Un modo per proteggere le risorse sensibili è limitarne l'accesso. Tuttavia, limitare l'accesso alle risorse sensibili crea anche problemi per chiunque debba accedere occasionalmente a queste risorse. Ad esempio, un utente potrebbe aver bisogno l'accesso di emergenza, o emergenza, a risorse sensibili per risolvere un incidente.
In questi casi, è consigliabile concedere all'utente l'autorizzazione ad accedere al risorsa temporaneamente. Per migliorare il controllo, ti consigliamo inoltre di registrare la motivazione dell'utente per accedere alla risorsa.
In Google Cloud, esistono diversi modi per gestire questo tipo di un accesso elevato temporaneo.
Privileged Access Manager
Puoi usare Privileged Access Manager (PAM) per gestire il privilegio temporaneo just-in-time elevazione per entità selezionate e visualizzare gli audit log in seguito per scoprirlo che avevano accesso a cosa e quando.
Potresti voler fornire l'elevazione temporanea dei privilegi tramite Privileged Access Manager nelle seguenti situazioni:
Concedi l'accesso di emergenza: consenti a determinati personale di primo intervento di eseguire operazioni critiche delle attività senza dover attendere l'approvazione. Puoi richiedere delle giustificazioni per avere un contesto aggiuntivo sul motivo per cui è necessario l'accesso di emergenza.
Controlla l'accesso alle risorse sensibili: controlla rigidamente l'accesso alle risorse sensibili, richiedendo approvazioni e giustificazioni aziendali. Gestore degli accessi con privilegi può essere utilizzato anche per verificare come è stato usato questo accesso, ad esempio, i ruoli concessi erano attivi per un utente e le risorse erano accessibili durante al momento, la giustificazione per l'accesso e chi l'ha approvato.
Ad esempio, puoi utilizzare Privileged Access Manager per:
Concedi agli sviluppatori l'accesso temporaneo agli ambienti di produzione per la risoluzione dei problemi o i deployment.
Consentire ai tecnici dell'assistenza di accedere ai dati dei clienti sensibili per compiti specifici.
Concedi agli amministratori del database privilegi elevati per la manutenzione o le modifiche di configurazione.
Contribuisci a proteggere gli account di servizio: anziché concedere definitivamente i ruoli agli account di servizio, consenti loro di elevarsi autonomamente e di assumere i ruoli solo quando necessario per le attività automatiche.
Gestisci l'accesso per i fornitori e la forza lavoro estesa: concedi ai fornitori o ai membri della forza lavoro estesa l'accesso temporaneo e limitato nel tempo alle risorse, con le approvazioni e le giustificazioni richieste.
Per ulteriori informazioni sulla configurazione di Privileged Access Manager, consulta Panoramica di Privileged Access Manager.
Per ulteriori informazioni su come richiedere l'elevazione temporanea, consulta Richiedere l'accesso elevato temporaneo.
Gruppi Google
Un modo per gestire l'accesso elevato temporaneo è concedere l'accesso a un gruppo Google alle risorse sensibili, quindi aggiungi e rimuovi gli utenti da quel gruppo per controllare il loro accesso.
Per configurare un gruppo Google per l'accesso temporaneo con privilegi elevati, crea un gruppo, quindi assegna i ruoli che vuoi assegnare temporaneamente agli utenti. Se utilizzi le norme di rifiuto, ti consigliamo anche di esonerare il gruppo da eventuali regole di rifiuto pertinenti per evitare rifiuti imprevisti.
Dopo aver configurato il gruppo, puoi aggiungere e rimuovere utenti per modificarne l'accesso. Se utilizzi l'API Google Groups, puoi aggiungere temporaneamente gli utenti a un gruppo utilizzando la scadenza dell'appartenenza.
Se vuoi registrare le giustificazioni dell'utente per l'accesso a dati sensibili devi definire i tuoi processi operativi e i tuoi strumenti.
Ad esempio, per gestire l'accesso di emergenza alle risorse Compute Engine,
crea il gruppo emergency-compute-access@example.com
e assegnagli il ruolo
Ruolo di amministratore (roles/compute.admin
). Se un utente ha bisogno di pratiche amministrative per un'emergenza
le risorse di computing, puoi aggiungerle
Gruppo emergency-compute-access@example.com
. Una volta risolta l'emergenza,
puoi rimuoverlo dal gruppo.
Condizioni IAM
Puoi utilizzare le condizioni IAM per concedere agli utenti l'accesso con scadenza a dell'accesso a specifiche risorse Google Cloud. Per ulteriori informazioni, vedi Configurare l'accesso temporário.
