Pode usar o Gestor de acesso privilegiado (PAM) para controlar a elevação de privilégios temporários imediatos para determinados responsáveis e ver os registos de auditoria posteriormente para saber quem teve acesso a quê e quando.
Para permitir a elevação temporária, crie uma autorização no Gestor de acesso privilegiado e adicione-lhe os seguintes atributos:
Um conjunto de principais que têm autorização para pedir uma concessão contra a autorização.
Se é necessária uma justificação para essa concessão.
Um conjunto de funções a conceder temporariamente. As condições de IAM podem ser definidas nas funções.
A duração máxima de uma subvenção.
Opcional: se os pedidos precisam de aprovação de um conjunto selecionado de responsáveis e se esses responsáveis têm de justificar a respetiva aprovação.
Opcional: partes interessadas adicionais a serem notificadas sobre eventos importantes, como concessões e aprovações pendentes.
Um principal que tenha sido adicionado como requerente a uma concessão pode pedir uma concessão contra essa concessão. Se for bem-sucedido, são-lhe concedidas as funções indicadas na autorização até ao final da duração da concessão, após o qual as funções são revogadas pelo Gestor de acesso privilegiado.
Exemplos de utilização
Para usar eficazmente o Gestor de acesso privilegiado, comece por identificar exemplos de utilização específicos e cenários em que pode satisfazer as necessidades da sua organização. Personalize as suas autorizações do gestor de acesso privilegiado com base nestes exemplos de utilização e nos requisitos e controlos necessários. Isto envolve o mapeamento dos utilizadores, das funções, dos recursos e das durações envolvidas, juntamente com as justificações e as aprovações necessárias.
Embora o Gestor de acesso privilegiado possa ser usado como uma prática recomendada geral para conceder privilégios temporários em vez de permanentes, seguem-se alguns cenários em que pode ser usado com frequência:
Conceda acesso de emergência: permita que determinados contactos de resposta a emergências realizem tarefas críticas sem ter de aguardar aprovação. Pode exigir justificações para contexto adicional sobre o motivo pelo qual o acesso de emergência é necessário.
Controlar o acesso a recursos confidenciais: controlar rigorosamente o acesso a recursos confidenciais, exigindo aprovações e justificações empresariais. O Gestor de acesso privilegiado também pode ser usado para auditar a forma como este acesso foi usado, por exemplo, quando as funções concedidas estavam ativas para um utilizador, que recursos estavam acessíveis durante esse período, a justificação para o acesso e quem o aprovou.
Por exemplo, pode usar o Gestor de acesso privilegiado para fazer o seguinte:
Conceder aos programadores acesso temporário a ambientes de produção para resolução de problemas ou implementações.
Conceder aos engenheiros de apoio técnico acesso a dados de clientes confidenciais para tarefas específicas.
Conceder aos administradores da base de dados privilégios elevados para manutenção ou alterações de configuração.
Implemente o princípio do privilégio mínimo granular: a atribuição de funções administrativas ou o acesso amplo a todos os utilizadores pode aumentar a superfície de ataque. Para evitar esta situação, os administradores podem atribuir funções permanentes com o mínimo de privilégios e usar o Gestor de acesso privilegiado para fornecer acesso elevado temporário e limitado no tempo para tarefas específicas quando necessário. Os administradores podem criar autorizações com condições baseadas em etiquetas e obrigar os requerentes a criar pedidos de concessão com âmbito personalizado e revogar concessões após a conclusão da tarefa. Isto reduz significativamente as oportunidades de utilização indevida e reforça o princípio do acesso "just-in-time".
Automatize as aprovações de acesso privilegiado: para melhorar a eficiência, pode configurar contas de serviço como aprovadores nos seus pipelines de DevOps. Estas contas podem automatizar as aprovações programáticas através da validação de pedidos diretamente a partir de sistemas ITSM, eliminando assim as verificações manuais lentas.
Ajude a proteger as contas de serviço: em vez de conceder funções permanentemente às contas de serviço, permita que as contas de serviço se elevem automaticamente e assumam funções apenas quando necessário para tarefas automatizadas.
Mitigue ameaças internas e utilização indevida acidental: com as aprovações de várias partes, pode adicionar dois níveis de aprovações na tomada de decisões. Isto reduz o risco associado a um único administrador ou a uma conta de aprovador comprometida que aprove um pedido de acesso malicioso.
Faça a gestão do acesso para subcontratados e equipas alargadas: conceda aos subcontratados ou aos membros da equipa alargada acesso temporário e limitado no tempo aos recursos, com aprovações e justificações necessárias.
Capacidades e limitações
As secções seguintes descrevem as diferentes capacidades e limitações do Gestor de acesso privilegiado.
Recursos suportados
O Privileged Access Manager suporta a criação de autorizações e o pedido de concessões para projetos, pastas e organizações.
Se quiser limitar o acesso a um subconjunto de recursos num projeto, numa pasta ou numa organização, pode adicionar condições do IAM à autorização. O Privileged Access Manager suporta todos os atributos de condição suportados em associações de funções de políticas de autorização.
Funções suportadas
O Gestor de acesso privilegiado suporta funções predefinidas, funções personalizadas e as funções básicas de administrador, escritor e leitor. O Gestor de acesso privilegiado não suporta funções básicas antigas (proprietário, editor e leitor).
Identidades suportadas
O Privileged Access Manager suporta todos os tipos de identidades, incluindo o Cloud ID, a federação de identidade da força de trabalho e a federação de identidade da carga de trabalho.
