Puoi usare Privileged Access Manager (PAM) per controllare il privilegio temporaneo just-in-time elevazione per entità selezionate e per visualizzare gli audit log per scoprire chi ha accesso a cosa e quando.
Per consentire l'elevazione temporanea, crea un diritto in Privileged Access Manager e aggiungi i seguenti attributi:
Un insieme di entità autorizzate a richiedere una concessione a fronte del e il diritto di accesso.
Se è necessaria una giustificazione per la concessione.
Un insieme di ruoli da concedere temporaneamente. È possibile impostare le condizioni IAM sui ruoli.
La durata massima di una concessione.
(Facoltativo) Se le richieste richiedono l'approvazione di un insieme selezionato di principali e se questi principali devono giustificare la loro approvazione.
(Facoltativo) Altri stakeholder da notificare su eventi importanti. ad esempio concessioni e approvazioni in attesa.
Un principale che è stato aggiunto come richiedente a un diritto può richiedere una concessione per quel diritto. In caso di esito positivo, vengono concessi i ruoli elencati nel diritto fino al termine della durata della concessione, dopodiché i ruoli vengono revocati da Privileged Access Manager.
Casi d'uso
Per utilizzare Privileged Access Manager in modo efficace, inizia identificando casi d'uso specifici e scenari in cui può soddisfare le esigenze della tua organizzazione. Personalizza i diritti di Privileged Access Manager in base a questi casi d'uso, nonché ai requisiti e ai controlli necessari. Ciò comporta la mappatura di utenti, ruoli risorse e durate coinvolte, insieme alle eventuali giustificazioni e approvazioni.
Sebbene Privileged Access Manager possa essere utilizzato come best practice generale per concedere privilegi temporanei anziché permanenti, di seguito sono riportati alcuni scenari in cui potrebbe essere utilizzato comunemente:
Concedi l'accesso di emergenza: consenti a determinati personale di primo intervento di eseguire operazioni critiche delle attività senza dover attendere l'approvazione. Puoi richiedere delle giustificazioni per avere un contesto aggiuntivo sul motivo per cui è necessario l'accesso di emergenza.
Controlla l'accesso alle risorse sensibili: controlla rigorosamente l'accesso alle risorse sensibili. di risorse, che richiedono approvazioni e giustificazioni aziendali. Privileged Access Manager può essere utilizzato anche per controllare come è stato utilizzato questo accesso, ad esempio quando erano attivi i ruoli concessi per un utente, quali risorse erano accessibili in quel momento, la motivazione dell'accesso e chi lo ha approvato.
Ad esempio, puoi utilizzare Privileged Access Manager per:
Concedi agli sviluppatori l'accesso temporaneo agli ambienti di produzione per la risoluzione dei problemi o i deployment.
Concedi ai tecnici del servizio di assistenza l'accesso a dati sensibili dei clienti per attività di machine learning.
Concedi agli amministratori del database privilegi elevati per la manutenzione o le modifiche di configurazione.
Contribuisci a proteggere gli account di servizio: anziché concedere definitivamente i ruoli agli account di servizio, consenti loro di elevarsi autonomamente e di assumere i ruoli solo quando necessario per le attività automatiche.
Gestisci l'accesso per i fornitori e la forza lavoro estesa: concedi ai fornitori o ai membri della forza lavoro estesa l'accesso temporaneo e limitato nel tempo alle risorse, con le approvazioni e le giustificazioni richieste.
Funzionalità e limitazioni
Le sezioni seguenti descrivono le diverse funzionalità e limitazioni di Privileged Access Manager.
Risorse supportate
Privileged Access Manager supporta la creazione di diritti e la richiesta di concessioni per progetti, cartelle e organizzazioni. Se vuoi limitare l'accesso a un sottoinsieme di risorse all'interno di un progetto, di una cartella o di un'organizzazione, aggiungere le condizioni IAM e il diritto di accesso. Privileged Access Manager supporta tutti gli attributi delle condizioni, ad eccezione di tag delle risorse.
Ruoli supportati
Privileged Access Manager supporta i ruoli predefiniti e i ruoli personalizzati. I ruoli di base non sono supportati.
Identità supportate
Privileged Access Manager supporta tutti i tipi di identità, tra cui Cloud Identity, Workforce Identity Federation e Workload Identity Federation.
