Ringkasan Privileged Access Manager

Anda dapat menggunakan Privileged Access Manager (PAM) untuk mengontrol peningkatan hak istimewa sementara tepat waktu untuk akun utama tertentu, dan untuk melihat log audit setelah itu untuk mengetahui siapa yang memiliki akses ke apa dan kapan.

Untuk mengizinkan peningkatan sementara, Anda membuat hak istimewa di Privileged Access Manager, dan menambahkan atribut berikut ke dalamnya:

  • Kumpulan akun utama yang diizinkan untuk meminta pemberian terhadap hak.

  • Apakah justifikasi diperlukan untuk pemberian tersebut.

  • Kumpulan peran yang akan diberikan untuk sementara. Kondisi IAM dapat ditetapkan pada peran.

  • Durasi maksimum hibah.

  • Opsional: Apakah permintaan memerlukan persetujuan dari serangkaian akun utama tertentu, dan apakah akun utama tersebut perlu membenarkan persetujuan mereka.

  • Opsional: Pemangku kepentingan tambahan yang akan diberi tahu tentang peristiwa penting, seperti hibah dan persetujuan yang tertunda.

Prinsipal yang telah ditambahkan sebagai pemohon ke hak dapat meminta pemberian atas hak tersebut. Jika berhasil, mereka akan diberi peran yang tercantum dalam hak hingga akhir durasi pemberian, setelah itu peran akan dicabut oleh Privileged Access Manager.

Kasus penggunaan

Untuk menggunakan Privileged Access Manager secara efektif, mulailah dengan mengidentifikasi kasus penggunaan dan skenario tertentu yang dapat memenuhi kebutuhan organisasi Anda. Sesuaikan hak Privileged Access Manager Anda berdasarkan kasus penggunaan ini serta persyaratan dan kontrol yang diperlukan. Hal ini mencakup pemetaan pengguna, peran, resource, dan durasi yang terlibat, beserta justifikasi dan persetujuan yang diperlukan.

Meskipun Privileged Access Manager dapat digunakan sebagai praktik terbaik umum untuk memberikan hak istimewa sementara, bukan permanen, berikut beberapa skenario tempatnya umum digunakan:

  • Memberikan akses darurat: Mengizinkan petugas tanggap darurat tertentu untuk melakukan tugas kritis tanpa harus menunggu persetujuan. Anda dapat mewajibkan justifikasi untuk konteks tambahan tentang alasan diperlukannya akses darurat.

  • Kontrol akses ke resource sensitif: Kontrol akses ke resource sensitif dengan ketat, yang memerlukan persetujuan dan justifikasi bisnis. Privileged Access Manager juga dapat digunakan untuk mengaudit cara penggunaan akses ini—misalnya, kapan peran yang diberikan aktif untuk pengguna, resource mana yang dapat diakses selama waktu tersebut, justifikasi untuk akses, dan siapa yang menyetujuinya.

    Misalnya, Anda dapat menggunakan Privileged Access Manager untuk melakukan hal berikut:

    • Berikan akses sementara ke lingkungan produksi kepada developer untuk pemecahan masalah atau deployment.

    • Berikan engineer dukungan akses ke data pelanggan sensitif untuk tugas tertentu.

    • Berikan hak istimewa yang ditingkatkan kepada administrator database untuk pemeliharaan atau perubahan konfigurasi.

  • Membantu mengamankan akun layanan: Daripada memberikan peran secara permanen ke akun layanan, izinkan akun layanan untuk meningkatkan peran secara mandiri dan hanya mengambil peran saat diperlukan untuk tugas otomatis.

  • Mengelola akses untuk kontraktor dan tenaga kerja eksternal: Berikan kontraktor atau anggota tenaga kerja eksternal akses sementara yang dibatasi waktu ke resource, dengan persetujuan dan justifikasi yang diperlukan.

Kemampuan dan batasan

Bagian berikut menjelaskan berbagai kemampuan dan batasan Privileged Access Manager.

Resource yang didukung

Privileged Access Manager mendukung pembuatan hak dan meminta pemberian untuk project, folder, dan organisasi. Jika ingin membatasi akses ke sebagian resource dalam project, folder, atau organisasi, Anda dapat menambahkan IAM Conditions ke hak. Privileged Access Manager mendukung semua atribut kondisi kecuali tag resource.

Peran yang didukung

Privileged Access Manager mendukung peran standar dan peran kustom. Peran dasar tidak didukung.

Identitas yang didukung

Privileged Access Manager mendukung semua jenis identitas, termasuk Cloud Identity, Workforce Identity Federation, dan Workload Identity Federation.

