Pode usar o Gestor de acesso privilegiado (PAM) para controlar a elevação de privilégios temporários just-in-time para determinados responsáveis e ver os registos de auditoria posteriormente para saber quem teve acesso a quê e quando.
Para permitir a elevação temporária, crie uma autorização no Gestor de acesso privilegiado e adicione-lhe os seguintes atributos:
Um conjunto de principais que têm autorização para pedir uma concessão contra a autorização.
Se é necessária uma justificação para essa concessão.
Um conjunto de funções a conceder temporariamente. As condições de IAM podem ser definidas nas funções.
A duração máxima de uma subvenção.
Opcional: se os pedidos precisam de aprovação de um conjunto selecionado de responsáveis e se esses responsáveis têm de justificar a respetiva aprovação.
Opcional: partes interessadas adicionais a serem notificadas sobre eventos importantes, como concessões e aprovações pendentes.
Um principal que tenha sido adicionado como requerente a uma concessão pode pedir uma concessão contra essa concessão. Se for bem-sucedido, são-lhe concedidas as funções indicadas na autorização até ao final da duração da concessão, após o qual as funções são revogadas pelo Gestor de acesso privilegiado.
Exemplos de utilização
Para usar eficazmente o Gestor de acesso privilegiado, comece por identificar exemplos de utilização específicos e cenários em que pode satisfazer as necessidades da sua organização. Personalize as suas autorizações do gestor de acesso privilegiado com base nestes exemplos de utilização e nos requisitos e controlos necessários. Isto envolve o mapeamento dos utilizadores, das funções, dos recursos e das durações envolvidas, juntamente com as justificações e as aprovações necessárias.
Embora o Gestor de acesso privilegiado possa ser usado como uma prática recomendada geral para conceder privilégios temporários em vez de permanentes, seguem-se alguns cenários em que pode ser usado com frequência:
Conceda acesso de emergência: permita que determinados contactos de resposta a emergências realizem tarefas críticas sem ter de aguardar aprovação. Pode exigir justificações para contexto adicional sobre o motivo pelo qual o acesso de emergência é necessário.
Controlar o acesso a recursos confidenciais: controlar rigorosamente o acesso a recursos confidenciais, exigindo aprovações e justificações empresariais. O Gestor de acesso privilegiado também pode ser usado para auditar como este acesso foi usado, por exemplo, quando as funções concedidas estavam ativas para um utilizador, que recursos estavam acessíveis durante esse período, a justificação para o acesso e quem o aprovou.
Por exemplo, pode usar o Gestor de acesso privilegiado para fazer o seguinte:
Conceder aos programadores acesso temporário a ambientes de produção para resolução de problemas ou implementações.
Conceder aos engenheiros de apoio técnico acesso a dados de clientes confidenciais para tarefas específicas.
Conceder aos administradores da base de dados privilégios elevados para manutenção ou alterações de configuração.
Ajude a proteger as contas de serviço: em vez de conceder funções permanentemente às contas de serviço, permita que as contas de serviço se elevem automaticamente e assumam funções apenas quando necessário para tarefas automatizadas.
Faça a gestão do acesso para subcontratados e equipas alargadas: conceda aos subcontratados ou aos membros da equipa alargada acesso temporário e limitado no tempo aos recursos, com aprovações e justificações necessárias.
Capacidades e limitações
As secções seguintes descrevem as diferentes capacidades e limitações do gestor de acesso privilegiado.
Recursos suportados
O Privileged Access Manager suporta a criação de autorizações e o pedido de concessões para projetos, pastas e organizações.
Se quiser limitar o acesso a um subconjunto de recursos num projeto, numa pasta ou numa organização, pode adicionar condições do IAM à autorização. O Gestor de acesso privilegiado suporta todos os atributos de condição suportados em associações de funções de políticas de autorização.
Funções suportadas
O Gestor de acesso privilegiado suporta funções predefinidas, funções personalizadas e as funções básicas de administrador, escritor e leitor. O Gestor de acesso privilegiado não suporta funções básicas antigas (proprietário, editor e leitor).
Identidades suportadas
O Privileged Access Manager suporta todos os tipos de identidades, incluindo o Cloud ID, a federação de identidade da força de trabalho e a federação de identidades da carga de trabalho.
