Puedes usar Privileged Access Manager (PAM) y controlar la elevación de privilegios temporales justo a tiempo para principales elegidos y ver los registros de auditoría después para saber quién tuvo acceso a qué y cuándo.
Para permitir la elevación temporal, crea un derecho en Privileged Access Manager y agrégale los siguientes atributos:
Un conjunto de principales que pueden solicitar una concesión ante el derecho.
Si se requiere una justificación para esa concesión.
Un conjunto de roles que se otorgarán de forma temporal. Se pueden establecer condiciones de IAM en los roles.
Es la duración máxima que puede tener una concesión.
Opcional: indica si las solicitudes necesitan la aprobación de un conjunto elegido de principales y si esos principales deben justificar su aprobación.
Opcional: partes interesadas adicionales que recibirán notificaciones sobre eventos importantes, como subvenciones y aprobaciones pendientes.
Un principal que se haya agregado como solicitante a un derecho puede solicitar una concesión ante ese derecho. Si se hace de forma correcta, se le otorgan los roles que se indican en el derecho hasta que finalice la duración de la concesión, después de lo cual el Privileged Access Manager revoca los roles.
Casos de uso
Para usar Privileged Access Manager de manera eficaz, primero identifica casos de uso y situaciones específicos en los que pueda abordar las necesidades de tu organización. Adapta tus derechos de Privileged Access Manager según estos casos de uso y los requisitos y controles necesarios. Esto implica asignar los usuarios, los roles, los recursos y las duraciones involucrados, junto con las justificaciones y aprobaciones necesarias.
Si bien Privileged Access Manager se puede usar como práctica recomendada general para otorgar privilegios temporales en lugar de permanentes, estas son algunas situaciones en las que se puede usar con mayor frecuencia:
Otorgar acceso de emergencia: permite que determinados servicios de emergencia lleven a cabo tareas importantes sin tener que esperar la aprobación. Puedes exigir justificaciones para las solicitudes de acceso de emergencia para obtener contexto adicional.
Controla el acceso a recursos sensibles: controla de forma estricta el acceso a recursos sensibles, lo que requiere aprobaciones y justificaciones comerciales. Privileged Access Manager también se puede usar para auditar cómo se usó este acceso, por ejemplo, cuándo estaban activos los roles otorgados para un usuario, a qué recursos se podía acceder durante ese tiempo, la justificación del acceso y quién lo aprobó.
Por ejemplo, puedes usar Privileged Access Manager para hacer lo siguiente:
Otorgar a los desarrolladores acceso temporal a los entornos de producción para la solución de problemas o las implementaciones.
Otorgar a los ingenieros de asistencia acceso a datos sensibles de los clientes para tareas específicas.
Otorgar privilegios elevados a los administradores de bases de datos para cambios de mantenimiento o configuración.
Implementar el principio de privilegio mínimo detallado: Asignar roles administrativos o acceso amplio a todos los usuarios puede aumentar la superficie de ataque. Para evitar esto, los administradores pueden asignar roles permanentes de privilegio mínimo y usar Privileged Access Manager para proporcionar acceso elevado temporal y limitado para tareas específicas cuando sea necesario. Los administradores pueden crear derechos con condiciones basadas en etiquetas y aplicar de manera forzosa que los solicitantes creen solicitudes de concesión con un alcance personalizado y rescindan las concesiones después de que se complete la tarea. Esto reduce significativamente las oportunidades de uso inadecuado y refuerza el principio de acceso "justo a tiempo".
Automatizar las aprobaciones de acceso con privilegios: Para mejorar la eficiencia, puedes configurar cuentas de servicio o identidades de agente como responsables de aprobación en tus canalizaciones de DevOps. Estas cuentas pueden automatizar las aprobaciones programáticas validando tickets directamente desde los sistemas ITSM, lo que elimina las verificaciones manuales lentas.
Ayuda a proteger las cuentas de servicio y las identidades de agente: En lugar de otorgar roles de forma permanente a las cuentas de servicio o a las identidades de agente, permite que estas se eleven y asuman roles solo cuando sea necesario para las tareas automatizadas.
Mitigar las amenazas internas y el uso inadecuado accidental: Con las aprobaciones de varias partes, puedes exigir un segundo responsable de aprobación para las solicitudes de concesión. Este enfoque reduce el riesgo de que un solo administrador o una cuenta vulnerada apruebe el acceso malicioso.
Administra el acceso de los contratistas y el personal externo: otorgar a los contratistas o miembros del personal externo acceso temporal y limitado a los recursos, con las aprobaciones y justificaciones necesarias.
