Puedes usar Gestor de accesos privilegiados (PAM) para controlar la elevación de privilegios temporales puntuales de determinados principales y, después, ver los registros de auditoría para saber quién ha tenido acceso a qué y cuándo.
Para permitir la elevación temporal, crea un derecho en Gestor de accesos privilegiados y añade los siguientes atributos:
Conjunto de entidades principales que pueden solicitar una concesión relacionada con el derecho.
Si se requiere una justificación para esa concesión.
Conjunto de roles que se van a conceder temporalmente. Se pueden definir condiciones de gestión de identidades y accesos en los roles.
La duración máxima de una ayuda.
Opcional: si las solicitudes necesitan la aprobación de un conjunto de principales y si esos principales deben justificar su aprobación.
Opcional: partes interesadas adicionales a las que se les debe notificar eventos importantes, como concesiones y aprobaciones pendientes.
Un principal que se haya añadido como solicitante a un derecho puede solicitar una ayuda en relación con ese derecho. Si se realiza correctamente, se les asignarán los roles que se indican en el derecho hasta que finalice la duración de la concesión, momento en el que Privileged Access Manager revocará los roles.
Casos prácticos
Para usar Privileged Access Manager de forma eficaz, empieza por identificar casos prácticos y situaciones concretas en los que pueda satisfacer las necesidades de tu organización. Adapta tus derechos de Gestor de Accesos Privilegiados en función de estos casos prácticos y de los requisitos y controles necesarios. Esto implica definir los usuarios, los roles, los recursos y las duraciones implicados, así como las justificaciones y aprobaciones necesarias.
Aunque Privileged Access Manager se puede usar como práctica recomendada general para conceder privilegios temporales en lugar de permanentes, a continuación se indican algunos casos en los que se puede usar habitualmente:
Conceder acceso de emergencia: permite que determinados servicios de emergencias realicen tareas críticas sin tener que esperar la aprobación. Puedes exigir que se proporcionen justificaciones para añadir contexto sobre por qué se necesita el acceso de emergencia.
Controlar el acceso a recursos sensibles: controla estrictamente el acceso a recursos sensibles, lo que requiere aprobaciones y justificaciones empresariales. Privileged Access Manager también se puede usar para auditar cómo se usó este acceso. Por ejemplo, cuándo estuvieron activos los roles concedidos a un usuario, a qué recursos se podía acceder durante ese tiempo, la justificación del acceso y quién lo aprobó.
Por ejemplo, puedes usar Gestor de acceso privilegiado para hacer lo siguiente:
Ofrece a los desarrolladores acceso temporal a entornos de producción para solucionar problemas o realizar implementaciones.
Concede a los ingenieros de asistencia acceso a datos sensibles de clientes para tareas específicas.
Concede privilegios elevados a los administradores de bases de datos para que puedan realizar tareas de mantenimiento o cambios en la configuración.
Protege las cuentas de servicio: en lugar de conceder roles a las cuentas de servicio de forma permanente, permite que las cuentas de servicio se eleven y asuman roles solo cuando sea necesario para las tareas automatizadas.
Gestionar el acceso de los contratistas y del personal externo: concede a los contratistas o a los miembros del personal externo acceso temporal y limitado a los recursos, con aprobaciones y justificaciones obligatorias.
Funciones y limitaciones
En las siguientes secciones se describen las diferentes funciones y limitaciones de Gestor de acceso privilegiado.
Recursos compatibles
Gestor de acceso privilegiado permite crear derechos y solicitar concesiones para proyectos, carpetas y organizaciones.
Si quieres limitar el acceso a un subconjunto de recursos de un proyecto, una carpeta o una organización, puedes añadir condiciones de IAM al derecho. Gestor de acceso privilegiado admite todos los atributos de condición que se admiten en las vinculaciones de roles de la política de permiso.
Roles admitidos
Gestor de acceso privilegiado admite roles predefinidos, roles personalizados y los roles básicos de administrador, escritor y lector. Gestor de acceso privilegiado no admite los roles básicos antiguos (Propietario, Editor y Lector).
Identidades admitidas
Gestor de acceso privilegiado admite todos los tipos de identidades, incluidas Cloud Identity, Federación de Identidades de Workforce y Federación de Identidades de Cargas de Trabajo.
Registros de auditoría
Los eventos de Privileged Access Manager, como la creación de derechos, la solicitud o la revisión de concesiones, se registran en Registros de auditoría de Cloud. Para ver una lista completa de los eventos de los que genera registros Privileged Access Manager, consulta la documentación sobre el registro de auditoría de Privileged Access Manager. Para saber cómo ver estos registros, consulta Auditoría de eventos de derechos y concesiones en Privileged Access Manager.
