Una forma de proteger los recursos sensibles es limitar el acceso a ellos. Sin embargo, limitar el acceso a los recursos sensibles también genera fricciones para cualquier persona que necesite acceder de forma ocasional a esos recursos. Por ejemplo, un usuario puede necesitar acceso de emergencia o acceso de emergencia a recursos sensibles para resolver un incidente.
En estas situaciones, recomendamos otorgar permiso al usuario para acceder al recurso de manera temporal. También, para mejorar la auditoría, registra la justificación del usuario para acceder al recurso.
En Google Cloud, hay varias formas de administrar este tipo de acceso elevado temporal.
Grupos de Google
Una forma de administrar el acceso temporal elevado es otorgar a un Grupo de Google acceso a recursos sensibles y, luego, agregar y quitar usuarios de ese grupo para controlar su acceso.
Para configurar un Grupo de Google para obtener acceso temporal elevado, primero crea un grupo y otórgale los roles que deseas otorgar a los usuarios de forma temporal. Si usas políticas de denegación, también puedes hacer que el grupo esté exento de cualquier regla de denegación relevante para evitar denegaciones inesperadas.
Después de configurar el grupo, puedes agregar y quitar usuarios para modificar su acceso. Si usas la APIs de Grupos de Google, puedes agregar usuarios a un grupo de forma temporal mediante el vencimiento de la membresía.
Si deseas registrar las justificaciones del usuario para acceder a recursos sensibles, debes definir tus propios procesos operativos y herramientas.
Por ejemplo, para administrar el acceso de emergencia a los recursos de Compute Engine, puedes crear un grupo, emergency-compute-access@example.com, y otorgarle el rol de administrador de Compute (roles/compute.admin). Si un usuario necesita acceso de administrador de emergencia a los recursos de procesamiento, puedes agregarlos al grupo emergency-compute-access@example.com. Una vez que se resuelva la emergencia, puedes quitarla del grupo.
Condiciones de IAM
Puedes usar las condiciones de IAM para otorgar a los usuarios acceso vencido a los recursos de Google Cloud. Para obtener más información, consulta Configura el acceso temporal.
Si deseas registrar las justificaciones del usuario para acceder a recursos sensibles, debes definir tus propios procesos operativos y herramientas.
Las vinculaciones de roles vencidas no se quitan de forma automática de tus políticas de permisos. Para asegurarte de que tus políticas de permisos no excedan el tamaño máximo de las políticas de permisos, recomendamos quitar las vinculaciones de roles vencidas de forma periódica.
Las políticas de denegación no admiten condiciones basadas en el tiempo. Como resultado, no puedes usar condiciones en las políticas de denegación para eximir de forma temporal a un usuario de una regla de denegación.
Acceso con privilegios justo a tiempo
Just-In-Time Access es una aplicación de código abierto que usa las condiciones de IAM para otorgar a los usuarios acceso privilegiado a los recursos de Google Cloud justo a tiempo. Esta aplicación está diseñada para ejecutarse en App Engine o Cloud Run.
Esta aplicación tiene los siguientes beneficios en comparación con la adición manual de vinculaciones de roles condicionales:
- Los usuarios pueden buscar roles que puedan activar con Just-In-Time Access.
- Los usuarios deben proporcionar justificaciones antes de obtener acceso.
- La aplicación reemplaza la vinculación condicional existente en lugar de crear vinculaciones nuevas, lo que ayuda a mantener el tamaño de la política de permisos de IAM.
Para obtener más información sobre Just-In-Time Access, consulta Administra el acceso justo privilegiado a los proyectos.
Identidad temporal como cuenta de servicio
Cuando un principal autenticado, como un usuario o cualquier otra cuenta de servicio, se autentica como una cuenta de servicio para obtener los permisos de la cuenta de servicio, se llama actuar en nombre de la cuenta de servicio. Actuar en nombre de una cuenta de servicio permite que una principal autenticada acceda a lo que puede acceder la cuenta de servicio. Solo las principales autenticadas con los permisos adecuados pueden actuar en nombre de cuentas de servicio.
Si deseas configurar una cuenta de servicio para el acceso temporal elevado, crea la cuenta de servicio y otórgale los roles que deseas darle a un usuario de forma temporal. Si usas políticas de denegación, también puedes agregar la cuenta de servicio exenta de cualquier regla de denegación relevante para evitar denegaciones inesperadas.
Después de configurar la cuenta de servicio, puedes otorgar a los usuarios acceso elevado temporal si les permites actuar en nombre de la cuenta de servicio. Existen varias formas en las que puedes permitir que los usuarios actúen en nombre de cuentas de servicio:
Otorga a los usuarios un rol que les permita crear credenciales de corta duración para la cuenta de servicio. Luego, los usuarios pueden usar las credenciales de corta duración para actuar en nombre de la cuenta de servicio.
Otorga el rol de creador de tokens de identidad de OpenID Connect para cuentas de servicio (
roles/iam.serviceAccountOpenIdTokenCreator) para permitir que el usuario cree tokens de ID de OpenID Connect de corta duración (OIDC) para la cuenta de servicio.Otorga el rol de creador de tokens de cuentas de servicio (
roles/iam.serviceAccountTokenCreator) para permitir que el usuario cree los siguientes tipos de credenciales de la cuenta de servicio:- Tokens de acceso de OAuth 2.0, que puedes usar para autenticar con las APIs de Google.
- Tokens de ID de OIDC
- Tokens web JSON (JWT) firmados y BLOB binarios
Si le otorgas a un usuario una de estos roles, esta puede actuar en nombre de la cuenta de servicio en cualquier momento para elevar su propio acceso. Sin embargo, es menos probable que accedan o modifiques recursos sensibles por accidente.
Para obtener información sobre cómo actuar en nombre de cuentas de servicio, consulta Usa identidad temporal como cuenta de servicio.
Crea un servicio de agente de tokens que otorgue a los usuarios credenciales de corta duración para la cuenta de servicio después de que se autentiquen y proporcionen una justificación. Luego, los usuarios pueden usar las credenciales de corta duración para actuar en nombre de la cuenta de servicio.
Con este método, puedes decidir cuándo permitir que los usuarios actúen en nombre de la cuenta de servicio.
Si deseas obtener información sobre cómo generar credenciales de corta duración, consulta Crea credenciales de corta duración para una cuenta de servicio.
Para obtener más información sobre la identidad temporal como cuenta de servicio, consulta Identidad temporal como cuenta de servicio.
¿Qué sigue?
- Usa las Condiciones de IAM para otorgar acceso temporal a una principal.
- Implementa la aplicación Just-In-Time Access.
- Crea credenciales de corta duración de forma manual para actuar en nombre de una cuenta de servicio.