Transición de roles permanentes a acceso temporal: Soluciona los permisos excesivos identificados por el recomendador de IAM. En lugar de revocar un rol de forma permanente, puedes cambiarlo a un derecho temporal y a pedido. Para obtener más información, consulta Soluciona los permisos excesivos con Privileged Access Manager.
Funcionalidades y limitaciones
En las siguientes secciones, se describen las diferentes capacidades y limitaciones de Privileged Access Manager.
Recursos admitidos
Privileged Access Manager admite la creación de derechos y la solicitud de concesiones para proyectos, carpetas y organizaciones.
Si deseas limitar el acceso a un subconjunto de recursos dentro de un proyecto, una carpeta, o una organización, puedes agregar Condiciones de IAM al derecho. Privileged Access Manager admite todos los atributos de condición que se admiten en las vinculaciones de roles de la política de permisos. Privileged Access Manager solo admite servicios que admiten el acceso detallado a través de IAM porque usa condiciones de IAM para administrar el acceso temporal.
Funciones admitidas
Privileged Access Manager admite roles predefinidos, roles personalizados, y los roles básicos de administrador, escritor y lector Basic roles. Privileged Access Manager no admite roles básicos heredados (propietario, editor y visualizador).
Identidades admitidas
Privileged Access Manager admite todos los tipos de identidades, incluidas Cloud Identity, la federación de identidades de personal, la federación de identidades para cargas de trabajo, y las identidades de agente.
Registros de auditoría
Los eventos de Privileged Access Manager, como la creación de derechos, la solicitud o la revisión de concesiones, se registran en los registros de auditoría de Cloud. Para obtener una lista completa de los eventos para los que Privileged Access Manager genera registros, consulta la documentación de registro de auditoría de Privileged Access Manager. Para obtener información sobre cómo ver estos registros, consulta Cómo auditar eventos de derechos y concesiones en Privileged Access Manager.
Aprobaciones de varias partes y varios niveles
Los administradores de Privileged Access Manager pueden configurar aprobaciones de varias partes y varios niveles. Esto es útil para casos de uso que incluyen lo siguiente:
- Operaciones de alto riesgo, como modificar la infraestructura crítica o acceder a datos sensibles
- Aplicar la separación de obligaciones
- Automatizar procesos de aprobación de varios niveles en flujos de trabajo dinámicos con cuentas de servicio o identidades de agente como responsables de aprobación inteligentes
Con esta función, los administradores de Privileged Access Manager pueden exigir más de un nivel de aprobación por derecho, lo que permite hasta dos niveles de aprobaciones secuenciales para cada derecho. Los administradores pueden exigir hasta cinco aprobaciones por nivel. Para obtener más información, consulta Crea derechos.
Personalización del alcance
Los solicitantes pueden personalizar el alcance de sus solicitudes de concesión para incluir solo los roles y recursos específicos que necesitan dentro del alcance de su derecho. Para obtener más información, consulta Solicita acceso temporal elevado.
Aprobaciones de cuentas de servicio y de identidades de agente
Los administradores de Privileged Access Manager pueden habilitar cuentas de servicio e identidades de agente como responsables de aprobación aptos. Esto permite que los administradores agreguen cuentas de servicio, identidades de agente, y identidades en grupos de Workload Identity como responsables de aprobación cuando crean o modifican derechos. Para obtener más información, consulta Configura los parámetros de Privileged Access Manager.
Compatibilidad con la herencia
Los derechos y las concesiones que se configuran a nivel de la organización o de la carpeta son visibles desde sus carpetas y proyectos descendientes en la Google Cloud consola. Los solicitantes pueden solicitar acceso a los recursos secundarios en función de esos derechos directamente dentro de esos recursos secundarios. Para obtener más información, consulta Solicita acceso temporal elevado con Privileged Access Manager.
Personalización de las preferencias de notificaciones
Los administradores de configuración de Privileged Access Manager pueden personalizar las preferencias de notificaciones en todo el recurso para varios eventos de Privileged Access Manager. Estos parámetros de configuración permiten que los administradores inhabiliten de forma selectiva las notificaciones para eventos y personajes específicos, o bien inhabiliten todas las notificaciones. Para obtener más información, consulta Configura los parámetros de Privileged Access Manager.
Programación de subsidios
Los solicitantes pueden programar solicitudes de concesión con hasta siete días de anticipación. Esto ayuda a los solicitantes a alinear el acceso con el mantenimiento planificado o los turnos de guardia, y reduce el tiempo que pasan esperando las aprobaciones. Para obtener más información, consulta Solicita acceso temporal elevado.