Conservación de concesiones
Los permisos se eliminan automáticamente de Gestor de acceso privilegiado 30 días después de que se denieguen, se revoquen, caduquen o finalicen. Los registros de las concesiones se conservan en los registros de auditoría de Cloud durante el periodo de conservación de registros del segmento _Required.
Para saber cómo ver estos registros, consulta Auditoría de eventos de derechos y concesiones en Privileged Access Manager.
Modificaciones de Privileged Access Manager y de la política de gestión de identidades y accesos
Gestor de acceso privilegiado gestiona el acceso temporal añadiendo y quitando vinculaciones de roles de las políticas de gestión de identidades y accesos de los recursos. Si estos enlaces de rol se modifican por algo distinto a Privileged Access Manager, es posible que Privileged Access Manager no funcione como se espera.
Para evitar este problema, te recomendamos que hagas lo siguiente:
- No modifiques manualmente las vinculaciones de roles gestionadas por Gestor de acceso con privilegios.
- Si usas Terraform para gestionar tus políticas de IAM, asegúrate de usar recursos no autoritativos en lugar de recursos autoritativos. De esta forma, Terraform no sobrescribirá las vinculaciones de roles de Privileged Access Manager, aunque no estén en la configuración de la política de gestión de identidades y accesos declarativa.
Notificaciones
Privileged Access Manager puede enviarle notificaciones sobre varios eventos que se produzcan en Privileged Access Manager, tal como se describe en las siguientes secciones.
Notificaciones por correo electrónico
Gestor de acceso privilegiado envía notificaciones por correo electrónico a las partes interesadas pertinentes para los cambios en los derechos y las concesiones. Los conjuntos de destinatarios son los siguientes:
Solicitantes aptos de un derecho:
- Direcciones de correo de los usuarios y grupos de Cloud Identity especificados como solicitantes en el derecho
- Direcciones de correo configuradas manualmente en el derecho: cuando se usa la consolaTrusted Cloud , estas direcciones de correo se muestran en el campo Notificar sobre un derecho apto de la sección Notificaciones adicionales del derecho. Cuando se usa la CLI de gcloud o la API REST, estas direcciones de correo se muestran en el campo
requesterEmailRecipients.
Conceder aprobadores a un derecho:
- Direcciones de correo de los usuarios y grupos de Cloud Identity especificados como aprobadores en el derecho.
- Direcciones de correo configuradas manualmente en el derecho: cuando se usa laTrusted Cloud consola, estas direcciones de correo se muestran en el campo Enviar una notificación cuando una concesión esté pendiente de aprobación de la sección Notificaciones adicionales del derecho. Cuando se usa la CLI de gcloud o la API REST, estas direcciones de correo se indican en el campo
approverEmailRecipientsde los pasos del flujo de trabajo de aprobación.
Administrador del derecho:
- Direcciones de correo configuradas manualmente en el derecho: cuando se usa la consolaTrusted Cloud , estas direcciones de correo se muestran en el campo Notificar cuando se conceda el acceso de la sección Notificaciones adicionales del derecho. Cuando se usa gcloud CLI o la API REST, estas direcciones de correo se indican en el campo
adminEmailRecipients.
- Direcciones de correo configuradas manualmente en el derecho: cuando se usa la consolaTrusted Cloud , estas direcciones de correo se muestran en el campo Notificar cuando se conceda el acceso de la sección Notificaciones adicionales del derecho. Cuando se usa gcloud CLI o la API REST, estas direcciones de correo se indican en el campo
Solicitante de una concesión:
- Dirección de correo del solicitante de la concesión si es un usuario de Cloud Identity.
- Direcciones de correo adicionales añadidas por el solicitante al solicitar la concesión: cuando se usa la Trusted Cloud consola, estas direcciones de correo se muestran en el campo Direcciones de correo a las que se enviarán novedades sobre esta concesión. Cuando se usa la CLI de gcloud o la API REST, estas direcciones de correo se indican en el campo
additionalEmailRecipients.
Gestor de acceso privilegiado envía correos a estas direcciones de correo en los siguientes casos:
| Destinatarios | Evento |
|---|---|
| Solicitantes aptos de un derecho | Cuando se cree el derecho y esté disponible para su uso |
| Conceder aprobadores a un derecho | Cuando se solicita una concesión y requiere aprobación |
| Solicitante de una ayuda |
|
| Administrador de la autorización |
|
Notificaciones de Pub/Sub
Privileged Access Manager está integrado con Inventario de Recursos de Cloud.
Puedes usar la función Feeds del Inventario de Recursos de Cloud
para recibir notificaciones sobre todos los cambios de concesión a través de
Pub/Sub. El tipo de recurso que se va a usar para las concesiones es privilegedaccessmanager.googleapis.com/Grant.