Puedes usar Privileged Access Manager (PAM) y controlar la elevación de privilegios temporales justo a tiempo para principales elegidos y ver los registros de auditoría después para saber quién tuvo acceso a qué y cuándo.
Para permitir la elevación temporal, crea un derecho en Privileged Access Manager y agrégale los siguientes atributos:
Un conjunto de principales que pueden solicitar una concesión ante el derecho.
Si se requiere una justificación para esa concesión.
Un conjunto de roles que se otorgarán de forma temporal. Se pueden establecer condiciones de IAM en los roles.
Es la duración máxima que puede tener una concesión.
Opcional: indica si las solicitudes necesitan la aprobación de un conjunto elegido de principales y si esos principales deben justificar su aprobación.
Opcional: partes interesadas adicionales que recibirán notificaciones sobre eventos importantes, como subvenciones y aprobaciones pendientes.
Un principal que se haya agregado como solicitante a un derecho puede solicitar una concesión ante ese derecho. Si se hace de forma correcta, se le otorgan los roles que se indican en el derecho hasta que finalice la duración de la concesión, después de lo cual el Privileged Access Manager revoca los roles.
Casos de uso
Para usar Privileged Access Manager de manera eficaz, primero identifica casos de uso y situaciones específicos en los que pueda abordar las necesidades de tu organización. Adapta tus derechos de Privileged Access Manager según estos casos de uso y los requisitos y controles necesarios. Esto implica asignar los usuarios, los roles, los recursos y las duraciones involucrados, junto con las justificaciones y aprobaciones necesarias.
Si bien Privileged Access Manager se puede usar como práctica recomendada general para otorgar privilegios temporales en lugar de permanentes, estas son algunas situaciones en las que se puede usar con mayor frecuencia:
Otorgar acceso de emergencia: permite que determinados servicios de emergencia lleven a cabo tareas importantes sin tener que esperar la aprobación. Puedes exigir justificaciones para obtener contexto adicional sobre por qué se necesita el acceso de emergencia.
Controla el acceso a recursos sensibles: controla de forma estricta el acceso a recursos sensibles, lo que requiere aprobaciones y justificaciones comerciales. Privileged Access Manager también se puede usar para auditar cómo se usó este acceso, por ejemplo, cuándo estaban activos los roles otorgados para un usuario, a qué recursos se podía acceder durante ese tiempo, la justificación del acceso y quién lo aprobó.
Por ejemplo, puedes usar Privileged Access Manager para hacer lo siguiente:
Otorgar a los desarrolladores acceso temporal a los entornos de producción para la solución de problemas o las implementaciones.
Otorgar a los ingenieros de asistencia acceso a datos sensibles de los clientes para tareas específicas.
Otorgar privilegios elevados a los administradores de bases de datos para cambios de mantenimiento o configuración.
Implementa el principio de privilegio mínimo detallado: Asignar roles administrativos o acceso amplio a todos los usuarios puede aumentar la superficie de ataque. Para evitar esto, los administradores pueden asignar roles permanentes con privilegio mínimo y usar Privileged Access Manager para proporcionar acceso elevado temporal y con límite de tiempo para tareas específicas cuando sea necesario. Los administradores pueden crear derechos con condiciones basadas en etiquetas y obligar a los solicitantes a crear solicitudes de concesión con un alcance personalizado y retirar las concesiones después de que se complete la tarea. Esto reduce significativamente las oportunidades de uso inadecuado y refuerza el principio de acceso "justo a tiempo".
Automatiza las aprobaciones de acceso privilegiado: Para mejorar la eficiencia, puedes configurar cuentas de servicio como responsables de aprobación en tus canalizaciones de DevOps. Estas cuentas pueden automatizar las aprobaciones programáticas validando los tickets directamente desde los sistemas de ITSM, lo que elimina las lentas verificaciones manuales.
Ayuda a proteger las cuentas de servicio: En lugar de otorgar roles de forma permanente a las cuentas de servicio, permite que estas se eleven y asuman roles solo cuando sea necesario para las tareas automatizadas.
Mitiga las amenazas internas y el uso inadecuado accidental: Con las aprobaciones de varias partes, puedes agregar dos niveles de aprobación en la toma de decisiones. Esto reduce el riesgo asociado con un solo administrador o una cuenta de aprobador comprometida que aprueba una solicitud de acceso maliciosa.
