Visão geral do Privileged Access Manager

É possível usar o Privileged Access Manager (PAM) para controlar a elevação temporária de privilégios no momento certo para principais e conferir os registros de auditoria para descobrir quem teve acesso a quê e quando.

Para permitir a elevação temporária, crie um direito de acesso no Privileged Access Manager e adicione os seguintes atributos:

  • Um conjunto de principais que podem solicitar uma concessão para o direito de acesso.

  • Se uma justificativa é necessária para essa concessão.

  • Um conjunto de papéis para fazer uma concessão temporária. As condições do IAM podem ser definidas nos papéis.

  • A duração máxima de uma concessão.

  • Opcional: se as solicitações precisam de aprovação de um conjunto selecionado de principais e se eles precisam justificar a aprovação.

  • Opcional: outras partes interessadas que serão notificadas sobre eventos importantes, como concessões e aprovações pendentes.

Um principal que foi adicionado como solicitante a um direito pode solicitar uma concessão. Se for bem-sucedido, as funções listadas no direito de acesso serão concedidas até o final da duração do direito, e após as funções serão revogadas pelo Privileged Access Manager.

Casos de uso

Para usar o Privileged Access Manager de maneira eficaz, comece identificando casos de uso e cenários específicos em que ele pode atender às necessidades da sua organização. Personalize os direitos de acesso do Privileged Access Manager com base nesses casos de uso e nos requisitos e nos controles necessários. Isso envolve mapear os usuários, papéis, recursos e durações envolvidos, além de todas as justificativas e aprovações necessárias.

Embora o Privileged Access Manager possa ser usado como uma prática recomendada geral para conceder privilégios temporários em vez de permanentes, confira alguns cenários em que ele pode ser usado com frequência:

  • Conceder acesso de emergência: permite que equipes de emergência selecionadas realizem tarefas críticas sem precisar esperar pela aprovação. É possível exigir justificativas para mais contexto sobre por que o acesso de emergência é necessário.

  • Controle de acesso a recursos sensíveis: controle com rigor o acesso a recursos sensíveis, exigindo aprovações e justificativas comerciais. O Privileged Access Manager também pode ser usado para auditar como esse acesso foi usado. Por exemplo, quando os papéis concedidos estavam ativos para um usuário, quais recursos estavam acessíveis durante esse período, a justificativa para o acesso e quem o aprovou.

    Por exemplo, é possível usar o Privileged Access Manager para fazer o seguinte:

    • Conceder aos desenvolvedores acesso temporário a ambientes de produção para resolver problemas ou fazer implantações.

    • Conceder aos engenheiros de suporte acesso a dados sensíveis do cliente para tarefas específicas.

    • Conceder privilégios elevados aos administradores do banco de dados para manutenção ou mudanças de configuração.

  • Ajude a proteger as contas de serviço: em vez de conceder papéis de forma permanente a contas de serviço, permita que elas se elevem e assumam papéis apenas quando necessário para tarefas automatizadas.

  • Gerenciar o acesso de prestadores de serviço e da equipe de colaboradores terceirizados: conceda a prestadores de serviço ou membros da equipe de colaboradores terceirizados acesso temporário e limitado no tempo aos recursos, com as aprovações e as justificativas necessárias.

Recursos e limitações

As seções a seguir descrevem os diferentes recursos e limitações do Privileged Access Manager.

Recursos suportados

O Privileged Access Manager oferece suporte à criação de direitos e solicitações de permissões para projetos, pastas e organizações. Se você quiser limitar o acesso a um subconjunto de recursos em um projeto, uma pasta ou uma organização, adicione condições do IAM ao direito de acesso. O Privileged Access Manager oferece suporte a todos os atributos de condição, exceto tags de recursos.

Papéis compatíveis

O Privileged Access Manager oferece suporte a papéis predefinidos e personalizados. Não é possível usar papéis básicos.

Identidades compatíveis

O Privileged Access Manager oferece suporte a todos os tipos de identidade, incluindo o Cloud Identity, a federação de identidade de colaboradores e federação de identidade da carga de trabalho.

Registro de auditoria

Os eventos do Privileged Access Manager, como a criação de direitos, a requisição ou a revisão de permissões, são registrados nos Registros de auditoria do Cloud. Para uma lista completa de eventos para os quais o Privileged Access Manager gera registros, consulte a documentação de registro de auditoria do Privileged Access Manager. Para saber como visualizar esses registros, consulte Auditar direitos e conceder eventos no Privileged Access Manager.

