Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Diese Seite wurde von der Cloud Translation API übersetzt.

Temporärer erhöhter Zugriff – Übersicht

Eine Möglichkeit, sensible Ressourcen zu schützen, besteht darin, den Zugriff darauf einzuschränken. Wenn Sie den Zugriff auf vertrauliche Ressourcen einschränken, kann das jedoch auch zu Problemen für Nutzer führen, die gelegentlich auf diese Ressourcen zugreifen müssen. Ein Nutzer benötigt beispielsweise möglicherweise einen Break-Glass- oder Notfallzugriff auf vertrauliche Ressourcen, um einen Vorfall zu beheben.

In diesen Fällen empfehlen wir, dem Nutzer vorübergehend Zugriff auf die Ressource zu gewähren. Zur Verbesserung der Prüfung empfehlen wir außerdem, die Begründung des Nutzers für den Zugriff auf die Ressource aufzuzeichnen.

In Cloud de Confiance by S3NSgibt es mehrere Möglichkeiten, diese Art von temporärem erhöhten Zugriff zu verwalten.

IAM-Bedingungen

Mit IAM-Bedingungen können Sie Nutzern einen ablaufenden Zugriff aufCloud de Confiance -Ressourcen gewähren. Weitere Informationen finden Sie unter Temporären Zugriff konfigurieren.

Wenn Sie die Begründungen des Nutzers für den Zugriff auf vertrauliche Ressourcen aufzeichnen möchten, müssen Sie Ihre eigenen operativen Prozesse und Tools festlegen.

Abgelaufene Rollenbindungen werden nicht automatisch aus den Zulassungsrichtlinien entfernt. Damit Ihre Zulassungsrichtlinien die maximale Größe für Zulassungsrichtlinien nicht überschreiten, empfehlen wir, abgelaufene Rollenbindungen regelmäßig zu entfernen.

Ablehnungsrichtlinien unterstützen keine zeitbasierten Bedingungen. Daher können Sie in Ablehnungsrichtlinien keine Bedingungen verwenden, um einen Nutzer vorübergehend von einer Ablehnungsregel auszunehmen.

Identitätsübertragung für ein Dienstkonto

Wenn sich ein authentifiziertes Hauptkonto, z. B. ein Nutzer oder ein anderes Dienstkonto, als ein Dienstkonto authentifiziert, um die Berechtigungen des Dienstkontos zu erhalten, wird dies als Identitätsübernahme des Dienstkontos bezeichnet. Durch die Übernahme der Identität eines Dienstkontos kann ein authentifiziertes Hauptkonto auf alles zugreifen, worauf das Dienstkonto zugreifen kann. Nur authentifizierte Hauptkonten mit den entsprechenden Berechtigungen können die Identität von Dienstkonten übernehmen.

Wenn Sie ein Dienstkonto für den vorübergehend erhöhten Zugriff einrichten möchten, erstellen Sie das Dienstkonto und weisen Sie ihm die Rollen zu, die Sie vorübergehend einem Nutzer zuweisen möchten. Wenn Sie Ablehnungsrichtlinien verwenden, sollten Sie eventuell das Dienstkonto von allen relevanten Ablehnungsregeln ausnehmen, um unerwartete Ablehnungen zu vermeiden.

Nachdem Sie das Dienstkonto eingerichtet haben, können Sie Nutzern vorübergehend erhöhten Zugriff gewähren, indem Sie ihnen erlauben, die Identität des Dienstkontos zu übernehmen. Es gibt verschiedene Möglichkeiten, Nutzern die Übernahme der Identität von Dienstkonten zu ermöglichen:

Weisen Sie Nutzern eine Rolle zu, mit der sie kurzlebige Anmeldedaten für das Dienstkonto erstellen können. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
- Weisen Sie die Rolle „Ersteller des OpenID Connect-Identitätstokens für das Dienstkonto“ (roles/iam.serviceAccountOpenIdTokenCreator) zu, damit der Nutzer kurzlebige OIDC-ID-Tokens (OpenID Connect) für das Dienstkonto erstellen kann.
- Weisen Sie die Rolle „Ersteller von Dienstkonto-Tokens" (roles/iam.serviceAccountTokenCreator) zu, damit der Nutzer die folgenden Arten von Anmeldedaten für Dienstkonten erstellen kann:
  - OAuth 2.0-Zugriffstokens erstellen, die Sie zur Authentifizierung bei Google APIs verwenden können.
  - OIDC-ID-Tokens.
  - Signierte JSON-Web-Tokens (JWTs) und binäre Blobs.
Wenn Sie einem Nutzer eine dieser Rollen zuweisen, kann er jederzeit die Identität des Dienstkontos annehmen, um seinen eigenen Zugriff zu erhöhen. Es ist jedoch weniger wahrscheinlich, dass er versehentlich auf vertrauliche Ressourcen zugreift oder diese ändert.

Informationen zum Übernehmen der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos verwenden.
Erstellen Sie einen Token-Broker-Dienst, der Nutzern kurzlebige Anmeldedaten für das Dienstkonto bereitstellt, nachdem sie sich authentifiziert und eine Begründung angegeben haben. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.

Mit dieser Methode können Sie entscheiden, wann Nutzer die Identität des Dienstkontos übernehmen dürfen.

Informationen zum Erstellen kurzlebiger Anmeldedaten finden Sie unter Kurzlebige Anmeldedaten für ein Dienstkonto erstellen.

Weitere Informationen zur Übernahme der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos.

Nächste Schritte

Richten Sie Privileged Access Manager für vorübergehend erhöhten Zugriff ein.
Mit IAM-Bedingungen temporären Zugriff auf ein Hauptkonto gewähren.
Kurzlebige Anmeldedaten manuell erstellen, um die Identität eines Dienstkontos zu übernehmen.