Puoi utilizzare Privileged Access Manager (PAM) per controllare l'aumento temporaneo dei privilegi just-in-time per determinati principal e per visualizzare i log di controllo in un secondo momento per scoprire chi ha avuto accesso a cosa e quando.
Per consentire l'elevazione temporanea, crea un diritto in Privileged Access Manager e aggiungici i seguenti attributi:
Un insieme di entità autorizzate a richiedere una concessione in base al diritto.
Se è richiesta una motivazione per la concessione.
Un insieme di ruoli da concedere temporaneamente. Le condizioni IAM possono essere impostate sui ruoli.
La durata massima di una concessione.
(Facoltativo) Indica se le richieste devono essere approvate da un insieme selezionato di entità e se queste entità devono giustificare la loro approvazione.
(Facoltativo) Altri stakeholder da informare su eventi importanti, come sovvenzioni e approvazioni in attesa.
Un preside aggiunto come richiedente a un diritto può richiedere una concessione per quel diritto. In caso di esito positivo, all'utente vengono concessi i ruoli elencati nel diritto fino al termine della durata della concessione, dopodiché i ruoli vengono revocati da Privileged Access Manager.
Casi d'uso
Per utilizzare in modo efficace Privileged Access Manager, inizia identificando casi d'uso specifici e scenari in cui può soddisfare le esigenze della tua organizzazione. Personalizza i diritti di Privileged Access Manager in base a questi casi d'uso e ai requisiti e controlli necessari. Ciò comporta la mappatura di utenti, ruoli, risorse e durate coinvolti, insieme a eventuali giustificazioni e approvazioni necessarie.
Sebbene Privileged Access Manager possa essere utilizzato come best practice generale per concedere privilegi temporanei anziché permanenti, di seguito sono riportati alcuni scenari in cui potrebbe essere comunemente utilizzato:
Concedi accesso di emergenza: consente a determinati personale di primo intervento di eseguire attività critiche senza dover attendere l'approvazione. Puoi richiedere giustificazioni per fornire un contesto aggiuntivo sul motivo per cui è necessario l'accesso di emergenza.
Controlla l'accesso alle risorse sensibili: controlla rigorosamente l'accesso alle risorse sensibili, richiedendo approvazioni e giustificazioni aziendali. Privileged Access Manager può essere utilizzato anche per controllare come è stato utilizzato questo accesso, ad esempio quando i ruoli concessi erano attivi per un utente, quali risorse erano accessibili durante quel periodo, la giustificazione dell'accesso e chi lo ha approvato.
Ad esempio, puoi utilizzare Privileged Access Manager per:
Concedi agli sviluppatori l'accesso temporaneo agli ambienti di produzione per la risoluzione dei problemi o i deployment.
Consenti agli ingegneri dell'assistenza di accedere ai dati sensibili dei clienti per attività specifiche.
Concedere agli amministratori di database privilegi elevati per la manutenzione o le modifiche alla configurazione.
Proteggi i service account: anziché concedere permanentemente ruoli ai service account, consenti ai service account di autoassegnarsi e assumere ruoli solo quando necessario per le attività automatizzate.
Gestisci l'accesso per i collaboratori e la forza lavoro estesa: concedi ai collaboratori o ai membri della forza lavoro estesa l'accesso temporaneo e limitato nel tempo alle risorse, con approvazioni e giustificazioni richieste.
Funzionalità e limitazioni
Le seguenti sezioni descrivono le diverse funzionalità e limitazioni di Privileged Access Manager.
Risorse supportate
Privileged Access Manager supporta la creazione di diritti e la richiesta di concessioni per progetti, cartelle e organizzazioni.
Se vuoi limitare l'accesso a un sottoinsieme di risorse all'interno di un progetto, una cartella o un'organizzazione, puoi aggiungere condizioni IAM al diritto. Privileged Access Manager supporta tutti gli attributi di condizione supportati nelle associazioni di ruoli delle policy di autorizzazione.
Ruoli supportati
Privileged Access Manager supporta i ruoli predefiniti, i ruoli personalizzati e i ruoli di base Amministratore, Scrittore e Lettore. Privileged Access Manager non supporta i ruoli di base legacy (Proprietario, Editor e Visualizzatore).
Identità supportate
Privileged Access Manager supporta tutti i tipi di identità, tra cui Cloud Identity, federazione delle identità della forza lavoro e federazione delle identità dei carichi di lavoro.
