Mit Privileged Access Manager (PAM) können Sie die temporäre Just-in-Time-Ausweitung von Berechtigungen für ausgewählte Hauptkonten steuern und anschließend Audit-Logs aufrufen, um herauszufinden, wer wann auf was zugegriffen hat.
Um eine temporäre Ausweitung zu ermöglichen, erstellen Sie eine Berechtigung in Privileged Access Manager und fügen ihr die folgenden Attribute hinzu:
Eine Reihe von Hauptkonten, die eine Erteilung für die Berechtigung anfordern dürfen.
Ob für diese Erteilung eine Begründung erforderlich ist.
Eine Reihe von Rollen, die vorübergehend gewährt werden sollen. IAM-Bedingungen können für die Rollen festgelegt werden.
Die maximale Dauer einer Erteilung.
Optional: Zusätzliche Stakeholder, die über wichtige Ereignisse benachrichtigt werden sollen, z. B. über Erteilungen und ausstehende Genehmigungen.
Ein Hauptkonto, das einer Berechtigung als Anforderer hinzugefügt wurde, kann eine Erteilung für diese Berechtigung beantragen. Wenn die Anfrage erfolgreich ist, werden dem Hauptkonto die in der Berechtigung aufgeführten Rollen bis zum Ende der Erteilungsdauer gewährt. Danach werden die Rollen von Privileged Access Manager widerrufen.
Anwendungsfälle
Um Privileged Access Manager effektiv zu nutzen, sollten Sie zuerst spezifische Anwendungsfälle und Szenarien ermitteln, in denen das Tool die Anforderungen Ihrer Organisation erfüllen kann. Passen Sie Ihre PAM-Berechtigungen an diese Anwendungsfälle und erforderlichen Anforderungen und Kontrollen an. Dazu müssen Sie die beteiligten Nutzer, Rollen, Ressourcen und Zeiträume sowie alle erforderlichen Begründungen und Genehmigungen festlegen.
Privileged Access Manager kann als allgemeine Best Practice verwendet werden, um temporäre statt dauerhafter Berechtigungen zu gewähren. Hier sind einige Szenarien, in denen es häufig eingesetzt wird:
Notfallzugriff gewähren: Ermöglichen Sie ausgewählten Rettungskräften, kritische Aufgaben auszuführen, ohne auf eine Genehmigung warten zu müssen. Sie können Begründungen für zusätzlichen Kontext dazu verlangen, warum der Notfallzugriff erforderlich ist.
Zugriff auf vertrauliche Ressourcen steuern: Steuern Sie den Zugriff auf vertrauliche Ressourcen streng und fordern Sie Genehmigungen und geschäftliche Begründungen an. Privileged Access Manager kann auch verwendet werden, um zu prüfen, wie dieser Zugriff genutzt wurde. Zum Beispiel, wann gewährte Rollen für einen Nutzer aktiv waren, auf welche Ressourcen während dieser Zeit zugegriffen werden konnte, die Begründung für den Zugriff und wer ihn genehmigt hat.
Mit Privileged Access Manager können Sie beispielsweise Folgendes tun:
Entwicklern vorübergehenden Zugriff auf Produktionsumgebungen für die Fehlerbehebung oder Bereitstellungen gewähren
Support-Entwicklern Zugriff auf vertrauliche Kundendaten für bestimmte Aufgaben gewähren
Datenbankadministratoren erhöhte Berechtigungen für Wartungs- oder Konfigurationsänderungen gewähren
Granulare Least-Privilege-Implementierung: Das Zuweisen von Administratorrollen oder umfassendem Zugriff an alle Nutzer kann die Angriffsfläche vergrößern. Um dies zu verhindern, können Administratoren dauerhafte Rollen mit der geringsten Berechtigung zuweisen und Privileged Access Manager verwenden, um bei Bedarf vorübergehenden, zeitgebundenen erweiterten Zugriff für bestimmte Tasks zu gewähren. Administratoren können Berechtigungen mit tagbasierten Bedingungen erstellen und Anforderer zwingen, Erteilungsanfragen mit einem benutzerdefinierten Bereich zu erstellen und Erteilungen nach Abschluss der Aufgabe zu widerrufen. Dadurch werden die Möglichkeiten für Missbrauch erheblich reduziert und das Prinzip des Just-in-Time-Zugriffs gestärkt.
