Como usar o IAM com segurança

Introdução

Nesta página, você encontra as práticas recomendadas de segurança durante o uso do Cloud IAM.

Esta página foi projetada para usuários com proficiência no Cloud IAM. Se você está apenas começando a usar o Cloud IAM, estas instruções não ensinam como usá-lo. Em vez disso, os novos usuários precisam começar com o Guia de início rápido do Cloud IAM.

Privilégio mínimo

❑  
Para recursos essenciais de segurança, evite papéis primários, como roles/owner, roles/editor e roles/viewer. Em vez disso, conceda papéis predefinidos para permitir o acesso menos permissivo necessário.
❑  
Conceda papéis primários nos seguintes casos:
  • Quando o serviço do Google Cloud não fornece um papel predefinido. Consulte a disponibilidade na tabela de papéis predefinidos.
  • Quando quiser conceder permissões mais amplas a um projeto. Isso geralmente é necessário em ambientes de desenvolvimento ou teste.
  • A equipe com que você trabalha é pequena, e as permissões granulares não são necessárias.
❑  
Trate cada componente do aplicativo como um limite de confiança separado. Se você tiver vários serviços que exigem permissões diferentes, crie uma conta de serviço separada para cada um dos serviços e conceda apenas as permissões necessárias a cada conta de serviço.
❑  
Lembre-se de que uma política definida como um recurso filho não restringe o acesso concedido ao pai. Verifique a política concedida em todos os recursos e entenda a herança hierárquica.
❑  
Conceda papéis com o menor escopo necessário. Por exemplo, para um usuário que precisa de acesso apenas para publicar um tópico do Pub/Sub, conceda o papel Editor.
❑  
Restrinja quem pode atuar como conta de serviço. Os usuários com o papel de Agente da conta de serviço têm acesso aos mesmos recursos que essa conta. Portanto, seja cauteloso ao conceder esse papel.
❑  
Restrinja quem tem acesso à criação e ao gerenciamento de contas de serviço no projeto.
❑  
Conceder os papéis predefinidos Administrador de IAM do projeto e Administrador de IAM da pasta permite que você modifique as políticas do Cloud IAM sem permitir acesso direto de leitura, gravação e administrativo a todos os recursos.

Conceder o papel Proprietário (roles/owner) a um membro permitirá que ele acesse e modifique quase todos os recursos, incluindo as políticas do Cloud IAM. Essa quantidade de privilégios é potencialmente arriscada. Conceda o papel Proprietário (roles/owner) somente quando um acesso (quase) universal for necessário.

Contas de serviço e chaves de conta de serviço

❑  
Reveze as chaves da sua conta de serviço usando a API de conta de serviço do Cloud IAM. Para fazer isso, crie uma nova chave, alterne os aplicativos para que usem essa chave e exclua a chave antiga. Use os métodos serviceAccount.keys.create() e serviceAccount.keys.delete() juntos para automatizar o revezamento.
❑  
Implemente processos para administrar as chaves de conta de serviço gerenciadas pelo usuário.
❑  
Tenha cuidado para não confundir as chaves de criptografia com as da conta de serviço. Normalmente, as chaves de criptografia são usadas para criptografar dados e chaves de conta de serviço são usadas para acesso seguro a APIs do Google Cloud.
❑  
Não exclua as contas de serviço usadas por instâncias em execução. Se a transição para uma conta alternativa não é feita antes, o resultado pode ser a falha total ou parcial do aplicativo.
❑  
Use o nome de exibição de uma conta de serviço para controlar como ela é utilizada e quais as permissões necessárias.
❑  
Não insira as chaves da conta de serviço no código-fonte nem as deixe no diretório "Downloads".

Auditoria

❑  
Use os registros de auditoria do Cloud para auditar regularmente as alterações na política do Cloud IAM.
❑  
Exporte os registros de auditoria para o Cloud Storage para armazenar seus registros por longos períodos.
❑  
Faça auditorias dos usuários que têm permissão para alterar as políticas do Cloud IAM nos projetos.
❑  
Use papéis do Logging para restringir o acesso aos registros.
❑  
Aplique as mesmas políticas de acesso ao recurso do Google Cloud que você usa para exportar registros, conforme aplicadas ao visualizador de registros.
❑  
Use os registros do Cloud Audit Logs para auditar regularmente o acesso às chaves da conta de serviço.

Gerenciamento de políticas

❑  
Defina políticas do Cloud IAM no nível da organização para conceder acesso a todos os projetos da sua organização.
❑  
Quando possível, conceda papéis a um grupo do Google, em vez de a usuários individuais. É mais fácil adicionar membros e removê-los de um grupo do Google do que atualizar uma política do Cloud IAM para adicionar ou excluir usuários.
❑  
Se você precisar conceder vários papéis para permitir determinada tarefa, crie um grupo do Google, conceda papéis e adicione usuários a ele.