Privileged Access Manager(PAM)を使用すると、特定のプリンシパルでジャストインタイムの一時的な権限昇格を制御し、後で監査ログを表示して、誰が何にいつアクセスしたかを確認できます。
一時的な昇格を許可するには、Privileged Access Manager で利用資格を作成し、次の属性を追加します。
利用資格に対する権限付与をリクエストできるプリンシパルのセット。
権限付与に正当な理由が必要かどうか。
権限付与の最大期間。
省略可: リクエストに特定のプリンシパルの承認が必要かどうか。プリンシパルが承認の理由を示す必要があるかどうか。
省略可: 権限付与や承認待ちなどの重要なイベントについて通知を受け取る追加の関係者。
利用資格にリクエスト元として追加されたプリンシパルは、その利用資格に対する権限付与をリクエストできます。成功すると、権限付与期間が終了するまで利用資格に含まれるロールが付与されます。期間が終了すると、Privileged Access Manager によってロールが取り消されます。
ユースケース
Privileged Access Manager を効果的に使用するには、まず、組織のニーズに対応できる特定のユースケースとシナリオを特定します。これらのユースケースと必要な要件と制御に基づいて、Privileged Access Manager の利用資格を調整します。これには、ユーザー、ロール、リソース、期間のマッピング、正当な理由と承認が含まれます。
Privileged Access Manager は、永続的な権限ではなく一時的な権限を付与するための一般的なベスト プラクティスとして使用できます。以下に、一般的に使用されるシナリオをいくつか示します。
緊急のアクセス権を付与する: 緊急対応で承認を待たずに重要なタスクを実行できるようにします。緊急のアクセスが必要な理由に関する追加のコンテキストの提示を義務付けることもできます。
機密リソースへのアクセスを制御する: 機密リソースへのアクセスを厳密に制御し、承認とビジネス上の正当な理由を必要とします。このアクセスの使用方法を監査する場合にも Privileged Access Manager を使用できます。たとえば、ユーザーに付与されたロールがいつ有効になったか、その時点でアクセス可能なリソース、アクセスの正当性、承認者などを監査できます。
たとえば、Privileged Access Manager を使用すると、次のことができます。
デベロッパーに本番環境への一時的なアクセス権を付与して、トラブルシューティングやデプロイを行う。
サポート エンジニアに、特定のタスクのために機密性の高い顧客データへのアクセス権を付与します。
データベース管理者に、メンテナンスや構成変更を行うための昇格された権限を付与します。
きめ細かい最小権限を実装する: 管理者ロールや広範なアクセス権をすべてのユーザーに割り当てると、攻撃対象領域が拡大する可能性があります。これを防ぐために、管理者は最小権限の永続ロールを割り当て、Privileged Access Manager を使用して、必要に応じて特定のタスクに一時的な時間制限付きの昇格アクセスを提供できます。管理者は、タグベースの条件で利用資格を作成し、リクエスト元にカスタマイズされたスコープで権限付与リクエストを作成し、タスクの完了後に権限付与を取り消すよう強制できます。これにより、不正使用の機会が大幅に減少し、「ジャストインタイム」アクセスの原則が強化されます。
特権アクセスの承認を自動化する: 効率を高めるために、DevOps パイプライン内でサービス アカウントを承認者として構成できます。これらのアカウントは、ITSM システムからチケットを直接検証することで、プログラマティック承認を自動化し、遅い手動チェックを排除できます。
サービス アカウントのセキュリティを強化する: サービス アカウントにロールを永続的に付与するのではなく、サービス アカウントが自動タスクで必要な場合にのみ、ロールの昇格を受け入れるようにします。
インサイダー脅威と誤用を軽減する: 複数の関係者による承認により、意思決定に 2 つのレベルの承認を追加できます。これにより、単一の管理者または不正使用された承認者アカウントが悪意のあるアクセス リクエストを承認するリスクが軽減されます。
契約社員と外部人材のアクセスを管理する: 契約社員または外部人材にリソースへの一時的なアクセス権を付与します。この場合、承認と正当な理由が必要です。
機能と制限
以降のセクションでは、Privileged Access Manager のさまざまな機能と制限事項について説明します。
サポートされているリソース
Privileged Access Manager では、プロジェクト、フォルダ、組織に対する利用資格の作成と権限付与のリクエストが可能です。
プロジェクト、フォルダ、組織内のリソースのサブセットへのアクセスを制限する場合は、IAM 条件を利用して利用資格を制限できます。Privileged Access Manager は、許可ポリシーのロール バインディングでサポートされているすべての条件属性をサポートしています。