Genehmigungen für privilegierten Zugriff automatisieren: Um die Effizienz zu steigern, können Sie Dienstkonten oder Agent-Identitäten als Genehmiger in Ihren DevOps-Pipelines konfigurieren. Diese Konten können programmatische Genehmigungen automatisieren, indem sie Tickets direkt aus ITSM-Systemen validieren. Dadurch werden langsame manuelle Prüfungen überflüssig.
Dienstkonten und Agent-Identitäten schützen: Anstatt Dienstkonten oder Agent-Identitäten dauerhaft Rollen zu gewähren, können Sie ihnen erlauben, sich selbst zu erweitern und Rollen nur dann zu übernehmen, wenn sie für automatisierte Aufgaben erforderlich sind.
Insider-Bedrohungen und versehentlichen Missbrauch minimieren: Mit Genehmigungen durch mehrere Parteien, können Sie zwei Genehmigungsebenen in die Entscheidungsfindung einbeziehen. Dadurch wird das Risiko verringert, dass ein einzelner Administrator oder ein kompromittiertes Genehmigerkonto eine böswillige Zugriffsanfrage genehmigt.
Zugriff für Auftragnehmer und Fremdpersonal verwalten: Gewähren Sie Auftragnehmern oder Mitgliedern des Fremdpersonals vorübergehenden, zeitlich begrenzten Zugriff auf Ressourcen, wobei Genehmigungen und Begründungen erforderlich sind.
Funktionen und Beschränkungen
In den folgenden Abschnitten werden die verschiedenen Funktionen und Beschränkungen von Privileged Access Manager beschrieben.
Unterstützte Ressourcen
Privileged Access Manager unterstützt das Erstellen von Berechtigungen und das Anfordern von Erteilungen dieser Berechtigungen für Projekte, Ordner und Organisationen.
Wenn Sie den Zugriff auf eine Teilmenge der Ressourcen in einem Projekt, Ordner, oder einer Organisation beschränken möchten, können Sie der Berechtigung IAM Bedingungen hinzufügen. Privileged Access Manager unterstützt alle Bedingungsattribute, die in Rollenbindungen für Zulassungsrichtlinien unterstützt werden.
Unterstützte Rollen
Privileged Access Manager unterstützt vordefinierte Rollen, benutzerdefinierte Rollen und die einfachen Rollen „Administrator“, „Autor“ und „Leser“ Basic roles. Privileged Access Manager unterstützt keine einfachen Legacy-Rollen („Inhaber“, „Bearbeiter“ und „Betrachter“).
Unterstützte Identitäten
Privileged Access Manager unterstützt alle Arten von Identitäten, einschließlich Cloud Identity, Mitarbeiteridentitätsföderation, und Identitätsföderation von Arbeitslasten, und Agent-Identitäten.
Audit-Logging
PAM-Ereignisse, z. B. das Erstellen von Berechtigungen, die Anforderung oder Überprüfung von Erteilungen, werden in Cloud-Audit-Logs protokolliert. Eine vollständige Liste der Ereignisse, für die Privileged Access Manager Logs generiert, finden Sie in der Dokumentation zum Audit-Logging von Privileged Access Manager. Informationen zum Aufrufen dieser Protokolle finden Sie unter Berechtigungs- und Genehmigungsereignisse in Privileged Access Manager prüfen.
Genehmigungen auf mehreren Ebenen und durch mehrere Parteien
Administratoren von Privileged Access Manager können Genehmigungen auf mehreren Ebenen und durch mehrere Parteien einrichten. Dies ist für Anwendungsfälle nützlich, die Folgendes umfassen:
- Hochrisiko-Vorgänge wie das Ändern kritischer Infrastruktur oder der Zugriff auf vertrauliche Daten
- Erzwingen der Aufgabentrennung
- Automatisieren von Genehmigungsprozessen auf mehreren Ebenen in dynamischen Workflows mit Dienstkonten oder Agent-Identitäten als intelligente Genehmiger
Mit dieser Funktion können Administratoren von Privileged Access Manager mehr als eine Genehmigungsebene pro Berechtigung festlegen. So sind bis zu zwei Ebenen sequenzieller Genehmigungen für jede Berechtigung möglich. Administratoren können bis zu fünf Genehmigungen pro Ebene festlegen. Weitere Informationen finden Sie unter Berechtigungen erstellen.
