte:
- Um Google Cloud projeto.
- Uma conta de utilizador com acesso administrativo para gerir grupos e utilizadores do Cloud Identity. Precisa deste acesso para executar os procedimentos de exemplo neste documento.
Uma conta de utilizador sem acesso administrativo para gerir grupos e utilizadores do Cloud Identity. Precisa desta conta para testar alguns dos controlos que define nos procedimentos de exemplo neste documento.
Se ainda não tiver acesso a um Google Cloud projeto e acesso administrativo ao Cloud Identity, consulte Criar um Google Cloud projeto e Configurar o Cloud Identity.
Descubra contas e autorizações não utilizadas
É uma prática recomendada remover as contas de utilizador quando já não são necessárias, porque as contas de utilizador e as contas de serviço não utilizadas (órfãs) podem representar um risco de segurança. Pode usar a Google Cloud inteligência das políticas das seguintes formas para ajudar a sua empresa a compreender e reduzir o risco:
- Ajudar os administradores da sua empresa a descobrir contas e autorizações que já não estão a ser usadas, por motivos como um funcionário ter saído da empresa ou ter mudado de função.
- Ajudar a identificar contas de serviço que foram abandonadas após a conclusão das tarefas.
Veja e aplique recomendações da IAM
O recomendador da gestão de identidade e de acesso (IAM) faz parte do conjunto de ferramentas e serviços da Policy Intelligence. Usa a aprendizagem automática (AA) para fazer recomendações inteligentes de controlo de acesso que ajudam a identificar contas que já não precisam de acesso a Google Cloud recursos. Em seguida, pode rever as recomendações e decidir se as aplica. O Recomendador do IAM também ajuda a manter o princípio do menor privilégio em todos os membros da sua organização. Além de fornecer recomendações, o serviço Recommender usa a aprendizagem automática para fornecer estatísticas detalhadas. As estatísticas são conclusões que realçam padrões notáveis na utilização de recursos. Por exemplo, pode recolher informações adicionais sobre a utilização de autorizações no seu projeto, identificar autorizações que não estão a ser usadas e já não são necessárias, e identificar contas de serviço não usadas.
É possível ver e aplicar recomendações da IAM na consola do Google Cloud Google Cloud a uma escala empresarial. No procedimento de exemplo seguinte, usa o BigQuery para rever e ajustar as autorizações de acesso na sua organização. Para configurar a integração do BigQuery, configure uma exportação de recomendações feitas pelo IAM Recommender para um conjunto de dados do BigQuery. Estes dados podem ser consultados e revistos através de ferramentas de visualização, como o Looker Studio e o Looker.
Implementação
Na Google Cloud consola, na página do seletor de projetos, selecione ou crie um Google Cloud projeto.
O BigQuery é ativado automaticamente em novos projetos. Para ativar o BigQuery num projeto pré-existente, ative a API BigQuery.
Configure o Serviço de transferência de dados do BigQuery para extrair dados do Recomendador do IAM. Para saber mais, consulte o artigo Exportar recomendações para o BigQuery.
Aceda à página do BigQuery.
Copie e cole a seguinte consulta no campo Editor:
SELECT recommendation_details FROM PROJECT_ID.DATASET.TABLE_NAME WHERE recommender = "google.iam.policy.Recommender" AND recommender_subtype = "REMOVE_ROLE"Substitua o seguinte:
PROJECT_ID: o Google Cloud ID do projeto que está a usar para executar este exemploDATASET: o nome do conjunto de dados que selecionou ao configurar a tarefa do Serviço de transferência de dados do BigQuery.TABLE_NAME: o nome da tabela criada pela tarefa do Serviço de transferência de dados do BigQuery.
Executa esta consulta para identificar o subtipo de recomendações do
recommender_subtypeIAM RecommenderREMOVE_ROLE.Clique em Executar. Use o resultado da consulta para identificar funções não usadas e ajustar as associações de funções da IAM.
Pode guardar os resultados das consultas no Sheets. Para saber mais, consulte o artigo Guardar resultados da consulta no Sheets.
