Uma forma de proteger recursos confidenciais é limitar o acesso a eles. No entanto, limitar o acesso a recursos confidenciais também cria atrito para qualquer pessoa que às vezes precise acessar esses recursos. Por exemplo, um usuário pode precisar de acesso imediato ou emergencial a recursos confidenciais para resolver um incidente.
Nessas situações, recomendamos conceder ao usuário permissão para acessar o recurso temporariamente. Também recomendamos que, para melhorar a auditoria, você registre a justificativa do usuário para acessar o recurso.
No Trusted Cloud by S3NS, há várias maneiras de gerenciar esse tipo de acesso elevado temporário.
Condições do IAM
É possível usar as Condições do IAM para conceder aos usuários acesso temporário aos recursosTrusted Cloud . Para mais informações, consulte Configurar o acesso temporário.
Se quiser registrar as justificativas do usuário para acessar recursos confidenciais, defina seus próprios processos operacionais e ferramentas.
As vinculações de papéis expiradas não são removidas automaticamente das políticas de permissão. Para garantir que as políticas de permissão não excedam o tamanho máximo delas, recomendamos remover periodicamente as vinculações de papéis expiradas.
As políticas de negação não são compatíveis com condições baseadas em tempo. Por isso, não é possível usar condições em políticas de negação para isentar temporariamente um usuário de uma regra de negação.
Representação da conta de serviço:
Quando um principal autenticado, como um usuário ou outra conta de serviço, é autenticado como uma conta de serviço para receber as permissões dela, isso é chamado de representação da conta de serviço. Representar uma conta de serviço permite que um principal autenticado acesse tudo o que ela pode acessar. Somente os principais autenticados com as permissões apropriadas podem representar contas de serviço.
Para configurar uma conta de serviço para acesso elevado temporário, crie a conta de serviço e conceda a ela os papéis que você quer atribuir temporariamente a um usuário. Se você usar políticas de negação, considere também adicionar a conta de serviço isenta de qualquer regra de negação relevante para evitar negações inesperadas.
Depois de configurar a conta de serviço, você pode dar aos usuários acesso elevado temporário permitindo que eles personifiquem a conta de serviço. Há várias maneiras de permitir que os usuários representam contas de serviço:
Conceda aos usuários um papel que permita criar credenciais de curta duração para a conta de serviço. Os usuários podem usar as credenciais de curta duração para representar a conta de serviço.
Conceda o papel de criador do token de identidade do OpenID da conta de serviço (
roles/iam.serviceAccountOpenIdTokenCreator
) para permitir que o usuário crie tokens de ID do OpenID Connect (OIDC) de curta duração para o serviço.Conceda o papel de Criador de token da conta de serviço (
roles/iam.serviceAccountTokenCreator
) para permitir que o usuário crie os seguintes tipos de credenciais da conta de serviço:- Tokens de acesso do OAuth 2.0, que podem ser usados para autenticar com as APIs do Google
- Tokens de ID do OIDC
- JSON Web Tokens (JWTs) e blobs binários assinados
Se você conceder um desses papéis a um usuário, ele poderá representar a conta de serviço a qualquer momento para aumentar o próprio acesso. No entanto, é menos provável que eles acessem ou modifiquem recursos confidenciais acidentalmente.
Para saber como representar contas de serviço, consulte Usar a representação de uma conta de serviço.
Crie um serviço de agente de token que forneça aos usuários credenciais de curta duração para a conta de serviço depois que eles se autenticarem e fornecerem uma justificativa. Os usuários podem usar as credenciais de curta duração para representar a conta de serviço.
Com esse método, é possível decidir quando permitir que os usuários representem a conta de serviço.
Para saber como gerar credenciais de curta duração, consulte Criar credenciais de curta duração para uma conta de serviço.
Para saber mais sobre a representação de uma conta de serviço, consulte Representação da conta de serviço.
A seguir
- Configure o Privileged Access Manager para acesso elevado temporário.
- Use as condições do IAM para conceder acesso temporário a um principal.
- Crie manualmente credenciais de curta duração para representar uma conta de serviço.