Bereichsanpassung
Anforderer können den Bereich ihrer Erteilungsanfragen so anpassen, dass er nur die spezifischen Rollen und Ressourcen enthält, die sie im Rahmen ihrer Berechtigung benötigen. Weitere Informationen finden Sie unter Vorübergehenden erweiterten Zugriff anfordern.
Genehmigungen für Dienstkonten und Agent-Identitäten
Administratoren von Privileged Access Manager können Dienstkonten und Agent-Identitäten als berechtigte Genehmiger aktivieren. So können Administratoren beim Erstellen oder Ändern von Berechtigungen Dienstkonten, Agent-Identitäten und Identitäten in Workload Identity-Pools als Genehmiger hinzufügen. Weitere Informationen finden Sie unter Privileged Access Manager-Einstellungen konfigurieren.
Unterstützung für die Übernahme
Berechtigungen und Erteilungen, die auf der Organisations- oder Ordnerebene eingerichtet wurden, sind in der Console in den untergeordneten Ordnern und Projekten sichtbar. Cloud de Confiance by S3NS Anforderer können direkt in diesen untergeordneten Ressourcen Zugriff auf die untergeordneten Ressourcen basierend auf diesen Berechtigungen anfordern. Weitere Informationen finden Sie unter Vorübergehenden erweiterten Zugriff mit Privileged Access Manager anfordern.
Anpassung der Benachrichtigungseinstellungen
Administratoren der Privileged Access Manager-Einstellungen können ressourcenweite Benachrichtigungseinstellungen für verschiedene Privileged Access Manager-Ereignisse anpassen. Mit diesen Einstellungen können Administratoren Benachrichtigungen für bestimmte Ereignisse und bestimmte Personas selektiv deaktivieren oder alle Benachrichtigungen deaktivieren. Weitere Informationen finden Sie unter Privileged Access Manager-Einstellungen konfigurieren.
Erteilungen planen
Anforderer können Erteilungsanfragen bis zu sieben Tage im Voraus planen. So können Anforderer den Zugriff mit geplanten Wartungsarbeiten oder Bereitschaftsdiensten abstimmen und die Wartezeit auf Genehmigungen verkürzen. Weitere Informationen finden Sie unter Vorübergehenden erweiterten Zugriff anfordern.
Ad Grants-Budget widerrufen
Antragsteller können Erteilungsanfragen widerrufen, die noch nicht genehmigt wurden oder für die Aktivierung geplant sind. Anforderer können auch ihre aktiven Erteilungen beenden, wenn ihre privilegierte Aufgabe abgeschlossen ist oder der Zugriff nicht mehr erforderlich ist. Organisationen können dies als Best Practice empfehlen, um die Dauer des privilegierten Zugriffs auf die Zeit zu beschränken, in der er aktiv benötigt wird. Weitere Informationen finden Sie unter Erteilungen widerrufen.
Einbehaltung von Erteilungen
Erteilungen von Berechtigungen werden 30 Tage nach Ablehnung, Widerruf, Widerruf durch den Anforderer, Ablauf oder Ende automatisch aus dem Privileged Access Manager gelöscht. Logs für Erteilungen werden in Cloud-Audit-Logs für die
Aufbewahrungsdauer des _Required Buckets aufbewahrt.
Informationen zum Aufrufen dieser Protokolle finden Sie unter
Berechtigungs- und Genehmigungsereignisse in Privileged Access Manager prüfen.
Änderungen an IAM-Richtlinien durch Privileged Access Manager
Privileged Access Manager verwaltet den temporären Zugriff, indem Rollenbindungen zu den IAM -Richtlinien von Ressourcen hinzugefügt und daraus entfernt werden. Wenn diese Rollenbindungen von etwas anderem als Privileged Access Manager geändert werden, funktioniert Privileged Access Manager möglicherweise nicht wie erwartet.
Um dieses Problem zu vermeiden, empfehlen wir Folgendes:
- Ändern Sie Rollenbindungen, die von Privileged Access Manager verwaltet werden, nicht manuell.
