Puedes usar Gestor de accesos privilegiados (PAM) para controlar la elevación de privilegios temporales puntuales de determinados principales y, después, ver los registros de auditoría para saber quién ha tenido acceso a qué y cuándo.
Para permitir la elevación temporal, crea un derecho en Gestor de Accesos Privilegiados y añade los siguientes atributos:
Conjunto de entidades principales que pueden solicitar una concesión del derecho.
Si se requiere una justificación para esa concesión.
Conjunto de roles que se van a conceder temporalmente. Se pueden definir condiciones de gestión de identidades y accesos en los roles.
La duración máxima de una concesión.
Opcional: si las solicitudes necesitan la aprobación de un conjunto de principales y si esos principales deben justificar su aprobación.
Opcional: partes interesadas adicionales a las que se les debe notificar eventos importantes, como concesiones y aprobaciones pendientes.
Un principal que se haya añadido como solicitante a un derecho puede solicitar una ayuda en relación con ese derecho. Si se realiza correctamente, se les concederán los roles que se indican en el derecho hasta que finalice la duración de la concesión, momento en el que Privileged Access Manager revocará los roles.
Casos prácticos
Para usar Privileged Access Manager de forma eficaz, empieza por identificar casos prácticos y situaciones concretas en los que pueda satisfacer las necesidades de tu organización. Adapta tus derechos de Gestor de Accesos Privilegiados en función de estos casos prácticos y de los requisitos y controles necesarios. Esto implica definir los usuarios, los roles, los recursos y las duraciones implicados, así como las justificaciones y aprobaciones necesarias.
Aunque Privileged Access Manager se puede usar como práctica recomendada general para conceder privilegios temporales en lugar de permanentes, a continuación se indican algunos casos en los que se puede usar habitualmente:
Conceder acceso de emergencia: permite que los servicios de emergencias seleccionados realicen tareas críticas sin tener que esperar la aprobación. Puedes exigir que se justifique por qué se necesita el acceso de emergencia para obtener más contexto.
Controlar el acceso a recursos sensibles: controla estrictamente el acceso a recursos sensibles, lo que requiere aprobaciones y justificaciones empresariales. Privileged Access Manager también se puede usar para auditar cómo se usó este acceso. Por ejemplo, cuándo estuvieron activos los roles concedidos a un usuario, a qué recursos se podía acceder durante ese tiempo, la justificación del acceso y quién lo aprobó.
Por ejemplo, puedes usar Gestor de acceso privilegiado para hacer lo siguiente:
Ofrece a los desarrolladores acceso temporal a entornos de producción para solucionar problemas o realizar implementaciones.
Concede a los ingenieros de asistencia acceso a datos sensibles de clientes para tareas específicas.
Concede a los administradores de bases de datos privilegios elevados para realizar tareas de mantenimiento o cambios en la configuración.
Implementa el principio de privilegio mínimo granular: asignar roles de administrador o acceso amplio a todos los usuarios puede aumentar la superficie de ataque. Para evitarlo, los administradores pueden asignar roles permanentes con los mínimos privilegios y usar Gestor de acceso privilegiado para proporcionar acceso elevado temporal y limitado en el tiempo para tareas específicas cuando sea necesario. Los administradores pueden crear derechos con condiciones basadas en etiquetas y obligar a los solicitantes a crear solicitudes de concesión con un ámbito personalizado y a retirar las concesiones una vez que se haya completado la tarea. De esta forma, se reducen significativamente las oportunidades de uso inadecuado y se refuerza el principio de acceso "justo a tiempo".
Automatizar las aprobaciones de acceso privilegiado: para mejorar la eficiencia, puedes configurar cuentas de servicio como aprobadores en tus pipelines de DevOps. Estas cuentas pueden automatizar las aprobaciones programáticas validando las incidencias directamente desde los sistemas de gestión de servicios de TI, lo que elimina las lentas comprobaciones manuales.
Protege las cuentas de servicio: en lugar de conceder roles a las cuentas de servicio de forma permanente, permite que las cuentas de servicio se eleven y asuman roles solo cuando sea necesario para las tareas automatizadas.
Mitigar las amenazas internas y el uso inadecuado accidental: con las aprobaciones de varios usuarios, puedes añadir dos niveles de aprobación en la toma de decisiones. De esta forma, se reduce el riesgo de que un solo administrador o una cuenta de aprobador vulnerada apruebe una solicitud de acceso maliciosa.