Administra el acceso de los contratistas y el personal externo: otorgar a los contratistas o miembros del personal externo acceso temporal y limitado a los recursos, con las aprobaciones y justificaciones necesarias.
Funcionalidades y limitaciones
En las siguientes secciones, se describen las diferentes capacidades y limitaciones de Privileged Access Manager.
Recursos admitidos
Privileged Access Manager admite la creación de derechos y la solicitud de concesiones para proyectos, carpetas y organizaciones.
Si deseas limitar el acceso a un subconjunto de recursos dentro de un proyecto, una carpeta o una organización, puedes agregar condiciones de IAM al derecho. Privileged Access Manager admite todos los atributos de condición que se admiten en las vinculaciones de roles de políticas de permisos.
Funciones admitidas
Privileged Access Manager admite roles predefinidos, roles personalizados y los roles básicos de administrador, escritor y lector. Privileged Access Manager no admite las funciones básicas heredadas (propietario, editor y visualizador).
Identidades admitidas
Privileged Access Manager admite todos los tipos de identidades, incluidas Cloud Identity, Federación de identidades de personal y Federación de Workload Identity.
Registros de auditoría
Los eventos de Privileged Access Manager, como la creación de derechos, la solicitud o la revisión de concesiones, se registran en los registros de auditoría de Cloud. Para obtener una lista completa de los eventos para los que Privileged Access Manager genera registros, consulta la documentación de registro de auditoría de Privileged Access Manager. Para obtener información sobre cómo ver estos registros, consulta Cómo auditar eventos de derechos y concesiones en Privileged Access Manager.
Aprobaciones de varios niveles y de varias partes
Los administradores de Privileged Access Manager pueden configurar aprobaciones de varios niveles y de varias partes. Esto es útil para los casos de uso que involucran lo siguiente:
- Operaciones de alto riesgo, como modificar la infraestructura crítica o acceder a datos sensibles
- Aplicación de la segregación de obligaciones
- Automatización de procesos de aprobación de varios niveles en flujos de trabajo dinámicos con cuentas de servicio como aprobadores inteligentes
Con esta función, los administradores del Administrador de acceso con privilegios pueden exigir más de un nivel de aprobación por derecho, lo que permite hasta dos niveles de aprobaciones secuenciales para cada derecho. Los administradores pueden exigir hasta cinco aprobaciones por nivel. Para obtener más información, consulta Crea derechos.
Personalización del alcance
Los solicitantes pueden personalizar el alcance de sus solicitudes de concesión para incluir solo los roles y recursos específicos que necesitan dentro del alcance de su derecho. Para obtener más información, consulta Cómo solicitar acceso temporal con privilegios elevados.
Aprobaciones de cuentas de servicio
Los administradores de Privileged Access Manager pueden habilitar las cuentas de servicio como aprobadores aptos. Esto permite que los administradores agreguen cuentas de servicio y identidades en grupos de identidades para cargas de trabajo como aprobadores cuando crean o modifican derechos. Para obtener más información, consulta Configura los parámetros de Privileged Access Manager.
Asistencia para herencia
Los derechos y las concesiones que se configuran a nivel de la organización o la carpeta se pueden ver desde sus carpetas y proyectos descendientes en la consola de Cloud de Confiance by S3NS . Los solicitantes pueden pedir acceso a los recursos secundarios según esos derechos directamente en esos recursos secundarios. Para obtener más información, consulta Solicita acceso temporal elevado con Privileged Access Manager.
Personalización de las preferencias de notificaciones
Los administradores de la configuración de Privileged Access Manager pueden personalizar las preferencias de notificación en todo el recurso para varios eventos de Privileged Access Manager. Estos parámetros de configuración permiten que los administradores inhabiliten de forma selectiva las notificaciones para eventos y arquetipos específicos, o bien inhabiliten todas las notificaciones. Para obtener más información, consulta Configura los parámetros de Privileged Access Manager.
Retiro de la concesión
Los solicitantes pueden retirar las solicitudes de concesión que estén pendientes de aprobación o finalizar sus concesiones activas cuando se complete su tarea privilegiada o cuando ya no se requiera el acceso. Las organizaciones pueden recomendar esta práctica como una forma de limitar la duración del acceso con privilegios solo al tiempo que se necesita de forma activa. Para obtener más información, consulta Cómo retirar otorgamientos.
