Eine Möglichkeit, sensible Ressourcen zu schützen, besteht darin, den Zugriff darauf einzuschränken. Wenn Sie den Zugriff auf vertrauliche Ressourcen jedoch einschränken, ist das auch für alle Nutzer ärgerlich, die gelegentlich auf diese Ressourcen zugreifen müssen. Ein Nutzer benötigt beispielsweise möglicherweise einen Notfallzugriff auf vertrauliche Ressourcen, um einen Vorfall zu beheben.
In diesen Fällen empfehlen wir, dem Nutzer vorübergehend Zugriff auf die Ressource zu gewähren. Wir empfehlen außerdem, zur Verbesserung der Prüfung die Begründung des Nutzers für den Zugriff auf die Ressource aufzuzeichnen.
In Trusted Cloud by S3NSgibt es mehrere Möglichkeiten, diese Art von vorübergehendem erhöhten Zugriff zu verwalten.
IAM-Bedingungen
Mit IAM-Bedingungen können Sie Nutzern einen ablaufenden Zugriff aufTrusted Cloud -Ressourcen gewähren. Weitere Informationen finden Sie unter Temporären Zugriff konfigurieren.
Wenn Sie die Begründungen des Nutzers für den Zugriff auf vertrauliche Ressourcen aufzeichnen möchten, müssen Sie Ihre eigenen operativen Prozesse und Tools festlegen.
Abgelaufene Rollenbindungen werden nicht automatisch aus den Zulassungsrichtlinien entfernt. Damit Ihre Zulassungsrichtlinien die maximale Größe nicht überschreiten, empfehlen wir, abgelaufene Rollenbindungen regelmäßig zu entfernen.
Für Ablehnungsrichtlinien werden keine zeitbasierten Bedingungen unterstützt. Daher können Sie in Ablehnungsrichtlinien keine Bedingungen verwenden, um einen Nutzer vorübergehend von einer Ablehnungsregel auszunehmen.
Identitätsübertragung für ein Dienstkonto
Wenn sich ein authentifiziertes Hauptkonto, z. B. ein Nutzer oder ein anderes Dienstkonto, als ein Dienstkonto authentifiziert, um die Berechtigungen des Dienstkontos zu erhalten, wird dies als Identitätsübernahme des Dienstkontos bezeichnet. Wenn die Identität eines Dienstkontos übernommen wird, kann ein authentifiziertes Hauptkonto auf alles zugreifen, auf das das Dienstkonto zugreifen kann. Nur authentifizierte Hauptkonten mit den entsprechenden Berechtigungen können die Identität von Dienstkonten übernehmen.
Wenn Sie ein Dienstkonto für den vorübergehend erhöhten Zugriff einrichten möchten, erstellen Sie das Dienstkonto und weisen Sie ihm die Rollen zu, die Sie vorübergehend einem Nutzer zuweisen möchten. Wenn Sie Ablehnungsrichtlinien verwenden, sollten Sie eventuell das Dienstkonto von allen relevanten Ablehnungsregeln ausnehmen, um unerwartete Ablehnungen zu vermeiden.
Nachdem Sie das Dienstkonto eingerichtet haben, können Sie Nutzern vorübergehend erhöhte Berechtigungen gewähren, indem Sie ihnen erlauben, die Identität des Dienstkontos zu übernehmen. Es gibt mehrere Möglichkeiten, Nutzern die Identität von Dienstkonten zu ermöglichen:
Weisen Sie Nutzern eine Rolle zu, mit der sie kurzlebige Anmeldedaten für das Dienstkonto erstellen können. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
Weisen Sie die Rolle „Ersteller des OpenID Connect-Identitätstokens für das Dienstkonto“ (
roles/iam.serviceAccountOpenIdTokenCreator
) zu, damit der Nutzer kurzlebige OIDC-ID-Tokens (OpenID Connect) für das Dienstkonto erstellen kann.Weisen Sie die Rolle „Ersteller von Dienstkonto-Tokens" (
roles/iam.serviceAccountTokenCreator
) zu, damit der Nutzer die folgenden Arten von Anmeldedaten für Dienstkonten erstellen kann:- OAuth 2.0-Zugriffstokens erstellen, die Sie zur Authentifizierung bei Google APIs verwenden können.
- OIDC-ID-Tokens.
- Signierte JSON-Web-Tokens (JWTs) und binäre Blobs.
Wenn Sie einem Nutzer eine dieser Rollen zuweisen, kann er jederzeit die Identität des Dienstkontos übernehmen, um seinen eigenen Zugriff zu erhöhen. Es ist jedoch weniger wahrscheinlich, dass er versehentlich auf vertrauliche Ressourcen zugreift oder diese ändert.
Informationen zum Übernehmen der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos verwenden.
Erstellen Sie einen Token-Broker-Dienst, der Nutzern kurzlebige Anmeldedaten für das Dienstkonto bereitstellt, nachdem sie sich authentifiziert und eine Begründung angegeben haben. Nutzer können dann mit den kurzlebigen Anmeldedaten die Identität des Dienstkontos übernehmen.
Mit dieser Methode können Sie festlegen, wann Nutzer die Identität des Dienstkontos übernehmen dürfen.
Informationen zum Erstellen kurzlebiger Anmeldedaten finden Sie unter Kurzlebige Anmeldedaten für ein Dienstkonto erstellen.
Weitere Informationen zur Übernahme der Identität von Dienstkonten finden Sie unter Identitätsübernahme des Dienstkontos.
Nächste Schritte
- Richten Sie Privileged Access Manager für den vorübergehenden erhöhten Zugriff ein.
- Mit IAM-Bedingungen können Sie einem Hauptkonto vorübergehenden Zugriff gewähren.
- Kurzlebige Anmeldedaten manuell erstellen, um die Identität eines Dienstkontos zu übernehmen.