サポートされているロール
Privileged Access Manager は、事前定義ロール、カスタムロール、基本ロール(管理者、書き込み、読み取り)をサポートしています。Privileged Access Manager は、以前の基本ロール(オーナー、編集者、閲覧者)をサポートしていません。
サポートされている ID
Privileged Access Manager は、Cloud Identity、Workforce Identity 連携、Workload Identity 連携など、あらゆるタイプの ID をサポートしています。
監査ロギング
Privileged Access Manager のイベント(利用資格の作成、権限付与の申請または審査など)は、Cloud Audit Logs に記録されます。Privileged Access Manager がログを生成するイベントの完全なリストについては、Privileged Access Manager の監査ロギングに関するドキュメントをご覧ください。これらのログを表示する方法については、Privileged Access Manager で利用資格と権限付与イベントを監査するをご覧ください。
複数レベルの承認と複数グループの承認
Privileged Access Manager の管理者は、マルチレベルの承認と複数の関係者による承認を設定できます。これは、次のようなユースケースに役立ちます。
- 重要なインフラストラクチャの変更や機密データへのアクセスなどのリスクの高いオペレーション
- 職務の分離の実施
- サービス アカウントをインテリジェントな承認者として使用して、動的ワークフローで複数レベルの承認プロセスを自動化する
この機能により、Privileged Access Manager 管理者は、権限ごとに複数の承認レベルを必須にできます。これにより、権限ごとに最大 2 つのレベルの順次承認が可能になります。管理者は、レベルごとに最大 5 件の承認を必須にできます。詳しくは、利用資格を作成するをご覧ください。
スコープのカスタマイズ
リクエスト元は、利用資格の範囲内で必要な特定のロールとリソースのみを含むように、付与リクエストの範囲をカスタマイズできます。詳細については、一時的に昇格されたアクセス権をリクエストするをご覧ください。
サービス アカウントの承認
Privileged Access Manager 管理者は、サービス アカウントを承認者として有効にできます。これにより、管理者は利用資格の作成または変更時に、サービス アカウントと Workload Identity プール内の ID を承認者として追加できます。詳細については、Privileged Access Manager の設定を構成するをご覧ください。
継承のサポート
組織レベルまたはフォルダレベルで設定された利用資格と権限付与は、 Cloud de Confiance by S3NS コンソールの下位フォルダとプロジェクトから確認できます。リクエスタは、これらの利用資格に基づいて、子リソース内で直接子リソースへのアクセスをリクエストできます。詳細については、Privileged Access Manager を使用して一時的に昇格された権限をリクエストするをご覧ください。
通知設定のカスタマイズ
Privileged Access Manager 設定管理者は、さまざまな Privileged Access Manager イベントのリソース全体の通知設定をカスタマイズできます。これらの設定を使用すると、管理者は特定のイベントや特定のペルソナの通知を選択的に無効にしたり、すべての通知を無効にしたりできます。詳細については、Privileged Access Manager の設定を構成するをご覧ください。
付与の取り消し
申請者は、承認待ちの権限付与リクエストを取り消すことができます。また、特権タスクが完了したときや、アクセスが不要になったときに、有効な権限付与を終了することもできます。組織は、特権アクセスの期間を実際に必要な時間のみに制限するベスト プラクティスとして、これを推奨できます。詳細については、権限を取り消すをご覧ください。
権限付与の保持
権限付与は、拒否、取り消し、取り下げ、有効期限切れ、または終了してから 30 日後に Privileged Access Manager から自動的に削除されます。権限付与のログは、_Required バケットのログ保持期間にわたって Cloud Audit Logs に保持されます。これらのログを表示する方法については、Privileged Access Manager で利用資格と権限付与イベントを監査するをご覧ください。
Privileged Access Manager と IAM ポリシーの変更
