您可以使用 Privileged Access Manager (PAM),為特定主體即時提升特殊權限,並在事後查看稽核記錄,瞭解哪些人曾存取哪些資源,以及存取時間。
如要允許暫時提升權限,請在 Privileged Access Manager 建立授權,並新增下列屬性:
一組可要求授權的主體。
是否需要提供授權理由。
授權的持續時間上限。
選用:要求是否需要特定主體核准,以及這些主體是否需要提供核准理由。
選用:要接收重要事件通知的其他利害關係人,例如補助金和待核准事項。
已新增為授權要求者的主體可以要求該授權的權限。如果成功,系統會授予權利中列出的角色,直到授權期限結束為止,之後 Privileged Access Manager 會撤銷這些角色。
用途
如要有效使用 Privileged Access Manager,請先找出特定用途和情境,瞭解這項服務如何滿足貴機構的需求。根據這些用途、必要需求和控制選項,調整 Privileged Access Manager 授權。這包括繪製使用者、角色、資源和時長,以及任何必要的理由和核准。
雖然 Privileged Access Manager 可做為一般最佳做法,用來授予臨時而非永久權限,但以下列舉幾種常見的使用情境:
授予緊急存取權:允許特定緊急應變人員執行重要工作,無須等待核准。您可以強制要求提供事由,說明為何需要緊急存取權。
控管敏感資源的存取權:嚴格控管敏感資源的存取權,要求核准和業務正當性。您也可以使用 Privileged Access Manager 稽核這項存取權的使用方式,例如:使用者獲得的角色何時生效、這段期間可存取哪些資源、存取權的理由,以及核准者。
舉例來說,您可以使用 Privileged Access Manager 執行下列操作:
授予開發人員實際工作環境的臨時存取權,以進行疑難排解或部署作業。
授予支援工程師特定工作所需的機密客戶資料存取權。
授予資料庫管理員進階權限,以進行維護或設定變更。
實作精細的最低權限:為所有使用者指派管理員角色或廣泛存取權,可能會擴大攻擊面。為避免發生這種情況,管理員可以指派最低權限的永久角色,並在需要時使用 Privileged Access Manager,為特定工作提供有時間限制的暫時性提升權限。管理員可以建立具有標記條件的授權,並強制要求者建立具有自訂範圍的授權要求,以及在工作完成後撤銷授權。這可大幅減少濫用機會,並強化「即時」存取原則。
自動核准特殊存取權:為提升效率,您可以在 DevOps 管道中將服務帳戶設為核准者。這些帳戶可直接從 ITSM 系統驗證單據,自動完成程式輔助核准程序,省去緩慢的手動檢查。
協助保護服務帳戶:不要永久授予服務帳戶角色,而是允許服務帳戶自行提升權限,並僅在自動化工作需要時擔任角色。
防範內部威脅和誤用情形:透過多方核准機制,您可以在決策過程中新增兩層核准程序。這樣可降低風險,避免單一管理員或遭入侵的核准者帳戶核准惡意存取要求。
管理約聘人員和延伸工作團隊的存取權:授予約聘人員或延伸工作團隊成員臨時存取資源的權限,並要求他們提出核准和理由。
功能和限制
以下各節說明 Privileged Access Manager 的不同功能和限制。
支援的資源
Privileged Access Manager 支援建立授權,以及要求專案、資料夾和機構的授予項目。
如要限制存取專案、資料夾或機構中的部分資源,可以為授權新增 IAM 條件。特殊存取權管理員支援允許政策角色繫結中支援的所有條件屬性。
支援的角色
Privileged Access Manager 支援預先定義的角色、自訂角色,以及管理員、撰寫者和讀者等基本角色。Privileged Access Manager 不支援舊版基本角色 (擁有者、編輯者和檢視者)。
支援的 ID
Privileged Access Manager 支援所有類型的身分,包括 Cloud Identity、員工身分聯盟和 Workload Identity Federation。
稽核記錄
Privileged Access Manager 事件 (例如建立授權、申請或審查授權) 會記錄在 Cloud 稽核記錄中。如要查看 Privileged Access Manager 產生記錄的完整事件清單,請參閱 Privileged Access Manager 稽核記錄文件。如要瞭解如何查看這些記錄,請參閱在 Privileged Access Manager 中稽核授權和授予事件。
多層級和多方核准
Privileged Access Manager 管理員可以設定多層級和多方核准。這項功能適用於下列用途:
- 高風險作業,例如修改重要基礎架構或存取敏感資料
- 強制執行職責劃分
- 在動態工作流程中,使用服務帳戶做為智慧型核准者,自動執行多層級核准程序
透過這項功能,Privileged Access Manager 管理員可以為每個授權設定多個核准層級,每個授權最多可有兩個層級的連續核准。管理員最多可為每個層級設定五個核准者。詳情請參閱「建立授權」。
自訂範圍
要求者可以自訂授權要求範圍,只納入授權範圍內所需的特定角色和資源。詳情請參閱「要求暫時提升存取權」。
服務帳戶核准
Privileged Access Manager 管理員可以啟用服務帳戶,使其成為合格的核准者。管理員建立或修改授權時,可以新增服務帳戶和工作負載身分集區中的身分做為核准者。詳情請參閱「設定 Privileged Access Manager 設定」。
