Utiliser Cloud IAM en toute sécurité

Introduction

Cette page recommande de bonnes pratiques de sécurité que vous devez garder à l'esprit lorsque vous utilisez Cloud IAM.

Elle est conçue pour les utilisateurs maîtrisant Cloud IAM. Si vous débutez avec Cloud IAM, ces instructions ne vous apprendront pas comment utiliser le service. Pour le découvrir, les nouveaux utilisateurs doivent commencer par consulter le guide de démarrage rapide de Cloud IAM.

Moindre privilège

❑  
Pour les ressources essentielles à la sécurité, évitez d'utiliser des rôles primitifs, tels que roles/owner, roles/editor et roles/viewer. Attribuez plutôt des rôles prédéfinis pour autoriser l'accès le moins permissif nécessaire.
❑  
Accordez des rôles primitifs dans les cas suivants :
  • Lorsque le service GCP ne fournit pas de rôle prédéfini. Consultez la table des rôles prédéfinis pour obtenir la liste de tous les rôles prédéfinis disponibles.
  • Lorsque vous souhaitez accorder des autorisations plus larges pour un projet. Cela se produit souvent lorsque vous accordez des autorisations dans des environnements de développement ou de test.
  • Lorsque vous travaillez dans une petite équipe dont les membres n'ont pas besoin d'autorisations précises.
❑  
Traitez chaque composant de votre application comme une limite de confiance distincte. Si plusieurs services nécessitent des autorisations différentes, créez un compte de service distinct pour chacun de ces services, puis accordez uniquement les autorisations requises à chaque compte de service.
❑  
N'oubliez pas qu'un ensemble de stratégies définies sur une ressource enfant ne peut pas restreindre l'accès accordé au niveau de sa ressource parente. Vérifiez la stratégie accordée sur chaque ressource et assurez-vous de bien comprendre l'héritage hiérarchique.
❑  
Accordez des rôles au plus petit champ d'application requis. Par exemple, si un utilisateur a uniquement besoin d'un accès pour publier un thème Pub/Sub, attribuez le rôle Éditeur à l'utilisateur pour ce thème.
❑  
Limitez les utilisateurs pouvant agir en tant que comptes de service. Les utilisateurs auxquels le rôle Acteur du compte de service est attribué pour un compte de service peuvent accéder à toutes les ressources auxquelles le compte de service a accès. Par conséquent, soyez prudent lorsque vous attribuez le rôle "Acteur du compte de service" à un utilisateur.
❑  
Limitez le nombre d'utilisateurs ayant accès à la création et à la gestion des comptes de service dans votre projet.
❑  
L'attribution des rôles prédéfinis d'administrateur de projet IAM et d’administrateur IAM de dossier permet de modifier les stratégies Cloud IAM, sans autoriser également un accès direct en lecture, en écriture et un accès administratif à toutes les ressources.

L'attribution du rôle de propriétaire (roles/owner) à un membre lui permet d'accéder à presque toutes les ressources et de les modifier, y compris les stratégies Cloud IAM. Ce niveau élevé de privilèges est potentiellement risqué. Attribuez le rôle de propriétaire (roles/owner) uniquement lorsqu'un accès (presque) universel est requis.

Comptes de service et clés de compte de service

❑  
Alternez vos clés de compte de service à l'aide de l'API de compte de service IAM. Il suffit de créer une nouvelle clé, de modifier la liaison avec vos applications, puis de supprimer l'ancienne clé. Les méthodes serviceAccount.keys.create() et serviceAccount.keys.delete() permettent d'automatiser la rotation.
❑  
Implémentez des processus pour gérer les clés de compte de service gérées par l'utilisateur.
❑  
Veillez à ne pas confondre les clés de chiffrement avec les clés de compte de service. Les clés de chiffrement sont généralement utilisées pour chiffrer les données, et les clés de compte de service pour un accès sécurisé aux API GCP.
❑  
Ne supprimez pas les comptes de service utilisés par les instances en cours d'exécution. Cela pourrait entraîner l'échec de tout ou partie de votre application si vous n'avez pas déjà basculé vers un autre compte de service.
❑  
Utilisez le nom à afficher d'un compte de service pour savoir à quoi il sert et quelles autorisations il doit avoir.
❑  
N'enregistrez pas les clés du compte de service dans le code source et ne les laissez pas dans le répertoire Téléchargements.

Audits

❑  
Utilisez les journaux de Cloud Audit Logging pour réaliser un audit régulier des modifications apportées à votre stratégie Cloud IAM.
❑  
Exportez vos journaux d'audit vers Cloud Storage pour stocker vos journaux pendant de longues périodes.
❑  
Réalisez des audits pour définir les utilisateurs habilités à modifier les stratégies IAM de vos projets.
❑  
Limitez l'accès aux journaux à l'aide des rôles Logging.
❑  
Appliquez à la ressource GCP les mêmes stratégies d'accès que celles que vous utilisez pour exporter les journaux, comme avec la visionneuse de journaux.
❑  
Utilisez les journaux Cloud Audit Logging pour réaliser un audit régulier de l'accès aux clés de compte de service.

Gérer les règles

❑  
Définissez des stratégies Cloud IAM au niveau de l'entreprise pour accorder l'accès à tous les projets de votre organisation.
❑  
Attribuez des rôles à un groupe Google plutôt qu'à des utilisateurs individuels, dès que cela est possible. Il est plus simple d'ajouter ou de supprimer des membres dans un groupe Google que de mettre à jour une stratégie IAM Cloud pour ajouter ou supprimer des utilisateurs.
❑  
Si vous devez attribuer plusieurs rôles pour autoriser une tâche donnée, créez un groupe Google, attribuez-lui les rôles, puis ajoutez-lui des utilisateurs.
Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation Cloud IAM