Usar o IAM com segurança

Introdução

Nesta página, você encontra as práticas de segurança recomendadas durante o uso do Cloud IAM.

Ela é destinada a usuários com experiência em Cloud IAM. Caso você seja um novo usuário, comece pelo Guia de início rápido do Cloud IAM.

Privilégio mínimo

❑  
Com os papéis predefinidos, você tem um acesso mais granular do que com os primitivos. Sempre que possível, conceda os papéis predefinidos às identidades para restringir o acesso somente aos recursos necessários.
❑  
Conceda papéis primitivos nos seguintes casos:
  • Quando o serviço Cloud Platform não fornecer um papel predefinido. Consulte a disponibilidade na tabela de papéis predefinidos.
  • Quando quiser conceder permissões mais amplas a um projeto. Isso geralmente é necessário em ambientes de desenvolvimento ou teste.
  • Se você precisa que um membro modifique as permissões de um projeto, conceda o papel de proprietário, pois somente com esse papel ele consegue providenciar o acesso a esse projeto para outros usuários.
  • A equipe com a qual você trabalha é pequena e permissões granulares não são necessárias.
❑  
Trate cada componente do aplicativo com um limite de confiança específico. Para cada serviço em que permissões diferentes sejam necessárias, crie uma conta de serviço separada.
❑  
Lembre-se de que uma política definida para um recurso filho não restringe o acesso concedido ao pai. Verifique a política concedida em todos os recursos e entenda a herança hierárquica.
❑  
Conceda papéis com o menor escopo necessário. Por exemplo, para um usuário que precisa de acesso apenas para publicar um tópico do Pub/Sub, conceda o papel de Publicador.
❑  
Restrinja quem pode atuar como conta de serviço. Os usuários com o papel de Agente da conta de serviço têm acesso aos mesmos recursos que essa conta. Portanto, seja cauteloso ao conceder esse papel.
❑  
Restrinja o acesso à criação e gerenciamento de contas de serviço no projeto.
❑  
O membro com o papel de proprietário pode modificar a política de IAM. Portanto, esse papel só pode ser concedido quando o membro tem um propósito legítimo para gerenciar a política. Isso acontece porque essa política contém dados de controle de acesso confidencial e, se você tem um mínimo de usuários gerenciando ela, isso simplifica uma possível auditoria.

Contas de serviço e chaves da conta de serviço

❑  
Troque as chaves da conta de serviço usando a IAM service account API. Para fazer isso, crie uma nova chave, alterne os aplicativos para usá-la e exclua a antiga. Use os métodos serviceAccount.keys.create() e serviceAccount.keys.delete() juntos para automatizar a troca.
❑  
Implemente processos para as chaves de conta de serviço gerenciadas pelo usuário.
❑  
Tenha cuidado para não confundir as chaves de criptografia com as da conta de serviço. As de criptografia são normalmente usadas para criptografar dados e as de conta de serviço para garantir o acesso seguro às APIs do Google Cloud Platform.
❑  
Não exclua as contas de serviço usadas. Basta executar as instâncias. Se a transição para uma conta alternativa não é feita antes, o resultado pode ser a falha total ou parcial do aplicativo.
❑  
Use o nome de exibição de uma conta de serviço para controlar como ela é utilizada e quais as permissões necessárias.
❑  
Não verifique as chaves da conta de serviço no código-fonte nem as deixe no diretório Downloads.

Auditoria

❑  
Use os registros de auditoria do Cloud para fazer auditorias regulares das alterações na política de IAM.
❑  
Exporte os registros de auditoria para o Google Cloud Storage, a fim de armazenar os registros por longo tempo.
❑  
Faça auditorias dos usuários que têm permissão para alterar as políticas de IAM nos projetos.
❑  
Use papéis de geração de registros do Cloud para restringir o acesso aos registros.
❑  
No recurso do Cloud Platform usado para exportar registros, aplique as mesmas políticas de acesso do visualizador de registros.
❑  
Use os registros de auditoria do Cloud para fazer auditorias regulares do acesso às chaves da conta de serviço.

Gerenciamento de políticas

❑  
Configure as políticas de IAM no nível da organização para conceder acesso a todos os projetos dessa organização.
❑  
Quando possível, conceda papéis a um grupo do Google, em vez de a usuários individuais. É mais fácil adicionar membros e removê-los de um grupo do Google do que atualizar uma política do Cloud IAM para incluir ou excluir usuários.
❑  
Se você precisa atribuir vários papéis para permitir determinada tarefa, crie um grupo do Google, atribua papéis e adicione usuários a ele.
Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud Identity and Access Management