Privileged Access Manager(PAM)を使用すると、特定のプリンシパルでジャストインタイムの一時的な権限昇格を制御し、後で監査ログを表示して、誰が何にいつアクセスしたかを確認できます。
一時的な昇格を許可するには、Privileged Access Manager で利用資格を作成し、次の属性を追加します。
利用資格に対する権限付与をリクエストできるプリンシパルのセット。
権限付与に正当な理由が必要かどうか。
権限付与の最大期間。
省略可: リクエストに特定のプリンシパルの承認が必要かどうか。プリンシパルが承認の理由を示す必要があるかどうか。
省略可: 権限付与や承認待ちなどの重要なイベントについて通知を受け取る追加の関係者。
利用資格にリクエスト元として追加されたプリンシパルは、その利用資格に対する権限付与をリクエストできます。成功すると、権限付与期間が終了するまで利用資格に含まれるロールが付与されます。期間が終了すると、Privileged Access Manager によってロールが取り消されます。
ユースケース
Privileged Access Manager を効果的に使用するには、まず、組織のニーズに対応できる特定のユースケースとシナリオを特定します。これらのユースケースと必要な要件と制御に基づいて、Privileged Access Manager の利用資格を調整します。これには、ユーザー、ロール、リソース、期間のマッピング、正当な理由と承認が含まれます。
Privileged Access Manager は、永続的な権限ではなく一時的な権限を付与するための一般的なベスト プラクティスとして使用できます。以下に、一般的に使用されるシナリオをいくつか示します。
緊急のアクセス権を付与する: 緊急対応で承認を待たずに重要なタスクを実行できるようにします。緊急のアクセスが必要な理由に関する追加のコンテキストの提示を義務付けることもできます。
機密リソースへのアクセスを制御する: 機密リソースへのアクセスを厳密に制御し、承認とビジネス上の正当な理由を必要とします。このアクセスの使用方法を監査する場合にも Privileged Access Manager を使用できます。たとえば、ユーザーに付与されたロールがいつ有効になったか、その時点でアクセス可能なリソース、アクセスの正当性、承認者などを監査できます。
たとえば、Privileged Access Manager を使用すると、次のことができます。
デベロッパーに本番環境への一時的なアクセス権を付与して、トラブルシューティングやデプロイを行う。
サポート エンジニアに、特定のタスクのために機密性の高い顧客データへのアクセス権を付与します。
データベース管理者に、メンテナンスや構成変更を行うための昇格された権限を付与します。
サービス アカウントのセキュリティを強化する: サービス アカウントにロールを永続的に付与するのではなく、サービス アカウントが自動タスクで必要な場合にのみ、ロールの昇格を受け入れるようにします。
契約社員と外部人材のアクセスを管理する: 契約社員または外部人材にリソースへの一時的なアクセス権を付与します。この場合、承認と正当な理由が必要です。
機能と制限
以降のセクションでは、Privileged Access Manager のさまざまな機能と制限事項について説明します。
サポートされているリソース
Privileged Access Manager では、プロジェクト、フォルダ、組織に対する利用資格の作成と権限付与のリクエストが可能です。プロジェクト、フォルダ、組織内のリソースのサブセットへのアクセスを制限する場合は、IAM 条件を利用して利用資格を制限できます。Privileged Access Manager は、リソースタグを除くすべての条件属性をサポートしています。
サポートされているロール
Privileged Access Manager は、事前定義ロールとカスタムロールをサポートしています。基本ロールはサポートされていません。
サポートされている ID
Privileged Access Manager は、Cloud Identity、Workforce Identity 連携、Workload Identity 連携など、あらゆるタイプの ID をサポートしています。
監査ロギング
Privileged Access Manager のイベント(利用資格の作成、権限付与の申請または審査など)は、Cloud Audit Logs に記録されます。Privileged Access Manager がログを生成するイベントの完全なリストについては、Privileged Access Manager の監査ロギングに関するドキュメントをご覧ください。これらのログを表示する方法については、Privileged Access Manager で利用資格と権限付与イベントを監査するをご覧ください。
権限付与の保持
権限付与は、拒否、取り消し、有効期限切れ、または終了してから 30 日後に Privileged Access Manager から自動的に削除されます。権限付与のログは、_Required バケットのログ保持期間にわたって Cloud Audit Logs に保持されます。これらのログを表示する方法については、Privileged Access Manager で利用資格と権限付与イベントを監査するをご覧ください。