Permitir que os utilizadores peçam acesso a recursos
Os administradores empresariais precisam de permitir que os utilizadores peçam acesso a recursos. Normalmente, estes pedidos passam por um processo de aprovação em que um aprovador designado ou um grupo de aprovadores tem de aprovar o pedido antes de ser concedido o acesso. Os Grupos Google permitem-lhe aplicar uma política de acesso a uma coleção de utilizadores, o que lhe permite seguir a prática recomendada de gestão de políticas de conceder acesso a recursos com base na adesão a grupos. Esta abordagem mantém as políticas relevantes à medida que os eventos de adesão, mudança e saída ocorrem através de alterações de membros do grupo.
Pode conceder e alterar controlos de acesso para um grupo inteiro com os Grupos Google, em vez de conceder ou alterar controlos de acesso individualmente para utilizadores ou contas de serviço. Também pode adicionar e remover facilmente membros de um grupo Google em vez de atualizar uma política de IAM para adicionar ou remover utilizadores.
Configure o acesso a recursos através dos Grupos Google
Pode criar e gerir um grupo Google através do Cloud Identity. O Cloud ID é uma solução de identidade como serviço (IDaaS) que gere utilizadores e grupos. Também pode configurar o Cloud ID para federar identidades entre a Google e outros fornecedores de identidade, como o Active Directory e o Azure Active Directory. O Grupos Google também permite que um utilizador peça a associação a um grupo. Este pedido é encaminhado para os administradores do grupo, que podem aprová-lo ou recusá-lo. Para saber mais, consulte o artigo Crie um grupo e escolha as definições do grupo.
Quando cria e gere um grupo Google para conceder acesso a Google Cloud recursos, certifique-se de que considera as implicações das definições que seleciona. Embora recomendemos que minimize o número de utilizadores que podem gerir o grupo, recomendamos que configure mais do que um administrador do grupo para ter sempre acesso ao grupo. Também recomendamos que restrinja a associação a grupos aos utilizadores da sua organização.
Implementação
Neste procedimento de exemplo, cria um grupo Google e concede ao grupo de leitores acesso a um projeto Google Cloud de exemplo. Os membros que adicionar a este grupo (ou aos quais conceder acesso mediante pedido) podem ver o projeto de exemploGoogle Cloud .
Crie um grupo Google de exemplo
Os passos seguintes pressupõem que tem o Cloud Identity configurado. Para saber mais, consulte o artigo Configurar o Cloud Identity. Certifique-se de que tem as autorizações necessárias para gerir grupos.
Na Google Cloud consola, aceda à página Grupos.
Clique em Criar.
Preencha os detalhes do grupo.
Para adicionar membros ao grupo, clique em Adicionar membro e, de seguida, introduza o endereço de email do membro e escolha a respetiva função nos Grupos Google.
Quando terminar, clique em Enviar para criar o grupo.
As definições de grupo só podem ser geridas nos Grupos Google. Para configurar as definições do grupo, clique em Gerir este grupo nos Grupos do Google. Para selecionar quem pode aderir ao grupo, no menu Quem pode aderir ao grupo, selecione Apenas utilizadores da organização.
Clique em Criar grupo.
Conceda ao grupo acesso a um Google Cloud projeto
- Na Google Cloud consola, na página do seletor de projetos, selecione ou crie um Google Cloud projeto.
Abra o Cloud Shell:
Execute o seguinte comando para conceder ao grupo acesso de leitor ao projeto:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=group:GROUP_EMAIL --role=roles/viewerSubstitua o seguinte:
GROUP_EMAIL: o endereço de email do grupo que criouPROJECT_ID: o ID do seu Google Cloud projeto
Teste o processo de pedido de acesso do utilizador para os utilizadores na sua organização
No procedimento seguinte, vai usar uma conta de utilizador de teste para demonstrar os passos que os utilizadores na sua organização usam para pedir acesso a um grupo Google.
