您可以使用 Privileged Access Manager (PAM) 控制为所选主账号临时提升特权,并在事后查看审核日志,了解哪些人在什么时间访问了什么内容。
如需允许临时提权,您可以在 Privileged Access Manager 中创建使用权,并向其添加以下属性:
可请求授予使用权的一组主账号。
该授权是否要求提供理由。
授权持续时长上限。
可选:请求是否需要经过一组选定主账号的批准,以及这些主账号是否需要提供批准理由。
可选:需要收到重要事件(例如授权和待批准)通知的其他利益相关方。
已作为请求者添加到某项权限的主账号可以请求针对该权限进行授权。如果成功,他们会获得使用权中列出的角色,直至授权时长结束,之后 Privileged Access Manager 会撤消这些角色。
使用场景
要有效地使用 Privileged Access Manager,请先确定它在哪些特定使用情形和应用场景下可以满足贵组织的需求。根据这些使用情形以及必要的要求和控制措施,定制您的 Privileged Access Manager 使用权。这涉及规划相关的用户、角色、资源和时长,以及所有必要的理由和审批。
Privileged Access Manager 可作为授予临时权限(而不是永久权限)的通用最佳实践,以下是一些常见的应用场景:
授予紧急访问权限:可让所选的紧急响应人员执行关键任务,而无需等待批准。您可以要求提供理由,进一步说明为什么需要紧急访问权限。
控制对敏感资源的访问权限:严格控制对敏感资源的访问权限,需要进行审批和提供业务理由。Privileged Access Manager 还可用于审核此访问权限的使用情况,例如,已授予的角色何时对用户生效,在该时间段内可以访问哪些资源,该访问权限的理由,以及谁批准了该访问权限。
例如,您可以使用 Privileged Access Manager 执行以下操作:
为开发者提供对生产环境的临时访问权限,以便进行问题排查或部署。
为支持工程师提供对敏感客户数据的访问权限,以便执行特定任务。
为数据库管理员提供提升的权限,以便进行维护或配置更改。
帮助保护服务账号的安全:允许服务账号仅在需要自动执行任务时自行提升权限和担任角色,而不是永久向服务账号授予角色。
管理承包商和外聘人员的访问权限:向承包商或外聘人员授予临时、有时间限制的资源访问权限,并要求获得批准和提供理由。
功能和限制
以下部分介绍了 Privileged Access Manager 的不同功能和限制。
支持的资源
Privileged Access Manager 支持为项目、文件夹和组织创建使用权并请求相应授权。如果您想限制对项目、文件夹或组织中部分资源的访问权限,可以向使用权添加 IAM Conditions。Privileged Access Manager 支持除资源标记外的所有条件属性。
支持的角色
Privileged Access Manager 支持预定义角色、自定义角色以及 Admin、Writer 和 Reader 基本角色。Privileged Access Manager 不支持旧版基本角色(Owner、Editor 和 Viewer)。
支持的身份
Privileged Access Manager 支持所有类型的身份,包括 Cloud Identity、员工身份联合和工作负载身份联合。
审核日志记录
Privileged Access Manager 事件(例如创建使用权、申请或审核授权)会记录到 Cloud Audit Logs 中。如需查看 Privileged Access Manager 生成日志所对应事件的完整列表,请参阅 Privileged Access Manager 审核日志记录文档。如需了解如何查看这些日志,请参阅在 Privileged Access Manager 中审核权限和授权事件。
授权保留
授权会在被拒绝、被撤消、到期或结束后 30 天内从 Privileged Access Manager 中自动删除。授权日志会在 Cloud Audit Logs 中保留,保留时间为 _Required 存储桶的日志保留时长。如需了解如何查看这些日志,请参阅在 Privileged Access Manager 中审核使用权和授权事件。
Privileged Access Manager 和 IAM 政策修改
Privileged Access Manager 通过在资源的 IAM 政策中添加和移除角色绑定来管理临时访问权限。如果这些角色绑定是通过 Privileged Access Manager 以外的其他方式修改的,则 Privileged Access Manager 可能无法按预期运行。
为避免此问题,我们建议您执行以下操作:
- 不要手动修改由 Privileged Access Manager 管理的角色绑定。
- 如果您使用 Terraform 管理 IAM 政策,请确保您使用的是非权威资源,而不是权威资源。这样可确保 Terraform 不会替换 Privileged Access Manager 角色绑定,即使它们不在声明式 IAM 政策配置中也是如此。
通知
Privileged Access Manager 可以通知您 Privileged Access Manager 中发生的各种事件,如以下部分所述。
电子邮件通知
Privileged Access Manager 会在使用权和授权变更时向利益相关方发送电子邮件通知。收件人如下所示:
符合条件的使用权请求者:
- 在使用权中指定为请求者的 Cloud Identity 用户和群组的电子邮件地址
- 在使用权中手动配置的电子邮件地址:在使用 Google Cloud 控制台时,这些电子邮件地址会列在使用权的其他通知部分的就符合条件的使用权发送通知字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在
requesterEmailRecipients字段中。
使用权的授权审批人:
- 在使用权中指定为审批者的 Cloud Identity 用户和群组的电子邮件地址。
- 在使用权中手动配置的电子邮件地址:在使用 Google Cloud 控制台时,这些电子邮件地址会列在使用权的其他通知部分的在授权待批准时发送通知字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在审批工作流步骤的
approverEmailRecipients字段中。
使用权的管理员:
- 在使用权中手动配置的电子邮件地址:在使用 Google Cloud 控制台时,这些电子邮件地址会列在使用权的其他通知部分的在授予访问权限时发送通知字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在
adminEmailRecipients字段中。
- 在使用权中手动配置的电子邮件地址:在使用 Google Cloud 控制台时,这些电子邮件地址会列在使用权的其他通知部分的在授予访问权限时发送通知字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在
授权请求者:
- 授权请求者的电子邮件地址(如果是 Cloud Identity 用户)。
- 请求者在请求授权时添加的其他电子邮件地址:使用 Google Cloud 控制台时,这些电子邮件地址会列在接收有关此授权的最新信息的电子邮件地址字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在
additionalEmailRecipients字段中。
Privileged Access Manager 会在以下事件发生时向这些电子邮件地址发送电子邮件:
| 收件人 | 活动 |
|---|---|
| 符合条件的使用权请求者 | 使用权已创建并可供使用时 |
| 使用权的授权审批人 | 已请求授权并需要审批时 |
| 授权请求者 |
|
| 使用权的管理员 |
|
Pub/Sub 通知
Privileged Access Manager 与 Cloud Asset Inventory 集成。您可以使用 Cloud Asset Inventory Feed 功能通过 Pub/Sub 接收有关所有授权变更的通知。用于授权的资产类型为 privilegedaccessmanager.googleapis.com/Grant。