Logging audit

Peristiwa Privileged Access Manager, seperti pembuatan hak, permintaan, atau peninjauan hibah, dicatat ke Cloud Audit Logs. Untuk mengetahui daftar lengkap peristiwa yang lognya dibuat oleh Privileged Access Manager, lihat dokumentasi logging audit Privileged Access Manager. Untuk mempelajari cara melihat log ini, lihat Mengaudit peristiwa pemberian dan hak istimewa di Privileged Access Manager.

Memberikan retensi

Pemberian akan otomatis dihapus dari Privileged Access Manager 30 hari setelah ditolak, dicabut, atau habis masa berlakunya atau berakhir. Log untuk pemberian disimpan di Cloud Audit Logs selama durasi retensi log bucket _Required. Untuk mempelajari cara melihat log ini, lihat Mengaudit peristiwa pemberian dan hak istimewa di Privileged Access Manager.

Privileged Access Manager dan perubahan kebijakan IAM

Privileged Access Manager mengelola akses sementara dengan menambahkan dan menghapus binding peran dari kebijakan IAM resource. Jika binding peran ini diubah oleh sesuatu selain Privileged Access Manager, Privileged Access Manager mungkin tidak berfungsi seperti yang diharapkan.

Untuk menghindari masalah ini, sebaiknya lakukan hal berikut:

  • Jangan mengubah penetapan peran yang dikelola oleh Privileged Access Manager secara manual.
  • Jika Anda menggunakan Terraform untuk mengelola kebijakan IAM, pastikan Anda menggunakan resource non-otoritatif, bukan resource otoritatif. Hal ini memastikan bahwa Terraform tidak akan mengganti binding peran Privileged Access Manager, meskipun tidak ada dalam konfigurasi kebijakan IAM deklaratif.

Notifikasi

Privileged Access Manager dapat memberi tahu Anda tentang berbagai peristiwa yang terjadi di Privileged Access Manager seperti yang dijelaskan di bagian berikut.

Notifikasi email

Privileged Access Manager mengirimkan notifikasi email kepada pemangku kepentingan yang relevan untuk perubahan hak dan pemberian. Kumpulan penerima adalah sebagai berikut:

  • Pemohon hak yang memenuhi syarat:

    • Alamat email pengguna dan grup Cloud Identity yang ditentukan sebagai pemohon dalam hak
    • Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan konsol Google Cloud, alamat email ini tercantum di kolom Beri tahu tentang hak yang memenuhi syarat di bagian Notifikasi tambahan dari hak. Saat menggunakan gcloud CLI atau REST API, alamat email ini dicantumkan di kolom requesterEmailRecipients.
  • Memberikan pemberi persetujuan untuk hak:

    • Alamat email pengguna dan grup Cloud Identity yang ditentukan sebagai pemberi persetujuan dalam hak.
    • Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan konsol Google Cloud, alamat email ini tercantum di kolom Beri tahu saat hibah menunggu persetujuan di bagian Notifikasi tambahan dari hak. Saat menggunakan gcloud CLI atau REST API, alamat email ini tercantum di kolom approverEmailRecipients pada langkah alur kerja persetujuan.
  • Administrator hak:

    • Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan Konsol Google Cloud, alamat email ini tercantum di kolom Beri tahu saat akses diberikan di bagian Notifikasi tambahan hak. Saat menggunakan gcloud CLI atau REST API, alamat email ini tercantum di kolom adminEmailRecipients.
  • Pemohon hibah:

    • Alamat email pemohon hibah jika ia adalah pengguna Cloud Identity.
    • Alamat email tambahan yang ditambahkan oleh pemohon saat meminta hibah: Saat menggunakan konsol Google Cloud, alamat email ini tercantum di kolom Alamat email untuk menerima info terbaru tentang hibah ini. Saat menggunakan gcloud CLI atau REST API, alamat email ini dicantumkan di kolom additionalEmailRecipients.

Privileged Access Manager mengirim email ke alamat email ini untuk peristiwa berikut:

Penerima Acara
Pemohon hak yang memenuhi syarat Saat hak dibuat dan tersedia untuk digunakan
Memberikan pemberi persetujuan untuk hak Saat hibah diminta dan memerlukan persetujuan
Pemohon hibah
  • Saat pemberian berhasil diaktifkan atau gagal diaktifkan
  • Saat hibah berakhir
  • Saat pemberian ditolak
  • Saat masa berlaku pemberian berakhir (tidak disetujui atau ditolak dalam waktu 24 jam)
  • Saat pemberian dicabut
Administrator hak
  • Saat pemberian berhasil diaktifkan atau gagal diaktifkan
  • Saat hibah berakhir

Notifikasi Pub/Sub

Privileged Access Manager terintegrasi dengan Inventaris Aset Cloud. Anda dapat menggunakan fitur feed Inventaris Aset Cloud untuk menerima notifikasi tentang semua perubahan pemberian melalui Pub/Sub. Jenis aset yang akan digunakan untuk hibah adalah privilegedaccessmanager.googleapis.com/Grant.

Langkah selanjutnya