אם הכלי להמלצות של IAM מזהה שלחשבון משתמש יש הרשאות מוגזמות, אפשר לתקן את הממצא על ידי העברת הקישור הקבוע של התפקיד של חשבון המשתמש להרשאת גישה זמנית לפי דרישה ב-Privileged Access Manager (PAM).
הגישה הזו מאפשרת לכם להשיג מצב של הרשאות מינימליות בלי הסיכון של ביטול קבוע של גישה שעשויה להידרש למשימות לא תדירות אבל קריטיות.
לפני שמתחילים
- מוודאים ש-Privileged Access Manager הוגדר והופעל עבור המשאב (פרויקט, תיקייה או ארגון) שבו התפקיד מוקצה.
- מוודאים שיש את ההרשאות הנדרשות כדי להשלים את ההדרכה.
תפקידים והרשאות נדרשים
כדי לקבל את ההרשאות שדרושות לביצוע המשימות במדריך הזה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט Google Cloud :
-
כדי לראות את ההמלצות לתפקידים:
- אדמין IAM של שירות ההמלצות (
roles/recommender.iamAdmin) - צפייה בהמלצות IAM (
roles/recommender.iamViewer)
- אדמין IAM של שירות ההמלצות (
-
כדי ליצור הרשאות ב-Privileged Access Manager (PAM):
- אדמין של Privileged Access Manager (
roles/privilegedaccessmanager.admin) - אדמין IAM בפרויקט (
roles/resourcemanager.projectIamAdmin)
- אדמין של Privileged Access Manager (
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות כדי לבצע את המשימות שמוסברות במדריך הזה. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי לבצע את המשימות במדריך הזה, נדרשות ההרשאות הבאות:
-
כדי לראות את ההמלצות לתפקידים:
-
recommender.iamPolicyInsights.list -
recommender.iamPolicyRecommendations.list -
resourcemanager.projects.get
-
-
כדי ליצור הרשאות PAM:
-
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.locations.get -
resourcemanager.projects.get -
resourcemanager.projects.setIamPolicy
-
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
העברת תפקיד להרשאת גישה ב-Privileged Access Manager
כשמעבירים תפקיד להרשאה ב-Privileged Access Manager, הכלי להמלצות ב-IAM מתאם עם Privileged Access Manager כדי ליצור הרשאה ולהסיר את קישור התפקיד הקבוע המקורי. אפשר לעשות את זה בדף תובנות לגבי אבטחה או בדף IAM במסוף Google Cloud .
תובנות בנושא אבטחה
כדי להעביר תפקיד מהדף תובנות לגבי אבטחה, מבצעים את הפעולות הבאות:
במסוף Google Cloud , נכנסים לדף IAM & Admin > Security Insights.
מחפשים את הווידג'ט Top groups with excess permissions (הקבוצות המובילות עם הרשאות עודפות).
בעמודה תובנות, לוחצים על הקישור שמתאים לקבוצה שרוצים לתקן את ההרשאות שלה.
לצד סוג התובנה שרוצים לטפל בה, לוחצים על הצגת המלצה.
בדף סקירה כללית, בוחרים באפשרות הסרת התפקיד והענקת גישה לתפקיד לפי דרישה.
כדי ליצור הרשאה עם התפקיד הנדרש, מזינים את הפרטים הנדרשים ולוחצים על אישור. השדות תפקיד ומשאב בטופס מאוכלסים מראש על סמך ההמלצה. ברירת המחדל של משך הזמן היא 8 שעות. הוראות מפורטות זמינות במאמר יצירת הרשאות.
מערכת Privileged Access Manager יוצרת הרשאה חדשה על סמך ההגדרה שלכם ומסירה את קישור התפקיד הקבוע ממדיניות ההרשאה של המשאב.
השינויים בהרשאות הגישה נכנסים לתוקף תוך דקה עד שתי דקות.
IAM
כדי להעביר תפקיד מהדף IAM, מבצעים את הפעולות הבאות:
נכנסים לדף IAM במסוף Google Cloud .
ברשימת חשבונות המשתמש, מאתרים את הקבוצה שרוצים לתקן את ההרשאות שלה.
כדי לראות המלצות לגבי הגורם המורשה הזה, לוחצים על התובנה בעמודה תובנות בנושא אבטחה.
בדף סקירה כללית, בוחרים באפשרות הסרת התפקיד והענקת גישה לתפקיד לפי דרישה.
כדי ליצור הרשאה עם התפקיד הנדרש, מזינים את הפרטים הנדרשים ולוחצים על אישור. השדות תפקיד ומשאב בטופס מאוכלסים מראש על סמך ההמלצה. ברירת המחדל של משך הזמן היא 8 שעות. הוראות מפורטות זמינות במאמר יצירת הרשאות.
Privileged Access Manager יוצר זכאות חדשה על סמך ההגדרה שלכם ומסיר את קישור התפקיד הקבוע ממדיניות ההרשאה של המשאב.
השינויים בהרשאות הגישה נכנסים לתוקף תוך דקה עד שתי דקות.
ביטול המלצה
במאמר ביטול המלצות מוסבר איך מבטלים המלצות.
אחרי שמבטלים את ההמלצה, המערכת משחזרת את ה-IAM binding המקורי ומוחקת את ההרשאה שנוצרה ב-Privileged Access Manager.