É possível usar o Privileged Access Manager (PAM) para controlar a elevação temporária de privilégios no momento certo para principais e conferir os registros de auditoria para descobrir quem teve acesso a quê e quando.
Para permitir a elevação temporária, crie um direito de acesso no Privileged Access Manager e adicione os seguintes atributos:
Um conjunto de principais que podem solicitar uma concessão para o direito de acesso.
Se uma justificativa é necessária para essa concessão.
Um conjunto de papéis para fazer uma concessão temporária. As condições do IAM podem ser definidas nos papéis.
A duração máxima de uma concessão.
Opcional: se as solicitações precisam de aprovação de um conjunto selecionado de principais e se eles precisam justificar a aprovação.
Opcional: outras partes interessadas que serão notificadas sobre eventos importantes, como concessões e aprovações pendentes.
Um principal que foi adicionado como solicitante a um direito pode solicitar uma concessão. Se for bem-sucedido, as funções listadas no direito de acesso serão concedidas até o final da duração do direito, e após as funções serão revogadas pelo Privileged Access Manager.
Casos de uso
Para usar o Privileged Access Manager de maneira eficaz, comece identificando casos de uso e cenários específicos em que ele pode atender às necessidades da sua organização. Personalize os direitos de acesso do Privileged Access Manager com base nesses casos de uso e nos requisitos e nos controles necessários. Isso envolve mapear os usuários, papéis, recursos e durações envolvidos, além de todas as justificativas e aprovações necessárias.
Embora o Privileged Access Manager possa ser usado como uma prática recomendada geral para conceder privilégios temporários em vez de permanentes, confira alguns cenários em que ele pode ser usado com frequência:
Conceder acesso de emergência: permite que equipes de emergência selecionadas realizem tarefas críticas sem precisar esperar pela aprovação. É possível exigir justificativas para pedidos de acesso de emergência para mais contexto.
Controle de acesso a recursos sensíveis: controle com rigor o acesso a recursos sensíveis, exigindo aprovações e justificativas comerciais. O Privileged Access Manager também pode ser usado para auditar como esse acesso foi usado. Por exemplo, quando os papéis concedidos estavam ativos para um usuário, quais recursos estavam acessíveis durante esse período, a justificativa para o acesso e quem o aprovou.
Por exemplo, é possível usar o Privileged Access Manager para fazer o seguinte:
Conceder aos desenvolvedores acesso temporário a ambientes de produção para resolver problemas ou fazer implantações.
Conceder aos engenheiros de suporte acesso a dados sensíveis do cliente para tarefas específicas.
Conceder privilégios elevados aos administradores do banco de dados para manutenção ou mudanças de configuração.
Implementar privilégios mínimos granulares: atribuir papéis administrativos ou acesso amplo a todos os usuários pode aumentar a superfície de ataque. Para evitar isso, os administradores podem atribuir papéis permanentes de privilégio mínimo e usar o Privileged Access Manager para fornecer acesso elevado temporário e limitado no tempo para tarefas específicas quando necessário. Os administradores podem criar direitos de acesso com condições baseadas em tags e exigir que os solicitantes criem pedidos de concessão com escopo personalizado e retirem as concessões após a conclusão da tarefa. Isso reduz significativamente as oportunidades de uso indevido e reforça o princípio do acesso "just-in-time".
Automatizar aprovações de acesso privilegiado: para aumentar a eficiência, é possível configurar contas de serviço ou identidades de agente como aprovadores nos pipelines de DevOps. Essas contas podem automatizar aprovações programáticas validando tickets diretamente de sistemas ITSM, eliminando verificações manuais lentas.
Ajudar a proteger contas de serviço e identidades de agente: em vez de conceder papéis de forma permanente a contas de serviço ou identidades de agente, permita que elas se elevem e assumam papéis apenas quando necessário para tarefas automatizadas.
Mitigar ameaças internas e uso indevido acidental: com aprovações de várias partes, é possível exigir um segundo aprovador para pedidos de concessão. Essa abordagem reduz o risco de um único administrador ou uma conta violada aprovar acesso malicioso.
Gerenciar o acesso de prestadores de serviço e da força de trabalho estendida: conceda a prestadores de serviço ou membros da força de trabalho estendida acesso temporário e limitado no tempo aos recursos, com as aprovações e as justificativas necessárias.
Fazer a transição de papéis permanentes para acesso temporário: corrija permissões excessivas identificadas pelo recomendador do IAM. Em vez de revogar um papel de forma permanente, é possível transferi-lo para um direito temporário sob demanda. Para mais informações, consulte Corrigir permissões excessivas com o Privileged Access Manager.
