Anda dapat menggunakan Privileged Access Manager (PAM) untuk mengontrol peningkatan hak istimewa sementara tepat waktu untuk akun utama tertentu, dan untuk melihat log audit setelah itu untuk mengetahui siapa yang memiliki akses ke apa dan kapan.
Untuk mengizinkan peningkatan sementara, Anda membuat hak istimewa di Privileged Access Manager, dan menambahkan atribut berikut ke dalamnya:
Kumpulan akun utama yang diizinkan untuk meminta pemberian terhadap hak.
Apakah justifikasi diperlukan untuk pemberian tersebut.
Kumpulan peran yang akan diberikan untuk sementara. Kondisi IAM dapat ditetapkan pada peran.
Durasi maksimum hibah.
Opsional: Apakah permintaan memerlukan persetujuan dari serangkaian akun utama tertentu, dan apakah akun utama tersebut perlu membenarkan persetujuan mereka.
Opsional: Pemangku kepentingan tambahan yang akan diberi tahu tentang peristiwa penting, seperti hibah dan persetujuan yang tertunda.
Prinsipal yang telah ditambahkan sebagai pemohon ke hak dapat meminta pemberian atas hak tersebut. Jika berhasil, mereka akan diberi peran yang tercantum dalam hak hingga akhir durasi pemberian, setelah itu peran akan dicabut oleh Privileged Access Manager.
Kasus penggunaan
Untuk menggunakan Privileged Access Manager secara efektif, mulailah dengan mengidentifikasi kasus penggunaan dan skenario tertentu yang dapat memenuhi kebutuhan organisasi Anda. Sesuaikan hak Privileged Access Manager Anda berdasarkan kasus penggunaan ini serta persyaratan dan kontrol yang diperlukan. Hal ini mencakup pemetaan pengguna, peran, resource, dan durasi yang terlibat, beserta justifikasi dan persetujuan yang diperlukan.
Meskipun Privileged Access Manager dapat digunakan sebagai praktik terbaik umum untuk memberikan hak istimewa sementara, bukan permanen, berikut beberapa skenario tempatnya umum digunakan:
Memberikan akses darurat: Mengizinkan petugas tanggap darurat tertentu untuk melakukan tugas kritis tanpa harus menunggu persetujuan. Anda dapat mewajibkan justifikasi untuk konteks tambahan tentang alasan diperlukannya akses darurat.
Kontrol akses ke resource sensitif: Kontrol akses ke resource sensitif dengan ketat, yang memerlukan persetujuan dan justifikasi bisnis. Privileged Access Manager juga dapat digunakan untuk mengaudit cara penggunaan akses ini—misalnya, kapan peran yang diberikan aktif untuk pengguna, resource mana yang dapat diakses selama waktu tersebut, justifikasi untuk akses, dan siapa yang menyetujuinya.
Misalnya, Anda dapat menggunakan Privileged Access Manager untuk melakukan hal berikut:
Berikan akses sementara ke lingkungan produksi kepada developer untuk pemecahan masalah atau deployment.
Berikan engineer dukungan akses ke data pelanggan sensitif untuk tugas tertentu.
Berikan hak istimewa yang ditingkatkan kepada administrator database untuk pemeliharaan atau perubahan konfigurasi.
Membantu mengamankan akun layanan: Daripada memberikan peran secara permanen ke akun layanan, izinkan akun layanan untuk meningkatkan peran secara mandiri dan hanya mengambil peran saat diperlukan untuk tugas otomatis.
Mengelola akses untuk kontraktor dan tenaga kerja eksternal: Berikan kontraktor atau anggota tenaga kerja eksternal akses sementara yang dibatasi waktu ke resource, dengan persetujuan dan justifikasi yang diperlukan.
Kemampuan dan batasan
Bagian berikut menjelaskan berbagai kemampuan dan batasan Privileged Access Manager.
Resource yang didukung
Privileged Access Manager mendukung pembuatan hak dan meminta pemberian untuk project, folder, dan organisasi. Jika ingin membatasi akses ke sebagian resource dalam project, folder, atau organisasi, Anda dapat menambahkan IAM Conditions ke hak. Privileged Access Manager mendukung semua atribut kondisi kecuali tag resource.
Peran yang didukung
Privileged Access Manager mendukung peran standar dan peran kustom. Peran dasar tidak didukung.
Identitas yang didukung
Privileged Access Manager mendukung semua jenis identitas, termasuk Cloud Identity, Workforce Identity Federation, dan Workload Identity Federation.
