您可以使用 Privileged Access Manager (PAM) 控制为所选主账号临时提升特权,并在事后查看审核日志,了解哪些人在什么时间访问了什么内容。
如需允许临时提升权限,您需要在 Privileged Access Manager 中创建权限,并向其添加以下属性:
一组允许请求使用权的主账号。
该授权是否需要提供理由。
授权时长上限。
可选:请求是否需要经过一组选定的主帐名批准,以及这些主帐名是否需要说明批准理由。
可选:需要收到重要事件(例如授权和待批准)通知的其他利益相关方。
已作为请求者添加到某项权限的主账号可以请求针对该权限进行授权。如果成功,系统会授予他们在授予时限结束前在权限中列出的角色,之后系统会由特权访问管理器撤消这些角色。
用例
要有效地使用 Privileged Access Manager,请先确定它可以满足贵组织需求的特定用例和场景。根据这些用例以及必要的要求和控件,定制您的特权访问管理器使用权。这涉及映射相关的用户、角色、资源和时长,以及任何必要的理由和批准。
虽然 Privileged Access Manager 可以作为一项常规最佳实践来授予临时权限(而不是永久权限),但以下是一些可能常用到 Privileged Access Manager 的场景:
授予紧急访问权限:允许选定的紧急响应人员执行关键任务,而无需等待批准。您可以要求提供进一步的说明,说明为什么需要紧急访问权限。
控制对敏感资源的访问权限:严格控制对敏感资源的访问权限,需要获得批准和提供业务理由。Privileged Access Manager 还可用于审核此访问权限的使用情况,例如,授予用户的角色何时生效、在该时间段内可以访问哪些资源、访问权限的理由以及谁批准了此访问权限。
例如,您可以使用 Privileged Access Manager 执行以下操作:
为开发者临时授予生产环境的访问权限,以便进行问题排查或部署。
为支持工程师提供对敏感客户数据的访问权限,以便他们执行特定任务。
为数据库管理员授予高级权限,以便进行维护或配置更改。
帮助保护服务账号的安全:允许服务账号在需要执行自动化任务时自行提升权限和担任角色,而不是永久向服务账号授予角色。
管理承包商和外部人员的访问权限:向承包商或外部人员授予临时性、有时间限制的资源访问权限,并要求获得批准和提供理由。
功能和限制
以下部分介绍了 Privileged Access Manager 的不同功能和限制。
支持的资源
Privileged Access Manager 支持为项目、文件夹和组织创建权限并申请授权。如果您想限制对项目、文件夹或组织中部分资源的访问权限,可以向相应权限添加 IAM 条件。Privileged Access Manager 支持所有条件属性,但资源标记除外。
支持的角色
Privileged Access Manager 支持预定义角色和自定义角色。不支持基本角色。
支持的身份
Privileged Access Manager 支持所有类型的身份,包括 Cloud Identity、员工身份联合和工作负载身份联合。
审核日志记录
Privileged Access Manager 事件(例如创建权限、申请或审核授权)会记录到 Cloud Audit Logs 中。如需查看 Privileged Access Manager 生成日志的事件的完整列表,请参阅 Privileged Access Manager 审核日志记录文档。如需了解如何查看这些日志,请参阅在 Privileged Access Manager 中审核权限和授权事件。
授权保留
授权在被拒、被撤消或过期或结束后 30 天内会从 Privileged Access Manager 中自动删除。授权日志会在 Cloud Audit Logs 中保留_Required 存储桶的日志保留期限。如需了解如何查看这些日志,请参阅在 Privileged Access Manager 中审核使用权和授权事件。
Privileged Access Manager 和 IAM 政策修改
Privileged Access Manager 通过向资源的 IAM 政策添加和移除角色绑定来管理临时访问权限。如果这些角色绑定是由 Privileged Access Manager 以外的其他方式修改的,则 Privileged Access Manager 可能无法按预期运行。
为避免此问题,我们建议您执行以下操作:
- 请勿手动修改由 Privileged Access Manager 管理的角色绑定。
- 如果您使用 Terraform 管理 IAM 政策,请确保您使用的是非权威资源,而不是权威资源。这样可确保 Terraform 不会替换 Privileged Access Manager 角色绑定,即使它们不在声明式 IAM 政策配置中也是如此。
通知
Privileged Access Manager 可以通知您 Privileged Access Manager 中发生的各种事件,如以下部分所述。
电子邮件通知
Privileged Access Manager 会向相关利益相关方发送电子邮件通知,告知他们使用权和授权发生了变化。接收者集如下:
符合条件的权利请求者:
- 在权利中指定为请求者的 Cloud Identity 用户和群组的电子邮件地址
- 在使用 Google Cloud 控制台时,这些电子邮件地址会列在使用权的其他通知部分的通知符合条件的使用权字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在
requesterEmailRecipients字段中。
使用权的授权审批人:
- 在权限中指定为审批者的 Cloud Identity 用户和群组的电子邮件地址。
- 在使用 Google Cloud 控制台时,这些电子邮件地址会列在使用权的其他通知部分的当授予待批准时发送通知字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在审批工作流步骤的
approverEmailRecipients字段中。
相应权利的管理员:
- 在使用 Google Cloud 控制台时,这些电子邮件地址会列在使用权的其他通知部分的授予访问权限时通知字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在
adminEmailRecipients字段中。
- 在使用 Google Cloud 控制台时,这些电子邮件地址会列在使用权的其他通知部分的授予访问权限时通知字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在
授权请求方:
- 如果是 Cloud Identity 用户,则为授予请求者的电子邮件地址。
- 请求者在请求授权时添加的其他电子邮件地址:使用 Google Cloud 控制台时,这些电子邮件地址会列在接收有关此授权的最新动态的电子邮件地址字段中。使用 gcloud CLI 或 REST API 时,这些电子邮件地址会列在
additionalEmailRecipients字段中。
Privileged Access Manager 会在以下事件发生时向这些电子邮件地址发送电子邮件:
| 收件人 | 活动 |
|---|---|
| 符合条件的使用权请求者 | 创建使用权并可供使用的时间 |
| 使用权的授权审批人 | 当授权请求需要审批时 |
| 授权请求者 |
|
| 相应权利的管理员 |
|
Pub/Sub 通知
Privileged Access Manager 与 Cloud Asset Inventory 集成。您可以使用 Cloud Asset Inventory Feed 功能通过 Pub/Sub 接收有关所有授权变更的通知。用于授权的资产类型为 privilegedaccessmanager.googleapis.com/Grant。