Use o IAM de forma segura

As funções básicas incluem milhares de autorizações em todos os Google Cloud serviços. Em ambientes de produção, não conceda funções básicas, a menos que não exista uma alternativa. Em alternativa, conceda as funções predefinidas ou as funções personalizadas mais limitadas que satisfaçam as suas necessidades.

Se precisar de substituir uma função básica, pode usar as recomendações de funções para determinar que funções atribuir em alternativa. Também pode usar o Simulador de políticas para garantir que a alteração da função não afeta o acesso do principal.

Pode ser adequado conceder funções básicas quando quiser conceder autorizações mais amplas para um projeto. Por exemplo, pode conceder funções básicas para utilização em ambientes de teste ou de desenvolvimento.

Trate cada componente da sua aplicação como um limite de confiança separado. Se tiver vários serviços que requerem autorizações diferentes, crie uma conta de serviço separada para cada um dos serviços e, em seguida, conceda apenas as autorizações necessárias a cada conta de serviço.

Tenha em atenção que as políticas de permissão para recursos secundários são herdadas das políticas de permissão para os respetivos recursos principais. Por exemplo, se a política de permissão de um projeto conceder a um utilizador a capacidade de administrar instâncias de máquinas virtuais (VMs) do Compute Engine, o utilizador pode administrar qualquer VM do Compute Engine nesse projeto, independentemente da política de permissão que definir em cada VM.

Conceda funções no âmbito mais pequeno necessário. Por exemplo, se um utilizador apenas precisar de acesso para publicar tópicos do Pub/Sub, atribua-lhe a função de Publicador para esse tópico.

Especifique que membros podem atuar como contas de serviço. Os utilizadores aos quais é concedida a função de utilizador da conta de serviço para uma conta de serviço podem aceder a todos os recursos aos quais a conta de serviço tem acesso. Por conseguinte, tenha cuidado ao conceder a função de utilizador da conta de serviço a um utilizador.

Especifique quem tem acesso à criação e gestão de contas de serviço no seu projeto.

A concessão das funções predefinidas de administrador do IAM do projeto e administrador do IAM da pasta permite o acesso para modificar as políticas de autorização sem também permitir o acesso direto de leitura, escrita e administrativo a todos os recursos.

A atribuição da função Proprietário (roles/owner) a um principal permite-lhe aceder e modificar quase todos os recursos, incluindo a modificação de políticas de autorização. Esta quantidade de privilégios é potencialmente arriscada. Conceda a função de proprietário apenas quando for necessário um acesso (quase) universal.

Use associações de funções condicionais para permitir que o acesso expire automaticamente e pondere conceder acesso elevado temporário.

Adote práticas recomendadas para trabalhar com contas de serviço. Certifique-se de que as contas de serviço têm privilégios limitados e proteja-se contra potenciais ameaças de segurança.

Não elimine contas de serviço que estejam a ser usadas por instâncias em execução. Isto pode fazer com que a sua aplicação falhe total ou parcialmente se não tiver feito a transição para uma conta de serviço alternativa.

Use o nome a apresentar de uma conta de serviço para acompanhar a finalidade da conta de serviço e as autorizações de que necessita.

Evite usar chaves de contas de serviço se estiver disponível outra opção. As chaves de contas de serviço representam um risco de segurança se não forem geridas corretamente. Deve escolher uma alternativa mais segura às chaves de contas de serviço sempre que possível. Se tiver de fazer a autenticação com uma chave de conta de serviço, é responsável pela segurança da chave privada e por outras operações descritas nas Práticas recomendadas de gestão de chaves de contas de serviço. Se não conseguir criar uma chave de conta de serviço, a criação de chaves de contas de serviço pode estar desativada para a sua organização. Para mais informações, consulte o artigo Gerir recursos da organização seguros por predefinição.

Se adquiriu a chave da conta de serviço a partir de uma fonte externa, tem de a validar antes de a usar. Para mais informações, consulte os Requisitos de segurança para credenciais de origem externa.

Alterne as chaves da conta de serviço através da API da conta de serviço de IAM. Pode rodar uma chave criando uma nova chave, mudando as aplicações para usar a nova chave, desativando a chave antiga e, em seguida, eliminando a chave antiga quando tiver a certeza de que já não é necessária.

Implemente processos para gerir chaves de contas de serviço geridas pelo utilizador.

Tenha cuidado para não confundir as chaves de encriptação com as chaves de contas de serviço. As chaves de encriptação são normalmente usadas para encriptar dados e as chaves de contas de serviço são usadas para acesso seguro a Google Cloud APIs.

Não faça o check-in das chaves da conta de serviço no código-fonte nem as deixe no diretório de transferências.

Use os registos dos registos de auditoria do Cloud para auditar regularmente as alterações à sua política de autorização.

Exporte registos de auditoria para o Cloud Storage para armazenar os seus registos durante longos períodos.

Audite quem tem a capacidade de alterar as suas políticas de permissão nos seus projetos.

Faça a gestão do acesso aos registos através das funções de registo.

Aplique as mesmas políticas de acesso ao Google Cloud recurso que usa para encaminhar registos, tal como aplicado ao Explorador de registos.

Use os registos de auditoria do Cloud para auditar regularmente o acesso às chaves de contas de serviço.

Se um principal precisar de acesso a todos os projetos na sua organização, conceda funções ao principal ao nível da organização.

Conceda funções a grupos em vez de utilizadores individuais sempre que possível. É mais fácil atualizar os membros de um grupo do que atualizar os principais nas suas políticas de autorização.