Logging audit
Peristiwa Privileged Access Manager, seperti pembuatan hak, permintaan, atau peninjauan hibah, dicatat ke Cloud Audit Logs. Untuk mengetahui daftar lengkap peristiwa yang lognya dibuat oleh Privileged Access Manager, lihat dokumentasi logging audit Privileged Access Manager. Untuk mempelajari cara melihat log ini, lihat Mengaudit peristiwa pemberian dan hak istimewa di Privileged Access Manager.
Memberikan retensi
Pemberian akan otomatis dihapus dari Privileged Access Manager
30 hari setelah ditolak, dicabut, atau habis masa berlakunya
atau berakhir. Log untuk pemberian disimpan di Cloud Audit Logs selama durasi retensi log bucket _Required
.
Untuk mempelajari cara melihat log ini, lihat
Mengaudit peristiwa pemberian dan hak istimewa di Privileged Access Manager.
Privileged Access Manager dan perubahan kebijakan IAM
Privileged Access Manager mengelola akses sementara dengan menambahkan dan menghapus binding peran dari kebijakan IAM resource. Jika binding peran ini diubah oleh sesuatu selain Privileged Access Manager, Privileged Access Manager mungkin tidak berfungsi seperti yang diharapkan.
Untuk menghindari masalah ini, sebaiknya lakukan hal berikut:
- Jangan mengubah penetapan peran yang dikelola oleh Privileged Access Manager secara manual.
- Jika Anda menggunakan Terraform untuk mengelola kebijakan IAM, pastikan Anda menggunakan resource non-otoritatif, bukan resource otoritatif. Hal ini memastikan bahwa Terraform tidak akan mengganti binding peran Privileged Access Manager, meskipun tidak ada dalam konfigurasi kebijakan IAM deklaratif.
Notifikasi
Privileged Access Manager dapat memberi tahu Anda tentang berbagai peristiwa yang terjadi di Privileged Access Manager seperti yang dijelaskan di bagian berikut.
Notifikasi email
Privileged Access Manager mengirimkan notifikasi email kepada pemangku kepentingan yang relevan untuk perubahan hak dan pemberian. Kumpulan penerima adalah sebagai berikut:
Pemohon hak yang memenuhi syarat:
- Alamat email pengguna dan grup Cloud Identity yang ditentukan sebagai pemohon dalam hak
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsol Google Cloud, alamat email ini tercantum di
kolom Beri tahu tentang hak yang memenuhi syarat di
bagian Notifikasi tambahan dari hak. Saat menggunakan gcloud CLI atau REST API, alamat email ini dicantumkan di kolom
requesterEmailRecipients
.
Memberikan pemberi persetujuan untuk hak:
- Alamat email pengguna dan grup Cloud Identity yang ditentukan sebagai pemberi persetujuan dalam hak.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsol Google Cloud, alamat email ini tercantum di
kolom Beri tahu saat hibah menunggu persetujuan di
bagian Notifikasi tambahan dari hak. Saat menggunakan gcloud CLI atau REST API, alamat email ini tercantum di kolom
approverEmailRecipients
pada langkah alur kerja persetujuan.
Administrator hak:
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
Konsol Google Cloud, alamat email ini tercantum di
kolom Beri tahu saat akses diberikan di bagian Notifikasi tambahan
hak. Saat menggunakan gcloud CLI atau
REST API, alamat email ini tercantum di kolom
adminEmailRecipients
.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
Konsol Google Cloud, alamat email ini tercantum di
kolom Beri tahu saat akses diberikan di bagian Notifikasi tambahan
hak. Saat menggunakan gcloud CLI atau
REST API, alamat email ini tercantum di kolom
Pemohon hibah:
- Alamat email pemohon hibah jika ia adalah pengguna Cloud Identity.
- Alamat email tambahan yang ditambahkan oleh pemohon saat meminta
hibah: Saat menggunakan konsol Google Cloud, alamat email ini tercantum
di kolom Alamat email untuk menerima info terbaru tentang hibah ini. Saat menggunakan gcloud CLI atau REST API, alamat email ini dicantumkan di kolom
additionalEmailRecipients
.
Privileged Access Manager mengirim email ke alamat email ini untuk peristiwa berikut:
Penerima | Acara |
---|---|
Pemohon hak yang memenuhi syarat | Saat hak dibuat dan tersedia untuk digunakan |
Memberikan pemberi persetujuan untuk hak | Saat hibah diminta dan memerlukan persetujuan |
Pemohon hibah |
|
Administrator hak |
|
Notifikasi Pub/Sub
Privileged Access Manager terintegrasi dengan Inventaris Aset Cloud.
Anda dapat menggunakan fitur feed Inventaris Aset Cloud
untuk menerima notifikasi tentang semua perubahan pemberian melalui
Pub/Sub. Jenis aset yang akan digunakan untuk hibah adalah
privilegedaccessmanager.googleapis.com/Grant
.