Anda dapat menggunakan Privileged Access Manager (PAM) untuk mengontrol peningkatan hak istimewa sementara tepat waktu untuk principal tertentu, dan untuk melihat log audit setelahnya untuk mengetahui siapa yang memiliki akses ke apa dan kapan.
Untuk mengizinkan peningkatan sementara, Anda membuat hak di Privileged Access Manager, dan menambahkan atribut berikut ke hak tersebut:
Kumpulan akun utama yang diizinkan untuk meminta pemberian hak atas hak.
Apakah justifikasi diperlukan untuk pemberian tersebut.
Kumpulan peran yang akan diberikan untuk sementara. Kondisi IAM dapat ditetapkan pada peran.
Durasi maksimum pemberian akses.
Opsional: Apakah permintaan memerlukan persetujuan dari serangkaian akun utama tertentu, dan apakah akun utama tersebut perlu memberikan justifikasi atas persetujuan mereka.
Opsional: Pemangku kepentingan tambahan yang akan diberi tahu tentang peristiwa penting, seperti hibah dan persetujuan yang tertunda.
Prinsipal yang telah ditambahkan sebagai pemohon ke hak dapat meminta pemberian akses terhadap hak tersebut. Jika berhasil, mereka akan diberi peran yang tercantum dalam hak hingga akhir durasi pemberian akses, setelah itu peran akan dicabut oleh Privileged Access Manager.
Kasus penggunaan
Untuk menggunakan Privileged Access Manager secara efektif, mulailah dengan mengidentifikasi kasus penggunaan dan skenario tertentu yang dapat memenuhi kebutuhan organisasi Anda. Sesuaikan hak Privileged Access Manager Anda berdasarkan kasus penggunaan dan persyaratan serta kontrol yang diperlukan ini. Hal ini melibatkan pemetaan pengguna, peran, resource, dan durasi yang terlibat, beserta justifikasi dan persetujuan yang diperlukan.
Meskipun Privileged Access Manager dapat digunakan sebagai praktik terbaik umum untuk memberikan hak istimewa sementara, bukan hak istimewa permanen, berikut beberapa skenario yang mungkin umum digunakan:
Memberikan akses darurat: Mengizinkan petugas pertolongan darurat tertentu melakukan tugas penting tanpa harus menunggu persetujuan. Anda dapat mewajibkan justifikasi untuk permintaan akses darurat guna mendapatkan konteks tambahan.
Mengontrol akses ke resource sensitif: Mengontrol akses ke resource sensitif secara ketat, yang memerlukan persetujuan dan justifikasi bisnis. Privileged Access Manager juga dapat digunakan untuk mengaudit cara penggunaan akses ini—misalnya, kapan peran yang diberikan aktif untuk pengguna, resource mana yang dapat diakses selama waktu tersebut, alasan pemberian akses, dan siapa yang menyetujuinya.
Misalnya, Anda dapat menggunakan Privileged Access Manager untuk melakukan hal berikut:
Memberi developer akses sementara ke lingkungan produksi untuk pemecahan masalah atau deployment.
Memberi engineer dukungan akses ke data pelanggan sensitif untuk tugas tertentu.
Memberi administrator database hak istimewa yang ditingkatkan untuk pemeliharaan atau perubahan konfigurasi.
Menerapkan hak istimewa terkecil yang terperinci: Menetapkan peran administratif atau akses luas kepada semua pengguna dapat meningkatkan permukaan serangan. Untuk mencegah hal ini, administrator dapat menetapkan peran permanen dengan hak istimewa terendah dan menggunakan Privileged Access Manager untuk memberikan akses yang ditingkatkan sementara dan terikat waktu untuk tugas tertentu jika diperlukan. Administrator dapat membuat hak dengan kondisi berbasis tag dan mewajibkan pemohon untuk membuat permintaan pemberian dengan cakupan yang disesuaikan dan mencabut pemberian setelah tugas selesai. Hal ini secara signifikan mengurangi peluang penyalahgunaan dan memperkuat prinsip akses "just-in-time".
Mengotomatiskan persetujuan akses istimewa: Untuk meningkatkan efisiensi, Anda dapat mengonfigurasi akun layanan atau identitas agen sebagai pemberi persetujuan dalam pipeline DevOps. Akun ini dapat mengotomatiskan persetujuan terprogram dengan memvalidasi tiket langsung dari sistem ITSM, sehingga tidak perlu melakukan pemeriksaan manual yang lambat.
Membantu mengamankan akun layanan dan identitas agen: Daripada memberikan peran secara permanen ke akun layanan atau identitas agen, izinkan akun layanan atau identitas agen tersebut melakukan peningkatan sendiri dan mengambil peran hanya saat diperlukan untuk tugas otomatis.
Mengurangi ancaman dari orang dalam dan penyalahgunaan yang tidak disengaja: Dengan persetujuan banyak pihak, Anda dapat mewajibkan pemberi persetujuan kedua untuk permintaan pemberian akses. Pendekatan ini mengurangi risiko satu administrator atau akun yang disusupi menyetujui akses berbahaya.
