Mit Privileged Access Manager (PAM) können Sie die temporäre Just-in-Time-Ausweitung von Berechtigungen für ausgewählte Hauptkonten steuern und anschließend Audit-Logs aufrufen, um herauszufinden, wer wann auf was zugegriffen hat.
Damit eine vorübergehende Rechteausweitung möglich ist, erstellen Sie eine Berechtigung in Privileged Access Manager und fügen Sie ihr die folgenden Attribute hinzu:
Eine Reihe von Hauptkonten, die eine Erteilung für die Berechtigung anfordern dürfen.
Ob für diese Erteilung eine Begründung erforderlich ist.
Eine Reihe von Rollen, die vorübergehend gewährt werden sollen. Für die Rollen können IAM-Bedingungen festgelegt werden.
Die maximale Dauer einer Erteilung.
Optional: Ob Anfragen von einer bestimmten Gruppe von Hauptkonten genehmigt werden müssen und ob diese Hauptkonten ihre Genehmigung begründen müssen.
Optional: Zusätzliche Stakeholder, die über wichtige Ereignisse benachrichtigt werden sollen, z. B. über Erteilungen und ausstehende Genehmigungen.
Ein Hauptkonto, das einer Berechtigung als Anforderer hinzugefügt wurde, kann eine Erteilung für diese Berechtigung beantragen. Wenn die Anfrage erfolgreich ist, werden dem Nutzer die im Anspruch aufgeführten Rollen bis zum Ende des Gewährungszeitraums zugewiesen. Danach werden die Rollen vom Privileged Access Manager widerrufen.
Anwendungsfälle
Um Privileged Access Manager effektiv zu nutzen, sollten Sie zuerst bestimmte Anwendungsfälle und Szenarien ermitteln, in denen die Lösung die Anforderungen Ihrer Organisation erfüllen kann. Passen Sie Ihre PAM-Berechtigungen an diese Anwendungsfälle und erforderlichen Anforderungen und Kontrollen an. Dazu müssen Sie die beteiligten Nutzer, Rollen, Ressourcen und Zeiträume sowie alle erforderlichen Begründungen und Genehmigungen festlegen.
Die privilegierte Zugriffsverwaltung kann als allgemeine Best Practice verwendet werden, um temporäre statt dauerhafter Berechtigungen zu gewähren. Hier sind einige Szenarien, in denen sie häufig eingesetzt wird:
Notfallzugriff gewähren: Ermöglichen Sie ausgewählten Rettungskräften, kritische Aufgaben auszuführen, ohne auf eine Genehmigung warten zu müssen. Sie können Begründungen für zusätzlichen Kontext dazu verlangen, warum der Notfallzugriff erforderlich ist.
Zugriff auf sensible Ressourcen steuern: Der Zugriff auf sensible Ressourcen muss streng kontrolliert werden. Genehmigungen und geschäftliche Begründungen sind erforderlich. Mit Privileged Access Manager lässt sich auch prüfen, wie dieser Zugriff verwendet wurde, z. B. wann zugewiesene Rollen für einen Nutzer aktiv waren, auf welche Ressourcen während dieser Zeit zugegriffen werden konnte, welche Begründung für den Zugriff vorlag und wer ihn genehmigt hat.
Mit Privileged Access Manager können Sie beispielsweise Folgendes tun:
Entwicklern vorübergehenden Zugriff auf Produktionsumgebungen für die Fehlerbehebung oder Bereitstellung gewähren
Support-Entwicklern Zugriff auf vertrauliche Kundendaten für bestimmte Aufgaben gewähren
Datenbankadministratoren erhöhte Berechtigungen für Wartungs- oder Konfigurationsänderungen gewähren
Granulares Prinzip der geringsten Berechtigung implementieren: Wenn Sie allen Nutzern Administratorrollen oder umfassenden Zugriff zuweisen, kann sich die Angriffsfläche vergrößern. Um dies zu verhindern, können Administratoren dauerhafte Rollen mit der geringsten Berechtigung zuweisen und Privileged Access Manager verwenden, um bei Bedarf vorübergehenden, zeitgebundenen erhöhten Zugriff für bestimmte Aufgaben zu gewähren. Administratoren können Berechtigungen mit tagbasierten Bedingungen erstellen und Anfragende dazu zwingen, Berechtigungsanfragen mit benutzerdefiniertem Umfang zu erstellen und Berechtigungen nach Abschluss der Aufgabe zu widerrufen. Dadurch wird das Missbrauchspotenzial erheblich reduziert und das Prinzip des „Just-in-Time“-Zugriffs gestärkt.
