Praktik terbaik untuk Privileged Access Manager

Dokumen ini menjelaskan praktik terbaik dalam menggunakan Privileged Access Manager untuk mengontrol peningkatan hak istimewa sementara tepat waktu dengan Identity and Access Management (IAM).

Mengelola ukuran kebijakan IAM

Privileged Access Manager memberikan akses dengan batasan waktu dengan menambahkan binding peran IAM bersyarat ke kebijakan resource. Setiap pemberian Privileged Access Manager yang aktif menggunakan ruang dan dihitung dalam batas ukuran kebijakan IAM standar Anda. Untuk mengetahui informasi selengkapnya, lihat kuota dan batas IAM.

Jika kebijakan IAM resource mencapai ukuran maksimumnya, permintaan pemberian Privileged Access Manager baru untuk resource tersebut akan gagal hingga Anda mengosongkan ruang dalam kebijakan.

Jika Anda mendekati atau telah mencapai batas ukuran kebijakan IAM, Anda dapat melakukan hal berikut:

• Mencabut pemberian akses yang ada
• Mengoptimalkan penyiapan Privileged Access Manager

Mencabut pemberian yang ada

Mencabut pemberian Privileged Access Manager aktif yang tidak lagi diperlukan untuk menghapus binding IAM yang sesuai dari kebijakan dan mengosongkan ruang. Untuk mengetahui petunjuknya, lihat Mencabut pemberian.

Mengoptimalkan penyiapan Privileged Access Manager

Untuk mengoptimalkan hak Privileged Access Manager dan mengurangi ruang yang digunakan setiap pemberian dalam kebijakan IAM, lakukan hal berikut:

1. Menggabungkan peran dalam hak:

   1. Gabungkan beberapa peran bawaan menjadi lebih sedikit peran khusus untuk mengurangi ruang yang digunakan.
   2. Gunakan satu peran yang lebih luas—misalnya, roles/reader, bukan beberapa peran pembaca khusus layanan.
   3. Hapus peran yang berlebihan dan izin yang tumpang-tindih. Misalnya, jika semua izin di Role A juga ada di Role B, hapus Role A dari hak.

2. Kurangi jumlah dan kompleksitas kondisi IAM:

   1. Jika Anda menggunakan daftar beberapa nama resource dalam kondisi OR, sebaiknya gunakan kondisi tag.
   2. Untuk pemberian menggunakan penyesuaian cakupan, jangan gunakan filter berbasis nama resource.

3. Berikan akses pada cakupan minimum yang diperlukan.

   Dengan mengikuti prinsip hak istimewa terendah, siapkan hak Privileged Access Manager untuk memberikan akses pada cakupan sesempit mungkin. Misalnya, jika pengguna hanya memerlukan akses ke satu bucket Cloud Storage dalam suatu project, berikan akses ke bucket tersebut, bukan ke seluruh project, folder, atau organisasi.

Langkah berikutnya

• Pelajari kuota dan batas IAM lebih lanjut.
• Pelajari peran khusus lebih lanjut.
• Pelajari cara menggunakan tag untuk kontrol akses.