Eine Möglichkeit, sensible Ressourcen zu schützen, besteht darin, den Zugriff darauf einzuschränken. Wenn Sie den Zugriff auf vertrauliche Ressourcen jedoch einschränken, ist das auch für alle Nutzer ärgerlich, die gelegentlich auf diese Ressourcen zugreifen müssen. Ein Nutzer benötigt beispielsweise möglicherweise einen Notfallzugriff auf vertrauliche Ressourcen, um einen Vorfall zu beheben.
In diesen Fällen empfehlen wir, dem Nutzer vorübergehend Zugriff auf die Ressource zu gewähren. Wir empfehlen außerdem, zur Verbesserung der Prüfung die Begründung des Nutzers für den Zugriff auf die Ressource aufzuzeichnen.
In Google Cloudgibt es mehrere Möglichkeiten, diese Art von vorübergehendem erhöhten Zugriff zu verwalten.
Privileged Access Manager
Mit Privileged Access Manager (PAM) können Sie die temporäre Just-in-Time-Ausweitung von Berechtigungen für ausgewählte Hauptkonten verwalten und anschließend Audit-Logs aufrufen, um herauszufinden, wer wann auf was zugegriffen hat.
In den folgenden Fällen kann es sinnvoll sein, eine vorübergehende Berechtigungserhöhung über Privileged Access Manager zu gewähren:
Notfallzugriff gewähren: Sie können ausgewählten Rettungskräften erlauben, wichtige Aufgaben auszuführen, ohne auf eine Genehmigung warten zu müssen. Sie können eine Begründung für zusätzlichen Kontext verlangen, warum der Notfallzugriff erforderlich ist.
Zugriff auf sensible Ressourcen steuern: Der Zugriff auf sensible Ressourcen wird streng kontrolliert und erfordert Genehmigungen und geschäftliche Begründungen. Mit Privileged Access Manager können Sie auch prüfen, wie dieser Zugriff verwendet wurde, z. B. wann zugewiesene Rollen für einen Nutzer aktiv waren, auf welche Ressourcen zu diesem Zeitpunkt zugegriffen werden konnte, welche Begründung für den Zugriff vorliegt und wer ihn genehmigt hat.
Mit Privileged Access Manager können Sie beispielsweise Folgendes tun:
Entwicklern vorübergehenden Zugriff auf Produktionsumgebungen für die Fehlerbehebung oder Bereitstellungen gewähren
Support-Entwicklern Zugriff auf vertrauliche Kundendaten für bestimmte Aufgaben gewähren
Datenbankadministratoren erhöhte Berechtigungen für Wartungs- oder Konfigurationsänderungen gewähren
Dienstkonten besser schützen: Anstatt Dienstkonten dauerhaft Rollen zuzuweisen, sollten Sie ihnen erlauben, sich selbst zu steigern und Rollen nur dann zu übernehmen, wenn sie für automatisierte Aufgaben erforderlich sind.
Zugriff für Auftragnehmer und externe Mitarbeiter verwalten: Gewähren Sie Auftragnehmern oder externen Mitarbeitern vorübergehenden, zeitlich begrenzten Zugriff auf Ressourcen, wobei Genehmigungen und Begründungen erforderlich sind.
Weitere Informationen zum Einrichten von Privileged Access Manager finden Sie unter Privileged Access Manager – Übersicht.
Weitere Informationen zum Anfordern einer vorübergehenden Erhöhung der Berechtigungen finden Sie unter Temporären erweiterten Zugriff anfordern.
Google-Gruppen
Eine Möglichkeit, den vorübergehenden erhöhten Zugriff zu verwalten, besteht darin, einer Google-Gruppe Zugriff auf vertrauliche Ressourcen zu gewähren und dann Nutzer zu dieser Gruppe hinzuzufügen oder daraus zu entfernen, um ihren Zugriff zu steuern.
Wenn Sie eine Google-Gruppe für den vorübergehend erhöhten Zugriff einrichten möchten, erstellen Sie zuerst eine Gruppe und weisen Sie ihr dann die Rollen zu, die Sie Nutzern vorübergehend zuweisen möchten. Wenn Sie Ablehnungsrichtlinien verwenden, sollten Sie die Gruppe auch von allen relevanten Ablehnungsregeln ausnehmen, um unerwartete Ablehnungen zu vermeiden.
Nachdem Sie die Gruppe eingerichtet haben, können Sie Nutzer hinzufügen und entfernen, um ihren Zugriff zu ändern. Wenn Sie die Google Groups API verwenden, können Sie Nutzer mithilfe der Ablaufzeit von Mitgliedschaften vorübergehend einer Gruppe hinzufügen.
Wenn Sie die Begründungen des Nutzers für den Zugriff auf vertrauliche Ressourcen aufzeichnen möchten, müssen Sie Ihre eigenen operativen Prozesse und Tools festlegen.
Wenn Sie beispielsweise den Notfallzugriff auf Compute Engine-Ressourcen verwalten möchten, können Sie die Gruppe emergency-compute-access@example.com erstellen und ihr die Rolle „Compute Admin“ (roles/compute.admin) zuweisen. Wenn ein Nutzer Notfall-Administratorzugriff auf Compute-Ressourcen benötigt, können Sie ihn der Gruppe emergency-compute-access@example.com hinzufügen. Nachdem der Notfall behoben ist, können Sie ihn aus der Gruppe entfernen.
IAM-Bedingungen
Mit IAM-Bedingungen können Sie Nutzern einen ablaufenden Zugriff aufGoogle Cloud -Ressourcen gewähren. Weitere Informationen finden Sie unter Temporären Zugriff konfigurieren.