Genehmigungen für privilegierten Zugriff automatisieren: Um die Effizienz zu steigern, können Sie Dienstkonten als Genehmiger in Ihren DevOps-Pipelines konfigurieren. Mit diesen Konten können programmatische Genehmigungen automatisiert werden, indem Tickets direkt über ITSM-Systeme validiert werden. Dadurch entfallen langsame manuelle Prüfungen.
Dienstkonten besser schützen: Anstatt Dienstkonten dauerhaft Rollen zuzuweisen, sollten Sie Dienstkonten die Möglichkeit geben, sich selbst zu eskalieren und Rollen nur bei Bedarf für automatisierte Aufgaben zu übernehmen.
Insider-Bedrohungen und versehentlichen Missbrauch minimieren: Mit Genehmigungen durch mehrere Parteien können Sie zwei Genehmigungsebenen in die Entscheidungsfindung einbauen. Dadurch wird das Risiko verringert, dass ein einzelner Administrator oder ein manipuliertes Genehmigerkonto eine schädliche Zugriffsanfrage genehmigt.
Zugriff für Auftragnehmer und externe Mitarbeiter verwalten: Gewähren Sie Auftragnehmern oder externen Mitarbeitern vorübergehenden, zeitlich begrenzten Zugriff auf Ressourcen, wobei Genehmigungen und Begründungen erforderlich sind.
Funktionen und Beschränkungen
In den folgenden Abschnitten werden die verschiedenen Funktionen und Einschränkungen von Privileged Access Manager beschrieben.
Unterstützte Ressourcen
Privileged Access Manager unterstützt das Erstellen von Berechtigungen und das Anfordern von Erteilungen dieser Berechtigungen für Projekte, Ordner und Organisationen.
Wenn Sie den Zugriff auf eine Teilmenge von Ressourcen innerhalb eines Projekts, Ordners oder einer Organisation einschränken möchten, können Sie der Berechtigung IAM-Bedingungen hinzufügen. Privileged Access Manager unterstützt alle Bedingungsattribute, die in Rollenbindungen für Zulassungsrichtlinien unterstützt werden.
Unterstützte Rollen
Privileged Access Manager unterstützt vordefinierte Rollen, benutzerdefinierte Rollen und die einfachen Rollen „Administrator“, „Autor“ und „Leser“. Privileged Access Manager unterstützt keine alten einfachen Rollen („Inhaber“, „Bearbeiter“ und „Betrachter“).
Unterstützte Identitäten
Privileged Access Manager unterstützt alle Arten von Identitäten, einschließlich Cloud Identity, Workforce Identity-Föderation und Workload Identity-Föderation.
Audit-Logging
PAM-Ereignisse, z. B. das Erstellen von Berechtigungen, die Anforderung oder Überprüfung von Erteilungen, werden in Cloud-Audit-Logs protokolliert. Eine vollständige Liste der Ereignisse, für die Privileged Access Manager Logs generiert, finden Sie in der Dokumentation zum Audit-Logging für Privileged Access Manager. Informationen zum Aufrufen dieser Logs finden Sie unter Berechtigungs- und Genehmigungsereignisse in Privileged Access Manager prüfen.
