Best Practices für Privileged Access Manager

In diesem Dokument werden Best Practices für die Verwendung von Privileged Access Manager zur Steuerung der vorübergehenden Rechteausweitung mit Identity and Access Management (IAM) beschrieben.

IAM-Richtliniengröße verwalten

Privileged Access Manager gewährt zeitlich begrenzten Zugriff, indem der Richtlinie einer Ressource eine bedingte IAM-Rollenbindung hinzugefügt wird. Jede aktive Privileged Access Manager-Gewährung belegt Speicherplatz und wird auf die standardmäßigen IAM-Richtliniengrößenbeschränkungen angerechnet. Weitere Informationen finden Sie unter IAM-Kontingente und ‑Limits.

Wenn die IAM-Richtlinie einer Ressource die maximale Größe erreicht, schlagen neue Anträge für die Gewährung von Privileged Access Manager für diese Ressource fehl, bis Sie Speicherplatz in der Richtlinie freigeben.

Wenn Sie sich dem Größenlimit für IAM-Richtlinien nähern oder es erreicht haben, können Sie Folgendes tun:

• Vorhandene Zugriffserteilungen widerrufen
• Privileged Access Manager-Einrichtung optimieren

Vorhandene Erteilungen widerrufen

Widerrufen Sie aktive Privileged Access Manager-Gewährungen, die nicht mehr benötigt werden, um die entsprechende IAM-Bindung aus der Richtlinie zu entfernen und Speicherplatz freizugeben. Eine Anleitung finden Sie unter Erteilte Berechtigungen widerrufen.

Einrichtung von Privileged Access Manager optimieren

So optimieren Sie Ihre Berechtigungen für den Privileged Access Manager und reduzieren den Speicherplatz, den jede Zuweisung in einer IAM-Richtlinie belegt:

1. Rollen in Berechtigungen zusammenfassen:

   1. Fassen Sie mehrere vordefinierte Rollen in weniger benutzerdefinierten Rollen zusammen, um den belegten Speicherplatz zu reduzieren.
   2. Verwenden Sie eine einzelne, umfassendere Rolle, z. B. roles/reader, anstelle mehrerer dienstspezifischer Leserrollen.
   3. Entfernen Sie redundante Rollen und sich überschneidende Berechtigungen. Wenn beispielsweise alle Berechtigungen in Role A auch in Role B enthalten sind, entfernen Sie Role A aus der Berechtigung.

2. Anzahl und Komplexität von IAM-Bedingungen reduzieren:

   1. Wenn Sie in OR-Bedingungen eine Liste mit mehreren Ressourcennamen verwenden, sollten Sie stattdessen eine Tag-Bedingung verwenden.
   2. Verwenden Sie für Grants mit benutzerdefinierten Bereichen keine filterbasierten Ressourcennamen.

3. Gewähren Sie Zugriff mit dem erforderlichen Mindestbereich.

   Richten Sie gemäß dem Prinzip der geringsten Berechtigung Privileged Access Manager-Berechtigungen ein, um Zugriff mit dem kleinstmöglichen Bereich zu gewähren. Wenn ein Nutzer beispielsweise nur Zugriff auf einen einzelnen Cloud Storage-Bucket in einem Projekt benötigt, gewähren Sie Zugriff auf diesen Bucket anstelle des gesamten Projekts, Ordners oder der gesamten Organisation.

Nächste Schritte

• Weitere Informationen zu IAM-Kontingenten und ‑Limits
• Weitere Informationen zu benutzerdefinierten Rollen
• Informationen zur Verwendung von Tags für die Zugriffssteuerung