- Inicie sessão nos Grupos Google como utilizador não administrativo. O grupo que criou em Crie um grupo do Google de amostra é apresentado em Todos os grupos. Se o grupo não aparecer, use a pesquisa para o encontrar.
Para pedir acesso ao grupo, clique em Pedir para aderir ao grupo.
Depois de conceder o acesso, a conta de utilizador não administrativo que usou para fazer o pedido deve conseguir ver o projeto Google Cloud
PROJECT_IDao qual o grupo tem acesso de leitor.
Conceda acesso limitado no tempo a recursos Google Cloud
Pode haver situações em que os utilizadores na sua empresa precisam de acesso temporário e de curto prazo a Google Cloud recursos. O acesso a curto prazo é útil quando os programadores precisam de acesso temporário a recursos para realizar determinadas tarefas. Google Cloud O acesso de curto prazo também oferece as seguintes vantagens:
- Reduzir os custos administrativos.
- Garantir que o princípio do menor privilégio e o acesso atempado são respeitados.
A capacidade de conceder este tipo de acesso é útil para os administradores quando os utilizadores precisam de acesso a recursos em situações de emergência que requerem uma intervenção rápida e direta. No entanto, pode ser difícil monitorizar manualmente as autorizações de acesso de curto prazo e garantir que são removidas de forma atempada. As políticas de acesso condicional do IAM permitem-lhe definir o acesso temporário (com data de validade) aos recursos do Google Cloud através de associações de funções condicionais, o que ajuda a reduzir esta sobrecarga para os administradores.
Use associações de funções condicionais e a expiração da subscrição de grupos
Pode adicionar associações de funções condicionais a políticas de IAM novas ou existentes para controlar ainda mais o acesso aos Google Cloud recursos. Seguem-se alguns exemplos de quando pode usar associações de funções condicionais para conceder acesso temporário a um utilizador ou a um grupo:
- Acesso a um projeto que expira após um período especificado.
- Acesso a um projeto que se repete todos os meses ou trimestres.
- Acesso a instâncias do Compute Engine para administrar tarefas, como parar instâncias.
Quando usa o Google Groups para conceder aos utilizadores acesso a Google Cloud recursos, pode usar a funcionalidade de validade da associação ao grupo para definir validades para a associação ao grupo através da API Cloud Identity Groups. Quando o tempo especificado expirar, os utilizadores são removidos automaticamente do grupo.
Implementação
Pode usar uma associação de funções condicional para dar aos programadores acesso temporário para administrar uma instância específica do Compute Engine. Neste exemplo, a associação de funções está definida para expirar a 31 de dezembro de 2021.
No Cloud Shell, defina as seguintes variáveis:
export INSTANCE=create example-instance-1 export ZONE=us-west1-b export USER=USER_ID_TO_GIVE_TEMPORARY_ACCESS_TOSubstitua
USER_ID_TO_GIVE_TEMPORARY_ACCESS_TOpelo nome de utilizador do utilizador na sua organização ao qual quer conceder acesso temporário.Crie uma instância de exemplo do Compute Engine:
gcloud compute instances create $INSTANCE \ --zone $ZONE \ --machine-type g1-smallConcede acesso temporário a esta instância a um utilizador na sua organização através dos passos seguintes.
Conceda ao utilizador que selecionou acesso temporário:
gcloud compute instances add-iam-policy-binding $INSTANCE \ --zone=$ZONE \ --member="user:$USER" \ --role='roles/compute.instanceAdmin.v1' \ --condition='expression=request.time < timestamp("2022-01-01T00:00:00Z"),title=expires_end_of_2021,description=Expires at midnight on 2021-12-31'Mantenha a instância do Compute Engine que criar. Vai usar esta instância mais tarde neste documento em Gerir acesso privilegiado.
