Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica dell'accesso elevato temporaneo

Un modo per proteggere le risorse sensibili è limitarne l'accesso. Tuttavia, limitare l'accesso alle risorse sensibili crea anche attrito per chiunque abbia occasionalmente bisogno di accedere a queste risorse. Ad esempio, un utente potrebbe aver bisogno dell'accesso di emergenza alle risorse sensibili per risolvere un incidente.

In queste situazioni, consigliamo di concedere all'utente l'autorizzazione ad accedere temporaneamente alla risorsa. Ti consigliamo inoltre di registrare la motivazione dell'utente per l'accesso alla risorsa per migliorare il controllo.

In Cloud de Confiance by S3NS, esistono diversi modi per gestire questo tipo di accesso temporaneo con privilegi elevati.

Condizioni IAM

Puoi utilizzare le condizioni IAM per concedere agli utenti l'accesso con scadenza alle risorseCloud de Confiance . Per saperne di più, consulta Configurare l'accesso temporaneo.

Se vuoi registrare le motivazioni dell'utente per l'accesso a risorse sensibili, devi definire i tuoi processi operativi e i tuoi strumenti.

Le associazioni di ruoli scadute non vengono rimosse automaticamente dalle policy di autorizzazione. Per assicurarti che le policy di autorizzazione non superino le dimensioni massime per le policy di autorizzazione, ti consigliamo di rimuovere periodicamente i binding dei ruoli scaduti.

Le policy di negazione non supportano le condizioni basate sul tempo. Di conseguenza, non puoi utilizzare le condizioni nelle policy di negazione per esentare temporaneamente un utente da una regola di negazione.

Simulazione dell'identità dei service account

Quando un'entità autenticata, ad esempio un utente o un altro account di servizio, esegue l'autenticazione come account di servizio per ottenere le autorizzazioni del service account, si parla di simulazione dell'identità del account di servizio. La simulazione dell'identità di un account di servizio consente a un'entità autenticata di accedere a tutto ciò a cui può accedere ilaccount di serviziot. Solo le entità autenticate con le autorizzazioni appropriate possono simulare l'identità dei service account.

Per configurare un account di servizio per l'accesso temporaneo con privilegi elevati, crea il service account, quindi concedigli i ruoli che vuoi assegnare temporaneamente a un utente. Se utilizzi norme di negazione, valuta anche la possibilità di aggiungere ilaccount di serviziot esente da eventuali regole di negazione pertinenti per evitare negazioni impreviste.

Dopo aver configurato il account di servizio, puoi concedere agli utenti un accesso temporaneo con privilegi elevati consentendo loro di simulare l'identità del service account. Esistono diversi modi per consentire agli utenti di rappresentare service account:

Concedi agli utenti un ruolo che consenta loro di creare credenziali di breve durata per ilaccount di serviziot. Gli utenti possono quindi utilizzare le credenziali temporanee per simulare l'identità delaccount di serviziot.
- Concedi il ruolo Creatore token di identità OpenID Connect dell'account di servizio (roles/iam.serviceAccountOpenIdTokenCreator) per consentire all'utente di creare token ID OpenID Connect (OIDC) di breve durata per l'account di servizio.
- Concedi il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) per consentire all'utente di creare i seguenti tipi di credenziali dell'account di servizio:
  - Token di accesso OAuth 2.0, che puoi utilizzare per l'autenticazione con le API di Google
  - Token ID OIDC
  - Token web JSON (JWT) firmati e blob binari
Se concedi a un utente uno di questi ruoli, può simulare l'identità del service account in qualsiasi momento per elevare il proprio accesso. Tuttavia, è meno probabile che accedano o modifichino risorse sensibili in modo non intenzionale.

Per scoprire come simulare l'identità dei service account, consulta Utilizza la account di servizio account.
Crea un servizio di broker di token che fornisca agli utenti credenziali di breve durata per ilaccount di serviziot dopo che si sono autenticati e hanno fornito una giustificazione. Gli utenti possono quindi utilizzare le credenziali temporanee per simulare l'identità delaccount di serviziot.

Con questo metodo, puoi decidere quando consentire agli utenti di rappresentare l'account di servizio.

Per scoprire come generare credenziali di breve durata, vedi Creare credenziali di breve durata per un service account.

Per saperne di più sulla simulazione dell'identità dei account di servizio, consulta Simulazione dell'identità dei service account.

Passaggi successivi

Configura Privileged Access Manager per l'accesso temporaneo con privilegi elevati.
Utilizza le condizioni IAM per concedere l'accesso temporaneo a un'entità.
Crea manualmente credenziali di breve durata per impersonare unaccount di serviziot.