保護機密資源的方法之一是限制存取權。不過,限制機密資源的存取權,也會對偶爾需要存取這些資源的人造成不便。舉例來說,使用者可能需要緊急存取敏感資源,才能解決事件。
在這種情況下,建議暫時授予使用者資源存取權。此外,為提升稽核成效,建議您記錄使用者存取資源的理由。
在 Cloud de Confiance by S3NS中,您可以透過多種方式管理這類暫時提升的存取權。
IAM Conditions
您可以使用 IAM Conditions,授予使用者Cloud de Confiance 資源的限期存取權。詳情請參閱「設定臨時存取權」。
如要記錄使用者存取機密資源的理由,您必須自行定義作業程序和工具。
過期的角色繫結不會自動從允許政策中移除。 為確保允許政策不會超過允許政策的大小上限,建議您定期移除過期的角色繫結。
拒絕政策不支援以時間為準的條件。因此,您無法在拒絕政策中使用條件,暫時將使用者排除在拒絕規則的適用範圍外。
服務帳戶模擬
當經過驗證的主體 (例如使用者或其他服務帳戶) 驗證為服務帳戶,以取得服務帳戶的權限時,即為模擬服務帳戶。模擬服務帳戶時,經過驗證的主體可以存取服務帳戶能存取的任何項目。只有經過驗證且具備適當權限的主體,才能模擬服務帳戶。
如要設定服務帳戶以取得暫時提升的存取權,請建立服務帳戶,然後授予您想暫時授予使用者的角色。如果您使用拒絕政策,也請考慮將服務帳戶從任何相關拒絕規則中排除,避免發生非預期的拒絕情況。
設定服務帳戶後,您可以允許使用者模擬服務帳戶,暫時授予他們更高的存取權。您可以透過多種方式允許使用者模擬服務帳戶:
授予使用者可為服務帳戶建立短期憑證的角色。使用者接著就能使用短期憑證模擬服務帳戶。
授予服務帳戶 OpenID Connect 身分識別權杖建立者角色 (
roles/iam.serviceAccountOpenIdTokenCreator),讓使用者為服務帳戶建立短期有效的 OpenID Connect (OIDC) ID 權杖。授予服務帳戶權杖建立者角色 (
roles/iam.serviceAccountTokenCreator),允許使用者建立下列類型的服務帳戶憑證:- OAuth 2.0 存取權杖,可用於向 Google API 進行驗證
- OIDC ID 權杖
- 已簽署的 JSON Web Token (JWT) 和二進位 blob
如果您授予使用者其中一個角色,他們隨時可以模擬服務帳戶身分,藉此提升自己的存取權。不過,他們比較不會無意間存取或修改機密資源。
如要瞭解如何模擬服務帳戶,請參閱「使用服務帳戶模擬功能」。
建立權杖代理服務,在使用者完成驗證並提供理由後,為服務帳戶提供短期憑證。使用者接著就能使用短期憑證模擬服務帳戶。
使用這個方法,您可以決定何時允許使用者模擬服務帳戶。
如要瞭解如何產生短期憑證,請參閱「為服務帳戶建立短期憑證」。
如要進一步瞭解服務帳戶模擬功能,請參閱「服務帳戶模擬功能」。