Puoi utilizzare Privileged Access Manager (PAM) per controllare l'aumento temporaneo dei privilegi just-in-time per le entità selezionate e per visualizzare gli audit log in un secondo momento per scoprire chi ha avuto accesso a cosa e quando.
Per consentire l'aumento temporaneo, crea un diritto in Privileged Access Manager e aggiungi i seguenti attributi:
Un insieme di entità autorizzate a richiedere una concessione in base al diritto.
Se è richiesta una giustificazione per la concessione.
Un insieme di ruoli da concedere temporaneamente. Le condizioni IAM possono essere impostate su i ruoli.
La durata massima di una concessione.
(Facoltativo) Se le richieste richiedono l'approvazione da un insieme selezionato di entità, e se queste entità devono giustificare la loro approvazione.
(Facoltativo) Altri stakeholder da informare in merito a eventi importanti, come concessioni e approvazioni in attesa.
Un'entità aggiunta come richiedente a un diritto può richiedere una concessione in base a quel diritto. Se la richiesta va a buon fine, all'entità vengono concessi i ruoli elencati nel diritto fino alla fine della durata della concessione, dopodiché i ruoli vengono revocati da Privileged Access Manager.
Casi d'uso
Per utilizzare Privileged Access Manager in modo efficace, inizia identificando casi d'uso e scenari specifici in cui può soddisfare le esigenze della tua organizzazione. Personalizza i diritti di Privileged Access Manager in base a questi casi d'uso e ai requisiti e ai controlli necessari. Ciò comporta la mappatura degli utenti, dei ruoli, delle risorse e delle durate coinvolte, nonché delle giustificazioni e delle approvazioni necessarie.
Sebbene Privileged Access Manager possa essere utilizzato come best practice generale per concedere privilegi temporanei anziché permanenti, ecco alcuni scenari in cui potrebbe essere di uso comune:
Concedere l'accesso di emergenza: consente al personale di primo intervento selezionato di eseguire attività critiche senza dover attendere l'approvazione. Puoi richiedere giustificazioni per le richieste di accesso di emergenza per fornire ulteriore contesto.
Controllare l'accesso alle risorse sensibili: controlla attentamente l'accesso alle risorse sensibili, richiedendo approvazioni e giustificazioni aziendali. Privileged Access Manager può essere utilizzato anche per controllare come è stato utilizzato questo accesso, ad esempio quando i ruoli concessi erano attivi per un utente, quali risorse erano accessibili durante quel periodo, la giustificazione dell'accesso e chi lo ha approvato.
Ad esempio, puoi utilizzare Privileged Access Manager per eseguire le seguenti operazioni:
Concedere agli sviluppatori l'accesso temporaneo agli ambienti di produzione per la risoluzione dei problemi o i deployment.
Concedere agli ingegneri dell'assistenza l'accesso ai dati sensibili dei clienti per attività specifiche.
Concedere agli amministratori di database privilegi elevati per la manutenzione o le modifiche alla configurazione.
Implementare privilegi minimi granulari: l'assegnazione di ruoli amministrativi o l'accesso esteso a tutti gli utenti può aumentare la superficie di attacco. Per evitare questo problema, gli amministratori possono assegnare ruoli permanenti con privilegio minimo e utilizzare Privileged Access Manager per fornire un accesso elevato temporaneo e vincolato al tempo per attività specifiche, se necessario. Gli amministratori possono creare diritti con condizioni basate sui tag e imporre ai richiedenti di creare richieste di concessione con ambito personalizzato e ritirare le concessioni al termine dell'attività. In questo modo si riducono notevolmente le opportunità di uso improprio e si rafforza il principio dell'accesso "just-in-time".
Automatizzare le approvazioni degli accessi con privilegi: per migliorare l'efficienza, puoi configurare i service account o le identità degli agenti come approvatori all'interno delle pipeline DevOps. Questi account possono automatizzare le approvazioni programmatiche convalidando i ticket direttamente dai sistemi ITSM, eliminando così i lenti controlli manuali.
Proteggere i service account e le identità degli agenti: anziché concedere in modo permanente i ruoli ai service account o alle identità degli agenti, consenti loro di aumentare autonomamente i privilegi e di assumere i ruoli solo quando necessario per le attività automatizzate.
Mitigare le minacce interne e l'uso improprio accidentale: con le approvazioni da più parti, puoi richiedere un secondo approvatore per le richieste di concessione. Questo approccio riduce il rischio che un singolo amministratore o un account compromesso approvi l'accesso dannoso.
Gestire l'accesso per i contractor e la forza lavoro estesa: concedi ai contractor o ai membri della forza lavoro estesa l'accesso temporaneo e vincolato al tempo alle risorse, con approvazioni e giustificazioni obbligatorie.
