Bonnes pratiques pour Privileged Access Manager

Ce document décrit les bonnes pratiques pour utiliser Privileged Access Manager afin de contrôler l'élévation temporaire des privilèges juste-à-temps avec Identity and Access Management (IAM).

Gérer la taille des stratégies IAM

Privileged Access Manager accorde un accès limité dans le temps en ajoutant une liaison de rôle IAM conditionnelle à la stratégie d'une ressource. Chaque autorisation active du Gestionnaire d'accès privilégié consomme de l'espace et est prise en compte dans les limites de taille standards de votre stratégie IAM. Pour en savoir plus, consultez Quotas et limites d'IAM.

Si la taille de la stratégie IAM d'une ressource atteint sa limite maximale, les nouvelles demandes d'autorisation Privileged Access Manager pour cette ressource échouent jusqu'à ce que vous libériez de l'espace dans la stratégie.

Si vous approchez de la limite de taille des stratégies IAM ou si vous l'avez atteinte, vous pouvez procéder comme suit :

Révoquer les autorisations existantes

Révoquez les autorisations Privileged Access Manager actives qui ne sont plus nécessaires pour supprimer la liaison IAM correspondante de la règle et libérer de l'espace. Pour obtenir des instructions, consultez Révoquer des autorisations.

Optimiser la configuration de Privileged Access Manager

Pour optimiser vos droits Privileged Access Manager et réduire l'espace que chaque autorisation consomme dans une stratégie IAM, procédez comme suit :

  1. Consolidez les rôles dans les droits d'accès :

    1. Regroupez plusieurs rôles prédéfinis en un nombre réduit de rôles personnalisés pour réduire l'espace consommé.
    2. Utilisez un seul rôle plus général (par exemple, roles/reader) au lieu de plusieurs rôles de lecteur spécifiques à un service.
    3. Supprimez les rôles redondants et les autorisations qui se chevauchent. Par exemple, si toutes les autorisations de Role A sont également présentes dans Role B, supprimez Role A du droit d'accès.

  2. Réduisez le nombre et la complexité des conditions IAM :

    1. Si vous utilisez une liste de plusieurs noms de ressources dans les conditions OR, envisagez d'utiliser une condition de tag à la place.
    2. Pour les autorisations utilisant la personnalisation du champ d'application, n'utilisez pas de filtres basés sur les noms de ressources.

  3. Accordez l'accès au champ d'application minimal requis.

    Conformément au principe du moindre privilège, configurez les droits d'accès de Privileged Access Manager pour accorder l'accès au niveau le plus précis possible. Par exemple, si un utilisateur n'a besoin d'accéder qu'à un seul bucket Cloud Storage dans un projet, accordez-lui l'accès à ce bucket plutôt qu'à l'ensemble du projet, du dossier ou de l'organisation.

Étapes suivantes