Em alternativa, pode eliminar a instância
example-instance-1executando o seguinte comando:gcloud compute instances delete $INSTANCE
Registe eventos de ciclo de vida relacionados com a identidade
Se precisar de rever eventos do ciclo de vida da IAM, como alterações de políticas, criação de contas de serviço e atribuições de contas de serviço para fins de auditoria, os registos de auditoria do Cloud podem ajudar. Os administradores podem usar os registos de auditoria do Google Cloud para analisar dados do histórico para fins de análise forense e análise. A análise dos registos de auditoria pode ajudar a compreender padrões de acesso e anomalias de acesso. A análise do registo de auditoria também pode ser importante para os seguintes cenários:
- Analisar as autorizações e o acesso aos recursos durante uma violação de dados.
- Analisar problemas de produção causados por uma alteração na política de IAM, especialmente se quiser verificar que utilizador ou que processo fez a alteração.
Os registos de auditoria da nuvem armazenam informações sobre as ações que os utilizadores realizam, onde a atividade ocorreu e quando. Os registos de auditoria são classificados da seguinte forma:
- Registos de auditoria de atividade do administrador
- Acesso a dados registos de auditoria
- Registos de auditoria de eventos do sistema
- Registos de auditoria de políticas recusadas
Recomendamos que use os seguintes registos de auditoria para registos administrativos relacionados com a identidade e o acesso:
- Registos de auditoria de atividade do administrador
- Registos de auditoria de políticas recusadas
Os registos de auditoria da atividade do administrador armazenam as alterações feitas aos Google Cloud recursos como projetos, instâncias do Compute Engine e contas de serviço. Seguem-se exemplos de eventos que os registos de auditoria da atividade de administrador armazenam:
- A criação de uma conta de serviço.
- Uma alteração numa política IAM.
- A transferência de uma chave de conta de serviço.
Os registos de auditoria de acesso negado por política registam quando o acesso de um utilizador ou de uma conta de serviço a um Google Cloud serviço é negado devido a uma violação de política de segurança.
Configure os registos de auditoria na nuvem para eventos do ciclo de vida da identidade
Pode ver os registos de auditoria na Google Cloud consola ou consultar os registos através da API Cloud Logging ou da interface de linha de comandos.
Todos os registos de auditoria têm um período de retenção. Se a sua empresa precisar de armazenar registos de auditoria durante mais tempo do que o período de retenção predefinido, tem de exportar os registos para o BigQuery ou outros destinos de registo criando um destino de registo. A exportação de registos para o BigQuery permite-lhe ver um subconjunto de colunas de dados e dados selecionados (ao longo do tempo ou outras dimensões), bem como fazer uma análise agregada.
Implementação
O procedimento de exemplo seguinte mostra como consultar os registos do projeto para verificar se ocorreu algum dos seguintes eventos: Google Cloud
- Foram feitas alterações à política IAM.
- Foram criadas novas contas de serviço.
- Foram geradas novas chaves de conta de serviço.
Veja as alterações às políticas de IAM
- Na Google Cloud consola, aceda à página Registo > Explorador de registos.
- Na página Explorador de registos, selecione um Google Cloud projeto existente.
Cole a seguinte consulta no criador de consultas:
logName="projects/<PROJECT>/logs/cloudaudit.googleapis.com%2Factivity" AND (resource.type="project" OR resource.type="service_account") AND resource.labels.project_id="<PROJECT>" AND (protoPayload.methodName="SetIamPolicy" OR protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" OR protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey")Substitua
PROJECTpelo ID do seu Google Cloud projeto.Clique em Executar consulta.
Veja as alterações aos membros do grupo
As alterações à subscrição de grupos Google são monitorizadas nos registos de atividade. Para saber como aceder a estes registos, consulte o artigo Ver registos de alterações de membros do grupo.
Certificação de acesso
O Policy Analyzer pode ser usado para ajudar a sua empresa a verificar se os utilizadores têm os direitos de acesso adequados aos Google Cloud recursos de forma definida ou periódica. Esta verificação é importante para fins de conformidade e auditoria. Também é útil para o pessoal de segurança e os auditores reverem que utilizadores têm acesso a que recurso e em que capacidade. O Analisador de políticas ajuda a identificar que identidades ou responsáveis (utilizadores, contas de serviço, grupos e domínios) têm acesso a que Google Cloud recursos na hierarquia de recursos da sua organização. Também ajuda a identificar o tipo de acesso. Seguem-se alguns exemplos de perguntas às quais o Analisador de políticas pode ajudar a responder:
- Que utilizadores podem aceder a uma conta de serviço.