Retiro de concesiones
Los solicitantes pueden retirar las solicitudes de concesión que están pendientes de aprobación o programadas para la activación. Los solicitantes también pueden finalizar sus concesiones activas cuando se completa su tarea con privilegios o cuando ya no se requiere el acceso. Las organizaciones pueden recomendar esto como práctica recomendada para limitar la duración del acceso con privilegios solo al tiempo que se necesita de forma activa. Para obtener más información, consulta Retira concesiones.
Retención de la concesión
Las concesiones se borran automáticamente de Privileged Access Manager 30 días después de que se rechacen, revoquen, retiren o venzan. Los registros de las subvenciones se mantienen en los registros de auditoría de Cloud durante la
duración de retención de registros del _Required bucket.
Para obtener información sobre cómo ver estos registros, consulta Cómo auditar eventos de derechos y concesiones en Privileged Access Manager.
Modificaciones de Privileged Access Manager y de la política de IAM
Privileged Access Manager administra el acceso temporal agregando y quitando vinculaciones de roles de las políticas de IAM de los recursos. Si estas vinculaciones de roles se modifican con algo que no sea Privileged Access Manager, es posible que este no funcione como se espera.
Para evitar este problema, te recomendamos que hagas lo siguiente:
- No modifiques de forma manual las vinculaciones de roles que administra Privileged Access Manager.
- Si usas Terraform para administrar tus políticas de IAM, asegúrate de usar recursos no autorizados en lugar de recursos autorizados. Esto garantiza que Terraform no anule las vinculaciones de roles de Privileged Access Manager, incluso si no están en la configuración declarativa de la política de IAM.
Notificaciones
Privileged Access Manager puede notificarte sobre varios eventos que ocurren en el producto, como se describe en las siguientes secciones.
Notificaciones por correo electrónico
Privileged Access Manager envía notificaciones por correo electrónico a las partes interesadas pertinentes para los cambios de derechos y concesiones. Los conjuntos de destinatarios son los siguientes:
Solicitantes aptos de un derecho:
- Direcciones de correo electrónico de los usuarios y los grupos de Cloud Identity especificados como solicitantes en el derecho
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas
Google Cloud la consola, estas direcciones de correo electrónico aparecen en el campo
Destinatarios de correo electrónico del solicitante
de la sección Agregar solicitantes. Cuando usas la gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
requesterEmailRecipients.
Responsables de aprobación de un derecho:
- Direcciones de correo electrónico de los usuarios y los grupos de Cloud Identity especificados como responsables de aprobación en el nivel de aprobación
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la
Google Cloud consola, estas direcciones de correo electrónico aparecen en el campo
Destinatarios de correo electrónico de aprobación de la sección
Agregar responsables de aprobación. Cuando usas la gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
approverEmailRecipientsde los pasos del flujo de trabajo de aprobación.
Administrador del derecho:
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la
Google Cloud consola, estas direcciones de correo electrónico aparecen en el
campo Destinatarios de correo electrónico del administrador
de la sección Detalles del derecho. Cuando usas la gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
adminEmailRecipients.
- Direcciones de correo electrónico configuradas de forma manual en el derecho: Cuando usas la
Google Cloud consola, estas direcciones de correo electrónico aparecen en el
campo Destinatarios de correo electrónico del administrador
de la sección Detalles del derecho. Cuando usas la gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
Solicitante de una subvención:
- Dirección de correo electrónico del solicitante del otorgamiento si es un usuario de Cloud Identity.
- Direcciones de correo electrónico adicionales que agregó el solicitante cuando solicitó el
subsidio: cuando usas la Google Cloud consola, estas direcciones de correo electrónico aparecen
en el campo Direcciones de correo electrónico adicionales. Cuando usas gcloud CLI o la API de REST, estas direcciones de correo electrónico aparecen en el campo
additionalEmailRecipients.
Privileged Access Manager envía correos electrónicos a estas direcciones de correo electrónico para los siguientes eventos:
| Destinatarios | Evento |
|---|---|
| Solicitantes aptos de un derecho | Cuando se asigna el derecho y está disponible para que lo use el solicitante |
| Otorga responsables de aprobación para un derecho | Cuando se solicita una concesión y requiere aprobación |
| Solicitante de una subvención |
|
| Administrador del derecho |
|
Notificaciones de Pub/Sub
Privileged Access Manager está integrado en Cloud Asset Inventory.
Puedes usar la función de feeds de Cloud Asset Inventory para recibir notificaciones sobre todos los cambios de concesiones a través de Pub/Sub. El tipo de activo que se usará para las subvenciones es privilegedaccessmanager.googleapis.com/Grant.