É possível usar o Privileged Access Manager (PAM) para controlar a elevação de privilégios temporários just-in-time para determinados participantes e acessar os registros de auditoria depois para descobrir quem teve acesso a quais recursos e quando.
Para permitir a elevação temporária, crie um direito de acesso no Privileged Access Manager e adicione os seguintes atributos:
Um conjunto de principais que podem solicitar uma concessão para o direito.
Se uma justificativa é necessária para essa concessão.
Um conjunto de papéis para conceder temporariamente. As condições do IAM podem ser definidas nos papéis.
A duração máxima de uma concessão.
Opcional: se as solicitações precisam de aprovação de um conjunto selecionado de diretores e se esses diretores precisam justificar a aprovação.
Opcional: outras partes interessadas que serão notificadas sobre eventos importantes, como concessões e aprovações pendentes.
Um titular que foi adicionado como solicitante a um direito pode solicitar uma concessão. Se for bem-sucedido, as funções listadas no direito de acesso serão concedidas até o final da duração do direito, e após as funções serão revogadas pelo Privileged Access Manager.
Casos de uso
Para usar o Privileged Access Manager de maneira eficaz, comece identificando casos de uso e cenários específicos em que ele pode atender às necessidades da sua organização. Personalize seus direitos do Privileged Access Manager com base nesses casos de uso e nos requisitos e controles necessários. Isso envolve mapear os usuários, papéis, recursos e durações envolvidos, além de todas as justificativas e aprovações necessárias.
Embora o Privileged Access Manager possa ser usado como uma prática recomendada geral para conceder privilégios temporários em vez de permanentes, confira alguns cenários em que ele pode ser usado com frequência:
Conceder acesso de emergência: permita que equipes de emergência selecionadas realizem tarefas críticas sem precisar esperar pela aprovação. É possível exigir justificativas para mais contexto sobre por que o acesso de emergência é necessário.
Controle de acesso a recursos sensíveis: controle com rigor o acesso a recursos sensíveis, exigindo aprovações e justificativas comerciais. O Privileged Access Manager também pode ser usado para auditar como esse acesso foi usado. Por exemplo, quando os papéis concedidos estavam ativos para um usuário, quais recursos estavam acessíveis durante esse período, a justificativa para o acesso e quem o aprovou.
Por exemplo, é possível usar o Privileged Access Manager para fazer o seguinte:
Conceder aos desenvolvedores acesso temporário a ambientes de produção para resolver problemas ou fazer implantações.
Conceder aos engenheiros de suporte acesso a dados sensíveis do cliente para tarefas específicas.
Conceder privilégios elevados aos administradores do banco de dados para manutenção ou mudanças de configuração.
Ajude a proteger as contas de serviço: em vez de conceder papéis de forma permanente a contas de serviço, permita que elas se elevem e assumam papéis apenas quando necessário para tarefas automatizadas.
Gerenciar o acesso de contratados e da força de trabalho estendida: conceda a contratados ou membros da força de trabalho estendida acesso temporário e limitado aos recursos, com aprovações e justificativas necessárias.
Recursos e limitações
As seções a seguir descrevem os diferentes recursos e limitações do Privileged Access Manager.
Recursos suportados
O Privileged Access Manager oferece suporte à criação de direitos e solicitações de permissões para projetos, pastas e organizações. Se você quiser limitar o acesso a um subconjunto de recursos em um projeto, uma pasta ou uma organização, adicione condições do IAM ao direito. O Privileged Access Manager oferece suporte a todos os atributos de condição, exceto tags de recursos.
Papéis compatíveis
O Privileged Access Manager oferece suporte a papéis predefinidos e personalizados. Não é possível usar papéis básicos.
Identidades compatíveis
O Privileged Access Manager oferece suporte a todos os tipos de identidade, incluindo Cloud Identity, Federação de identidade da força de trabalho e Federação de identidade da carga de trabalho.
Registro de auditoria
Os eventos do Privileged Access Manager, como a criação de direitos, a requisição ou a revisão de permissões, são registrados nos Registros de auditoria do Cloud. Para uma lista completa de eventos para os quais o Privileged Access Manager gera registros, consulte a documentação de registro de auditoria do Privileged Access Manager. Para saber como visualizar esses registros, consulte Auditar direitos e conceder eventos no Privileged Access Manager.