Mengelola akses untuk kontraktor dan tenaga kerja eksternal: Berikan akses sementara dan terbatas waktu ke resource kepada kontraktor atau anggota tenaga kerja eksternal, dengan persetujuan dan justifikasi yang diperlukan.
Mengubah peran permanen menjadi akses sementara: Perbaiki izin berlebihan yang diidentifikasi oleh IAM Recommender. Daripada mencabut peran secara permanen, Anda dapat mengubahnya menjadi hak sementara sesuai permintaan. Untuk mengetahui informasi selengkapnya, lihat Memperbaiki izin berlebihan dengan Privileged Access Manager.
Kemampuan dan batasan
Bagian berikut menjelaskan berbagai kemampuan dan batasan Privileged Access Manager.
Resource yang didukung
Privileged Access Manager mendukung pembuatan hak dan permintaan pemberian untuk project, folder, dan organisasi.
Jika Anda ingin membatasi akses ke subset resource dalam project, folder, atau organisasi, Anda dapat menambahkan Kondisi IAM ke hak. Privileged Access Manager mendukung semua atribut kondisi yang didukung dalam binding peran kebijakan izin. Privileged Access Manager hanya mendukung layanan yang mendukung akses terperinci melalui IAM karena menggunakan kondisi IAM untuk mengelola akses sementara.
Peran yang didukung
Privileged Access Manager mendukung peran bawaan, peran khusus, dan peran Dasar Admin, Penulis, dan Pembaca. Privileged Access Manager tidak mendukung peran dasar lama (Pemilik, Editor, dan Pelihat).
Identitas yang didukung
Privileged Access Manager mendukung semua jenis identitas, termasuk Cloud Identity, Workforce Identity Federation, Workload Identity Federation, dan identitas agen.
Logging audit
Peristiwa Privileged Access Manager, seperti pembuatan hak, permintaan atau peninjauan pemberian, dicatat ke Cloud Audit Logs. Untuk daftar lengkap peristiwa yang lognya dibuat oleh Privileged Access Manager, lihat dokumentasi logging audit Privileged Access Manager. Untuk mempelajari cara melihat log ini, lihat Peristiwa pemberian dan audit hak di Privileged Access Manager.
Persetujuan multi-level dan banyak pihak
Administrator Privileged Access Manager dapat menyiapkan persetujuan multi-tingkat dan multi-pihak. Hal ini berguna untuk kasus penggunaan yang melibatkan hal berikut:
- Operasi berisiko tinggi seperti mengubah infrastruktur penting atau mengakses data sensitif
- Menerapkan pemisahan tugas
- Mengotomatiskan proses persetujuan multi-level dalam alur kerja dinamis menggunakan akun layanan atau identitas agen sebagai pemberi persetujuan cerdas
Dengan fitur ini, administrator Privileged Access Manager dapat mewajibkan lebih dari satu tingkat persetujuan per hak, sehingga memungkinkan hingga dua tingkat persetujuan berurutan untuk setiap hak. Administrator dapat mewajibkan hingga lima persetujuan per tingkat. Untuk mengetahui informasi selengkapnya, lihat Membuat hak.
Penyesuaian cakupan
Pemohon dapat menyesuaikan cakupan permintaan pemberian mereka untuk hanya menyertakan peran dan resource tertentu yang mereka butuhkan dalam cakupan hak mereka. Untuk mengetahui informasi selengkapnya, lihat Meminta akses yang ditingkatkan sementara.
Persetujuan identitas agen dan akun layanan
Administrator Privileged Access Manager dapat mengaktifkan akun layanan dan identitas agen sebagai pemberi persetujuan yang memenuhi syarat. Dengan demikian, administrator dapat menambahkan akun layanan, identitas agen, dan identitas di kumpulan identitas workload sebagai pemberi persetujuan saat membuat atau mengubah hak. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan Privileged Access Manager.
Dukungan pewarisan
Hak dan pemberian yang disiapkan di tingkat organisasi atau folder dapat dilihat dari folder dan project turunannya di konsol Cloud de Confiance by S3NS . Pemohon dapat meminta akses ke resource turunan berdasarkan hak tersebut langsung dalam resource turunan tersebut. Untuk mengetahui informasi selengkapnya, lihat Meminta akses yang ditingkatkan sementara dengan Privileged Access Manager.
Penyesuaian preferensi notifikasi
Administrator setelan Privileged Access Manager dapat menyesuaikan preferensi notifikasi di seluruh resource untuk berbagai peristiwa Privileged Access Manager. Setelan ini memungkinkan administrator menonaktifkan notifikasi secara selektif untuk peristiwa dan persona tertentu, atau menonaktifkan semua notifikasi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan Privileged Access Manager.
Penjadwalan pemberian akses
Pemohon dapat menjadwalkan permintaan pemberian hibah hingga tujuh hari sebelumnya. Hal ini membantu pemohon menyelaraskan akses dengan pemeliharaan terencana atau shift siaga dan mengurangi waktu yang mereka habiskan untuk menunggu persetujuan. Untuk mengetahui informasi selengkapnya, lihat Meminta akses yang ditingkatkan sementara.