Audit logging
Eventi di Privileged Access Manager, come la creazione di diritti, la richiesta delle concessioni, vengono registrate in Cloud Audit Logs. Per un elenco completo degli eventi per i quali Privileged Access Manager genera i log, consulta gli audit log di Privileged Access Manager documentazione. Per scoprire come visualizzare questi log, consulta Controllare gli eventi di assegnazione e dei diritti in Privileged Access Manager.
Concessione della conservazione
Le concessioni vengono eliminate automaticamente da Gestore degli accessi con privilegi
30 giorni dopo che sono stati rifiutati, revocati o scaduti
o terminato. I log per le concessioni vengono conservati in Cloud Audit Logs per
durata di conservazione dei log del bucket _Required.
Per scoprire come visualizzare questi log, consulta
Controlla la presenza di diritti e concedi gli eventi in Privileged Access Manager.
Privileged Access Manager e modifiche dei criteri IAM
Privileged Access Manager gestisce l'accesso temporaneo aggiungendo e rimuovendo associazioni di ruoli dai criteri IAM delle risorse. Se queste associazioni di ruoli vengono modificate da un elemento diverso da Privileged Access Manager, quest'ultimo potrebbe non funzionare come previsto.
Per evitare questo problema, ti consigliamo di procedere come segue:
- Non modificare manualmente le associazioni di ruoli gestite da Privileged Access Manager.
- Se utilizzi Terraform per gestire ai criteri IAM, assicurati di utilizzare risorse non autorevoli anziché risorse autorevoli. Questo assicura che Terraform non esegua l'override Associazioni dei ruoli di Gestore degli accessi con privilegi, anche se non fanno parte del Configurazione dei criteri IAM.
Notifiche
Privileged Access Manager può inviarti notifiche sui vari eventi che si verificano in Gestore degli accessi con privilegi come descritto nelle sezioni seguenti.
Notifiche via email
Privileged Access Manager invia notifiche via email agli stakeholder pertinenti per modifiche ai diritti e alle concessioni. Gli insiemi di destinatari sono i seguenti:
Richiedenti idonei di un diritto:
- Indirizzi email degli gruppi e degli utenti Cloud Identity specificati come richiedenti nel diritto
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la console Google Cloud, questi indirizzi email sono elencati nel campo Invia una notifica per un diritto idoneo nella sezione Notifiche aggiuntive del diritto. Quando si utilizza
gcloud CLI o l'API REST, questi indirizzi email sono elencati
nel campo
requesterEmailRecipients.
Concedere gli approvatori per un diritto:
- Indirizzi email di utenti e gruppi di Cloud Identity specificati come approvatori nel diritto.
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la console Google Cloud, questi indirizzi email sono elencati nel campo Invia una notifica quando una concessione è in attesa di approvazione nella sezione Notifiche aggiuntive del diritto. Quando utilizzi gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
approverEmailRecipientsdei passaggi del flusso di lavoro di approvazione.
Amministratore del diritto:
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la console Google Cloud, questi indirizzi email sono elencati nel campo Invia una notifica quando viene concesso l'accesso nella sezione Notifiche aggiuntive del diritto. Quando utilizzi gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
adminEmailRecipients.
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la console Google Cloud, questi indirizzi email sono elencati nel campo Invia una notifica quando viene concesso l'accesso nella sezione Notifiche aggiuntive del diritto. Quando utilizzi gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
Chiedi una sovvenzione:
- Indirizzo email del richiedente la concessione se è un utente Cloud Identity.
- Indirizzi email aggiuntivi aggiunti dal richiedente durante la richiesta del
concedere: quando utilizzi la console Google Cloud, questi indirizzi email vengono elencati
nel campo Indirizzi email per ricevere aggiornamenti su questa concessione. Quando
utilizzi gcloud CLI o l'API REST, questi indirizzi email
sono elencati nel campo
additionalEmailRecipients.
Privileged Access Manager invia email a questi indirizzi per i seguenti eventi:
| Destinatari | Evento |
|---|---|
| Richiedenti idonei di un diritto | Quando il diritto viene creato e diventa disponibile per l'uso |
| Concedere agli approvatori un diritto | Quando viene richiesta una concessione e richiede l'approvazione |
| Richiedente di una sovvenzione |
|
| Amministratore del diritto |
|
Notifiche Pub/Sub
Privileged Access Manager è integrato con Cloud Asset Inventory.
Puoi utilizzare la funzionalità Feed di Cloud Asset Inventory per ricevere notifiche su tutte le modifiche dei permessi tramite Pub/Sub. Il tipo di risorsa da utilizzare per le concessioni è
privilegedaccessmanager.googleapis.com/Grant.