本文說明如何使用 Privileged Access Manager,透過 Identity and Access Management (IAM) 控管即時暫時性權限提升作業,並提供相關最佳做法。
管理 IAM 政策大小
Privileged Access Manager 會在資源政策中新增有條件的 IAM 角色繫結,授予有時間限制的存取權。每個有效的 Privileged Access Manager 授權都會消耗空間,並計入標準 IAM 政策大小限制。詳情請參閱 IAM 配額與限制。
如果資源的 IAM 政策達到大小上限,您必須釋出政策空間,才能為該資源提出新的 Privileged Access Manager 授權要求。
如果 IAM 政策即將達到或已達到大小上限,可以採取下列做法:
撤銷現有授權
撤銷不再需要的作用中 Privileged Access Manager 授權,從政策中移除對應的 IAM 繫結,並釋出空間。如需操作說明,請參閱「撤銷授權」一節。
最佳化 Privileged Access Manager 設定
如要最佳化 Privileged Access Manager 授權,並減少每項授權在 IAM 政策中佔用的空間,請按照下列步驟操作:
合併授權中的角色:
- 將多個預先定義的角色合併為較少的自訂角色,以減少消耗的空間。
- 使用單一較廣泛的角色,例如
roles/reader,而非多個服務專屬的讀者角色。 - 移除多餘的角色和重疊的權限。舉例來說,如果
Role A中的所有權限也位於Role B中,請從授權中移除Role A。
減少 IAM 條件的數量和複雜度:
- 如果您在
OR條件中使用多個資源名稱的清單,建議改用標記條件。 - 如果授權使用範圍自訂功能,請勿使用以資源名稱為準的篩選條件。
- 如果您在
授予最低必要範圍的存取權。
遵循最低權限原則,設定 Privileged Access Manager 權利,盡可能在最小範圍內授予存取權。舉例來說,如果使用者只需要存取專案中的單一 Cloud Storage 值區,請授予該值區的存取權,而不是整個專案、資料夾或機構。