Wenn Sie die Begründungen des Nutzers für den Zugriff auf vertrauliche Ressourcen aufzeichnen möchten, müssen Sie Ihre eigenen operativen Prozesse und Tools festlegen.
Abgelaufene Rollenbindungen werden nicht automatisch aus den Zulassungsrichtlinien entfernt. Damit Ihre Zulassungsrichtlinien die maximale Größe nicht überschreiten, empfehlen wir, abgelaufene Rollenbindungen regelmäßig zu entfernen.
Für Ablehnungsrichtlinien werden keine zeitbasierten Bedingungen unterstützt. Daher können Sie in Ablehnungsrichtlinien keine Bedingungen verwenden, um einen Nutzer vorübergehend von einer Ablehnungsregel auszunehmen.
Privilegierter Just-in-Time-Zugriff
Just-In-Time-Zugriff ist eine Open-Source-Anwendung, die IAM-Bedingungen verwendet, um Nutzern Just-in-Time-Zugriff auf Google Cloud-Ressourcen zu gewähren. Diese Anwendung ist für die Ausführung in der App Engine oder Cloud Run konzipiert.
Diese Anwendung bietet gegenüber dem manuellen Hinzufügen bedingter Rollenbindungen folgende Vorteile:
- Nutzer können nach Rollen suchen, die sie mit Just-In-Time-Zugriff aktivieren können.
- Nutzer müssen eine Begründung angeben, bevor sie Zugriff erhalten.
- Die Anwendung ersetzt die vorhandene bedingte Bindung, anstatt neue Bindungen zu erstellen. So bleibt die Größe Ihrer IAM-Zulassungsrichtlinie gleich.
Weitere Informationen zum Just-In-Time-Zugriff finden Sie unter Just-in-Time-privilegierten Zugriff auf Projekte verwalten.
Identitätsübertragung für ein Dienstkonto
Wenn sich ein authentifiziertes Hauptkonto, z. B. ein Nutzer oder ein anderes Dienstkonto, als ein Dienstkonto authentifiziert, um die Berechtigungen des Dienstkontos zu erhalten, wird dies als Identitätsübernahme des Dienstkontos bezeichnet. Wenn die Identität eines Dienstkontos übernommen wird, kann ein authentifiziertes Hauptkonto auf alles zugreifen, auf das das Dienstkonto zugreifen kann. Nur authentifizierte Hauptkonten mit den entsprechenden Berechtigungen können die Identität von Dienstkonten übernehmen.
Wenn Sie ein Dienstkonto für den vorübergehend erhöhten Zugriff einrichten möchten, erstellen Sie das Dienstkonto und weisen Sie ihm die Rollen zu, die Sie vorübergehend einem Nutzer zuweisen möchten. Wenn Sie Ablehnungsrichtlinien verwenden, sollten Sie eventuell das Dienstkonto von allen relevanten Ablehnungsregeln ausnehmen, um unerwartete Ablehnungen zu vermeiden.
Nachdem Sie das Dienstkonto eingerichtet haben, können Sie Nutzern vorübergehend erhöhte Berechtigungen gewähren, indem Sie ihnen erlauben, die Identität des Dienstkontos zu übernehmen. Es gibt mehrere Möglichkeiten, Nutzern die Identität von Dienstkonten zu ermöglichen:
Weisen Sie Nutzern eine Rolle zu, mit der sie kurzlebige Anmeldedaten für das Dienstkonto erstellen können. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
Weisen Sie die Rolle „Ersteller des OpenID Connect-Identitätstokens für das Dienstkonto“ (
roles/iam.serviceAccountOpenIdTokenCreator) zu, damit der Nutzer kurzlebige OIDC-ID-Tokens (OpenID Connect) für das Dienstkonto erstellen kann.Weisen Sie die Rolle „Ersteller von Dienstkonto-Tokens" (
roles/iam.serviceAccountTokenCreator) zu, damit der Nutzer die folgenden Arten von Anmeldedaten für Dienstkonten erstellen kann:- OAuth 2.0-Zugriffstokens erstellen, die Sie zur Authentifizierung bei Google APIs verwenden können.
- OIDC-ID-Tokens.
- Signierte JSON-Web-Tokens (JWTs) und binäre Blobs.
Wenn Sie einem Nutzer eine dieser Rollen zuweisen, kann er jederzeit die Identität des Dienstkontos übernehmen, um seinen eigenen Zugriff zu erhöhen. Es ist jedoch weniger wahrscheinlich, dass er versehentlich auf vertrauliche Ressourcen zugreift oder diese ändert.
Informationen zum Übernehmen der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos verwenden.
Erstellen Sie einen Token-Broker-Dienst, der Nutzern kurzlebige Anmeldedaten für das Dienstkonto bereitstellt, nachdem sie sich authentifiziert und eine Begründung angegeben haben. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
Mit dieser Methode können Sie festlegen, wann Nutzer die Identität des Dienstkontos übernehmen dürfen.
Informationen zum Erstellen kurzlebiger Anmeldedaten finden Sie unter Kurzlebige Anmeldedaten für ein Dienstkonto erstellen.
Weitere Informationen zur Übernahme der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos.
Nächste Schritte
- Richten Sie Privileged Access Manager für den vorübergehenden erhöhten Zugriff ein.
- Mit IAM-Bedingungen können Sie einem Hauptkonto vorübergehenden Zugriff gewähren.
- Die Just-In-Time-Zugriffsanwendung bereitstellen.
- Kurzlebige Anmeldedaten manuell erstellen, um die Identität eines Dienstkontos zu übernehmen.