Genehmigungen auf mehreren Ebenen und durch mehrere Parteien
Privileged Access Manager-Administratoren können Genehmigungen auf mehreren Ebenen und durch mehrere Parteien einrichten. Dies ist für Anwendungsfälle nützlich, die Folgendes umfassen:
- Vorgänge mit hohem Risiko, z. B. das Ändern kritischer Infrastruktur oder der Zugriff auf vertrauliche Daten
- Durchsetzung der Aufgabentrennung
- Mehrstufige Genehmigungsprozesse in dynamischen Workflows mit Dienstkonten als intelligente Genehmiger automatisieren
Mit dieser Funktion können Privileged Access Manager-Administratoren mehr als eine Genehmigungsebene pro Berechtigung festlegen. So sind bis zu zwei Ebenen sequenzieller Genehmigungen für jede Berechtigung möglich. Administratoren können bis zu fünf Genehmigungen pro Ebene festlegen. Weitere Informationen finden Sie unter Berechtigungen erstellen.
Umfang anpassen
Anforderer können den Umfang ihrer Berechtigungsanfragen so anpassen, dass nur die spezifischen Rollen und Ressourcen enthalten sind, die sie im Rahmen ihrer Berechtigung benötigen. Weitere Informationen finden Sie unter Temporären erweiterten Zugriff anfordern.
Genehmigungen für Dienstkonten
Privileged Access Manager-Administratoren können Dienstkonten als berechtigte Genehmiger aktivieren. So können Administratoren Dienstkonten und Identitäten in Workload Identity-Pools als Genehmiger hinzufügen, wenn sie Berechtigungen erstellen oder ändern. Weitere Informationen finden Sie unter Einstellungen für Privileged Access Manager konfigurieren.
Unterstützung für die Übernahme
Berechtigungen und Zuweisungen, die auf Organisations- oder Ordnerebene eingerichtet sind, sind in den untergeordneten Ordnern und Projekten in der Cloud de Confiance by S3NS Console sichtbar. Antragsteller können direkt in den untergeordneten Ressourcen Zugriff auf diese Ressourcen basierend auf den Berechtigungen anfordern. Weitere Informationen finden Sie unter Temporären erweiterten Zugriff mit Privileged Access Manager anfordern.
Benachrichtigungseinstellungen anpassen
Administratoren von Privileged Access Manager-Einstellungen können ressourcenweite Benachrichtigungseinstellungen für verschiedene Privileged Access Manager-Ereignisse anpassen. Mit diesen Einstellungen können Administratoren Benachrichtigungen für bestimmte Ereignisse und bestimmte Identitäten selektiv deaktivieren oder alle Benachrichtigungen deaktivieren. Weitere Informationen finden Sie unter Einstellungen für Privileged Access Manager konfigurieren.
Widerruf der Erteilung
Anfragende können Erteilungsanfragen zurückziehen, die noch nicht genehmigt wurden, oder ihre aktiven Erteilungen beenden, wenn ihre Aufgabe mit Berechtigungen abgeschlossen ist oder der Zugriff nicht mehr erforderlich ist. Organisationen können dies als Best Practice empfehlen, um die Dauer des privilegierten Zugriffs auf die Zeit zu beschränken, in der er aktiv benötigt wird. Weitere Informationen finden Sie unter Berechtigungen entziehen.
Aufbewahrung von Erteilungen
Erteilungen von Berechtigungen werden 30 Tage nach Ablehnung, Widerruf, Rücknahme, Ablauf oder Ende automatisch aus dem Privileged Access Manager gelöscht. Logs für Erteilungen werden in Cloud Audit Logs für die Aufbewahrungsdauer des _Required-Buckets aufbewahrt.
Informationen zum Aufrufen dieser Logs finden Sie unter Berechtigungs- und Genehmigungsereignisse in Privileged Access Manager prüfen.
Privileged Access Manager und Änderungen an IAM-Richtlinien
Privileged Access Manager verwaltet den temporären Zugriff, indem Rollenbindungen zu den IAM-Richtlinien von Ressourcen hinzugefügt und daraus entfernt werden. Wenn diese Rollenbindungen durch etwas anderes als Privileged Access Manager geändert werden, funktioniert Privileged Access Manager möglicherweise nicht wie erwartet.
Um dieses Problem zu vermeiden, empfehlen wir Folgendes:
- Ändern Sie Rollenbindungen, die von Privileged Access Manager verwaltet werden, nicht manuell.
