Anda dapat menggunakan Privileged Access Manager (PAM) untuk mengontrol peningkatan hak istimewa sementara tepat waktu untuk principal tertentu, dan untuk melihat log audit setelahnya untuk mengetahui siapa yang memiliki akses ke apa dan kapan.
Untuk mengizinkan peningkatan hak istimewa sementara, Anda membuat hak di Privileged Access Manager, dan menambahkan atribut berikut ke dalamnya:
Kumpulan principal yang diizinkan untuk meminta pemberian akses terhadap hak.
Apakah justifikasi diperlukan untuk pemberian akses tersebut.
Kumpulan peran untuk diberikan sementara. Kondisi IAM dapat ditetapkan pada peran.
Durasi maksimum pemberian akses dapat berlangsung.
Opsional: Apakah permintaan memerlukan persetujuan dari kumpulan principal tertentu, dan apakah principal tersebut perlu memberikan justifikasi atas persetujuannya.
Opsional: Pemangku kepentingan tambahan yang akan diberi tahu tentang peristiwa penting, seperti pemberian akses dan persetujuan yang tertunda.
Principal yang telah ditambahkan sebagai pemohon ke hak dapat meminta pemberian akses terhadap hak tersebut. Jika berhasil, mereka akan diberi peran yang tercantum dalam hak hingga akhir durasi pemberian akses, setelah itu peran akan dicabut oleh Privileged Access Manager.
Kasus penggunaan
Untuk menggunakan Privileged Access Manager secara efektif, mulailah dengan mengidentifikasi kasus penggunaan dan skenario tertentu yang dapat memenuhi kebutuhan organisasi Anda. Sesuaikan hak Privileged Access Manager Anda berdasarkan kasus penggunaan dan kontrol serta persyaratan yang diperlukan. Hal ini melibatkan pemetaan pengguna, peran, resource, dan durasi yang terlibat, beserta justifikasi dan persetujuan yang diperlukan.
Meskipun Privileged Access Manager dapat digunakan sebagai praktik terbaik umum untuk memberikan hak istimewa sementara, bukan permanen, berikut beberapa skenario yang mungkin sering digunakan:
Memberikan akses darurat: Mengizinkan petugas darurat tertentu untuk melakukan tugas penting tanpa harus menunggu persetujuan. Anda dapat mewajibkan justifikasi untuk konteks tambahan tentang alasan akses darurat diperlukan.
Mengontrol akses ke resource sensitif: Mengontrol akses ke resource sensitif secara ketat, yang memerlukan persetujuan dan justifikasi bisnis. Privileged Access Manager juga dapat digunakan untuk mengaudit cara penggunaan akses ini—misalnya, saat peran yang diberikan aktif untuk pengguna, resource mana yang dapat diakses selama waktu tersebut, justifikasi untuk akses, dan siapa yang menyetujuinya.
Misalnya, Anda dapat menggunakan Privileged Access Manager untuk melakukan hal berikut:
Memberikan akses sementara kepada developer ke lingkungan produksi untuk pemecahan masalah atau deployment.
Memberikan akses kepada engineer dukungan ke data pelanggan sensitif untuk tugas tertentu.
Memberikan hak istimewa yang ditingkatkan kepada administrator database untuk perubahan konfigurasi atau pemeliharaan.
Menerapkan hak istimewa terendah yang terperinci: Menetapkan peran administratif atau akses luas kepada semua pengguna dapat meningkatkan potensi serangan. Untuk mencegah hal ini, administrator dapat menetapkan peran permanen hak istimewa terendah dan menggunakan Privileged Access Manager untuk memberikan akses yang ditingkatkan sementara dan terikat waktu untuk tugas tertentu jika diperlukan. Administrator dapat membuat hak dengan kondisi berbasis tag dan mewajibkan pemohon untuk membuat permintaan pemberian akses dengan cakupan yang disesuaikan dan menarik pemberian akses setelah tugas selesai. Hal ini secara signifikan mengurangi peluang penyalahgunaan dan memperkuat prinsip akses "tepat waktu".
Mengotomatiskan persetujuan akses hak istimewa: Untuk meningkatkan efisiensi, Anda dapat mengonfigurasi akun layanan atau identitas agen sebagai pemberi persetujuan dalam pipeline DevOps. Akun ini dapat mengotomatiskan persetujuan terprogram dengan memvalidasi tiket langsung dari sistem ITSM, sehingga menghilangkan pemeriksaan manual yang lambat.
Membantu mengamankan akun layanan dan identitas agen: Daripada memberikan peran secara permanen ke akun layanan atau identitas agen, izinkan mereka untuk meningkatkan hak istimewa sendiri dan mengambil peran hanya jika diperlukan untuk tugas otomatis.
Mengurangi ancaman orang dalam dan penyalahgunaan yang tidak disengaja: Dengan persetujuan banyak pihak, Anda dapat menambahkan dua tingkat persetujuan dalam pengambilan keputusan. Hal ini mengurangi risiko yang terkait dengan satu administrator atau akun pemberi persetujuan yang disusupi yang menyetujui permintaan akses berbahaya.