Eseguire la transizione dei ruoli permanenti all'accesso temporaneo: correggi le autorizzazioni eccessive identificate da motore per suggerimenti IAM. Invece di revocare definitivamente un ruolo, puoi spostarlo in un diritto temporaneo on demand. Per saperne di più, consulta Correggere le autorizzazioni eccessive con Privileged Access Manager.
Funzionalità e limitazioni
Le seguenti sezioni descrivono le diverse funzionalità e limitazioni di Privileged Access Manager.
Risorse supportate
Privileged Access Manager supporta la creazione di diritti e la richiesta di concessioni per progetti, cartelle e organizzazioni.
Se vuoi limitare l'accesso a un sottoinsieme di risorse all'interno di un progetto, una cartella, o un'organizzazione, puoi aggiungere le condizioni IAM al diritto. Privileged Access Manager supporta tutti gli attributi delle condizioni supportati nei binding di ruolo delle policy di autorizzazione. Privileged Access Manager supporta solo i servizi che supportano l'accesso granulare tramite IAM, perché utilizza le condizioni IAM per gestire l'accesso temporaneo.
Ruoli supportati
Privileged Access Manager supporta i ruoli predefiniti, personalizzati e i ruoli di base Amministratore, Writer e Reader. Privileged Access Manager non supporta i ruoli di base legacy (Proprietario, Editor e Visualizzatore).
Identità supportate
Privileged Access Manager supporta tutti i tipi di identità, tra cui Cloud Identity, federazione delle identità per la forza lavoro, federazione delle identità per i workload, e le identità degli agenti.
Audit logging
Gli eventi di Privileged Access Manager, come la creazione di diritti, la richiesta o la revisione delle concessioni, vengono registrati in Cloud Audit Logs. Per un elenco completo degli eventi per cui Privileged Access Manager genera log, consulta la documentazione sull'audit logging di Privileged Access Manager. Per scoprire come visualizzare questi log, consulta Controllare gli eventi di diritti e concessioni in Privileged Access Manager.
Approvazioni multilivello e da più parti
Gli amministratori di Privileged Access Manager possono configurare approvazioni multilivello e da più parti. Questa funzionalità è utile per i casi d'uso che prevedono:
- Operazioni ad alto rischio, come la modifica dell'infrastruttura critica o l'accesso a dati sensibili
- Applicazione della separazione dei compiti
- Automatizzazione dei processi di approvazione multilivello nei workflow dinamici utilizzando i service account o le identità degli agenti come approvatori intelligenti
Con questa funzionalità, gli amministratori di Privileged Access Manager possono richiedere più di un livello di approvazione per ogni diritto, consentendo fino a due livelli di approvazioni sequenziali per ogni diritto. Gli amministratori possono richiedere fino a cinque approvazioni per livello. Per saperne di più, consulta Creare diritti.
Personalizzazione dell'ambito
I richiedenti possono personalizzare l'ambito delle richieste di concessione in modo da includere solo i ruoli e le risorse specifici di cui hanno bisogno nell'ambito del loro diritto. Per saperne di più, consulta Richiedere l'accesso temporaneo con privilegi elevati.
Approvazioni di service account e identità degli agenti
Gli amministratori di Privileged Access Manager possono abilitare i service account e le identità degli agenti come approvatori idonei. In questo modo, gli amministratori possono aggiungere service account, identità degli agenti, e identità nei pool di identità per i carichi di lavoro come approvatori durante la creazione o la modifica dei diritti. Per saperne di più, consulta Configurare le impostazioni di Privileged Access Manager.
Supporto per l'ereditarietà
I diritti e le concessioni configurati a livello di organizzazione o cartella sono visibili dalle cartelle e dai progetti discendenti nella Google Cloud console. I richiedenti possono richiedere l'accesso alle risorse figlio in base a questi diritti direttamente all'interno di queste risorse figlio. Per saperne di più, consulta Richiedere l'accesso temporaneo con privilegi elevati con Privileged Access Manager.
Personalizzazione delle preferenze di notifica
Gli amministratori delle impostazioni di Privileged Access Manager possono personalizzare le preferenze di notifica a livello di risorsa per vari eventi di Privileged Access Manager. Queste impostazioni consentono agli amministratori di disattivare selettivamente le notifiche per eventi e persone specifici o di disattivare tutte le notifiche. Per saperne di più, consulta Configurare le impostazioni di Privileged Access Manager.
Pianificazione delle concessioni
I richiedenti possono programmare le richieste di concessione fino a sette giorni in anticipo. In questo modo, i richiedenti possono allineare l'accesso alla manutenzione pianificata o ai turni di reperibilità e ridurre il tempo di attesa per le approvazioni. Per saperne di più, consulta Richiedere l'accesso temporaneo con privilegi elevati.