Privileged Access Manager と IAM ポリシーの変更
Privileged Access Manager は、リソースの IAM ポリシーからロール バインディングを追加または削除することで、一時的なアクセスを管理します。これらのロール バインディングが Privileged Access Manager 以外の方法で変更されると、Privileged Access Manager が想定どおりに機能しない可能性があります。
この問題を回避するには、次のことをおすすめします。
- Privileged Access Manager によって管理されているロール バインディングを手動で変更しないでください。
- Terraform を使用して IAM ポリシーを管理する場合は、信頼できるリソースではなく、信頼できないリソースを使用していることを確認してください。これにより、宣言型の IAM ポリシー構成に含まれていない場合でも、Terraform による Privileged Access Manager ロール バインディングのオーバーライドを防ぐことができます。
通知
Privileged Access Manager は、次のセクションで説明するように、Privileged Access Manager で発生するさまざまなイベントを通知します。
メール通知
Privileged Access Manager は、利用資格と権限付与の変更について、関連する関係者にメール通知を送信します。受信者のセットは次のとおりです。
利用資格の対象となるリクエスト元:
- 利用資格でリクエスト元として指定された Cloud Identity ユーザーとグループのメールアドレス
- 利用資格で手動で構成されたメールアドレス: Google Cloud コンソールを使用する場合、これらのメールアドレスは、利用資格の追加の通知セクションの [有効な利用資格について通知する] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは
requesterEmailRecipientsフィールドに表示されます。
利用資格の承認者に権限を付与する:
- 利用資格で承認者として指定された Cloud Identity ユーザーとグループのメールアドレス。
- 利用資格で手動で構成されたメールアドレス: Google Cloud コンソールを使用する場合、これらのメールアドレスは、利用資格の追加の通知セクションにある [付与が承認待ちの場合に通知する] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは承認ワークフロー ステップの
approverEmailRecipientsフィールドに表示されます。
利用資格の管理者:
- 利用資格で手動で構成されたメールアドレス: Google Cloud コンソールを使用する場合、これらのメールアドレスは、利用資格の追加の通知セクションの [Notify when access is granted] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは
adminEmailRecipientsフィールドに表示されます。
- 利用資格で手動で構成されたメールアドレス: Google Cloud コンソールを使用する場合、これらのメールアドレスは、利用資格の追加の通知セクションの [Notify when access is granted] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは
権限付与の申請者:
- 権限付与のリクエスト元のメールアドレス(Cloud Identity ユーザーの場合)。
- 権限付与をリクエストする際にリクエスト元が追加した追加のメールアドレス: Google Cloud コンソールを使用する場合、これらのメールアドレスは [Email addresses to receive updates about this grant] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは
additionalEmailRecipientsフィールドに表示されます。
Privileged Access Manager は、次のイベントでこれらのメールアドレスにメールを送信します。
| 受信者 | イベント |
|---|---|
| 利用資格の対象となるリクエスト元 | 利用資格が作成され、使用可能になったとき |
| 利用資格の承認者に権限を付与する | 権限付与がリクエストされ、承認が必要な場合 |
| 権限付与のリクエスト元 |
|
| 利用資格の管理者 |
|
Pub/Sub 通知
Privileged Access Manager は Cloud Asset Inventory と統合されています。Cloud Asset Inventory フィード機能を使用すると、Pub/Sub を介してすべての権限付与の変更に関する通知を受け取ることができます。権限付与に使用するアセットタイプは privilegedaccessmanager.googleapis.com/Grant です。