Corriger les autorisations excessives avec Privileged Access Manager

Si l'outil de recommandation IAM identifie qu'un compte principal dispose d'autorisations excessives, vous pouvez résoudre le problème en transférant la liaison de rôle permanente du compte principal vers un droit d'accès temporaire à la demande dans Privileged Access Manager (PAM).

Cette approche vous permet d'adopter une posture de moindre privilège sans risquer de révoquer définitivement un accès qui pourrait être nécessaire pour des tâches critiques, mais peu fréquentes.

Avant de commencer

  1. Assurez-vous que Privileged Access Manager est intégré et activé pour la ressource (projet, dossier ou organisation) à laquelle le rôle est accordé.
  2. Vérifiez que vous disposez des autorisations requises pour suivre les instructions de ce guide.

Rôles et autorisations nécessaires

Pour obtenir les autorisations nécessaires pour effectuer les tâches de ce guide, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet Google Cloud  :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour effectuer les tâches décrites dans ce guide. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Vous devez disposer des autorisations suivantes pour effectuer les tâches décrites dans ce guide :

  • Pour afficher les recommandations de rôle :
    • recommender.iamPolicyInsights.list
    • recommender.iamPolicyRecommendations.list
    • resourcemanager.projects.get
  • Pour créer des droits d'accès PAM :
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.locations.list
    • privilegedaccessmanager.locations.get
    • resourcemanager.projects.get
    • resourcemanager.projects.setIamPolicy

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Transformer un rôle en droit d'accès Privileged Access Manager

Lorsque vous migrez un rôle vers un droit Privileged Access Manager, le service de recommandation IAM coordonne la création d'un droit avec Privileged Access Manager et supprime la liaison de rôle permanente d'origine. Vous pouvez le faire depuis la page Informations sur la sécurité ou la page IAM de la console Google Cloud .

Insights sur la sécurité

Pour transférer un rôle depuis la page Security Insights :

  1. Dans la console Google Cloud , accédez à la page IAM et administration>Insights sur la sécurité.

    Accéder à "Informations sur la sécurité"

  2. Localisez le widget Principaux groupes disposant d'autorisations en excès.

  3. Pour le groupe dont vous souhaitez corriger les autorisations, cliquez sur le lien correspondant dans la colonne Insights.

  4. Pour le type d'insight que vous souhaitez traiter, cliquez sur Afficher la recommandation.

  5. Sur la page Vue d'ensemble, sélectionnez Supprimer le rôle et accorder un accès à la demande au rôle.

  6. Pour créer un droit d'accès avec le rôle requis, saisissez les informations nécessaires, puis cliquez sur Appliquer. Les champs Rôle et Ressource du formulaire sont préremplis en fonction de la recommandation. La durée est définie par défaut sur huit heures. Pour obtenir des instructions détaillées, consultez Créer des droits d'accès.

    Privileged Access Manager crée un droit d'accès en fonction de votre configuration et supprime la liaison de rôle permanente de la stratégie d'autorisation de la ressource.

    La prise en compte des modifications d'accès prend une à deux minutes.

IAM

Pour transférer un rôle depuis la page IAM :

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Dans la liste des comptes principaux, recherchez le groupe pour lequel vous souhaitez corriger les autorisations.

  3. Pour afficher les recommandations concernant ce principal de groupe, cliquez sur l'insight dans la colonne Insights sur la sécurité.

  4. Sur la page Vue d'ensemble, sélectionnez Supprimer le rôle et accorder un accès à la demande au rôle.

  5. Pour créer un droit d'accès avec le rôle requis, saisissez les informations nécessaires, puis cliquez sur Appliquer. Les champs Rôle et Ressource du formulaire sont préremplis en fonction de la recommandation. La durée est définie par défaut sur huit heures. Pour obtenir des instructions détaillées, consultez Créer des droits d'accès.

    Privileged Access Manager crée un droit d'accès en fonction de votre configuration et supprime la liaison de rôle permanente de la stratégie d'autorisation de la ressource.

    La prise en compte des modifications d'accès prend une à deux minutes.

Rétablir une recommandation

Pour rétablir une recommandation, consultez Rétablir des recommandations.

Une fois la recommandation annulée, le système restaure la liaison IAM d'origine et supprime le droit d'accès Privileged Access Manager créé.

Étapes suivantes