暫時提升存取權總覽

保護機密資源的方法之一，就是限制存取權。不過，限制機密資源的存取權，也會對偶爾需要存取這些資源的使用者造成不便。舉例來說，使用者可能需要緊急存取敏感資源，才能解決事件。

在這種情況下，建議暫時授予使用者資源存取權。此外，為提升稽核成效，建議您記錄使用者存取資源的理由。

在 Trusted Cloud by S3NS中，您可以透過多種方式管理這類暫時提升的存取權。

IAM Conditions

您可以使用 IAM Conditions，授予使用者Trusted Cloud 資源的存取權，並設定存取權效期。詳情請參閱「設定臨時存取權」。

如要記錄使用者存取機密資源的理由，您必須自行定義作業程序和工具。

過期的角色繫結不會自動從允許政策中移除。為確保允許政策不會超過允許政策的大小上限，建議您定期移除過期的角色繫結。

拒絕政策不支援以時間為準的條件。因此，您無法在拒絕政策中使用條件，暫時免除使用者適用拒絕規則。

當經過驗證的主體 (例如使用者或其他服務帳戶) 驗證為服務帳戶，以取得服務帳戶的權限時，即為模擬服務帳戶。模擬服務帳戶可讓經過驗證的主體存取服務帳戶可存取的任何項目。只有經過驗證且具備適當權限的主體，才能模擬服務帳戶。

如要設定服務帳戶以取得暫時提升的存取權，請建立服務帳戶，然後授予您想暫時授予使用者的角色。如果您使用拒絕政策，也請考慮將服務帳戶從任何相關拒絕規則中排除，避免發生非預期的拒絕情況。

設定服務帳戶後，您可以允許使用者模擬服務帳戶，暫時授予他們更高的存取權。您可以透過多種方式允許使用者模擬服務帳戶：

授予使用者可為服務帳戶建立短期憑證的角色。使用者接著就能使用短期憑證模擬服務帳戶。
- 授予服務帳戶 OpenID Connect 身分識別權杖建立者角色 (roles/iam.serviceAccountOpenIdTokenCreator)，允許使用者為服務帳戶建立短期有效的 OpenID Connect (OIDC) ID 權杖。
- 授予服務帳戶憑證建立者角色 (roles/iam.serviceAccountTokenCreator)，允許使用者建立下列類型的服務帳戶憑證：
  - OAuth 2.0 存取權杖，可用於向 Google API 進行驗證
  - OIDC ID 權杖
  - 已簽署的 JSON Web Token (JWT) 和二進位 blob
如果您授予使用者其中一個角色，他們隨時可以模擬服務帳戶身分，藉此提升自己的存取權。不過，他們比較不會無意間存取或修改機密資源。

如要瞭解如何模擬服務帳戶，請參閱「使用服務帳戶模擬」。
建立權杖代理服務，在使用者完成驗證並提供理由後，為服務帳戶提供短期憑證。使用者接著就能使用短期憑證模擬服務帳戶。

使用這個方法，您可以決定何時允許使用者模擬服務帳戶。

如要瞭解如何產生短期憑證，請參閱「為服務帳戶建立短期憑證」。

如要進一步瞭解服務帳戶模擬功能，請參閱「服務帳戶模擬」一文。