Retenção de concessão
As permissões são excluídas automaticamente do Privileged Access Manager
30 dias após serem negadas, revogadas ou expiradas. Os registros de permissões são mantidos nos Registros de auditoria do Cloud durante o
período de armazenamento de registros do bucket _Required.
Para saber como visualizar esses registros, consulte
Auditar direitos e conceder eventos no Privileged Access Manager.
Modificações da política do Privileged Access Manager e do IAM
O Privileged Access Manager gerencia o acesso temporário adicionando e removendo vinculações de função das políticas de IAM dos recursos. Se essas vinculações de função forem modificadas por algo diferente do Privileged Access Manager, ele poderá não funcionar como esperado.
Para evitar esse problema, recomendamos o seguinte:
- Não modifique manualmente as vinculações de função que são gerenciadas pelo Privileged Access Manager.
- Se você usa o Terraform para gerenciar suas políticas do IAM, verifique se está usando recursos não autorizados em vez de recursos autorizados. Isso garante que o Terraform não substitua as vinculações de função do Privileged Access Manager, mesmo que elas não estejam na configuração declarativa da política do IAM.
Notificações
O Privileged Access Manager pode notificar você sobre vários eventos que ocorrem nele, conforme descrito nas seções a seguir.
Notificações por e-mail
O Privileged Access Manager envia notificações por e-mail às partes interessadas relevantes para mudanças de direito de acesso e concessão. Os conjuntos de destinatários são os seguintes:
Solicitantes qualificados de um direito de acesso:
- Endereços de e-mail de usuários do Cloud Identity e grupos especificados como solicitantes no direito
- Endereços de e-mail configurados manualmente no direito: ao usar o console do Google Cloud, esses endereços de e-mail são listados no campo Notificar sobre um direito qualificado na seção Notificações adicionais do direito. Ao usar
a gcloud CLI ou a API REST, esses endereços de e-mail são listados
no campo
requesterEmailRecipients.
Conceder aprovadores a um direito:
- Endereços de e-mail de usuários e grupos do Cloud Identity especificados como aprovadores no direito.
- Endereços de e-mail configurados manualmente no direito: ao usar o
console do Google Cloud, esses endereços de e-mail são listados no campo
Notificar quando uma concessão estiver pendente de aprovação na seção
Notificações adicionais do direito. Ao usar a
gcloud CLI ou a API REST, esses endereços de e-mail são listados no
campo
approverEmailRecipientsdas etapas do fluxo de trabalho de aprovação.
Administrador do direito:
- Endereços de e-mail configurados manualmente no direito: ao usar o
console do Google Cloud, esses endereços de e-mail são listados no campo
Notificar quando o acesso for concedido na seção Notificações adicionais
do direito. Ao usar a gcloud CLI ou a
API REST, esses endereços de e-mail são listados no campo
adminEmailRecipients.
- Endereços de e-mail configurados manualmente no direito: ao usar o
console do Google Cloud, esses endereços de e-mail são listados no campo
Notificar quando o acesso for concedido na seção Notificações adicionais
do direito. Ao usar a gcloud CLI ou a
API REST, esses endereços de e-mail são listados no campo
Solicitante de uma bolsa:
- Endereço de e-mail do solicitante do acesso, se ele for um usuário do Cloud Identity.
- Outros endereços de e-mail adicionados pelo solicitante ao solicitar o
subsídio: ao usar o console do Google Cloud, esses endereços de e-mail são listados
no campo Endereços de e-mail para receber atualizações sobre este subsídio. Ao
usar a gcloud CLI ou a API REST, esses endereços de e-mail
são listados no campo
additionalEmailRecipients.
O Privileged Access Manager envia e-mails para esses endereços de e-mail nos seguintes eventos:
| Destinatários | Evento |
|---|---|
| Solicitantes qualificados de um direito | Quando o direito é criado e fica disponível para uso |
| Conceder aprovadores para um direito | Quando uma concessão é solicitada e precisa de aprovação |
| Solicitante de uma concessão |
|
| Administrador do direito |
|
Notificações do Pub/Sub
O Privileged Access Manager é integrado ao Inventário de recursos do Cloud.
É possível usar o recurso de feeds do Inventário de recursos do Cloud
para receber notificações sobre todas as alterações de concessão pelo
Pub/Sub. O tipo de recurso a ser usado para permissões é
privilegedaccessmanager.googleapis.com/Grant.