Retenção de concessão

As permissões são excluídas automaticamente do Privileged Access Manager 30 dias após serem negadas, revogadas ou expiradas. Os registros de permissões são mantidos nos Registros de auditoria do Cloud durante o período de armazenamento de registros do bucket _Required. Para saber como visualizar esses registros, consulte Auditar direitos e conceder eventos no Privileged Access Manager.

Modificações da política do Privileged Access Manager e do IAM

O Privileged Access Manager gerencia o acesso temporário adicionando e removendo vinculações de função das políticas de IAM dos recursos. Se essas vinculações de função forem modificadas por algo diferente do Privileged Access Manager, ele poderá não funcionar como esperado.

Para evitar esse problema, recomendamos o seguinte:

  • Não modifique manualmente as vinculações de função que são gerenciadas pelo Privileged Access Manager.
  • Se você usa o Terraform para gerenciar as políticas do IAM, verifique se está usando recursos não autorizados em vez de recursos autorizados. Isso garante que o Terraform não substitua as vinculações de função do Privileged Access Manager, mesmo que elas não estejam na configuração declarativa da política do IAM.

Notificações

O Privileged Access Manager pode notificar você sobre vários eventos que ocorrem nele, conforme descrito nas seções a seguir.

Notificações por e-mail

O Privileged Access Manager envia notificações por e-mail às partes interessadas relevantes para mudanças de direito de acesso e concessão. Os conjuntos de destinatários são os seguintes:

  • Solicitantes qualificados de um direito de acesso:

    • Endereços de e-mail de usuários do Cloud Identity e grupos especificados como solicitantes no direito de acesso
    • Endereços de e-mail configurados manualmente no direito: ao usar o console do Google Cloud, esses endereços de e-mail são listados no campo Notificar sobre um direito de acesso qualificado na seção Notificações adicionais do direito de acesso. Ao usar a gcloud CLI ou a API REST, esses endereços de e-mail são listados no campo requesterEmailRecipients.
  • Conceder aprovadores a um direito de acesso:

    • Endereços de e-mail de usuários e grupos do Cloud Identity especificados como aprovadores do direito de acesso.
    • Endereços de e-mail configurados manualmente no direito: ao usar o console do Google Cloud, esses endereços de e-mail são listados no campo Notificar quando uma concessão estiver pendente de aprovação na seção Notificações adicionais do direito de acesso. Ao usar a gcloud CLI ou a API REST, esses endereços de e-mail são listados no campo approverEmailRecipients das etapas do fluxo de trabalho de aprovação.
  • Administrador do direito de acesso:

    • Endereços de e-mail configurados manualmente no direito: ao usar o console do Google Cloud, esses endereços de e-mail são listados no campo Notificar quando o acesso for concedido na seção Notificações adicionais do direito de acesso. Ao usar a gcloud CLI ou a API REST, esses endereços de e-mail são listados no campo adminEmailRecipients.
  • Solicitante de uma concessão:

    • Endereço de e-mail do solicitante, se ele for um usuário do Cloud Identity.
    • Outros endereços de e-mail adicionados pelo solicitante para o subsídio: ao usar o console do Google Cloud, esses endereços de e-mail são listados no campo Endereços de e-mail para receber atualizações sobre estea concessão. Ao usar a gcloud CLI ou a API REST, esses endereços de e-mail são listados no campo additionalEmailRecipients.

O Privileged Access Manager envia e-mails para esses endereços de e-mail nos seguintes eventos:

Destinatários Evento
Solicitantes qualificados de um direito de acesso Quando o direito é criado de acesso e fica disponível para uso
Conceder aprovadores para um direito de acesso Quando uma concessão é solicitada e precisa de aprovação
Solicitante de uma concessão
  • Quando a concessão é ativada ou não é ativada
  • Quando a concessão termina
  • Quando a concessão é negada
  • Quando o prazo expira (se não for aprovado ou negado em 24 horas)
  • Quando a concessão for revogada
Administrador do direito de acesso
  • Quando a concessão é ativada ou não é ativada
  • Quando a concessão termina

Notificações do Pub/Sub

O Privileged Access Manager é integrado ao Inventário de recursos do Cloud. É possível usar o recurso de feeds do Inventário de recursos do Cloud para receber notificações sobre todas as alterações de concessão pelo Pub/Sub. O tipo de recurso a ser usado para concessões é privilegedaccessmanager.googleapis.com/Grant.

A seguir