Se vuoi registrare le giustificazioni dell'utente per l'accesso a dati sensibili devi definire i tuoi processi operativi e i tuoi strumenti.
Le associazioni di ruoli scadute non vengono rimosse automaticamente dai criteri di autorizzazione. Per assicurarti che i tuoi criteri di autorizzazione non superino le dimensioni massime per i criteri di autorizzazione, ti consigliamo di rimuovere periodicamente le associazioni di ruolo scadute.
I criteri di negazione non supportano le condizioni basate sul tempo. Di conseguenza, non puoi utilizzare le condizioni nei criteri di rifiuto per esentare temporaneamente un utente da una regola di rifiuto.
Accesso privilegiato just-in-time
Just-In-Time Access è un'applicazione open source che utilizza IAM Condizioni per concedere agli utenti l'accesso con privilegi just-in-time a Google Cloud Google Cloud. Questa applicazione è progettata per essere eseguita su in App Engine o Cloud Run.
Questa applicazione presenta i seguenti vantaggi rispetto all'aggiunta manuale del condizionale associazioni di ruoli:
- Gli utenti possono cercare i ruoli che possono attivare con l'accesso Just-In-Time.
- Agli utenti viene richiesto di fornire una giustificazione prima di ottenere l'accesso.
- L'applicazione sostituisce l'associazione condizionale esistente anziché creare nuove associazioni, per mantenere le dimensioni dei criteri di autorizzazione IAM.
Per ulteriori informazioni sull'accesso Just-In-Time, vedi Gestire l'accesso privilegiato just-in-time ai progetti.
Simulazione dell'identità degli account di servizio
Quando un'entità autenticata, ad esempio un utente o un altro account di servizio, autentica come per ottenere le autorizzazioni dell'account di servizio, si parla di furto di identità del l'account di servizio. L'identità di un account di servizio consente a un'entità autenticata di accedere a cui può accedere l'account di servizio. Solo le entità autenticate con le autorizzazioni appropriate possono si tratta di account di servizio.
Per configurare un account di servizio per l'accesso elevato temporaneo, crea l'account di servizio, quindi concedi i ruoli che vuoi assegnare temporaneamente a un utente. Se utilizzi i criteri di negazione, Valuta la possibilità di aggiungere l'account di servizio esente da qualsiasi rifiuto pertinente per evitare rifiuti imprevisti.
Dopo aver configurato l'account di servizio, puoi concedere agli utenti un accesso temporaneo con privilegi elevati consentendo loro di simulare l'identità dell'account di servizio. Esistono diversi modi per consentire agli utenti impersona account di servizio:
Concedi agli utenti un ruolo che consenta loro di creare credenziali di breve durata per l'account di servizio. Gli utenti possono quindi utilizzare le credenziali di breve durata per rubare l'identità dell'account di servizio.
Concedi il Creatore token di identità OpenID Connect per l'account di servizio ruolo (
roles/iam.serviceAccountOpenIdTokenCreator
) per consentire all'utente di creare token ID OpenID Connect (OIDC) di breve durata per l'account di servizio.Concedi il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator
) per consentire all'utente di creare i seguenti tipi di credenziali dell'account di servizio:- Token di accesso OAuth 2.0 che puoi utilizzare per l'autenticazione con Google. API
- Token ID OIDC
- JWT (Web Token web JSON) firmati e BLOB binari
Se concedi a un utente uno di questi ruoli, quest'ultimo può impersonare il servizio account in qualsiasi momento per aumentare il proprio accesso. Comunque, sono meno che accedono o modificano involontariamente risorse sensibili.
Per scoprire come impersonare account di servizio, vedi Utilizzare l'account di servizio furto d'identità.
Creare un servizio di token broker che offra agli utenti servizi di breve durata e credenziali dell'account di servizio, autenticarsi e fornire una giustificazione. Gli utenti possono quindi utilizzare le credenziali di breve durata per rubare l'identità dell'account di servizio.
Con questo metodo puoi decidere quando consentire agli utenti di impersonare il servizio .
Per scoprire come generare credenziali di breve durata, consulta l'articolo Creare credenziali di breve durata le credenziali di un account di servizio.
Per saperne di più sulla simulazione dell'identità degli account di servizio, vedi Account di servizio furto d'identità.
Passaggi successivi
- Configura Privileged Access Manager per l'accesso elevato temporaneo.
- Utilizza le condizioni IAM per concedere l'accesso temporaneo a un'entità.
- Esegui il deployment dell'applicazione di accesso Just-In-Time.
- Crea manualmente credenziali di breve durata per impersonare un account di servizio.