במאמר הזה מוסברות שיטות מומלצות לשימוש ב-Privileged Access Manager כדי לשלוט בהעלאת רמת הרשאה זמנית בדיוק בזמן באמצעות ניהול זהויות והרשאות גישה (IAM).
ניהול הגודל של מדיניות IAM
הכלי Privileged Access Manager מעניק גישה מוגבלת בזמן על ידי הוספה של קישור תפקיד מותנה ב-IAM למדיניות של משאב. כל הרשאת גישה פעילה ב-Privileged Access Manager תופסת מקום ונכללת במגבלות הגודל הרגילות של מדיניות IAM. מידע נוסף זמין במאמר מכסות ומגבלות ב-IAM.
אם מדיניות ה-IAM של משאב מגיעה לגודל המקסימלי, בקשות חדשות למתן הרשאות ב-Privileged Access Manager עבור המשאב הזה ייכשלו עד שתפנו מקום במדיניות.
אם אתם מתקרבים למגבלת הגודל של מדיניות IAM או הגעתם אליה, אתם יכולים:
ביטול הרשאות קיימות
ביטול הרשאות פעילות של Privileged Access Manager שכבר לא נחוצות, כדי להסיר את הקישור המתאים שלהן ל-IAM מהמדיניות ולפנות מקום. הוראות מפורטות מופיעות במאמר ביטול הרשאות.
אופטימיזציה של ההגדרה של Privileged Access Manager
כדי לבצע אופטימיזציה של ההרשאות ב-Privileged Access Manager ולצמצם את המקום שכל הרשאה תופסת במדיניות IAM, צריך לבצע את הפעולות הבאות:
איחוד תפקידים בהרשאות:
- כדי לצמצם את הנפח שנדרש, אפשר לאחד כמה תפקידים מוגדרים מראש לכמה תפקידים בהתאמה אישית.
- משתמשים בתפקיד אחד עם הרשאות רחבות יותר – לדוגמה,
roles/readerבמקום בכמה תפקידי קריאה ספציפיים לשירות. - הסרת תפקידים מיותרים והרשאות חופפות. לדוגמה, אם כל ההרשאות ב-
Role Aנמצאות גם ב-Role B, צריך להסיר אתRole Aמההרשאה.
צריך לצמצם את מספר התנאים בפלטפורמה לניהול הזהויות והרשאות הגישה ואת המורכבות שלהם:
- אם אתם משתמשים ברשימה של כמה שמות משאבים ב
ORתנאים, כדאי להשתמש במקום זאת בתנאי תג. - כשמשתמשים בהענקות עם התאמה אישית של ההיקף, לא מומלץ להשתמש במסננים שמבוססים על שמות משאבים.
- אם אתם משתמשים ברשימה של כמה שמות משאבים ב
הענקת גישה בהיקף המינימלי הנדרש.
כדי להעניק גישה בהיקף המצומצם ביותר האפשרי, צריך להגדיר הרשאות ב-Privileged Access Manager בהתאם לעיקרון של הרשאות מינימליות. לדוגמה, אם משתמש צריך גישה רק לקטגוריה אחת של Cloud Storage בפרויקט, צריך לתת לו גישה לקטגוריה הזו במקום לכל הפרויקט, התיקייה או הארגון.