Prácticas recomendadas para Privileged Access Manager

En este documento se describen las prácticas recomendadas para usar Privileged Access Manager con el fin de controlar la elevación de privilegios temporal y just-in-time con Gestión de Identidades y Accesos (IAM).

Gestionar el tamaño de las políticas de gestión de identidades y accesos

Privileged Access Manager concede acceso temporal añadiendo una vinculación de rol de gestión de identidades y accesos condicional a la política de un recurso. Cada concesión activa de Gestor de acceso privilegiado ocupa espacio y se tiene en cuenta para calcular los límites de tamaño de las políticas de gestión de identidades y accesos estándar. Para obtener más información, consulta Cuotas y límites de IAM.

Si la política de gestión de identidades y accesos de un recurso alcanza su tamaño máximo, las nuevas solicitudes de concesión de Privileged Access Manager para ese recurso fallarán hasta que libere espacio en la política.

Si te acercas al límite de tamaño de la política de gestión de identidades y accesos o lo has alcanzado, puedes hacer lo siguiente:

• Revocar las concesiones actuales
• Optimizar la configuración de Privileged Access Manager

Revocar las concesiones actuales

Revoca las concesiones activas de Gestor de acceso privilegiado que ya no sean necesarias para eliminar su enlace de gestión de identidades y accesos correspondiente de la política y liberar espacio. Para ver las instrucciones, consulta Revocar permisos.

Optimizar la configuración de Privileged Access Manager

Para optimizar tus derechos de Privileged Access Manager y reducir el espacio que ocupa cada concesión en una política de gestión de identidades y accesos, haz lo siguiente:

1. Consolidar roles en los derechos:

   1. Consolida varios roles predefinidos en menos roles personalizados para reducir el espacio consumido.
   2. Usa un rol más general, como roles/reader, en lugar de varios roles de lector específicos de un servicio.
   3. Elimina los roles redundantes y los permisos superpuestos. Por ejemplo, si todos los permisos de Role A también están en Role B, quita Role A del derecho.

2. Reduce el número y la complejidad de las condiciones de IAM:

   1. Si usas una lista de varios nombres de recursos en condiciones OR, te recomendamos que utilices una condición de etiqueta.
   2. En el caso de las concesiones que usan la personalización del ámbito, no utilices filtros basados en nombres de recursos.

3. Concede acceso con el permiso mínimo necesario.

   De acuerdo con el principio de mínimos accesos, configura los derechos de Privileged Access Manager para conceder acceso con el ámbito más limitado posible. Por ejemplo, si un usuario solo necesita acceder a un segmento de Cloud Storage de un proyecto, concédele acceso a ese segmento en lugar de a todo el proyecto, la carpeta o la organización.

Siguientes pasos

• Consulta más información sobre las cuotas y los límites de IAM.
• Más información sobre las funciones personalizadas
• Consulta cómo usar etiquetas para controlar el acceso.