Ritiro delle concessioni
I richiedenti possono ritirare le richieste di concessione in attesa di approvazione o programmate per l'attivazione. I richiedenti possono anche terminare le concessioni attive al termine dell'attività con privilegi o quando l'accesso non è più necessario. Le organizzazioni possono consigliare questa procedura come best practice per limitare la durata dell'accesso con privilegi solo al tempo in cui è effettivamente necessario. Per saperne di più, consulta Ritirare le concessioni.
Conservazione delle concessioni
Le concessioni vengono eliminate automaticamente da Privileged Access Manager 30 giorni dopo essere state rifiutate, revocate, ritirate, scadute o terminate. I log delle concessioni vengono conservati in Cloud Audit Logs per la
durata di conservazione dei log del _Required bucket.
Per scoprire come visualizzare questi log, consulta
Controllare gli eventi di diritti e concessioni in Privileged Access Manager.
Modifiche alle policy IAM e di Privileged Access Manager
Privileged Access Manager gestisce l'accesso temporaneo aggiungendo e rimuovendo i binding di ruolo dalle policy IAM delle risorse. Se questi binding di ruolo vengono modificati da un elemento diverso da Privileged Access Manager, quest'ultimo potrebbe non funzionare come previsto.
Per evitare questo problema, ti consigliamo di:
- Non modificare manualmente i binding di ruolo gestiti da Privileged Access Manager.
- Se utilizzi Terraform per gestire le policy IAM, assicurati di utilizzare risorse non autorevoli anziché risorse autorevoli. In questo modo, Terraform non sostituirà i binding di ruolo di Privileged Access Manager, anche se non sono presenti nella configurazione della policy IAM dichiarativa.
Notifiche
Privileged Access Manager può inviarti notifiche su vari eventi che si verificano in Privileged Access Manager, come descritto nelle sezioni seguenti.
Notifiche via email
Privileged Access Manager invia notifiche via email agli stakeholder pertinenti per le modifiche di un diritto e di una concessione. I gruppi di destinatari sono i seguenti:
Richiedenti idonei di un diritto:
- Indirizzi email degli utenti e dei gruppi di Cloud Identity specificati come richiedenti nel diritto.
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la
Google Cloud console, questi indirizzi email sono elencati nel campo
Destinatari email del richiedente
nella sezione Aggiungi richiedenti. Quando utilizzi la gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
requesterEmailRecipients.
Approvatori di concessioni per un diritto:
- Indirizzi email degli utenti e dei gruppi di Cloud Identity specificati come approvatori nel livello di approvazione.
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la
Google Cloud console, questi indirizzi email sono elencati nel campo
Destinatari email di approvazione nella sezione
Aggiungi approvatori. Quando utilizzi la gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
approverEmailRecipientsdei passaggi del flusso di lavoro di approvazione.
Amministratore del diritto:
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la
Google Cloud console, questi indirizzi email sono elencati nel
campo Destinatari email dell'amministratore
nella sezione Dettagli del diritto. Quando utilizzi la gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
adminEmailRecipients.
- Indirizzi email configurati manualmente nel diritto: quando utilizzi la
Google Cloud console, questi indirizzi email sono elencati nel
campo Destinatari email dell'amministratore
nella sezione Dettagli del diritto. Quando utilizzi la gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
Richiedente di una concessione:
- Indirizzo email del richiedente della concessione, se è un utente di Cloud Identity.
- Indirizzi email aggiuntivi aggiunti dal richiedente durante la richiesta della
concessione: quando utilizzi la Google Cloud console, questi indirizzi email sono elencati
nel campo Indirizzi email aggiuntivi. Quando utilizzi gcloud CLI o l'API REST, questi indirizzi email sono elencati nel campo
additionalEmailRecipients.
Privileged Access Manager invia email a questi indirizzi email per i seguenti eventi:
| Destinatari | Evento |
|---|---|
| Richiedenti idonei di un diritto | Quando il diritto viene assegnato e reso disponibile per l'uso al richiedente |
| Approvatori di concessioni per un diritto | Quando viene richiesta una concessione e richiede l'approvazione |
| Richiedente di una concessione |
|
| Amministratore del diritto |
|
Notifiche Pub/Sub
Privileged Access Manager è integrato con Cloud Asset Inventory.
Puoi utilizzare la funzionalità dei feed di Cloud Asset Inventory per ricevere notifiche su tutte le modifiche alle concessioni tramite Pub/Sub. Il tipo di risorsa da utilizzare per le concessioni è privilegedaccessmanager.googleapis.com/Grant.