- Wenn Sie Terraform zum Verwalten Ihrer IAM-Richtlinien verwenden, verwenden Sie nicht autoritative Ressourcen anstelle von autoritativen Ressourcen. So wird verhindert, dass Terraform Rollenbindungen von Privileged Access Manager überschreibt, auch wenn sie nicht in der deklarativen IAM-Richtlinienkonfiguration enthalten sind.
Benachrichtigungen
Privileged Access Manager kann Sie über verschiedene Ereignisse in Privileged Access Manager benachrichtigen, wie in den folgenden Abschnitten beschrieben.
E-Mail-Benachrichtigungen
Privileged Access Manager sendet E‑Mail-Benachrichtigungen an die relevanten Stakeholder für Berechtigungs- und Gewährungsänderungen. Die Empfängergruppen sind wie folgt:
Berechtigte Anforderer einer Berechtigung:
- E‑Mail-Adressen von Cloud Identity-Nutzern und Gruppen , die in der Berechtigung als Anforderer angegeben sind.
- Manuell konfigurierte E‑Mail-Adressen in der Berechtigung: Wenn Sie die
Cloud de Confiance Console verwenden, sind diese E‑Mail-Adressen im
Feld E‑Mail-Empfänger für Anforderer
im Abschnitt Anforderer hinzufügen aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, sind diese E‑Mail-Adressen im Feld
requesterEmailRecipientsaufgeführt.
Genehmiger für eine Berechtigung:
- E‑Mail-Adressen von Cloud Identity-Nutzern und ‑Gruppen, die in der Genehmigungsebene als Genehmiger angegeben sind.
- Manuell konfigurierte E‑Mail-Adressen in der Berechtigung: Wenn Sie die
Cloud de Confiance Console verwenden, sind diese E‑Mail-Adressen im Feld
E‑Mail-Empfänger für Genehmigungen im Abschnitt
Genehmiger hinzufügen aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, sind diese E‑Mail-Adressen im Feld
approverEmailRecipientsder Schritte des Genehmigungsworkflows aufgeführt.
Administrator der Berechtigung:
- Manuell konfigurierte E‑Mail-Adressen in der Berechtigung: Wenn Sie die
Cloud de Confiance Console verwenden, sind diese E‑Mail-Adressen im
Feld
E‑Mail-Empfänger für Administratoren im Abschnitt Details zur Berechtigung
aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, sind diese E‑Mail-Adressen im Feld
adminEmailRecipientsaufgeführt.
- Manuell konfigurierte E‑Mail-Adressen in der Berechtigung: Wenn Sie die
Cloud de Confiance Console verwenden, sind diese E‑Mail-Adressen im
Feld
E‑Mail-Empfänger für Administratoren im Abschnitt Details zur Berechtigung
aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, sind diese E‑Mail-Adressen im Feld
Anforderer einer Erteilung:
- E‑Mail-Adresse des Anforderers, falls er ein Cloud Identity-Nutzer ist.
- Zusätzliche E‑Mail-Adressen, die der Antragsteller beim Beantragen des Ad Grants-Budgets hinzugefügt hat: Wenn Sie die Cloud de Confiance Console verwenden, werden diese E‑Mail-Adressen im Feld Zusätzliche E‑Mail-Adresse(n) aufgeführt. Wenn Sie die gcloud CLI oder die REST API verwenden, werden diese E‑Mail-Adressen im Feld
additionalEmailRecipientsaufgeführt.
Privileged Access Manager sendet E‑Mails an diese E‑Mail-Adressen für die folgenden Ereignisse:
| Empfänger | Ereignis |
|---|---|
| Berechtigte Anforderer einer Berechtigung | Wenn die Berechtigung dem Anforderer zugewiesen wurde und für ihn verfügbar ist |
| Genehmiger für eine Berechtigung erteilen | Wenn eine Erteilung angefordert wird und eine Genehmigung erforderlich ist |
| Anforderer einer Erteilung |
|
| Administrator der Berechtigung |
|
Pub/Sub-Benachrichtigungen
Privileged Access Manager ist in Cloud Asset Inventory eingebunden.
Mit der Funktion Cloud Asset Inventory-Feeds können Sie Benachrichtigungen über alle Änderungen zu Erteilungen über Pub/Sub erhalten. Der Asset-Typ, der für Erteilungen verwendet werden soll, ist privilegedaccessmanager.googleapis.com/Grant.