Recursos e limitações
As seções a seguir descrevem os diferentes recursos e limitações do Privileged Access Manager.
Recursos suportados
O Privileged Access Manager oferece suporte à criação de direitos e solicitações de permissões para projetos, pastas e organizações.
Se você quiser limitar o acesso a um subconjunto de recursos em um projeto, uma pasta, ou organização, adicione condições do IAM ao direito de acesso. O Privileged Access Manager oferece suporte a todos os atributos de condição que são compatíveis com vinculações de função de política de permissão. O Privileged Access Manager só oferece suporte a serviços que oferecem acesso granular pelo IAM, porque ele usa condições do IAM para gerenciar o acesso temporário.
Papéis compatíveis
O Privileged Access Manager oferece suporte a papéis predefinidos, papéis personalizados, e papéis básicos de administrador, gravador e leitor Basic roles. O Privileged Access Manager não oferece suporte a papéis básicos legados (proprietário, editor e leitor).
Identidades compatíveis
O Privileged Access Manager oferece suporte a todos os tipos de identidade, incluindo o Cloud Identity, a federação de identidade de colaboradores, a federação de identidade da carga de trabalho, e as identidades de agente.
Registro de auditoria
Os eventos do Privileged Access Manager, como a criação de direitos, a requisição ou a revisão de permissões, são registrados nos Registros de auditoria do Cloud. Para uma lista completa de eventos para os quais o Privileged Access Manager gera registros, consulte a documentação de registro de auditoria do Privileged Access Manager. Para saber como visualizar esses registros, consulte Auditar direitos e conceder eventos no Privileged Access Manager.
Aprovações de vários níveis e de várias partes
Os administradores do Privileged Access Manager podem configurar aprovações de vários níveis e de várias partes. Isso é útil para casos de uso que envolvem o seguinte:
- Operações de alto risco, como modificar infraestrutura crítica ou acessar dados sensíveis
- Impor a separação de tarefas
- Automatizar processos de aprovação de vários níveis em fluxos de trabalho dinâmicos usando contas de serviço ou identidades de agente como aprovadores inteligentes
Com esse recurso, os administradores do Privileged Access Manager podem exigir mais de um nível de aprovação por direito, permitindo até dois níveis de aprovações sequenciais para cada direito. Os administradores podem exigir até cinco aprovações por nível. Para mais informações, consulte Criar direitos.
Personalização do escopo
Os solicitantes podem personalizar o escopo dos pedidos de concessão para incluir apenas as funções e os recursos específicos de que precisam no escopo do direito. Para mais informações, consulte Solicitar acesso elevado temporário.
Aprovações de contas de serviço e identidades de agente
Os administradores do Privileged Access Manager podem ativar contas de serviço e identidades de agente como aprovadores qualificados. Isso permite que os administradores adicionem contas de serviço, identidades de agente, e identidades em pools de identidade da carga de trabalho como aprovadores ao criar ou modificar direitos. Para mais informações, consulte Configurar as definições do Privileged Access Manager.
Suporte à herança
Os direitos e as concessões configurados no nível da organização ou da pasta ficam visíveis nas pastas e projetos descendentes no Google Cloud console. Os solicitantes podem pedir acesso aos recursos filhos com base nesses direitos diretamente nesses recursos filhos. Para mais informações, consulte Solicitar acesso elevado temporário com o Privileged Access Manager.
Personalização das preferências de notificação
Os administradores de configurações do Privileged Access Manager podem personalizar as preferências de notificação em todo o recurso para vários eventos do Privileged Access Manager. Essas configurações permitem que os administradores desativem seletivamente as notificações para eventos e personas específicos ou desativem todas as notificações. Para mais informações, consulte Configurar as definições do Privileged Access Manager.
Programação de benefício
Os solicitantes podem programar pedidos de concessão com até sete dias de antecedência. Isso ajuda os solicitantes a alinhar o acesso com a manutenção planejada ou turnos de plantão e reduz o tempo gasto esperando por aprovações. Para mais informações, consulte Solicitar acesso elevado temporário.
Desistência do benefício
Os solicitantes podem retirar pedidos de concessão que estão pendentes de aprovação ou programados para ativação. Os solicitantes também podem encerrar as concessões ativas quando a tarefa privilegiada for concluída ou quando o acesso não for mais necessário. As organizações podem recomendar isso como uma prática recomendada para limitar a duração do acesso privilegiado apenas ao tempo em que ele é ativamente necessário. Para mais informações, consulte Retirar concessões.
