Práticas recomendadas para o Privileged Access Manager

Este documento descreve as práticas recomendadas para usar o Privileged Access Manager e controlar a elevação temporária de privilégios no momento certo com o Identity and Access Management (IAM).

Gerenciar o tamanho da política do IAM

O Privileged Access Manager concede acesso por tempo limitado adicionando uma vinculação condicional de função do IAM à política de um recurso. Cada concessão ativa do Gerenciador de acesso privilegiado consome espaço e conta para os limites de tamanho padrão da política do IAM. Para mais informações, consulte Cotas e limites do IAM.

Se a política do IAM de um recurso atingir o tamanho máximo, as novas solicitações de concessão do Privileged Access Manager para esse recurso vão falhar até que você libere espaço na política.

Se você estiver se aproximando ou tiver atingido o limite de tamanho da política do IAM, faça o seguinte:

Revogar concessões atuais

Revogue as concessões ativas do Privileged Access Manager que não são mais necessárias para remover a vinculação do IAM correspondente da política e liberar espaço. Para instruções, consulte Revogar concessões.

Otimizar a configuração do Privileged Access Manager

Para otimizar seus direitos do Privileged Access Manager e reduzir o espaço que cada concessão consome em uma política do IAM, faça o seguinte:

  1. Consolide as funções nos direitos:

    1. Consolide vários papéis predefinidos em menos papéis personalizados para reduzir o espaço consumido.
    2. Use uma única função mais ampla, por exemplo, roles/reader em vez de várias funções de leitor específicas do serviço.
    3. Remova papéis redundantes e permissões sobrepostas. Por exemplo, se todas as permissões em Role A também estiverem em Role B, remova Role A do direito.

  2. Reduza o número e a complexidade das condições do IAM:

    1. Se você usar uma lista de vários nomes de recursos em condições OR, considere usar uma condição de tag.
    2. Para concessões que usam a personalização de escopo, não use filtros baseados em nome de recurso.

  3. Conceda acesso com o escopo mínimo necessário.

    Seguindo o princípio de privilégio mínimo, configure direitos de acesso do Privileged Access Manager para conceder acesso no escopo mais restrito possível. Por exemplo, se um usuário precisar de acesso a um único bucket do Cloud Storage em um projeto, conceda acesso a esse bucket em vez de ao projeto, pasta ou organização inteira.

A seguir