Un modo per proteggere le risorse sensibili è limitarne l'accesso. Tuttavia, limitare l'accesso alle risorse sensibili crea anche problemi per chiunque abbia occasionalmente bisogno di accedervi. Ad esempio, un utente potrebbe aver bisogno di un accesso di emergenza, o di emergenza, a risorse sensibili per risolvere un incidente.
In queste situazioni, è consigliabile concedere all'utente l'autorizzazione ad accedere temporaneamente alla risorsa. Ti consigliamo inoltre di registrare la giustificazione dell'utente per l'accesso alla risorsa, per migliorare il controllo.
In Google Cloud, esistono diversi modi per gestire questo tipo di accesso elevato temporaneo.
Gruppi Google
Un modo per gestire l'accesso elevato temporaneo è concedere a un gruppo Google l'accesso alle risorse sensibili, quindi aggiungere e rimuovere gli utenti dal gruppo per controllarne l'accesso.
Per configurare un gruppo Google per l'accesso elevato temporaneo, devi prima creare un gruppo, quindi assegnargli i ruoli che vuoi assegnare temporaneamente agli utenti. Se utilizzi i criteri di negazione, valuta anche di rendere il gruppo esente da eventuali regole di negazione pertinenti per evitare rifiuti imprevisti.
Dopo aver configurato il gruppo, puoi aggiungere e rimuovere utenti per modificarne l'accesso. Se utilizzi l'API Google Groups, puoi aggiungere temporaneamente utenti a un gruppo utilizzando la scadenza delle iscrizioni.
Se vuoi registrare le giustificazioni dell'utente per l'accesso alle risorse sensibili, devi definire i tuoi strumenti e processi operativi.
Ad esempio, per gestire l'accesso di emergenza alle risorse Compute Engine, puoi creare un gruppo, emergency-compute-access@example.com, e assegnargli il ruolo Amministratore Compute (roles/compute.admin). Se un utente ha bisogno dell'accesso amministrativo di emergenza alle risorse di computing, puoi aggiungerlo al gruppo emergency-compute-access@example.com. Una volta risolta l'emergenza,
puoi rimuoverla dal gruppo.
Condizioni IAM
Puoi utilizzare le condizioni IAM per concedere agli utenti l'accesso con scadenza alle risorse Google Cloud. Per ulteriori informazioni, consulta Configurare l'accesso temporaneo.
Se vuoi registrare le giustificazioni dell'utente per l'accesso alle risorse sensibili, devi definire i tuoi strumenti e processi operativi.
Le associazioni di ruoli scadute non vengono rimosse automaticamente dai criteri di autorizzazione. Per assicurarti che i criteri di autorizzazione non superino la dimensione massima per i criteri di autorizzazione, ti consigliamo di rimuovere periodicamente le associazioni di ruoli scadute.
I criteri di negazione non supportano le condizioni basate sul tempo. Di conseguenza, non puoi utilizzare le condizioni nei criteri di negazione per escludere temporaneamente un utente da una regola di negazione.
Accesso con privilegi just-in-time
Just-In-Time Access è un'applicazione open source che utilizza le condizioni IAM per concedere agli utenti l'accesso privilegiato just-in-time alle risorse Google Cloud. Questa applicazione è progettata per essere eseguita in App Engine o Cloud Run.
Questa applicazione offre i seguenti vantaggi rispetto all'aggiunta manuale di associazioni di ruoli condizionali:
- Gli utenti possono cercare ruoli che possono attivare con l'accesso Just-In-Time.
- Gli utenti devono fornire spiegazioni prima di ottenere l'accesso.
- L'applicazione sostituisce l'associazione condizionale esistente invece di creare nuove associazioni, il che consente di mantenere le dimensioni dei criteri di autorizzazione IAM.
Per saperne di più sull'accesso Just-In-Time, vedi Gestire l'accesso con privilegi just-in-time ai progetti.
Impersonificazione degli account di servizio
Quando un'entità autenticata, ad esempio un utente o un altro account di servizio, si autentica come account di servizio per ottenere le autorizzazioni dell'account di servizio, si parla di furto d'identità dell'account di servizio. L'identità di un account di servizio consente a un'entità autenticata di accedere a qualsiasi account di servizio a cui può accedere. Solo le entità autenticate con le autorizzazioni appropriate possono impersonare account di servizio.
Per configurare un account di servizio per l'accesso elevato temporaneo, crea l'account di servizio, quindi concedigli i ruoli che vuoi concedere temporaneamente a un utente. Se utilizzi i criteri di negazione, valuta anche la possibilità di aggiungere l'account di servizio esente da eventuali regole di negazione pertinenti per evitare rifiuti imprevisti.
Dopo aver configurato l'account di servizio, puoi concedere agli utenti l'accesso elevato temporaneo consentendo loro di impersonare l'account di servizio. Esistono diversi modi per consentire agli utenti di assumere l'identità degli account di servizio:
Concedi agli utenti un ruolo che consente loro di creare credenziali di breve durata per l'account di servizio. Gli utenti possono quindi usare le credenziali di breve durata per impersonare l'account di servizio.
Concedi il ruolo Creatore token identità OpenID Connect dell'account di servizio (
roles/iam.serviceAccountOpenIdTokenCreator) per consentire all'utente di creare token ID OpenID Connect (OIDC) di breve durata per l'account di servizio.Concedi il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator) per consentire all'utente di creare i seguenti tipi di credenziali dell'account di servizio:- Token di accesso OAuth 2.0, che puoi utilizzare per l'autenticazione con le API di Google
- Token ID OIDC
- JWT (JSON Web Token) firmati e blob binari
Se concedi a un utente uno di questi ruoli, l'utente può impersonare l'account di servizio in qualsiasi momento per aumentare il proprio accesso. Tuttavia, è meno probabile che accedano o modifichino involontariamente risorse sensibili.
Per scoprire come impersonare gli account di servizio, consulta Utilizzare il furto d'identità degli account di servizio.
Crea un servizio di broker di token che fornisca agli utenti credenziali di breve durata per l'account di servizio dopo l'autenticazione e forniscono una giustificazione. Gli utenti possono quindi usare le credenziali di breve durata per impersonare l'account di servizio.
Con questo metodo, puoi decidere quando consentire agli utenti di impersonare l'account di servizio.
Per scoprire come generare credenziali di breve durata, consulta Creare credenziali di breve durata per un account di servizio.
Per scoprire di più sull'impersonificazione degli account di servizio, consulta Furto d'identità degli account di servizio.
Passaggi successivi
- Utilizza le condizioni IAM per concedere l'accesso temporaneo a un'entità.
- Esegui il deployment dell'applicazione Just-In-Time Access.
- Crea manualmente credenziali di breve durata per assumere l'identità di un account di servizio.