Retenção de benefício
As concessões são excluídas automaticamente do Privileged Access Manager 30 dias após serem negadas, revogadas, retiradas, expiradas ou encerradas. Os registros de concessões são mantidos nos Registros de auditoria do Cloud durante o
período de retenção de registros do _Required bucket.
Para saber como visualizar esses registros, consulte
Auditar direitos e conceder eventos no Privileged Access Manager.
Modificações da política do Privileged Access Manager e do IAM
O Privileged Access Manager gerencia o acesso temporário adicionando e removendo vinculações de função das políticas de IAM dos recursos. Se essas vinculações de função forem modificadas por algo diferente do Privileged Access Manager, ele poderá não funcionar como esperado.
Para evitar esse problema, recomendamos o seguinte:
- Não modifique manualmente as vinculações de função que são gerenciadas pelo Privileged Access Manager.
- Se você usa Terraform para gerenciar as políticas do IAM, verifique se está usando recursos não autorizados em vez de recursos autorizados. Isso ajuda a garantir que o Terraform não substitua as vinculações de função do Privileged Access Manager, mesmo que elas não estejam na configuração declarativa da política do IAM.
Notificações
O Privileged Access Manager pode notificar você sobre vários eventos que ocorrem nele, conforme descrito nas seções a seguir.
Notificações por e-mail
O Privileged Access Manager envia notificações por e-mail às partes interessadas relevantes para mudanças de direito de acesso e concessão. Os conjuntos de destinatários são os seguintes:
Solicitantes qualificados de um direito de acesso:
- Endereços de e-mail de usuários do Cloud Identity e grupos especificados como solicitantes no direito de acesso.
- Endereços de e-mail configurados manualmente no direito: ao usar
Google Cloud console, esses endereços de e-mail são listados no campo
Destinatários de e-mail do solicitante
na seção Adicionar solicitantes. Ao usar a CLI gcloud ou a API REST, esses endereços de e-mail são listados no campo
requesterEmailRecipients.
Aprovadores de concessão para um direito:
- Endereços de e-mail de usuários e grupos do Cloud Identity especificados como aprovadores no nível de aprovação.
- Endereços de e-mail configurados manualmente no direito: ao usar o
Google Cloud console, esses endereços de e-mail são listados no campo
Destinatários de e-mail de aprovação na seção
Adicionar aprovadores. Ao usar a CLI gcloud ou a API REST, esses endereços de e-mail são listados no campo
approverEmailRecipientsdas etapas do fluxo de trabalho de aprovação.
Administrador do direito de acesso:
- Endereços de e-mail configurados manualmente no direito: ao usar o
Google Cloud console, esses endereços de e-mail são listados no campo
Destinatários de e-mail do administrador
na seção Detalhes do direito. Ao usar a CLI gcloud ou a API REST, esses endereços de e-mail são listados no campo
adminEmailRecipients.
- Endereços de e-mail configurados manualmente no direito: ao usar o
Google Cloud console, esses endereços de e-mail são listados no campo
Destinatários de e-mail do administrador
na seção Detalhes do direito. Ao usar a CLI gcloud ou a API REST, esses endereços de e-mail são listados no campo
Solicitante de uma concessão:
- Endereço de e-mail do solicitante do benefício, se ele for um usuário do Cloud Identity.
- Outros endereços de e-mail adicionados pelo requerente ao solicitar o benefício: ao usar o Google Cloud console, esses endereços de e-mail são listados no campo Outros endereços de e-mail. Ao usar a CLI gcloud ou a API REST, esses endereços de e-mail são listados no campo
additionalEmailRecipients.
O Privileged Access Manager envia e-mails para esses endereços de e-mail nos seguintes eventos:
| Destinatários | Evento |
|---|---|
| Solicitantes qualificados de um direito de acesso | Quando o direito é atribuído e fica disponível para uso do solicitante |
| Conceder aprovadores para um direito de acesso | Quando uma concessão é solicitada e precisa de aprovação |
| Solicitante de uma concessão |
|
| Administrador do direito de acesso |
|
Notificações do Pub/Sub
O Privileged Access Manager é integrado ao Inventário de recursos do Cloud.
É possível usar o recurso de feeds do Inventário de recursos do Cloud
para receber notificações sobre todas as alterações de concessão pelo
Pub/Sub. O tipo de recurso a ser usado para concessões é
privilegedaccessmanager.googleapis.com/Grant.