Registo de auditoria
Os eventos do Privileged Access Manager, como a criação de autorizações, a requisição ou a revisão de concessões, são registados nos registos de auditoria do Cloud. Para ver uma lista completa dos eventos para os quais o Privileged Access Manager gera registos, consulte a documentação de registo de auditoria do Privileged Access Manager. Para saber como ver estes registos, consulte o artigo Audite eventos de concessão e autorização no Privileged Access Manager.
Retenção de concessões
As concessões são eliminadas automaticamente do Gestor de acesso privilegiado 30 dias após serem recusadas, revogadas, terem expirado ou terminado. Os registos de concessões são mantidos nos registos de auditoria do Cloud durante a
duração da retenção de registos do contentor _Required.
Para saber como ver estes registos, consulte o artigo
Audite eventos de concessão e autorização no Gestor de acesso privilegiado.
Modificações do gestor de acesso privilegiado e da política de IAM
O Gestor de acesso privilegiado gere o acesso temporário adicionando e removendo associações de funções das políticas de IAM dos recursos. Se estas associações de funções forem modificadas por algo que não seja o Privileged Access Manager, o Privileged Access Manager pode não funcionar como esperado.
Para evitar este problema, recomendamos que faça o seguinte:
- Não modifique manualmente as associações de funções geridas pelo Privileged Access Manager.
- Se usar o Terraform para gerir as suas políticas de IAM, certifique-se de que está a usar recursos não autorizados em vez de recursos autorizados. Isto garante que o Terraform não substitui as associações de funções do Privileged Access Manager, mesmo que não estejam na configuração declarativa da política de IAM.
Notificações
O Gestor de acesso privilegiado pode enviar-lhe notificações sobre vários eventos que ocorrem no Gestor de acesso privilegiado, conforme descrito nas secções seguintes.
Notificações por email
O Privileged Access Manager envia notificações por email às partes interessadas relevantes para alterações de concessão e autorização. Os conjuntos de destinatários são os seguintes:
Requerentes elegíveis de uma concessão:
- Endereços de email de utilizadores do Cloud Identity e grupos especificados como requerentes na autorização
- Endereços de email configurados manualmente na concessão: quando usa aTrusted Cloud consola, estes endereços de email são apresentados no campo Notificar acerca de uma concessão elegível na secção Notificações adicionais da concessão. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
requesterEmailRecipients.
Conceda aprovadores para uma autorização:
- Endereços de email de utilizadores e grupos do Cloud ID especificados como aprovadores na autorização.
- Endereços de email configurados manualmente na concessão: quando usa a
Trusted Cloud consola, estes endereços de email são apresentados no campo
Notificar quando uma concessão estiver pendente de aprovação na secção
Notificações adicionais da concessão. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
approverEmailRecipientsdos passos do fluxo de trabalho de aprovação.
Administrador da concessão:
- Endereços de email configurados manualmente na concessão: quando usa a
Trusted Cloud consola, estes endereços de email são apresentados no campo
Notificar quando o acesso for concedido na secção Notificações adicionais
da concessão. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
adminEmailRecipients.
- Endereços de email configurados manualmente na concessão: quando usa a
Trusted Cloud consola, estes endereços de email são apresentados no campo
Notificar quando o acesso for concedido na secção Notificações adicionais
da concessão. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
Requerente de uma subvenção:
- Endereço de email do requerente da concessão, se for um utilizador do Cloud ID.
- Endereços de email adicionais adicionados pelo requerente ao pedir a concessão: quando usa a Trusted Cloud consola, estes endereços de email são apresentados no campo Endereços de email para receber atualizações sobre esta concessão. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
additionalEmailRecipients.
O Privileged Access Manager envia emails para estes endereços de email para os seguintes eventos:
| Destinatários | Evento |
|---|---|
| Requerentes elegíveis de uma concessão | Quando a concessão é criada e fica disponível para utilização |
| Conceda aprovadores para uma concessão | Quando é pedida uma concessão e esta requer aprovação |
| Requerente de uma subvenção |
|
| Administrador da concessão |
|
Notificações do Pub/Sub
O Privileged Access Manager está integrado com o Cloud Asset Inventory.
Pode usar a funcionalidade Feeds do Cloud Asset Inventory
para receber notificações sobre todas as alterações de concessão através do
Pub/Sub. O tipo de recurso a usar para concessões é
privilegedaccessmanager.googleapis.com/Grant.