Gestionar el acceso de los contratistas y del personal externo: concede a los contratistas o a los miembros del personal externo acceso temporal y limitado a los recursos, con aprobaciones y justificaciones obligatorias.
Funciones y limitaciones
En las siguientes secciones se describen las diferentes funciones y limitaciones de Gestor de acceso privilegiado.
Recursos compatibles
Gestor de acceso privilegiado permite crear derechos y solicitar concesiones para proyectos, carpetas y organizaciones.
Si quieres limitar el acceso a un subconjunto de recursos de un proyecto, una carpeta o una organización, puedes añadir condiciones de IAM al derecho. Gestor de acceso privilegiado admite todos los atributos de condición que se admiten en las vinculaciones de roles de la política de permiso.
Roles admitidos
Gestor de acceso privilegiado admite roles predefinidos, roles personalizados y los roles básicos de administrador, escritor y lector. Gestor de acceso privilegiado no admite los roles básicos antiguos (Propietario, Editor y Lector).
Identidades admitidas
Gestor de acceso privilegiado admite todos los tipos de identidades, incluidas Cloud Identity, Federación de Identidades de Workforce y Federación de Identidades de Cargas de Trabajo.
Registros de auditoría
Los eventos de Privileged Access Manager, como la creación de derechos, la solicitud o la revisión de concesiones, se registran en Registros de auditoría de Cloud. Para ver una lista completa de los eventos de los que Privileged Access Manager genera registros, consulta la documentación sobre el registro de auditoría de Privileged Access Manager. Para saber cómo ver estos registros, consulta Auditoría de eventos de derechos y concesiones en Privileged Access Manager.
Aprobaciones multinivel y multiparte
Los administradores de Privileged Access Manager pueden configurar aprobaciones multinivel y multiparte. Esto resulta útil en los casos prácticos que implican lo siguiente:
- Operaciones de alto riesgo, como modificar infraestructuras críticas o acceder a datos sensibles
- Cumplimiento de la segregación de funciones
- Automatizar procesos de aprobación multinivel en flujos de trabajo dinámicos con cuentas de servicio como aprobadores inteligentes
Con esta función, los administradores de Privileged Access Manager pueden exigir más de un nivel de aprobación por derecho, lo que permite hasta dos niveles de aprobaciones secuenciales por cada derecho. Los administradores pueden exigir hasta cinco aprobaciones por nivel. Para obtener más información, consulta Crear derechos.
Personalización del ámbito
Los solicitantes pueden personalizar el ámbito de sus solicitudes de concesión para incluir solo los roles y recursos específicos que necesiten dentro del ámbito de su derecho. Para obtener más información, consulta Solicitar acceso elevado temporal.
Aprobaciones de cuentas de servicio
Los administradores de Gestor de acceso privilegiado pueden habilitar cuentas de servicio como aprobadores aptos. De esta forma, los administradores pueden añadir cuentas de servicio e identidades en grupos de identidades de cargas de trabajo como aprobadores al crear o modificar derechos. Para obtener más información, consulta Configurar los ajustes de Gestor de acceso privilegiado.
Compatibilidad con herencias
Los derechos y las concesiones que se configuran a nivel de organización o de carpeta se pueden ver en las carpetas y los proyectos descendientes en la Trusted Cloud by S3NS consola. Los solicitantes pueden pedir acceso a los recursos secundarios en función de esos derechos directamente en esos recursos secundarios. Para obtener más información, consulta Solicitar acceso elevado temporal con Gestor de acceso con privilegios.
Personalización de las preferencias de notificaciones
Los administradores de la configuración de Privileged Access Manager pueden personalizar las preferencias de notificación de todo el recurso para varios eventos de Privileged Access Manager. Estos ajustes permiten a los administradores inhabilitar de forma selectiva las notificaciones de eventos y perfiles específicos, o bien inhabilitar todas las notificaciones. Para obtener más información, consulta Configurar los ajustes de Gestor de acceso privilegiado.
Retirada de la concesión
Los solicitantes pueden retirar las solicitudes de concesión que estén pendientes de aprobación o finalizar las concesiones activas cuando hayan completado la tarea privilegiada o cuando ya no necesiten el acceso. Las organizaciones pueden recomendar esta práctica para limitar la duración del acceso privilegiado al tiempo que se necesite. Para obtener más información, consulta Retirar permisos.
Conservación de concesiones
Los permisos se eliminan automáticamente de Gestor de acceso privilegiado 30 días después de que se denieguen, revoquen, retiren, caduquen o finalicen. Los registros de las concesiones se conservan en los registros de auditoría de Cloud durante el periodo de conservación de registros del segmento _Required.