繼承支援
在機構或資料夾層級設定的權利和授權,會顯示在 Google Cloud 控制台的子代資料夾和專案中。要求者可根據這些權利,直接在子資源中要求存取權。詳情請參閱「透過 Privileged Access Manager 要求暫時提升存取權」。
自訂通知偏好設定
Privileged Access Manager 設定管理員可以自訂各種 Privileged Access Manager 事件的資源層級通知偏好設定。管理員可以透過這些設定,選擇性停用特定事件和特定角色的通知,或停用所有通知。詳情請參閱「設定 Privileged Access Manager 設定」。
撤銷授權
如果要求待核准,要求者可以撤銷授予要求;如果要求已核准,要求者可以在完成具權限的工作或不再需要存取權時,終止授予要求。機構可以建議這項最佳做法,將具備特殊權限的存取時間限制在實際需要時。詳情請參閱「撤銷授權」。
保留授權
如果授權遭拒、撤銷、撤回、過期或終止,系統會在 30 天後自動從 Privileged Access Manager 刪除授權。授權記錄會保留在 Cloud 稽核記錄中,保留時間為bucket 的記錄保留期限。_Required如要瞭解如何查看這些記錄,請參閱在 Privileged Access Manager 中稽核授權和授予事件。
Privileged Access Manager 和 IAM 政策修改
Privileged Access Manager 會在資源的 IAM 政策中新增和移除角色繫結,藉此管理暫時存取權。如果這些角色繫結是由 Privileged Access Manager 以外的項目修改,Privileged Access Manager 可能無法正常運作。
為避免發生這種問題,建議採取下列做法:
- 請勿手動修改 Privileged Access Manager 管理的角色繫結。
- 如果您使用 Terraform 管理 IAM 政策,請務必使用非授權資源,而非授權資源。這有助於確保 Terraform 不會覆寫 Privileged Access Manager 角色繫結,即使這些繫結不在宣告式 IAM 政策設定中也一樣。
通知
如以下各節所述,Privileged Access Manager 可在發生各種事件時通知您。
電子郵件通知
Privileged Access Manager 會傳送電子郵件給相關人員,告知授權和授權項目異動。收件者組合如下:
權利適用的要求者:
- 在權利中指定為要求者的 Cloud Identity 使用者和群組的電子郵件地址。
- 授權中手動設定的電子郵件地址:使用Google Cloud 控制台時,這些電子郵件地址會列在「新增要求者」部分的「要求者電子郵件收件者」欄位中。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在
requesterEmailRecipients欄位中。
授予權益核准者:
- 在核准層級中指定為核准者的 Cloud Identity 使用者和群組電子郵件地址。
- 授權中手動設定的電子郵件地址:使用Google Cloud 控制台時,這些電子郵件地址會列在「新增核准者」部分的「核准電子郵件收件者」欄位中。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在核准工作流程步驟的
approverEmailRecipients欄位中。
授權管理員:
- 授權中手動設定的電子郵件地址:使用Google Cloud 控制台時,這些電子郵件地址會列在「授權詳細資料」部分的「管理員電子郵件收件者」欄位中。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在
adminEmailRecipients欄位中。
- 授權中手動設定的電子郵件地址:使用Google Cloud 控制台時,這些電子郵件地址會列在「授權詳細資料」部分的「管理員電子郵件收件者」欄位中。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在
授權要求者:
- 授權要求者的電子郵件地址 (如果對方是 Cloud Identity 使用者)。
- 要求者在要求授權時新增的其他電子郵件地址:使用 Google Cloud 控制台時,這些電子郵件地址會列在「額外電子郵件地址」欄位中。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在
additionalEmailRecipients欄位中。
Privileged Access Manager 會在發生下列事件時,傳送電子郵件至這些電子郵件地址:
| 收件者 | 事件 |
|---|---|
| 符合資格的授權要求者 | 授權指派給要求者並開放使用時 |
| 授予授權的核准者 | 要求授予項目,且需要核准時 |
| 授權要求者 |
|
| 授權管理員 |
|
Pub/Sub 通知
Privileged Access Manager 已與 Cloud Asset Inventory 整合。
您可以使用 Cloud Asset Inventory 資訊串流功能,透過 Pub/Sub 接收所有授權變更的通知。授權使用的資產類型為 privilegedaccessmanager.googleapis.com/Grant。