Puedes usar Privileged Access Manager (PAM) y controlar la elevación de privilegios temporales justo a tiempo para principales elegidos y ver los registros de auditoría después para saber quién tuvo acceso a qué y cuándo.
Para permitir la elevación temporal, crea un derecho en Privileged Access Manager y agrégale los siguientes atributos:
Un conjunto de principales que pueden solicitar una concesión ante el derecho.
Si se requiere una justificación para esa concesión.
Un conjunto de roles que se otorgarán de forma temporal. Se pueden establecer condiciones de IAM en los roles.
Es la duración máxima que puede tener una concesión.
Opcional: indica si las solicitudes necesitan la aprobación de un conjunto elegido de principales y si esos principales deben justificar su aprobación.
Opcional: partes interesadas adicionales que recibirán notificaciones sobre eventos importantes, como subvenciones y aprobaciones pendientes.
Un principal que se haya agregado como solicitante a un derecho puede solicitar una concesión ante ese derecho. Si se hace de forma correcta, se le otorgan los roles que se indican en el derecho hasta que finalice la duración de la concesión, después de lo cual el Privileged Access Manager revoca los roles.
Casos de uso
Para usar Privileged Access Manager de manera eficaz, primero identifica casos de uso y situaciones específicos en los que pueda abordar las necesidades de tu organización. Adapta tus derechos de Privileged Access Manager según estos casos de uso y los requisitos y controles necesarios. Esto implica asignar los usuarios, los roles, los recursos y las duraciones involucrados, junto con las justificaciones y aprobaciones necesarias.
Si bien Privileged Access Manager se puede usar como práctica recomendada general para otorgar privilegios temporales en lugar de permanentes, estas son algunas situaciones en las que se puede usar con mayor frecuencia:
Otorgar acceso de emergencia: permite que determinados servicios de emergencia lleven a cabo tareas importantes sin tener que esperar la aprobación. Puedes exigir justificaciones para obtener contexto adicional sobre por qué se necesita el acceso de emergencia.
Controla el acceso a recursos sensibles: controla de forma estricta el acceso a recursos sensibles, lo que requiere aprobaciones y justificaciones comerciales. Privileged Access Manager también se puede usar para auditar cómo se usó este acceso, por ejemplo, cuándo estaban activos los roles otorgados para un usuario, a qué recursos se podía acceder durante ese tiempo, la justificación del acceso y quién lo aprobó.
Por ejemplo, puedes usar Privileged Access Manager para hacer lo siguiente:
Otorgar a los desarrolladores acceso temporal a los entornos de producción para la solución de problemas o las implementaciones.
Otorgar a los ingenieros de asistencia acceso a datos sensibles de los clientes para tareas específicas.
Otorgar privilegios elevados a los administradores de bases de datos para cambios de mantenimiento o configuración.
Ayuda a proteger las cuentas de servicio: En lugar de otorgar roles de forma permanente a las cuentas de servicio, permite que estas se eleven y asuman roles solo cuando sea necesario para las tareas automatizadas.
Administra el acceso de los contratistas y el personal externo: otorgar a los contratistas o miembros del personal externo acceso temporal y limitado a los recursos, con las aprobaciones y justificaciones necesarias.
Funcionalidades y limitaciones
En las siguientes secciones, se describen las diferentes capacidades y limitaciones de Privileged Access Manager.
Recursos admitidos
Privileged Access Manager admite la creación de derechos y la solicitud de concesiones para proyectos, carpetas y organizaciones. Si deseas limitar el acceso a un subconjunto de recursos dentro de un proyecto, una carpeta o una organización, puedes agregar Condiciones de IAM al derecho. Privileged Access Manager admite todos los atributos de condición, excepto las etiquetas de recursos.
Funciones admitidas
Privileged Access Manager con privilegios admite roles predefinidos y roles personalizados. No se admiten los roles básicos.
Identidades admitidas
Privileged Access Manager admite todos los tipos de identidades, incluidas Cloud Identity, Federación de identidades de personal y Federación de Workload Identity.
Registros de auditoría
Los eventos de Privileged Access Manager, como la creación de derechos, la solicitud o la revisión de concesiones, se registran en los registros de auditoría de Cloud. Para obtener una lista completa de los eventos para los que Privileged Access Manager genera registros, consulta la documentación de registro de auditoría de Privileged Access Manager. Para obtener información sobre cómo ver estos registros, consulta Cómo auditar eventos de derechos y concesiones en Privileged Access Manager.