Audit logging
Gli eventi di Privileged Access Manager, come la creazione di diritti, richieste o revisione di concessioni, vengono registrati in Cloud Audit Logs. Per un elenco completo degli eventi per cui Privileged Access Manager genera log, consulta la documentazione sull'audit logging di Privileged Access Manager. Per scoprire come visualizzare questi log, vedi Eventi di verifica e concessione dei diritti in Privileged Access Manager.
Mantenimento della concessione
Le concessioni vengono eliminate automaticamente da Privileged Access Manager
30 giorni dopo essere state rifiutate, revocate, scadute
o terminate. I log per le concessioni vengono conservati in Cloud Audit Logs per la
durata di conservazione dei log del bucket _Required.
Per scoprire come visualizzare questi log, vedi
Eventi di verifica e concessione dei diritti in Privileged Access Manager.
Modifiche alle policy IAM e a Privileged Access Manager
Privileged Access Manager gestisce l'accesso temporaneo aggiungendo e rimuovendo associazioni di ruoli dalle norme IAM delle risorse. Se queste associazioni di ruoli vengono modificate da un elemento diverso da Privileged Access Manager, quest'ultimo potrebbe non funzionare come previsto.
Per evitare questo problema, ti consigliamo di procedere come segue:
- Non modificare manualmente le associazioni di ruoli gestite da Privileged Access Manager.
- Se utilizzi Terraform per gestire le tue policy IAM, assicurati di utilizzare risorse non autorevoli anziché risorse autorevoli. In questo modo, Terraform non sostituirà le associazioni di ruoli del Gestore degli accessi con privilegi, anche se non sono presenti nella configurazione dichiarativa dei criteri IAM.
Notifiche
Privileged Access Manager può inviarti notifiche su vari eventi che si verificano in Privileged Access Manager, come descritto nelle sezioni seguenti.
Notifiche via email
Privileged Access Manager invia notifiche via email agli stakeholder pertinenti per le modifiche di un diritto e di una concessione. I gruppi di destinatari sono i seguenti:
Richiedenti idonei di un diritto:
- Indirizzi email degli utenti Cloud Identity e dei gruppi specificati come richiedenti nel diritto
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la consoleGoogle Cloud , questi indirizzi email sono elencati nel campo Notifica di un diritto idoneo della sezione Notifiche aggiuntive del diritto. Quando utilizzi
l'interfaccia a riga di comando gcloud o l'API REST, questi indirizzi email sono elencati
nel campo
requesterEmailRecipients.
Concedere approvatori per un diritto:
- Indirizzi email di utenti e gruppi Cloud Identity specificati come approvatori nel diritto.
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la consoleGoogle Cloud , questi indirizzi email sono elencati nel campo Notifica quando una concessione è in attesa di approvazione della sezione Notifiche aggiuntive del diritto. Quando utilizzi
gcloud CLI o l'API REST, questi indirizzi email sono elencati nel
campo
approverEmailRecipientsdei passaggi del flusso di lavoro di approvazione.
Amministratore del diritto:
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la
consoleGoogle Cloud , questi indirizzi email sono elencati nel campo
Notifica quando viene concesso l'accesso nella sezione Notifiche aggiuntive
del diritto. Quando utilizzi gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
adminEmailRecipients.
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la
consoleGoogle Cloud , questi indirizzi email sono elencati nel campo
Notifica quando viene concesso l'accesso nella sezione Notifiche aggiuntive
del diritto. Quando utilizzi gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
Richiedente di una sovvenzione:
- Indirizzo email del richiedente della concessione, se è un utente Cloud Identity.
- Indirizzi email aggiuntivi aggiunti dal richiedente durante la richiesta della
concessione: quando utilizzi la console Google Cloud , questi indirizzi email sono elencati
nel campo Indirizzi email per ricevere aggiornamenti su questa concessione. Quando
utilizzi gcloud CLI o l'API REST, questi indirizzi email
sono elencati nel campo
additionalEmailRecipients.
Privileged Access Manager invia email a questi indirizzi email per i seguenti eventi:
| Destinatari | Evento |
|---|---|
| Richiedenti idonei di un diritto | Quando il diritto viene creato e diventa disponibile per l'utilizzo |
| Concedere l'approvazione per un diritto | Quando viene richiesta una concessione che richiede approvazione |
| Richiedente di una sovvenzione |
|
| Amministratore del diritto |
|
Notifiche Pub/Sub
Gestore degli accessi con privilegi è integrato con Cloud Asset Inventory.
Puoi utilizzare la funzionalità feed Cloud Asset Inventory per ricevere notifiche su tutte le modifiche alle concessioni tramite Pub/Sub. Il tipo di risorsa da utilizzare per le sovvenzioni è
privilegedaccessmanager.googleapis.com/Grant.