Retención de la concesión
Las concesiones se borran automáticamente de Privileged Access Manager 30 días después de que se rechacen, revoquen, retiren, venzan o finalicen. Los registros de las subvenciones se mantienen en los registros de auditoría de Cloud durante la duración de retención de registros del bucket _Required.
Para obtener información sobre cómo ver estos registros, consulta Cómo auditar eventos de derechos y concesiones en Privileged Access Manager.
Modificaciones de Privileged Access Manager y de la política de IAM
Privileged Access Manager administra el acceso temporal agregando y quitando vinculaciones de roles de las políticas de IAM de los recursos. Si estas vinculaciones de roles se modifican con algo que no sea Privileged Access Manager, es posible que este no funcione como se espera.
Para evitar este problema, te recomendamos que hagas lo siguiente:
- No modifiques de forma manual las vinculaciones de roles que administra Privileged Access Manager.
- Si usas Terraform para administrar tus políticas de IAM, asegúrate de usar recursos no autorizados en lugar de recursos autorizados. Esto ayuda a garantizar que Terraform no anule las vinculaciones de roles de Privileged Access Manager, incluso si no están en la configuración declarativa de la política de IAM.
Notificaciones
Privileged Access Manager puede notificarte sobre varios eventos que ocurren en el producto, como se describe en las siguientes secciones.
Notificaciones por correo electrónico
Privileged Access Manager envía notificaciones por correo electrónico a las partes interesadas pertinentes para los cambios de derechos y concesiones. Los conjuntos de destinatarios son los siguientes:
Solicitantes aptos de un derecho:
- Direcciones de correo electrónico de los usuarios y los grupos de Cloud Identity especificados como solicitantes en el derecho.
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la consola deCloud de Confiance , estas direcciones de correo electrónico aparecen en el campo Destinatarios de correo electrónico del solicitante de la sección Agregar solicitantes. Cuando usas gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
requesterEmailRecipients.
Otorga responsables de aprobación para un derecho:
- Direcciones de correo electrónico de los usuarios y los grupos de Cloud Identity especificados como responsables de aprobación en el nivel de aprobación.
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la consola deCloud de Confiance , estas direcciones de correo electrónico aparecen en el campo Destinatarios del correo electrónico de aprobación de la sección Agregar aprobadores. Cuando usas gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
approverEmailRecipientsde los pasos del flujo de trabajo de aprobación.
Administrador del derecho:
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la consola deCloud de Confiance , estas direcciones de correo electrónico aparecen en el campo Destinatarios de correo electrónico del administrador de la sección Detalles del derecho. Cuando usas gcloud CLI o la
API de REST, estas direcciones de correo electrónico aparecen en el campo
adminEmailRecipients.
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la consola deCloud de Confiance , estas direcciones de correo electrónico aparecen en el campo Destinatarios de correo electrónico del administrador de la sección Detalles del derecho. Cuando usas gcloud CLI o la
API de REST, estas direcciones de correo electrónico aparecen en el campo
Solicitante de una subvención:
- Dirección de correo electrónico del solicitante del otorgamiento si es un usuario de Cloud Identity.
- Direcciones de correo electrónico adicionales que agregó el solicitante cuando solicitó el otorgamiento: Cuando usas la consola de Cloud de Confiance , estas direcciones de correo electrónico aparecen en el campo Direcciones de correo electrónico adicionales. Cuando usas gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
additionalEmailRecipients.
Privileged Access Manager envía correos electrónicos a estas direcciones de correo electrónico para los siguientes eventos:
| Destinatarios | Evento |
|---|---|
| Solicitantes aptos de un derecho | Cuando se asigna el derecho y está disponible para que el solicitante lo use |
| Otorga responsables de aprobación para un derecho | Cuando se solicita una concesión y requiere aprobación |
| Solicitante de una subvención |
|
| Administrador del derecho |
|
Notificaciones de Pub/Sub
Privileged Access Manager está integrado en Cloud Asset Inventory.
Puedes usar la función de feeds de Cloud Asset Inventory para recibir notificaciones sobre todos los cambios de concesiones a través de Pub/Sub. El tipo de activo que se usará para las subvenciones es privilegedaccessmanager.googleapis.com/Grant.