- Que utilizadores podem ler dados num conjunto de dados do BigQuery que contém informações de identificação pessoal (PII).
Pode usar o Analisador de políticas com os seguintes métodos:
- Usar a Google Cloud consola.
- Usar APIs.
- Exportar dados de políticas de IAM para o BigQuery para análise assíncrona.
Use o Analisador de políticas para verificar o acesso do utilizador
As consultas de exemplo seguintes mostram as estatísticas de tipo que pode obter sobre o acesso dos utilizadores com o Analisador de políticas:
- Que funções ou autorizações um principal (utilizador, conta de serviço, grupo e domínio) tem; por exemplo, verificar que acesso um antigo funcionário tem ao seu projeto de produção.
- Aos recursos aos quais um utilizador tem acesso; por exemplo, o acesso que um antigo funcionário tem aos recursos do seu projeto de produção.
- Que entidades têm um determinado nível de acesso a um recurso; por exemplo, que contentores um utilizador específico pode eliminar num projeto.
Implementação
No procedimento de exemplo seguinte, usa o Analisador de políticas para verificar as autorizações que um utilizador tem.
No Cloud Shell, ative a API Cloud Asset para o projeto:
Introduza o seguinte comando para saber a que recursos um utilizador pode aceder:
gcloud asset analyze-iam-policy --organization="YOUR_ORG_ID" \ --identity="user:USERNAME_TO_CERTIFY"Faça as seguintes substituições:
YOUR_ORG_ID: o seu Google Cloud ID da organizaçãoUSERNAME_TO_CERTIFY: o nome de utilizador do utilizador cujas autorizações de acesso quer validar. Google Cloud
Extraia os dados da política de IAM para o BigQuery. Para saber mais, consulte o artigo Escrever a análise de políticas no BigQuery.
Faça a gestão do acesso privilegiado
Alguns utilizadores na sua organização podem precisar de acesso privilegiado a determinados Google Cloud recursos para realizar tarefas administrativas. Por exemplo, estes utilizadores podem ter de gerir Google Cloud projetos específicos, configurar a faturação e os orçamentos dos projetos ou administrar instâncias do Compute Engine.
Em vez de conceder permanentemente aos utilizadores acesso privilegiado aos recursos, pode permitir que os utilizadores peçam acesso privilegiado just-in-time. A gestão de acesso privilegiado just-in-time pode ajudar a fazer o seguinte:
- Reduzir o risco de alguém modificar ou eliminar recursos acidentalmente. Por exemplo, quando os utilizadores têm acesso privilegiado apenas quando é necessário, ajuda a impedir que executem scripts noutras alturas que afetem involuntariamente recursos que não deveriam poder alterar.
- Criar uma trilha de auditoria que indique o motivo pelo qual os privilégios foram ativados.
- Realizar auditorias e revisões para analisar a atividade anterior.
Em alternativa, pode conceder acesso privilegiado a uma conta de serviço e permitir que os utilizadores usem a identidade da conta de serviço.
Conceda acesso privilegiado aos utilizadores
Em geral, a gestão do acesso privilegiado a utilizadores empresariais no Google Cloud pode ser resumida da seguinte forma:
- Conceder aos utilizadores na empresa a capacidade de pedir acesso privilegiado.
- Rever os registos de auditoria do Google Cloud para analisar os pedidos de acesso privilegiado e os padrões de acesso. Os administradores podem rever padrões de acesso privilegiado e detetar anomalias através destes registos. Recomendamos que as empresas considerem exportar estes registos para os manter conforme necessário e adequado para fins de auditoria.
