このドキュメントでは、Privileged Access Manager を使用して Identity and Access Management(IAM)でジャストインタイムの一時的な権限昇格を制御するためのベスト プラクティスについて説明します。
IAM ポリシーのサイズを管理する
Privileged Access Manager は、リソースのポリシーに条件付き IAM ロール バインディングを追加することで、時間制限付きのアクセス権を付与します。有効な Privileged Access Manager の権限付与はそれぞれスペースを消費し、標準の IAM ポリシーのサイズ上限にカウントされます。詳細については、IAM の割り当てと上限をご覧ください。
リソースの IAM ポリシーが最大サイズに達すると、ポリシーの空き容量を増やすまで、そのリソースに対する新しい Privileged Access Manager 権限付与リクエストは失敗します。
IAM ポリシーのサイズ上限に近づいている場合や、上限に達している場合は、次の操作を行うことができます。
既存の権限付与を取り消す
不要になったアクティブな Privileged Access Manager 権限を取り消して、対応する IAM バインディングをポリシーから削除し、スペースを解放します。手順については、権限付与を取り消すをご覧ください。
Privileged Access Manager の設定を最適化する
Privileged Access Manager の利用資格を最適化し、IAM ポリシーで各権限付与が消費するスペースを削減するには、次の操作を行います。
利用資格内のロールを統合する:
- 複数の事前定義ロールを少数のカスタムロールに統合して、使用されるスペースを削減します。
- 複数のサービス固有の閲覧者ロールではなく、1 つの広範なロールを使用します(
roles/readerなど)。 - 冗長なロールと重複する権限を削除します。たとえば、
Role Aのすべての権限がRole Bにも含まれている場合は、利用資格からRole Aを削除します。
IAM 条件の数と複雑さを軽減する:
OR条件で複数のリソース名のリストを使用する場合は、代わりにタグ条件の使用を検討してください。- スコープのカスタマイズを使用する権限付与では、リソース名ベースのフィルタを使用しないでください。
必要最小限の範囲でアクセス権を付与します。
最小権限の原則に従って、Privileged Access Manager の利用資格を設定し、可能な限り狭い範囲でアクセス権を付与します。たとえば、ユーザーがプロジェクト内の 1 つの Cloud Storage バケットにのみアクセスする必要がある場合は、プロジェクト、フォルダ、組織全体ではなく、そのバケットへのアクセス権を付与します。