Una forma de proteger los recursos sensibles es limitar el acceso a ellos. Sin embargo, limitar el acceso a recursos sensibles también genera fricción para cualquier persona que necesite acceder a esos recursos de vez en cuando. Por ejemplo, un usuario puede necesitar acceso de emergencia a recursos sensibles para resolver un incidente.
En estas situaciones, te recomendamos que concedas al usuario permiso para acceder al recurso de forma temporal. También te recomendamos que, para mejorar la auditoría, registres la justificación del usuario para acceder al recurso.
En Trusted Cloud by S3NS, hay varias formas de gestionar este tipo de acceso elevado temporal.
Condiciones de gestión de identidades y accesos
Puedes usar las condiciones de IAM para conceder a los usuarios acceso temporal a losTrusted Cloud recursos. Para obtener más información, consulta Configurar acceso temporal.
Si quieres registrar las justificaciones de los usuarios para acceder a recursos sensibles, debes definir tus propios procesos operativos y herramientas.
Los enlaces de roles caducados no se eliminan automáticamente de tus políticas de permiso. Para asegurarte de que tus políticas de permiso no superen el tamaño máximo, te recomendamos que elimines periódicamente las vinculaciones de roles caducadas.
Las políticas de denegación no admiten condiciones basadas en el tiempo. Por lo tanto, no puedes usar condiciones en las políticas de denegación para eximir temporalmente a un usuario de una regla de denegación.
Suplantación de identidad de cuentas de servicio
Cuando un principal autenticado, como un usuario u otra cuenta de servicio, se autentica como una cuenta de servicio para obtener sus permisos, se denomina suplantación de identidad de la cuenta de servicio. Al usar la identidad de una cuenta de servicio, un principal autenticado puede acceder a todo lo que pueda acceder la cuenta de servicio. Solo las entidades autenticadas con los permisos adecuados pueden suplantar cuentas de servicio.
Para configurar una cuenta de servicio con acceso elevado temporal, crea la cuenta de servicio y, a continuación, concédele los roles que quieras asignar temporalmente a un usuario. Si usas políticas de denegación, también te recomendamos que añadas la cuenta de servicio exenta de las reglas de denegación pertinentes para evitar denegaciones inesperadas.
Una vez que hayas configurado la cuenta de servicio, puedes conceder a los usuarios acceso elevado temporal permitiéndoles suplantar la identidad de la cuenta de servicio. Hay varias formas de permitir que los usuarios suplanten la identidad de cuentas de servicio:
Asigna a los usuarios un rol que les permita crear credenciales de duración reducida para la cuenta de servicio. Los usuarios pueden usar las credenciales de corta duración para suplantar la identidad de la cuenta de servicio.
Asigna el rol Creador de tokens de identidad OpenID Connect de cuenta de servicio (
roles/iam.serviceAccountOpenIdTokenCreator) para permitir que el usuario cree tokens de identidad OpenID Connect (OIDC) de corta duración para la cuenta de servicio.Asigna el rol Creador de tokens de cuenta de servicio (
roles/iam.serviceAccountTokenCreator) para permitir que el usuario cree los siguientes tipos de credenciales de cuenta de servicio:- Tokens de acceso OAuth 2.0, que puedes usar para autenticarte en las APIs de Google
- Tokens de ID de OIDC
- JSON Web Tokens (JWTs) y blobs binarios firmados
Si asignas a un usuario uno de estos roles, podrá suplantar la identidad de la cuenta de servicio en cualquier momento para aumentar su propio acceso. Sin embargo, es menos probable que accedan o modifiquen recursos sensibles por error.
Para saber cómo suplantar la identidad de cuentas de servicio, consulta Usar la suplantación de identidad de cuentas de servicio.
Crea un servicio de intermediación de tokens que proporcione a los usuarios credenciales de duración reducida para la cuenta de servicio después de que se autentiquen y proporcionen una justificación. Los usuarios pueden usar las credenciales de corta duración para suplantar la identidad de la cuenta de servicio.
Con este método, puedes decidir cuándo permitir que los usuarios suplanten la identidad de la cuenta de servicio.
Para saber cómo generar credenciales de corta duración, consulta Crear credenciales de corta duración para una cuenta de servicio.
Para obtener más información sobre la suplantación de identidad de cuentas de servicio, consulta el artículo Suplantación de identidad de cuentas de servicio.
Siguientes pasos
- Configura Privileged Access Manager para acceso elevado temporal.
- Usa las condiciones de gestión de identidades y accesos para conceder acceso temporal a una principal.
- Crea credenciales de corta duración manualmente para suplantar una cuenta de servicio.