Privileged Access Manager は、リソースの IAM ポリシーからロール バインディングを追加または削除することで、一時的なアクセスを管理します。これらのロール バインディングが Privileged Access Manager 以外の方法で変更されると、Privileged Access Manager が想定どおりに機能しない可能性があります。
この問題を回避するには、次のことをおすすめします。
- Privileged Access Manager によって管理されているロール バインディングを手動で変更しないでください。
- Terraform を使用して IAM ポリシーを管理する場合は、信頼できるリソースではなく、信頼できないリソースを使用していることを確認してください。これにより、宣言型の IAM ポリシー構成に含まれていない場合でも、Terraform による Privileged Access Manager ロール バインディングのオーバーライドを防ぐことができます。
通知
Privileged Access Manager は、次のセクションで説明するように、Privileged Access Manager で発生するさまざまなイベントを通知します。
メール通知
Privileged Access Manager は、利用資格と権限付与の変更について、関連する関係者にメール通知を送信します。受信者のセットは次のとおりです。
利用資格の対象となるリクエスト元:
- 利用資格でリクエスト元として指定された Cloud Identity ユーザーとグループのメールアドレス。
- 利用資格で手動で構成されたメールアドレス:Cloud de Confiance コンソールを使用する場合、これらのメールアドレスは、[リクエスト元を追加] セクションの [リクエスト元のメール受信者] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは
requesterEmailRecipientsフィールドに表示されます。
利用資格の承認者に権限を付与する:
- 承認レベルで承認者として指定された Cloud Identity ユーザーとグループのメールアドレス。
- 利用資格で手動で構成されたメールアドレス:Cloud de Confiance コンソールを使用する場合、これらのメールアドレスは、[承認者の追加] セクションの [承認メールの受信者] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは承認ワークフロー ステップの
approverEmailRecipientsフィールドに表示されます。
利用資格の管理者:
- 利用資格で手動で構成されたメールアドレス:Cloud de Confiance コンソールを使用する場合、これらのメールアドレスは、[利用資格の詳細] セクションの [管理者メールの受信者] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは
adminEmailRecipientsフィールドに表示されます。
- 利用資格で手動で構成されたメールアドレス:Cloud de Confiance コンソールを使用する場合、これらのメールアドレスは、[利用資格の詳細] セクションの [管理者メールの受信者] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは
権限付与の申請者:
- 権限付与のリクエスト元のメールアドレス(Cloud Identity ユーザーの場合)。
- 権限付与をリクエストする際にリクエスト元が追加した追加のメールアドレス: Cloud de Confiance コンソールを使用する場合、これらのメールアドレスは [追加のメールアドレス] フィールドに表示されます。gcloud CLI または REST API を使用する場合、これらのメールアドレスは
additionalEmailRecipientsフィールドに表示されます。
Privileged Access Manager は、次のイベントでこれらのメールアドレスにメールを送信します。
| 受信者 | イベント |
|---|---|
| 利用資格の対象となるリクエスト元 | 利用資格が割り当てられ、リクエスト元が使用できるようになったとき |
| 利用資格の承認者に権限を付与する | 権限付与がリクエストされ、承認が必要な場合 |
| 権限付与のリクエスト元 |
|
| 利用資格の管理者 |
|
Pub/Sub 通知
Privileged Access Manager は Cloud Asset Inventory と統合されています。Cloud Asset Inventory フィード機能を使用すると、Pub/Sub を介してすべての権限付与の変更に関する通知を受け取ることができます。権限付与に使用するアセットタイプは privilegedaccessmanager.googleapis.com/Grant です。