Práticas recomendadas para o Gestor de acessos privilegiados

Este documento descreve as práticas recomendadas para usar o Privileged Access Manager para controlar a elevação de privilégios temporários just-in-time com a gestão de identidade e de acesso (IAM).

Faça a gestão do tamanho da política IAM

O Gestor de acessos privilegiados concede acesso limitado no tempo adicionando uma associação de funções do IAM condicional à política de um recurso. Cada concessão do Gestor de acessos privilegiados ativa consome espaço e conta para os limites de tamanho da política IAM padrão. Para mais informações, consulte Quotas e limites da IAM.

Se a política de IAM de um recurso atingir o tamanho máximo, os novos pedidos de concessão do Gestor de acesso privilegiado para esse recurso falham até libertar espaço na política.

Se estiver a aproximar-se ou tiver atingido o limite de tamanho da política de IAM, pode fazer o seguinte:

• Revogue concessões existentes
• Otimize a configuração do gestor de acesso privilegiado

Revogue concessões existentes

Revogue concessões ativas do Gestor de acesso privilegiado que já não são necessárias para remover a respetiva associação do IAM da política e libertar espaço. Para ver instruções, consulte o artigo Revogue concessões.

Otimize a configuração do Gestor de acessos privilegiados

Para otimizar as autorizações do Gestor de acessos privilegiados e reduzir o espaço que cada concessão consome numa política de IAM, faça o seguinte:

1. Consolide funções em autorizações:

   1. Consolide várias funções predefinidas em menos funções personalizadas para reduzir o espaço consumido.
   2. Use uma única função mais abrangente, por exemplo, roles/reader, em vez de várias funções de leitor específicas do serviço.
   3. Remova funções redundantes e autorizações sobrepostas. Por exemplo, se todas as autorizações em Role A também estiverem em Role B, remova Role A da concessão.

2. Reduza o número e a complexidade das condições da IAM:

   1. Se usar uma lista de vários nomes de recursos em condições OR, considere usar uma condição de etiqueta em alternativa.
   2. Para concessões que usam a personalização do âmbito, não use filtros baseados no nome do recurso.

3. Conceda acesso no âmbito mínimo necessário.

   Seguindo o princípio do menor privilégio, configure as concessões do Privileged Access Manager para conceder acesso no âmbito mais restrito possível. Por exemplo, se um utilizador só precisar de acesso a um único contentor do Cloud Storage num projeto, conceda acesso a esse contentor em vez de a todo o projeto, pasta ou organização.

O que se segue?

• Saiba mais acerca das quotas e dos limites da IAM.
• Saiba mais sobre as funções personalizadas.
• Saiba como usar etiquetas para o controlo de acesso.