Retención de la concesión
Las concesiones se borran automáticamente de Privileged Access Manager 30 días después de que se rechacen, revoquen o venzan. Los registros de las subvenciones se mantienen en los registros de auditoría de Cloud durante la duración de retención de registros del bucket _Required.
Para obtener información sobre cómo ver estos registros, consulta Cómo auditar eventos de derechos y concesiones en Privileged Access Manager.
Modificaciones de Privileged Access Manager y de la política de IAM
Privileged Access Manager administra el acceso temporal agregando y quitando vinculaciones de roles de las políticas de IAM de los recursos. Si estas vinculaciones de roles se modifican con algo que no sea Privileged Access Manager, es posible que este no funcione como se espera.
Para evitar este problema, te recomendamos que hagas lo siguiente:
- No modifiques de forma manual las vinculaciones de roles que administra Privileged Access Manager.
- Si usas Terraform para administrar tus políticas de IAM, asegúrate de usar recursos no autorizados en lugar de recursos autorizados. Esto garantiza que Terraform no anule las vinculaciones de roles de Privileged Access Manager, incluso si no están en la configuración declarativa de la política de IAM.
Notificaciones
Privileged Access Manager puede notificarte sobre varios eventos que ocurren en el producto, como se describe en las siguientes secciones.
Notificaciones por correo electrónico
Privileged Access Manager envía notificaciones por correo electrónico a las partes interesadas pertinentes para los cambios de derechos y concesiones. Los conjuntos de destinatarios son los siguientes:
Solicitantes aptos de un derecho:
- Direcciones de correo electrónico de los usuarios y los grupos de Cloud Identity especificados como solicitantes en el derecho
- Direcciones de correo electrónico configuradas de forma manual en el derecho: cuando usas la consola de Google Cloud, estas direcciones de correo electrónico aparecen en el campo Notificar sobre un derecho apto de la sección Notificaciones adicionales del derecho. Cuando usas gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
requesterEmailRecipients.
Otorga responsables de aprobación para un derecho:
- Direcciones de correo electrónico de los usuarios y los grupos de Cloud Identity especificados como responsables de aprobación en el derecho.
- Direcciones de correo electrónico configuradas de forma manual en el derecho: cuando usas la consola de Google Cloud, estas direcciones de correo electrónico aparecen en el campo Notificar cuando una concesión esté pendiente de aprobación en la sección Notificaciones adicionales del derecho. Cuando usas gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
approverEmailRecipientsde los pasos del flujo de trabajo de aprobación.
Administrador del derecho:
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la consola de Google Cloud, estas direcciones de correo electrónico aparecen en el campo Notificar cuando se otorga acceso de la sección Notificaciones adicionales del derecho. Cuando usas gcloud CLI o la
API de REST, estas direcciones de correo electrónico aparecen en el campo
adminEmailRecipients.
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la consola de Google Cloud, estas direcciones de correo electrónico aparecen en el campo Notificar cuando se otorga acceso de la sección Notificaciones adicionales del derecho. Cuando usas gcloud CLI o la
API de REST, estas direcciones de correo electrónico aparecen en el campo
Solicitante de una subvención:
- Dirección de correo electrónico del solicitante del otorgamiento si es un usuario de Cloud Identity.
- Direcciones de correo electrónico adicionales que agregó el solicitante cuando solicitó la subvención: cuando usas la consola de Google Cloud, estas direcciones de correo electrónico aparecen en el campo Direcciones de correo electrónico para recibir actualizaciones sobre esta subvención. Cuando usas gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
additionalEmailRecipients.
Privileged Access Manager envía correos electrónicos a estas direcciones de correo electrónico para los siguientes eventos:
| Destinatarios | Evento |
|---|---|
| Solicitantes aptos de un derecho | Cuando se crea el derecho y está disponible para usarse |
| Otorga responsables de aprobación para un derecho | Cuando se solicita una concesión y requiere aprobación |
| Solicitante de una subvención |
|
| Administrador del derecho |
|
Notificaciones de Pub/Sub
Privileged Access Manager está integrado en Cloud Asset Inventory.
Puedes usar la función de feeds de Cloud Asset Inventory para recibir notificaciones sobre todos los cambios de concesiones a través de Pub/Sub. El tipo de activo que se usará para las subvenciones es privilegedaccessmanager.googleapis.com/Grant.