- Garantir que o acesso privilegiado expira automaticamente ou é revisto periodicamente.
Ative a validação em dois passos (também denominada autenticação multifator) para todos os utilizadores que tenham acesso privilegiado a recursos. Também pode criar um controlo de acesso detalhado baseado em atributos através do Gestor de contexto de acesso, que aplica uma camada adicional de segurança quando é usado o acesso privilegiado. Por exemplo, pode ter um nível de acesso que especifique que os utilizadores têm de estar na rede empresarial quando usam o acesso privilegiado a recursos.
Implementação
Neste procedimento de exemplo, o administrador cria um grupo Google para acesso privilegiado a instâncias do Compute Engine. Cria uma conta de serviço no Google Cloud que recebe acesso para administrar instâncias do Compute Engine. Associa o grupo à conta de serviço para que os membros do grupo possam roubar a identidade da conta de serviço durante o período em que lhes é concedida a associação ao grupo privilegiado.
Crie um grupo Google para acesso privilegiado
Como Google Cloud administrador, selecione ou crie um Google Cloud projeto.
Ative a faturação para o seu projeto. Ative a faturação
Siga os passos em Conceda aos utilizadores a capacidade de pedir acesso a recursos para criar um novo grupo Google.
Atribua o seguinte nome ao grupo:
elevated-compute-access
Crie uma Google Cloud conta de serviço
No Cloud Shell, ative a API IAM Service Account Credentials para o projeto que criou em Crie um grupo Google para acesso privilegiado.
Defina as seguintes variáveis:
export PROJECT_ID=$DEVSHELL_PROJECT_ID export PRIV_SERVICE_ACCOUNT_NAME=elevated-compute-access export DELEGATE_GROUP=GROUP_EMAIL_ADDRESSSubstitua
GROUP_EMAIL_ADDRESSpelo nome completo do grupo Google que criou.Crie a conta de serviço:
gcloud IAMservice-accounts create $PRIV_SERVICE_ACCOUNT_NAME \ --description="Elevated compute access" \ --display-name="Elevated compute access"Atribua à conta de serviço a função de administrador de computação:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="serviceAccount:$PRIV_SERVICE_ACCOUNT_NAME@$PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/compute.admin"Conceda ao grupo Google que criou acesso de consumidor da Service Usage para o seu projeto:
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member="group:$DELEGATE_GROUP" \ --role="roles/serviceusage.serviceUsageConsumer"Esta autorização permite que os membros do grupo Google se façam passar pela conta de serviço que criou.
Conceda ao grupo Google a capacidade de usar a identidade da conta de serviço que criou:
gcloud IAMservice-accounts add-iam-policy-binding $PRIV_SERVICE_ACCOUNT_NAME@$PROJECT_ID.iam.gserviceaccount.com --member="group :$DELEGATE_GROUP" --role="roles/iam.serviceAccountTokenCreator"Ignore este passo se tiver criado e mantido uma instância de exemplo do Compute Engine para o procedimento em Conceda acesso limitado no tempo a Google Cloud recursos. Pode usar a instância de exemplo para executar os passos neste exemplo.
Em alternativa, use o seguinte comando para criar uma instância de exemplo do Compute Engine:
gcloud compute instances create example-instance-1 \ --zone us-west1-b \ --machine-type g1-smallUse as instâncias neste exemplo para validar se os utilizadores que recebem a associação ao grupo privilegiado podem aceder à instância.
Ative os registos de auditoria
Os administradores da sua empresa podem ativar os registos de auditoria do Cloud para se certificarem de que o acesso privilegiado é registado e está disponível para revisão e análise. O procedimento nesta secção mostra-lhe como ativar o registo de auditoria.