Para saber cómo ver estos registros, consulta Auditoría de eventos de derechos y concesiones en Privileged Access Manager.
Modificaciones de Privileged Access Manager y de la política de gestión de identidades y accesos
Gestor de acceso privilegiado gestiona el acceso temporal añadiendo y quitando vinculaciones de roles de las políticas de gestión de identidades y accesos de los recursos. Si estas vinculaciones de roles se modifican por algo que no sea Privileged Access Manager, es posible que Privileged Access Manager no funcione como se espera.
Para evitar este problema, te recomendamos que hagas lo siguiente:
- No modifiques manualmente las vinculaciones de roles gestionadas por Privileged Access Manager.
- Si usas Terraform para gestionar tus políticas de IAM, asegúrate de usar recursos no autoritativos en lugar de recursos autoritativos. De esta forma, te aseguras de que Terraform no anule las vinculaciones de roles de Privileged Access Manager, aunque no estén en la configuración de la política de IAM declarativa.
Notificaciones
Privileged Access Manager puede enviarle notificaciones sobre varios eventos que se produzcan en Privileged Access Manager, tal como se describe en las siguientes secciones.
Notificaciones por correo electrónico
Gestor de acceso privilegiado envía notificaciones por correo electrónico a las partes interesadas pertinentes para los cambios en los derechos y las concesiones. Los conjuntos de destinatarios son los siguientes:
Solicitantes aptos de un derecho:
- Direcciones de correo de los usuarios y grupos de Cloud Identity especificados como solicitantes en el derecho.
- Direcciones de correo configuradas manualmente en el derecho: cuando se usa la consolaTrusted Cloud , estas direcciones de correo se muestran en el campo Destinatarios de correo del solicitante de la sección Añadir solicitantes. Cuando se usa la CLI de gcloud o la API REST, estas direcciones de correo se muestran en el campo
requesterEmailRecipients.
Conceder aprobadores a un derecho:
- Direcciones de correo de los usuarios y grupos de Cloud Identity especificados como aprobadores en el nivel de aprobación.
- Direcciones de correo configuradas manualmente en el derecho: cuando se usa la consolaTrusted Cloud , estas direcciones de correo se muestran en el campo Destinatarios del correo de aprobación de la sección Añadir aprobadores. Cuando se usa la CLI de gcloud o la API REST, estas direcciones de correo se indican en el campo
approverEmailRecipientsde los pasos del flujo de trabajo de aprobación.
Administrador del derecho:
- Direcciones de correo configuradas manualmente en el derecho: cuando se usa la consola, estas direcciones de correo se muestran en el campo Destinatarios de correo del administrador de la sección Detalles del derecho.Trusted Cloud Cuando se usa gcloud CLI o la API REST, estas direcciones de correo se indican en el campo
adminEmailRecipients.
- Direcciones de correo configuradas manualmente en el derecho: cuando se usa la consola, estas direcciones de correo se muestran en el campo Destinatarios de correo del administrador de la sección Detalles del derecho.Trusted Cloud Cuando se usa gcloud CLI o la API REST, estas direcciones de correo se indican en el campo
Solicitante de una concesión:
- Dirección de correo del solicitante de la concesión si es un usuario de Cloud Identity.
- Direcciones de correo adicionales añadidas por el solicitante al solicitar la concesión: cuando se usa la consola, estas direcciones de correo se muestran en el campo Direcciones de correo adicionales. Trusted Cloud Cuando se usa la CLI de gcloud o la API REST, estas direcciones de correo se indican en el campo
additionalEmailRecipients.
Gestor de acceso privilegiado envía correos a estas direcciones de correo en los siguientes casos:
| Destinatarios | Evento |
|---|---|
| Solicitantes aptos de un derecho | Cuando se asigne el derecho y el solicitante pueda usarlo |
| Conceder aprobadores a un derecho | Cuando se solicita una concesión y requiere aprobación |
| Solicitante de una concesión |
|
| Administrador de la autorización |
|
Notificaciones de Pub/Sub
Privileged Access Manager está integrado con Inventario de Recursos de Cloud.
Puedes usar la función Feeds del Inventario de Recursos de Cloud para recibir notificaciones sobre todos los cambios de concesión a través de Pub/Sub. El tipo de recurso que se va a usar en las concesiones es privilegedaccessmanager.googleapis.com/Grant.