Privileged Access Manager – Übersicht

Mit Privileged Access Manager (PAM) können Sie die temporäre Just-in-Time-Ausweitung von Berechtigungen für ausgewählte Hauptkonten steuern und anschließend Audit-Logs aufrufen, um herauszufinden, wer wann auf was zugegriffen hat.

Wenn Sie eine vorübergehende Erhöhung der Zugriffsrechte zulassen möchten, erstellen Sie in Privileged Access Manager eine Berechtigung und fügen Sie ihr die folgenden Attribute hinzu:

  • Eine Reihe von Hauptkonten, die eine Erteilung für die Berechtigung anfordern dürfen.

  • Ob für diese Erteilung eine Begründung erforderlich ist.

  • Eine Reihe von Rollen, die vorübergehend gewährt werden sollen. Für die Rollen können IAM-Bedingungen festgelegt werden.

  • Die maximale Dauer einer Erteilung.

  • Optional: Ob Anfragen von ausgewählten Hauptkonten genehmigt werden müssen und ob diese Hauptkonten ihre Genehmigung begründen müssen.

  • Optional: Zusätzliche Stakeholder, die über wichtige Ereignisse benachrichtigt werden sollen, z. B. über Erteilungen und ausstehende Genehmigungen.

Ein Hauptkonto, das einer Berechtigung als Anforderer hinzugefügt wurde, kann eine Erteilung für diese Berechtigung beantragen. Bei Erfolg werden ihm die in der Berechtigung aufgeführten Rollen bis zum Ende der Gültigkeitsdauer gewährt. Danach werden die Rollen vom Privileged Access Manager widerrufen.

Anwendungsfälle

Um Privileged Access Manager effektiv zu nutzen, sollten Sie zuerst bestimmte Anwendungsfälle und Szenarien ermitteln, in denen die Lösung die Anforderungen Ihrer Organisation erfüllen kann. Passen Sie Ihre PAM-Berechtigungen an diese Anwendungsfälle und erforderlichen Anforderungen und Kontrollen an. Dazu müssen die beteiligten Nutzer, Rollen, Ressourcen und Zeiträume sowie alle erforderlichen Begründungen und Genehmigungen erfasst werden.

Der Privileged Access Manager kann als allgemeine Best Practice verwendet werden, um temporäre statt dauerhafte Berechtigungen zu gewähren. Hier sind einige Szenarien, in denen er häufig verwendet wird:

  • Notfallzugriff gewähren: Sie können ausgewählten Rettungskräften erlauben, wichtige Aufgaben auszuführen, ohne auf eine Genehmigung warten zu müssen. Sie können eine Begründung für zusätzlichen Kontext verlangen, warum der Notfallzugriff erforderlich ist.

  • Zugriff auf sensible Ressourcen steuern: Der Zugriff auf sensible Ressourcen wird streng kontrolliert und erfordert Genehmigungen und geschäftliche Begründungen. Privileged Access Manager kann auch verwendet werden, um zu prüfen, wie dieser Zugriff verwendet wurde, z. B. wann gewährte Rollen für einen Nutzer aktiv waren, auf welche Ressourcen zu diesem Zeitpunkt zugegriffen werden konnte, welche Begründung für den Zugriff vorliegt und wer ihn genehmigt hat.

    Mit Privileged Access Manager können Sie beispielsweise Folgendes tun:

    • Entwicklern vorübergehenden Zugriff auf Produktionsumgebungen für die Fehlerbehebung oder Bereitstellungen gewähren

    • Support-Entwicklern Zugriff auf vertrauliche Kundendaten für bestimmte Aufgaben gewähren

    • Datenbankadministratoren erhöhte Berechtigungen für Wartungs- oder Konfigurationsänderungen gewähren

  • Dienstkonten besser schützen: Anstatt Dienstkonten dauerhaft Rollen zuzuweisen, sollten Sie ihnen erlauben, sich selbst zu steigern und Rollen nur dann zu übernehmen, wenn sie für automatisierte Aufgaben erforderlich sind.

  • Zugriff für Auftragnehmer und externe Mitarbeiter verwalten: Gewähren Sie Auftragnehmern oder externen Mitarbeitern vorübergehenden, zeitlich begrenzten Zugriff auf Ressourcen, wobei Genehmigungen und Begründungen erforderlich sind.

Funktionen und Beschränkungen

In den folgenden Abschnitten werden die verschiedenen Funktionen und Einschränkungen von Privileged Access Manager beschrieben.

Unterstützte Ressourcen

Privileged Access Manager unterstützt das Erstellen von Berechtigungen und das Anfordern von Erteilungen dieser Berechtigungen für Projekte, Ordner und Organisationen. Wenn Sie den Zugriff auf eine Teilmenge von Ressourcen innerhalb eines Projekts, Ordners oder einer Organisation einschränken möchten, können Sie der Berechtigung IAM-Bedingungen hinzufügen. Privileged Access Manager unterstützt alle Bedingungsattribute mit Ausnahme von Ressourcen-Tags.

Unterstützte Rollen

Privileged Access Manager unterstützt vordefinierte Rollen und benutzerdefinierte Rollen. Einfache Rollen werden nicht unterstützt.

Unterstützte Identitäten

Privileged Access Manager unterstützt alle Arten von Identitäten, einschließlich Cloud Identity, Workforce Identity-Föderation und Workload Identity-Föderation.

Audit-Logging

PAM-Ereignisse, z. B. das Erstellen von Berechtigungen, die Anforderung oder Überprüfung von Erteilungen, werden in Cloud-Audit-Logs protokolliert. Eine vollständige Liste der Ereignisse, für die Privileged Access Manager Protokolle generiert, finden Sie in der Dokumentation zum Audit-Logging von Privileged Access Manager. Informationen zum Aufrufen dieser Protokolle finden Sie unter Berechtigungs- und Gewährungsereignisse in Privileged Access Manager prüfen.

