יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

סקירה כללית על גישה זמנית עם הרשאות גבוהות

אחת הדרכים להגן על משאבים רגישים היא להגביל את הגישה אליהם. עם זאת, הגבלת הגישה למשאבים רגישים יוצרת גם חיכוך לכל מי שצריך מדי פעם לגשת למשאבים האלה. לדוגמה, יכול להיות שמשתמש יצטרך גישה מסוג break-glass, או גישת חירום, למשאבים רגישים כדי לפתור אירוע.

במקרים כאלה, מומלץ לתת למשתמש הרשאה לגשת למשאב באופן זמני. כדי לשפר את הביקורת, מומלץ גם לתעד את ההצדקה של המשתמש לגישה למשאב.

ב- Cloud de Confiance by S3NS, יש כמה דרכים לנהל גישה זמנית מורחבת מהסוג הזה.

תנאים לניהול הזהויות והרשאות הגישה

אפשר להשתמש בתנאים של IAM כדי להעניק למשתמשים גישה למשאביCloud de Confiance שתוקפה יפוג. מידע נוסף מופיע במאמר בנושא הגדרת גישה זמנית.

אם רוצים לתעד את ההצדקות של המשתמש לגישה למשאבים רגישים, צריך להגדיר תהליכים תפעוליים וכלים משלכם.

קישורים בין תפקידים שתוקפם פג לא מוסרים אוטומטית ממדיניות ההרשאות. כדי לוודא שמדיניות ההרשאות לא חורגת מהגודל המקסימלי של מדיניות הרשאות, מומלץ להסיר מדי פעם קישורים בין תפקידים שתוקפם פג.

כללי מדיניות הדחייה לא תומכים בתנאים שמבוססים על זמן. לכן, אי אפשר להשתמש בתנאים במדיניות דחייה כדי להחריג משתמש באופן זמני מכלל דחייה.

התחזות לחשבון שירות

המצב שבו חשבון משתמש מאומת, כמו משתמש או חשבון שירות אחר, מבצע אימות כחשבון שירות כדי לקבל את ההרשאות של חשבון השירות, נקרא התחזות לחשבון השירות. התחזות לחשבון שירות מאפשרת לחשבון משתמש מאומת לגשת לכל מה שחשבון השירות יכול לגשת אליו. רק חשבונות משתמשים מאומתים עם ההרשאות המתאימות יכולים להתחזות לחשבונות שירות.

כדי להגדיר חשבון שירות לגישה זמנית ברמה גבוהה יותר, יוצרים את חשבון השירות, ואז מקצים לו את התפקידים שרוצים להעניק למשתמש באופן זמני. אם אתם משתמשים במדיניות של דחייה, כדאי גם להוסיף את חשבון השירות כפטור מכל כללי הדחייה הרלוונטיים כדי להימנע מדחיות לא צפויות.

אחרי שמגדירים את חשבון השירות, אפשר לתת למשתמשים הרשאות גישה זמניות מורחבות על ידי מתן אפשרות להתחזות לחשבון השירות. יש כמה דרכים לאפשר למשתמשים להתחזות לחשבונות שירות:

נותנים למשתמשים תפקיד שמאפשר להם ליצור פרטי כניסה לטווח קצר לחשבון השירות. לאחר מכן, המשתמשים יכולים להשתמש בפרטי הכניסה לטווח הקצר כדי להתחזות לחשבון השירות.
- כדי לאפשר למשתמש ליצור אסימונים מזהים מסוג OpenID Connect ‏(OIDC) לטווח קצר עבור חשבון השירות, צריך להקצות לו את התפקיד 'יצירת אסימונים מזהים מסוג OpenID Connect בחשבון שירות' (roles/iam.serviceAccountOpenIdTokenCreator).
- מקצים את התפקיד 'יצירת אסימונים בחשבון שירות' (roles/iam.serviceAccountTokenCreator) כדי לאפשר למשתמש ליצור את הסוגים הבאים של פרטי כניסה לחשבון שירות:
  - אסימוני גישה מסוג OAuth 2.0, שבהם ניתן להשתמש כדי לבצע אימות באמצעות ממשקי ה-API של Google
  - אסימונים מזהים של OIDC
  - אסימוני JWT (‏JSON Web Tokens) ו-blobs בינאריים
אם מקצים למשתמש אחד מהתפקידים האלה, הוא יכול להתחזות לחשבון השירות בכל שלב כדי להרחיב את הגישה שלו. עם זאת, הסיכוי שהם יגשו למשאבים רגישים או ישנו אותם בטעות נמוך יותר.

במאמר שימוש בהתחזות לחשבון שירות מוסבר איך מתחזים לחשבונות שירות.
יוצרים שירות מתווך אסימונים שמספק למשתמשים פרטי כניסה לטווח קצר לחשבון השירות אחרי שהם מבצעים אימות ומספקים הצדקה. לאחר מכן, המשתמשים יכולים להשתמש בפרטי הכניסה לטווח הקצר כדי להתחזות לחשבון השירות.

בשיטה הזו, אתם יכולים להחליט מתי לאפשר למשתמשים להתחזות לחשבון השירות.

במאמר יצירת פרטי כניסה לטווח קצר לחשבון שירות מוסבר איך ליצור פרטי כניסה לטווח קצר.

מידע נוסף על התחזות לחשבון שירות זמין במאמר התחזות לחשבון שירות.

המאמרים הבאים

הגדרת Privileged Access Manager לגישה זמנית עם הרשאות גבוהות.
משתמשים בתנאי IAM כדי להעניק גישה זמנית לחשבון משתמש.
יצירה ידנית של פרטי כניסה לטווח קצר לצורך התחזות לחשבון שירות.