Obtenha as políticas IAM atuais para o projeto:
gcloud projects get-iam-policy $PROJECT_ID > /tmp/policy.yamlModifique o ficheiro de política para ativar os registos de acesso aos dados para a API Compute Engine:
cat <<EOF >> /tmp/policy.yaml auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_READ - logType: DATA_WRITE service: compute.googleapis.com EOFDefina a nova política:
gcloud projects set-iam-policy $PROJECT_ID /tmp/policy.yaml
Teste a representação com a conta de utilizador não administrativa
Pode usar a conta de utilizador não administrativa para testar a configuração pedindo a adesão ao grupo e roubando a identidade da conta de serviço assim que a adesão for concedida.
O procedimento nesta secção mostra como os utilizadores empresariais podem pedir acesso privilegiado a Google Cloud recursos. Neste procedimento de exemplo, os Google Cloud recursos são as instâncias do Compute Engine para umGoogle Cloud projeto. Para demonstrar como os utilizadores na sua organização podem roubar a identidade de uma conta de serviço assim que lhes for concedida a associação ao grupo, tem de pedir a associação aos grupos Google relevantes.
- Inicie sessão
nos Grupos Google com a conta de utilizador não administrativa e peça
adesão ao grupo
elevated-compute-access. Use a mesma conta para iniciar sessão em Google Cloud. Deve ter acesso ao grupo assim que um administrador aprovar o pedido. Neste procedimento de exemplo, pressupõe-se que o seu pedido de adesão ao grupo é aprovado.
No Cloud Shell, execute o seguinte comando para definir o projeto predefinido:
gcloud config set project PROJECT_IDSubstitua
PROJECT_IDpelo ID do projeto que criou anteriormente na secção Crie um grupo Google para acesso privilegiado.Tente apresentar as instâncias do Compute Engine neste projeto:
gcloud compute instances listÉ apresentada uma mensagem de erro a informar que o seu Google Cloud utilizador não tem autorização para aceder aos recursos do Compute Engine.
Execute o seguinte comando:
gcloud compute instances list --impersonate-service-account=elevated-compute-access@$PROJECT_ID.iam.gserviceaccount.comEste comando lista as instâncias do Compute Engine no projeto suplantando a conta de serviço à qual obteve acesso quando lhe foi concedida a associação ao
elevated-compute-accessgrupo Google.Vê a instância do
example-instance-1Compute Engine que criou com a sua conta de administrador.
Verifique os registos de auditoria
Enquanto Google Cloud administrador, pode aceder e rever os registos de auditoria gerados.
Inicie sessão na Google Cloud consola com uma conta de utilizador que tenha privilégios administrativos para aceder aos registos de auditoria.
No Cloud Logging, introduza a seguinte consulta para rever os registos de acesso aos dados:
logName="projects/<PROJECT_ID>/logs/cloudaudit.googleapis.com%2Fdata_access" AND protoPayload.authenticationInfo.principalEmail="elevated-compute-access@PROJECT_ID.iam.gserviceaccount.com"Substitua
PROJECT_IDpelo ID do projeto e, em seguida, execute a consulta.Esta consulta mostra que utilizador no grupo Google se fez passar pela conta de serviço para aceder à instância do Compute Engine. Também lhe mostra outros detalhes relevantes, como quando a conta de serviço foi roubada e os detalhes dos cabeçalhos dos pedidos.
Reveja a carga útil do registo de auditoria, especificamente o
protoPayload.authenticationInfoobjeto na carga útil. O nome de utilizador do utilizador que se fez passar pela conta de serviço é registado como o valor da chaveprincipalEmaildo objetofirstPartyPrincipal.Enquanto administrador, também pode rever as conclusões de ameaças de eventos no painel de controlo do Security Command Center. Para saber mais sobre o Security Command Center, consulte o artigo Usar a deteção de ameaças de eventos.
O que se segue?
- Saiba mais sobre a confiança zero.
- Descubra como a inteligência de políticas oferece um controlo de acesso inteligente para os seus Google Cloud recursos.
- Leia sobre como pode resolver problemas de políticas e de acesso no Google Cloud
- Leia acerca das práticas recomendadas para criar e gerir Google Cloud contas de serviço.
- Para ver mais arquiteturas de referência, diagramas e práticas recomendadas, explore o Centro de arquitetura na nuvem.