Cómo usar IAM de forma segura

Introducción

En esta página se sugieren las recomendaciones de seguridad que debes tener en cuenta cuando utilizas Cloud IAM.

Esta página está diseñada para usuarios que son competentes con Cloud IAM. Si recién estás comenzando con IAM, estas instrucciones no te enseñarán cómo usarlo; en cambio, los nuevos usuarios deben comenzar con la Guía de inicio rápido de Cloud IAM.

Privilegios mínimos

❑  
Las funciones predefinidas proporcionan un acceso más detallado que las funciones básicas. Otorga funciones predefinidas a las identidades cuando sea posible, de modo que solo concedas la menor cantidad de acceso necesario para acceder a tus recursos.
❑  
Otorga funciones básicas en los siguientes casos:
  • Cuando el servicio de Cloud Platform no proporciona una función predefinida. Consulta la tabla de funciones predefinidas para obtener una lista de todas las funciones predefinidas disponibles.
  • Cuando quieras otorgar permisos más amplios para un proyecto. Esto sucede a menudo cuando se otorgan permisos en entornos de desarrollo o prueba.
  • Cuando necesites permitir que un miembro modifique los permisos para un proyecto, querrás otorgarle la función de propietario porque solo los propietarios tienen permiso para otorgar acceso a otros usuarios para proyectos.
  • Cuando trabajas en un equipo pequeño donde los miembros del equipo no necesitan permisos detallados.
❑  
Trata cada componente de tu aplicación como un límite de confianza separado. Si tienes varios servicios que requieren permisos diferentes, crea una cuenta de servicio separada para cada uno de los servicios para que se puedan autorizar de manera diferente.
❑  
Recuerda que un conjunto de políticas en un recurso secundario no puede restringir el acceso otorgado en su superior. Verifica la política otorgada en cada recurso y asegúrate de entender la herencia jerárquica.
❑  
Otorga funciones en el menor alcance necesario. Por ejemplo, si un usuario solo necesita acceso para publicar un tema Pub/Sub, concede la función de publicador al usuario para ese tema.
❑  
Restringe quién puede actuar como cuenta de servicio. Los usuarios que tienen esta última función pueden acceder a todos los mismos recursos que la cuenta de servicio en sí. Por lo tanto, ten cuidado cuando otorgas la función de actor de cuenta de servicio a un usuario.
❑  
Restringe quién tiene acceso para crear y administrar cuentas de servicio en tu proyecto.
❑  
La concesión de una función de propietario a un miembro le permitirá modificar la política de IAM. Por lo tanto, otorga la función de propietario solo si el miembro tiene un propósito legítimo para administrar la política de IAM. Esto se realiza de esa manera dado que tu política contiene datos sensibles de control de acceso, y tener un conjunto mínimo de usuarios administrados simplificará cualquier auditoría que tengas que hacer.

Cuentas de servicio y claves de cuenta de servicio

❑  
Rota las claves de tu cuenta de servicio con la API de cuenta de servicio de IAM. Puedes rotar una clave mediante la creación de una nueva clave, el cambio de las aplicaciones para usar la nueva clave y, luego, mediante el borrado de la clave antigua. Usa el método serviceAccount.keys.create() y el método serviceAccount.keys.delete() juntos para automatizar la rotación.
❑  
Implementa procesos para administrar claves de cuenta de servicio administradas por el usuario.
❑  
Ten cuidado de no confundir las claves de encriptación con las claves de la cuenta de servicio. Las claves de encriptación se utilizan normalmente para encriptar datos, y las claves de cuenta de servicio se utilizan para el acceso seguro a las API de Google Cloud Platform.
❑  
No borres las cuentas de servicio que están en uso por las instancias en ejecución. Esto podría hacer que toda o parte de tu aplicación falle si no has hecho la transición al uso de una cuenta de servicio alternativa primero.
❑  
Usa el nombre comercial de una cuenta de servicio para hacer un seguimiento de para qué se usan y qué permisos deben tener.
❑  
No ingreses las claves de la cuenta de servicio en el código fuente ni las dejes en el directorio de Descargas.

En auditoría

❑  
Usa los registros de auditoría de la nube para auditar regularmente los cambios en tu política de IAM.
❑  
Exporta registros de auditoría a Google Cloud Storage para almacenar tus registros durante largos períodos.
❑  
Audita quién tiene la capacidad de cambiar tus políticas de IAM en tus proyectos.
❑  
Restringe el acceso a los registros mediante las funciones de Cloud Logging.
❑  
Aplica las mismas políticas de acceso al recurso de Cloud Platform que utilizas para exportar los registros que se aplican al visor de registros.
❑  
Usa los registros de auditoría de la nube para auditar regularmente el acceso a las claves de las cuentas de servicio.

Administración de políticas

❑  
Configura políticas de IAM a nivel de la organización para otorgar acceso a todos los proyectos en tu organización.
❑  
Otorga funciones a un grupo de Google en lugar de a usuarios individuales cuando sea posible. Es más fácil agregar miembros y quitarlos de un grupo de Google que actualizar una política de Cloud IAM para agregar o quitar usuarios.
❑  
Si necesitas otorgar varias funciones para permitir una tarea en particular, crea un grupo de Google, otorga las funciones a ese grupo y, luego, agrega usuarios a ese grupo.
¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud Identity and Access Management