Un modo per proteggere le risorse sensibili è limitarne l'accesso. Tuttavia, limitare l'accesso alle risorse sensibili crea anche problemi per chiunque debba accedere occasionalmente a queste risorse. Ad esempio, un utente potrebbe dover accedere in caso di emergenza a risorse sensibili per risolvere un incidente.
In questi casi, ti consigliamo di concedere all'utente l'autorizzazione ad accedere temporaneamente alla risorsa. Per migliorare il controllo, ti consigliamo inoltre di registrare la motivazione dell'utente per accedere alla risorsa.
In Trusted Cloud by S3NS, esistono diversi modi per gestire questo tipo di accesso con privilegi temporanei.
Condizioni IAM
Puoi utilizzare le condizioni IAM per concedere agli utenti l'accesso con scadenza alle risorseTrusted Cloud . Per ulteriori informazioni, consulta Configurare l'accesso temporário.
Se vuoi registrare le giustificazioni dell'utente per accedere a risorse sensibili, devi definire le tue procedure e i tuoi strumenti operativi.
Le associazioni di ruoli scadute non vengono rimosse automaticamente dai criteri di autorizzazione. Per assicurarti che i tuoi criteri di autorizzazione non superino le dimensioni massime per i criteri di autorizzazione, ti consigliamo di rimuovere periodicamente le associazioni di ruolo scadute.
Le policy di rifiuto non supportano le condizioni basate sul tempo. Di conseguenza, non puoi utilizzare le condizioni nei criteri di rifiuto per esentare temporaneamente un utente da una regola di rifiuto.
Rappresentazione dell'identità dell'account di servizio
Quando un'entità autenticata, ad esempio un utente o un altro account di servizio, si autentica come account di servizio per ottenere le autorizzazioni dell'account di servizio, si parla di sostituzione di identità dell'account di servizio. L'impersonificazione di un account di servizio consente a un'entità autenticata di accedere a qualsiasi elemento a cui può accedere l'account di servizio. Solo le entità autenticate con le autorizzazioni appropriate possono eseguire l'impersonificazione dei service account.
Per configurare un account di servizio per l'accesso elevato temporaneo, crea l'account di servizio, quindi concedi i ruoli che vuoi assegnare temporaneamente a un utente. Se utilizzi le norme di rifiuto, valuta anche la possibilità di aggiungere l'account di servizio esente da eventuali regole di rifiuto pertinenti per evitare rifiuti imprevisti.
Dopo aver configurato l'account di servizio, puoi concedere agli utenti un accesso temporaneo con privilegi elevati consentendo loro di simulare l'identità dell'account di servizio. Esistono diversi modi per consentire agli utenti di appropriarsi di un account di servizio:
Concedi agli utenti un ruolo che consenta loro di creare credenziali di breve durata per l'account di servizio. Gli utenti possono quindi utilizzare le credenziali di breve durata per rubare l'identità dell'account di servizio.
Concedi il ruolo Creatore token di identità OpenID Connect per account di servizio (
roles/iam.serviceAccountOpenIdTokenCreator
) per consentire all'utente di creare token ID OpenID Connect (OIDC) di breve durata per l'account di servizio.Concedi il ruolo Creatore token account di servizio (
roles/iam.serviceAccountTokenCreator
) per consentire all'utente di creare i seguenti tipi di credenziali dell'account di servizio:- Token di accesso OAuth 2.0, che puoi utilizzare per autenticarti con le API di Google
- Token ID OIDC
- Token web JSON (JWT) firmati e blob binari
Se concedi a un utente uno di questi ruoli, l'utente può simulare l'identità dell'account di servizio in qualsiasi momento per elevare il proprio accesso. Tuttavia, è meno probabile che accedano o modifichino involontariamente risorse sensibili.
Per scoprire come rubare l'identità degli account di servizio, consulta Utilizzare l'impersonificazione degli account di servizio.
Crea un servizio di broker di token che fornisca agli utenti credenziali di breve durata per l'account di servizio dopo che si sono autenticati e hanno fornito una giustificazione. Gli utenti possono quindi utilizzare le credenziali di breve durata per rubare l'identità dell'account di servizio.
Con questo metodo, puoi decidere quando consentire agli utenti di rubare l'identità dell'account del servizio.
Per scoprire come generare credenziali di breve durata, consulta Creare credenziali di breve durata per un account di servizio.
Per scoprire di più sull'impersonificazione degli account di servizio, consulta Impersonificazione dell'account di servizio.
Passaggi successivi
- Configura Privileged Access Manager per l'accesso temporaneo con privilegi elevati.
- Utilizza le condizioni IAM per concedere l'accesso temporaneo a un'entità.
- Crea manualmente credenziali di breve durata per impersonare un account di servizio.