Mengelola akses untuk kontraktor dan tenaga kerja tambahan: Memberikan akses sementara dan terikat waktu kepada kontraktor atau anggota tenaga kerja tambahan ke resource, dengan persetujuan dan justifikasi yang diperlukan.
Kemampuan dan batasan
Bagian berikut menjelaskan berbagai kemampuan dan batasan Privileged Access Manager.
Resource yang didukung
Privileged Access Manager mendukung pembuatan hak dan permintaan pemberian akses untuk project, folder, dan organisasi.
Jika ingin membatasi akses ke subset resource dalam project, folder, atau organisasi, Anda dapat menambahkan IAM Kondisi ke hak. Privileged Access Manager mendukung semua atribut kondisi yang didukung dalam binding peran kebijakan izinkan. Privileged Access Manager hanya mendukung layanan yang mendukung akses terperinci melalui IAM karena menggunakan kondisi IAM untuk mengelola akses sementara.
Peran yang didukung
Privileged Access Manager mendukung peran standar, peran khusus, dan peran Dasar Admin, Penulis, dan Pembaca Basic roles. Privileged Access Manager tidak mendukung peran dasar lama (Pemilik, Editor, dan Viewer).
Identitas yang didukung
Privileged Access Manager mendukung semua jenis identitas, termasuk Cloud Identity, Workforce Identity Federation, Workload Identity Federation, dan identitas agen.
Logging audit
Peristiwa Privileged Access Manager, seperti pembuatan hak, permintaan atau peninjauan pemberian akses, dicatat ke Cloud Audit Logs. Untuk mengetahui daftar lengkap peristiwa yang lognya dibuat oleh Privileged Access Manager, lihat dokumentasi logging audit Privileged Access Manager. Untuk mempelajari cara melihat log ini, lihat Mengaudit peristiwa hak dan pemberian akses di Privileged Access Manager.
Persetujuan multi-level dan multi-pihak
Administrator Privileged Access Manager dapat menyiapkan persetujuan multi-level dan multi-pihak. Hal ini berguna untuk kasus penggunaan yang melibatkan hal berikut:
- Operasi berisiko tinggi seperti mengubah infrastruktur penting atau mengakses data sensitif
- Menerapkan pemisahan tugas
- Mengotomatiskan proses persetujuan multi-level dalam alur kerja dinamis menggunakan akun layanan atau identitas agen sebagai pemberi persetujuan cerdas
Dengan fitur ini, administrator Privileged Access Manager dapat mewajibkan lebih dari satu tingkat persetujuan per hak, sehingga memungkinkan hingga dua tingkat persetujuan berurutan untuk setiap hak. Administrator dapat mewajibkan hingga lima persetujuan per tingkat. Untuk mengetahui informasi selengkapnya, lihat Membuat hak.
Penyesuaian cakupan
Pemohon dapat menyesuaikan cakupan permintaan pemberian akses mereka untuk hanya menyertakan peran dan resource tertentu yang mereka butuhkan dalam cakupan hak mereka. Untuk mengetahui informasi selengkapnya, lihat Meminta akses yang ditingkatkan sementara.
Persetujuan akun layanan dan identitas agen
Administrator Privileged Access Manager dapat mengaktifkan akun layanan dan identitas agen sebagai pemberi persetujuan yang memenuhi syarat. Hal ini memungkinkan administrator menambahkan akun layanan, identitas agen, dan identitas di kumpulan identitas beban kerja sebagai pemberi persetujuan saat membuat atau mengubah hak. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan Privileged Access Manager.
Dukungan pewarisan
Hak dan pemberian akses yang disiapkan di tingkat organisasi atau folder terlihat dari folder dan project turunannya di konsol. Google Cloud Pemohon dapat meminta akses ke resource turunan berdasarkan hak tersebut langsung dalam resource turunan tersebut. Untuk mengetahui informasi selengkapnya, lihat Meminta akses yang ditingkatkan sementara dengan Privileged Access Manager.
Penyesuaian preferensi notifikasi
Administrator setelan Privileged Access Manager dapat menyesuaikan preferensi notifikasi di seluruh resource untuk berbagai peristiwa Privileged Access Manager. Setelan ini memungkinkan administrator menonaktifkan notifikasi secara selektif untuk peristiwa dan persona tertentu, atau menonaktifkan semua notifikasi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan Privileged Access Manager.
Penjadwalan pemberian akses
Pemohon dapat menjadwalkan permintaan pemberian akses hingga tujuh hari sebelumnya. Hal ini membantu pemohon menyelaraskan akses dengan pemeliharaan yang direncanakan atau shift siaga dan mengurangi waktu yang mereka habiskan untuk menunggu persetujuan. Untuk mengetahui informasi selengkapnya, lihat Meminta akses yang ditingkatkan sementara.