Aufbewahrung von Erteilungen

Erteilungen von Berechtigungen werden 30 Tage nach Ablehnung, Widerruf, Ablauf oder Ende automatisch aus dem Privileged Access Manager gelöscht. Logs für Erteilungen werden in Cloud Audit Logs für die Aufbewahrungsdauer des _Required-Buckets aufbewahrt. Informationen zum Aufrufen dieser Protokolle finden Sie unter Berechtigungs- und Gewährungsereignisse in Privileged Access Manager prüfen.

Änderungen an Privileged Access Manager- und IAM-Richtlinien

Privileged Access Manager verwaltet den vorübergehenden Zugriff, indem Rollenbindungen zu den IAM-Richtlinien von Ressourcen hinzugefügt und daraus entfernt werden. Wenn diese Rollenbindungen nicht über Privileged Access Manager geändert werden, funktioniert Privileged Access Manager möglicherweise nicht wie erwartet.

Um dieses Problem zu vermeiden, empfehlen wir Folgendes:

  • Rollenbindungen, die von Privileged Access Manager verwaltet werden, dürfen nicht manuell geändert werden.
  • Wenn Sie Terraform zum Verwalten Ihrer IAM-Richtlinien verwenden, sollten Sie nicht autoritative Ressourcen anstelle von autoritativen Ressourcen verwenden. So wird sichergestellt, dass Terraform keine Rollenbindungen für Privileged Access Manager überschreibt, auch wenn sie nicht in der deklarativen IAM-Richtlinienkonfiguration enthalten sind.

Benachrichtigungen

Privileged Access Manager kann Sie wie in den folgenden Abschnitten beschrieben über verschiedene Ereignisse in Privileged Access Manager benachrichtigen.

E-Mail-Benachrichtigungen

Privileged Access Manager sendet E-Mail-Benachrichtigungen an die relevanten Stakeholder, wenn Berechtigungen und Bewilligungen geändert werden. Die Empfängergruppen sind:

  • Berechtigte Antragsteller einer Berechtigung:

    • E-Mail-Adressen von Cloud Identity-Nutzern und Gruppen, die in der Berechtigung als Antragsteller angegeben sind
    • Manuell konfigurierte E-Mail-Adressen in der Berechtigung: Wenn Sie die Google Cloud Console verwenden, sind diese E-Mail-Adressen im Feld Über eine infrage kommende Berechtigung benachrichtigen im Abschnitt Zusätzliche Benachrichtigungen der Berechtigung aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld requesterEmailRecipients aufgeführt.

  • Genehmiger der Erteilung einer Berechtigung:

    • E-Mail-Adressen von Cloud Identity-Nutzern und ‑Gruppen, die in der Berechtigung als Genehmiger angegeben sind.
    • Manuell konfigurierte E-Mail-Adressen in der Berechtigung: Wenn Sie die Google Cloud Console verwenden, sind diese E-Mail-Adressen im Feld Benachrichtigen, wenn die Genehmigung einer Erteilung aussteht im Abschnitt Zusätzliche Benachrichtigungen der Berechtigung aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld approverEmailRecipients der Schritte des Genehmigungsworkflows aufgeführt.

  • Administrator der Berechtigung:

    • Manuell konfigurierte E-Mail-Adressen in der Berechtigung: Wenn Sie die Google Cloud Console verwenden, sind diese E-Mail-Adressen im Feld Bei Gewährung des Zugriffs benachrichtigen im Abschnitt Zusätzliche Benachrichtigungen der Berechtigung aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld adminEmailRecipients aufgeführt.

  • Anforderer einer Erteilung:

    • E-Mail-Adresse des Anforderers, falls er ein Cloud Identity-Nutzer ist.
    • Zusätzliche E-Mail-Adressen, die der Anforderer beim Beantragen der Erteilung hinzugefügt hat: Wenn Sie die Google Cloud Console verwenden, werden diese E-Mail-Adressen im Feld E-Mail-Adressen, an die Benachrichtigungen zu dieser Erteilung gesendet werden sollen aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld additionalEmailRecipients aufgeführt.

Privileged Access Manager sendet bei den folgenden Ereignissen E-Mails an diese E-Mail-Adressen:

Empfänger Ereignis
Berechtigte Antragsteller einer Berechtigung Wenn die Berechtigung erstellt und verfügbar wird
Genehmiger der Erteilung einer Berechtigung Wenn eine Erteilung angefordert wird und eine Genehmigung erforderlich ist
Anforderer einer Erteilung
  • Wenn die Erteilung erfolgreich aktiviert wurde oder die Aktivierung fehlgeschlagen ist
  • Nach Ablauf der Erteilung
  • Wenn die Erteilung abgelehnt wird
  • Wenn die Erteilung abläuft (sie wurde nicht innerhalb von 24 Stunden genehmigt oder abgelehnt)
  • Wenn die Erteilung widerrufen wurde
Administrator der Erteilung
  • Wenn die Erteilung erfolgreich aktiviert wurde oder die Aktivierung fehlgeschlagen ist
  • Nach Ablauf der Erteilung

Pub/Sub-Benachrichtigungen

Privileged Access Manager ist in Cloud Asset Inventory eingebunden. Mit der Funktion Cloud Asset Inventory-Feeds können Sie Benachrichtigungen über alle Änderungen zu Erteilungen über Pub/Sub erhalten. Der Asset-Typ, der für Erteilungen verwendet werden soll, ist privilegedaccessmanager.googleapis.com/Grant.

Nächste Schritte