- Wenn Sie Terraform zum Verwalten Ihrer IAM-Richtlinien verwenden, achten Sie darauf, dass Sie nicht autoritative Ressourcen anstelle von autoritativen Ressourcen verwenden. So wird sichergestellt, dass Terraform die Rollenbindungen des Privileged Access Manager nicht überschreibt, auch wenn sie nicht in der deklarativen IAM-Richtlinienkonfiguration enthalten sind.
Benachrichtigungen
Privileged Access Manager kann Sie über verschiedene Ereignisse informieren, die in Privileged Access Manager auftreten. Weitere Informationen finden Sie in den folgenden Abschnitten.
E-Mail-Benachrichtigungen
Bei neuen oder geänderten Berechtigungen sendet Privileged Access Manager E‑Mail-Benachrichtigungen an die betroffenen Stakeholder. Die Empfängergruppen sind:
Berechtigte Anforderer einer Berechtigung:
- E-Mail-Adressen von Cloud Identity-Nutzern und Gruppen, die in der Berechtigung als Anforderer angegeben sind.
- Manuell konfigurierte E-Mail-Adressen in der Berechtigung: Wenn Sie dieCloud de Confiance -Konsole verwenden, sind diese E-Mail-Adressen im Abschnitt Anforderer hinzufügen im Feld E-Mail-Empfänger des Anforderers aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld
requesterEmailRecipientsaufgeführt.
Genehmiger der Erteilung einer Berechtigung:
- E-Mail-Adressen von Cloud Identity-Nutzern und ‑Gruppen, die in der Genehmigungsebene als Genehmiger angegeben sind.
- Manuell konfigurierte E-Mail-Adressen in der Berechtigung: Wenn Sie dieCloud de Confiance -Konsole verwenden, sind diese E-Mail-Adressen im Abschnitt Genehmiger hinzufügen im Feld E-Mail-Empfänger für Genehmigungen aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld
approverEmailRecipientsder Genehmigungsworkflow-Schritte aufgeführt.
Administrator der Erteilung:
- Manuell konfigurierte E‑Mail-Adressen in der Berechtigung: Wenn Sie dieCloud de Confiance -Konsole verwenden, sind diese E‑Mail-Adressen im Abschnitt Berechtigungsdetails im Feld E‑Mail-Empfänger für Administratoren aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld
adminEmailRecipientsaufgeführt.
- Manuell konfigurierte E‑Mail-Adressen in der Berechtigung: Wenn Sie dieCloud de Confiance -Konsole verwenden, sind diese E‑Mail-Adressen im Abschnitt Berechtigungsdetails im Feld E‑Mail-Empfänger für Administratoren aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld
Anforderer einer Erteilung:
- E-Mail-Adresse des Anforderers, falls er ein Cloud Identity-Nutzer ist.
- Zusätzliche E-Mail-Adressen, die der Anforderer beim Beantragen der Erteilung hinzugefügt hat: Wenn Sie die Cloud de Confiance -Konsole verwenden, werden diese E-Mail-Adressen im Feld Zusätzliche E-Mail-Adresse(n) aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E-Mail-Adressen im Feld
additionalEmailRecipientsaufgeführt.
Privileged Access Manager sendet E‑Mails an diese E‑Mail-Adressen für die folgenden Ereignisse:
| Empfänger | Ereignis |
|---|---|
| Berechtigte Anforderer einer Berechtigung | Wenn die Berechtigung zugewiesen und für den Anforderer verfügbar ist |
| Genehmiger der Erteilung einer Berechtigung | Wenn eine Erteilung angefordert wird und eine Genehmigung erforderlich ist |
| Anforderer einer Erteilung |
|
| Administrator der Erteilung |
|
Pub/Sub-Benachrichtigungen
Privileged Access Manager ist in Cloud Asset Inventory eingebunden.
Mit der Funktion Cloud Asset Inventory-Feeds können Sie Benachrichtigungen über alle Änderungen zu Erteilungen über Pub/Sub erhalten. Der Asset-Typ, der für Erteilungen verwendet werden soll, ist privilegedaccessmanager.googleapis.com/Grant.