Penarikan pemberian akses
Pemohon dapat membatalkan permintaan pemberian akses yang menunggu persetujuan atau dijadwalkan untuk diaktifkan. Pemohon juga dapat mengakhiri pemberian aktif mereka saat tugas istimewa mereka selesai atau saat akses tidak lagi diperlukan. Organisasi dapat merekomendasikan hal ini sebagai praktik terbaik untuk membatasi durasi akses dengan hak istimewa hanya pada waktu yang diperlukan secara aktif. Untuk mengetahui informasi selengkapnya, lihat Membatalkan pemberian izin.
Retensi pemberian akses
Pemberian akses akan otomatis dihapus dari Privileged Access Manager 30 hari setelah ditolak, dicabut, dibatalkan, habis masa berlakunya, atau berakhir. Log untuk pemberian hak disimpan di Cloud Audit Logs selama
durasi retensi log bucket _Required.
Untuk mempelajari cara melihat log ini, lihat
Mengaudit peristiwa pemberian dan hak dalam Privileged Access Manager.
Modifikasi kebijakan IAM dan Privileged Access Manager
Privileged Access Manager mengelola akses sementara dengan menambahkan dan menghapus binding peran dari kebijakan IAM resource. Jika binding peran ini diubah oleh sesuatu selain Privileged Access Manager, Privileged Access Manager mungkin tidak berfungsi seperti yang diharapkan.
Untuk menghindari masalah ini, sebaiknya lakukan hal berikut:
- Jangan mengubah binding peran yang dikelola oleh Privileged Access Manager secara manual.
- Jika Anda menggunakan Terraform untuk mengelola kebijakan IAM, pastikan Anda menggunakan resource non-otoritatif bukan resource otoritatif. Hal ini membantu memastikan bahwa Terraform tidak akan mengganti binding peran Privileged Access Manager, meskipun binding tersebut tidak ada dalam konfigurasi kebijakan IAM deklaratif.
Notifikasi
Privileged Access Manager dapat memberi tahu Anda tentang berbagai peristiwa yang terjadi di Privileged Access Manager seperti yang dijelaskan di bagian berikut.
Notifikasi email
Privileged Access Manager mengirimkan notifikasi email kepada pemangku kepentingan yang relevan untuk perubahan hak dan pemberian akses. Kumpulan penerima adalah sebagai berikut:
Pemohon yang memenuhi syarat untuk mendapatkan hak:
- Alamat email pengguna Cloud Identity dan grup yang ditentukan sebagai pemohon dalam hak.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
Cloud de Confiance console, alamat email ini tercantum di kolom
Penerima email pemohon
di bagian Tambahkan pemohon. Saat menggunakan
gcloud CLI atau REST API, alamat email ini dicantumkan
di kolom
requesterEmailRecipients.
Memberikan pemberi persetujuan untuk hak:
- Alamat email pengguna dan grup Cloud Identity yang ditetapkan sebagai pemberi persetujuan di tingkat persetujuan.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolCloud de Confiance , alamat email ini tercantum di kolom
Penerima email persetujuan di bagian
Tambahkan pemberi persetujuan. Saat menggunakan
gcloud CLI atau REST API, alamat email ini tercantum di
kolom
approverEmailRecipientslangkah-langkah alur kerja persetujuan.
Administrator hak:
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolCloud de Confiance , alamat email ini tercantum di kolom
Penerima email admin
di bagian Detail hak. Saat menggunakan gcloud CLI atau
REST API, alamat email ini tercantum di kolom
adminEmailRecipients.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolCloud de Confiance , alamat email ini tercantum di kolom
Penerima email admin
di bagian Detail hak. Saat menggunakan gcloud CLI atau
REST API, alamat email ini tercantum di kolom
Pemohon pemberian akses:
- Alamat email pemohon pemberian akses jika dia adalah pengguna Cloud Identity.
- Alamat email tambahan yang ditambahkan oleh pemohon saat meminta pemberian akses: Saat menggunakan konsol Cloud de Confiance , alamat email ini tercantum di kolom Alamat email tambahan. Saat
menggunakan gcloud CLI atau REST API, alamat email ini
dicantumkan di kolom
additionalEmailRecipients.
Privileged Access Manager mengirim email ke alamat email ini untuk peristiwa berikut:
| Penerima | Acara |
|---|---|
| Pemohon yang memenuhi syarat untuk mendapatkan hak | Saat hak ditetapkan dan tersedia untuk digunakan oleh pemohon |
| Memberikan pemberi persetujuan untuk hak | Saat pemberian akses diminta dan memerlukan persetujuan |
| Pemohon pemberian akses |
|
| Administrator hak |
|
Notifikasi Pub/Sub
Privileged Access Manager terintegrasi dengan Cloud Asset Inventory.
Anda dapat menggunakan fitur feed Inventaris Aset Cloud
untuk menerima notifikasi tentang semua perubahan pemberian melalui
Pub/Sub. Jenis aset yang akan digunakan untuk pemberian adalah
privilegedaccessmanager.googleapis.com/Grant.