Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Vista geral do acesso elevado temporário

Uma forma de proteger os recursos confidenciais é limitar o acesso aos mesmos. No entanto, a limitação do acesso a recursos confidenciais também cria atrito para qualquer pessoa que precise de aceder ocasionalmente a esses recursos. Por exemplo, um utilizador pode precisar de acesso de emergência a recursos confidenciais para resolver um incidente.

Nestas situações, recomendamos que conceda ao utilizador autorização para aceder temporariamente ao recurso. Também recomendamos que, para melhorar a auditoria, registe a justificação do utilizador para aceder ao recurso.

No Trusted Cloud by S3NS, existem várias formas de gerir este tipo de acesso elevado temporário.

Condições do IAM

Pode usar as condições do IAM para conceder aos utilizadores acesso com validade a Trusted Cloud recursos. Para mais informações, consulte o artigo Configure o acesso temporário.

Se quiser registar as justificações do utilizador para aceder a recursos confidenciais, tem de definir os seus próprios processos operacionais e ferramentas.

As associações de funções expiradas não são removidas automaticamente das suas políticas de autorização. Para garantir que as políticas de permissão não excedem o tamanho máximo para políticas de permissão, recomendamos que remova periodicamente as associações de funções expiradas.

As políticas de recusa não suportam condições baseadas no tempo. Como resultado, não pode usar condições em políticas de recusa para isentar temporariamente um utilizador de uma regra de recusa.

Simulação de identidade de conta de serviço

Quando um principal autenticado, como um utilizador ou outra conta de serviço, se autentica como uma conta de serviço para obter as autorizações da conta de serviço, chama-se roubar a identidade da conta de serviço. A utilização da identidade de uma conta de serviço permite que um principal autenticado aceda a tudo o que a conta de serviço pode aceder. Apenas os principais autenticados com as autorizações adequadas podem fazer-se passar por contas de serviço.

Para configurar uma conta de serviço para acesso elevado temporário, crie a conta de serviço e, de seguida, conceda-lhe as funções que quer dar temporariamente a um utilizador. Se usar políticas de recusa, também deve considerar adicionar a conta de serviço isenta de quaisquer regras de recusa relevantes para evitar recusas inesperadas.

Depois de configurar a conta de serviço, pode conceder aos utilizadores acesso elevado temporário, permitindo-lhes roubar a identidade da conta de serviço. Existem várias formas de permitir que os utilizadores se façam passar por contas de serviço:

Conceda aos utilizadores uma função que lhes permita criar credenciais de curta duração para a conta de serviço. Em seguida, os utilizadores podem usar as credenciais de curta duração para se fazerem passar pela conta de serviço.
- Conceda a função criador de tokens de identidade do OpenID Connect da conta de serviço (roles/iam.serviceAccountOpenIdTokenCreator) para permitir que o utilizador crie tokens de ID do OpenID Connect (OIDC) de curta duração para a conta de serviço.
- Conceda a função criador de tokens de contas de serviço (roles/iam.serviceAccountTokenCreator) para permitir que o utilizador crie os seguintes tipos de credenciais de contas de serviço:
  - Chaves de acesso OAuth 2.0, que pode usar para autenticar com as APIs Google
  - Tokens de ID OIDC
  - Símbolos da Web JSON (JWTs) assinados e blobs binários
Se conceder a um utilizador uma destas funções, este pode roubar a identidade da conta de serviço em qualquer altura para elevar o seu próprio acesso. No entanto, é menos provável que acedam ou modifiquem recursos confidenciais de forma não intencional.

Para saber como usar a identidade de contas de serviço, consulte o artigo Use a identidade de contas de serviço.
Crie um serviço de agente de tokens que dê aos utilizadores credenciais de curta duração para a conta de serviço depois de se autenticarem e apresentarem uma justificação. Em seguida, os utilizadores podem usar as credenciais de curta duração para se fazerem passar pela conta de serviço.

Com este método, pode decidir quando permitir que os utilizadores se façam passar pela conta de serviço.

Para saber como gerar credenciais de curta duração, consulte o artigo Crie credenciais de curta duração para uma conta de serviço.

Para saber mais sobre a simulação da conta de serviço, consulte o artigo Simulação da conta de serviço.

O que se segue?

Configure o Gestor de acesso privilegiado para acesso elevado temporário.
Use as condições do IAM para conceder acesso temporário a um principal.
Crie manualmente credenciais de curta duração para usar a identidade de uma conta de serviço.