Prácticas recomendadas para Privileged Access Manager

En este documento, se describen las prácticas recomendadas para usar Privileged Access Manager y controlar la elevación temporal de privilegios justo a tiempo con Identity and Access Management (IAM).

Administra el tamaño de la política de IAM

Privileged Access Manager otorga acceso por tiempo limitado agregando una vinculación condicional de rol de IAM a la política de un recurso. Cada concesión activa del Administrador de acceso con privilegios consume espacio y se incluye en los límites de tamaño de tu política de IAM estándar. Para obtener más información, consulta Cuotas y límites de IAM.

Si la política de IAM de un recurso alcanza su tamaño máximo, fallarán las nuevas solicitudes de concesión del Administrador de acceso privilegiado para ese recurso hasta que liberes espacio en la política.

Si te acercas al límite de tamaño de la política de IAM o lo alcanzaste, puedes hacer lo siguiente:

• Revoca los otorgamientos existentes
• Optimiza la configuración de Privileged Access Manager

Revoca los otorgamientos existentes

Revoca los otorgamientos activos de Privileged Access Manager que ya no sean necesarios para quitar su vinculación de IAM correspondiente de la política y liberar espacio. Para obtener instrucciones, consulta Cómo revocar permisos.

Optimiza la configuración de Privileged Access Manager

Para optimizar tus derechos de Privileged Access Manager y reducir el espacio que cada concesión consume en una política de IAM, haz lo siguiente:

1. Consolida los roles dentro de los derechos:

   1. Consolida varios roles predefinidos en menos roles personalizados para reducir el espacio que ocupan.
   2. Usa un solo rol más amplio, por ejemplo, roles/reader en lugar de varios roles de lector específicos del servicio.
   3. Quita los roles redundantes y los permisos superpuestos. Por ejemplo, si todos los permisos en Role A también están en Role B, quita Role A del derecho.

2. Reduce la cantidad y la complejidad de las condiciones de IAM:

   1. Si usas una lista de varios nombres de recursos en las condiciones OR, considera usar una condición de etiqueta en su lugar.
   2. En el caso de los permisos que usan la personalización del alcance, no utilices filtros basados en nombres de recursos.

3. Otorga acceso con el permiso mínimo requerido.

   De acuerdo con el principio de privilegio mínimo, configura los derechos de Privileged Access Manager para otorgar acceso con el alcance más limitado posible. Por ejemplo, si un usuario solo necesita acceso a un bucket de Cloud Storage en un proyecto, otórgale acceso a ese bucket en lugar de a todo el proyecto, la carpeta o la organización.

¿Qué sigue?

• Obtén más información sobre las cuotas y los límites de IAM.
• Obtén más información sobre los roles personalizados.
• Obtén más información para usar etiquetas para el control de acceso.