Penarikan pemberian akses
Pemohon dapat menarik permintaan pemberian akses yang menunggu persetujuan atau dijadwalkan untuk aktivasi. Pemohon juga dapat mengakhiri pemberian akses aktif mereka saat tugas hak istimewa mereka selesai atau saat akses tidak lagi diperlukan. Organisasi dapat merekomendasikan hal ini sebagai praktik terbaik untuk membatasi durasi akses hak istimewa hanya pada waktu yang aktif diperlukan. Untuk mengetahui informasi selengkapnya, lihat Menarik pemberian akses.
Retensi pemberian akses
Pemberian akses akan otomatis dihapus dari Privileged Access Manager 30 hari setelah ditolak, dicabut, ditarik, berakhir masa berlakunya, atau diakhiri. Log untuk pemberian akses disimpan di Cloud Audit Logs selama
durasi retensi log bucket _Required.
Untuk mempelajari cara melihat log ini, lihat
Mengaudit peristiwa hak dan pemberian akses di Privileged Access Manager.
Privileged Access Manager dan modifikasi kebijakan IAM
Privileged Access Manager mengelola akses sementara dengan menambahkan dan menghapus binding peran dari kebijakan IAM resource. Jika binding peran ini diubah oleh sesuatu selain Privileged Access Manager, Privileged Access Manager mungkin tidak berfungsi seperti yang diharapkan.
Untuk menghindari masalah ini, sebaiknya lakukan hal berikut:
- Jangan ubah binding peran yang dikelola oleh Privileged Access Manager secara manual.
- Jika Anda menggunakan Terraform untuk mengelola kebijakan IAM, pastikan Anda menggunakan resource non-otoritatif bukan resource otoritatif. Hal ini membantu memastikan bahwa Terraform tidak akan mengganti binding peran Privileged Access Manager, meskipun tidak ada dalam konfigurasi kebijakan IAM deklaratif.
Notifikasi
Privileged Access Manager dapat memberi tahu Anda tentang berbagai peristiwa yang terjadi di Privileged Access Manager seperti yang dijelaskan di bagian berikut.
Notifikasi email
Privileged Access Manager mengirimkan notifikasi email kepada pemangku kepentingan yang relevan untuk perubahan hak dan pemberian akses. Kumpulan penerima adalah sebagai berikut:
Pemohon yang memenuhi syarat untuk hak:
- Alamat email pengguna dan grup Cloud Identity yang ditentukan sebagai pemohon dalam hak.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
Google Cloud konsol, alamat email ini tercantum di kolom
Penerima email pemohon
di bagian Tambahkan pemohon. Saat menggunakan gcloud CLI atau REST API, alamat email ini tercantum di kolom
requesterEmailRecipients.
Pemberi persetujuan pemberian akses untuk hak:
- Alamat email pengguna dan grup Cloud Identity yang ditentukan sebagai pemberi persetujuan di tingkat persetujuan.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
Google Cloud konsol, alamat email ini tercantum di kolom
Penerima email persetujuan di bagian
Tambahkan pemberi persetujuan. Saat menggunakan gcloud CLI atau REST API, alamat email ini tercantum di kolom
approverEmailRecipientslangkah alur kerja persetujuan.
Administrator hak:
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
Google Cloud konsol, alamat email ini tercantum di kolom
Penerima email admin field
di bagian Detail hak
section. Saat menggunakan gcloud CLI atau REST API, alamat email ini tercantum di kolom
adminEmailRecipients.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
Google Cloud konsol, alamat email ini tercantum di kolom
Penerima email admin field
di bagian Detail hak
section. Saat menggunakan gcloud CLI atau REST API, alamat email ini tercantum di kolom
Pemohon pemberian akses:
- Alamat email pemohon pemberian akses jika mereka adalah pengguna Cloud Identity.
- Alamat email tambahan yang ditambahkan oleh pemohon saat meminta pemberian akses: Saat menggunakan konsol Google Cloud , alamat email ini tercantum
di kolom Alamat email tambahan. Saat menggunakan gcloud CLI atau REST API, alamat email ini tercantum di kolom
additionalEmailRecipients.
Privileged Access Manager mengirimkan email ke alamat email ini untuk peristiwa berikut:
| Penerima | Peristiwa |
|---|---|
| Pemohon yang memenuhi syarat untuk hak | Saat hak ditetapkan dan tersedia untuk digunakan oleh pemohon |
| Pemberi persetujuan pemberian akses untuk hak | Saat pemberian akses diminta dan memerlukan persetujuan |
| Pemohon pemberian akses |
|
| Administrator hak |
|
Notifikasi Pub/Sub
Privileged Access Manager terintegrasi dengan Cloud Asset Inventory.
Anda dapat menggunakan fitur feed Cloud Asset Inventory
untuk menerima notifikasi tentang semua perubahan pemberian akses melalui
Pub/Sub. Jenis aset yang akan digunakan untuk pemberian akses adalah privilegedaccessmanager.googleapis.com/Grant.