Registo de auditoria
Os eventos do Privileged Access Manager, como a criação de autorizações, a requisição ou a revisão de concessões, são registados nos registos de auditoria do Cloud. Para ver uma lista completa dos eventos para os quais o Privileged Access Manager gera registos, consulte a documentação de registo de auditoria do Privileged Access Manager. Para saber como ver estes registos, consulte o artigo Audite eventos de concessão e autorização no Privileged Access Manager.
Aprovações de vários níveis e várias partes
Os administradores do Gestor de acesso privilegiado podem configurar aprovações de vários níveis e várias partes. Isto é útil para exemplos de utilização que envolvem o seguinte:
- Operações de alto risco, como modificar infraestruturas críticas ou aceder a dados confidenciais
- Aplicação da segregação de funções
- Automatizar processos de aprovação de vários níveis em fluxos de trabalho dinâmicos usando contas de serviço como aprovadores inteligentes
Com esta funcionalidade, os administradores do Gestor de acesso privilegiado podem exigir mais do que um nível de aprovação por direito de utilização, o que permite até dois níveis de aprovações sequenciais para cada direito de utilização. Os administradores podem exigir até cinco aprovações por nível. Para mais informações, consulte Crie autorizações.
Personalização do âmbito
Os requerentes podem personalizar o âmbito dos respetivos pedidos de concessão para incluir apenas as funções e os recursos específicos de que precisam no âmbito da respetiva autorização. Para mais informações, consulte o artigo Peça acesso elevado temporário.
Aprovações de contas de serviço
Os administradores do Gestor de acesso privilegiado podem ativar as contas de serviço como aprovadores elegíveis. Isto permite que os administradores adicionem contas de serviço e identidades em pools de identidades da carga de trabalho como aprovadores quando criam ou modificam autorizações. Para mais informações, consulte o artigo Configure as definições do Gestor de acesso privilegiado.
Apoio técnico para heranças
As autorizações e as concessões configuradas ao nível da organização ou da pasta são visíveis nas respetivas pastas e projetos descendentes na Google Cloud consola. Os requerentes podem pedir acesso aos recursos secundários com base nessas autorizações diretamente nesses recursos secundários. Para mais informações, consulte o artigo Peça acesso elevado temporário com o Gestor de acesso privilegiado.
Personalização das preferências de notificação
Os administradores das definições do Gestor de acesso privilegiado podem personalizar as preferências de notificação ao nível do recurso para vários eventos do Gestor de acesso privilegiado. Estas definições permitem aos administradores desativar seletivamente as notificações para eventos específicos e personas específicas, ou desativar todas as notificações. Para mais informações, consulte o artigo Configure as definições do Gestor de acesso privilegiado.
Retirada de concessão
Os requerentes podem revogar pedidos de concessão pendentes de aprovação ou terminar as concessões ativas quando a respetiva tarefa privilegiada estiver concluída ou quando o acesso já não for necessário. As organizações podem recomendar esta opção como prática recomendada para limitar a duração do acesso privilegiado apenas ao tempo em que é ativamente necessário. Para mais informações, consulte o artigo Retire concessões.
Retenção de concessões
As concessões são eliminadas automaticamente do Gestor de acesso privilegiado 30 dias após serem recusadas, revogadas, retiradas, expiradas ou terminadas. Os registos de concessões são mantidos nos registos de auditoria do Cloud durante a
duração da retenção de registos do contentor _Required.
Para saber como ver estes registos, consulte o artigo
Audite eventos de concessão e autorização no Gestor de acesso privilegiado.
Modificações do gestor de acesso privilegiado e da política de IAM
O Gestor de acesso privilegiado gere o acesso temporário adicionando e removendo associações de funções das políticas de IAM dos recursos. Se estas associações de funções forem modificadas por algo que não seja o Privileged Access Manager, o Privileged Access Manager pode não funcionar como esperado.
Para evitar este problema, recomendamos que faça o seguinte:
- Não modifique manualmente as associações de funções geridas pelo Privileged Access Manager.
- Se usar o Terraform para gerir as suas políticas de IAM, certifique-se de que está a usar recursos não autorizados em vez de recursos autorizados. Isto ajuda a garantir que o Terraform não substitui associações de funções do Gestor de acesso privilegiado, mesmo que não estejam na configuração declarativa da política de IAM.
Notificações
O Gestor de acesso privilegiado pode enviar-lhe notificações sobre vários eventos que ocorrem no Gestor de acesso privilegiado, conforme descrito nas secções seguintes.
Notificações por email
O Privileged Access Manager envia notificações por email às partes interessadas relevantes para alterações de concessão e autorização. Os conjuntos de destinatários são os seguintes:
Requerentes elegíveis de uma concessão:
- Endereços de email de utilizadores do Cloud ID e grupos especificados como requerentes na autorização.
- Endereços de email configurados manualmente na autorização: quando usa aGoogle Cloud consola, estes endereços de email são apresentados no campo Destinatários de email do requerente na secção Adicionar requerentes. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
requesterEmailRecipients.
Conceda aprovadores para uma autorização:
- Endereços de email de utilizadores e grupos do Cloud ID especificados como aprovadores no nível de aprovação.
- Endereços de email configurados manualmente na autorização: quando usa a
Google Cloud consola, estes endereços de email são apresentados no campo
Destinatários do email de aprovação na secção
Adicionar aprovadores. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
approverEmailRecipientsdos passos do fluxo de trabalho de aprovação.
Administrador da concessão:
- Endereços de email configurados manualmente na autorização: quando usa aGoogle Cloud consola, estes endereços de email são apresentados no campo Destinatários de email de administrador na secção Detalhes da autorização. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
adminEmailRecipients.
- Endereços de email configurados manualmente na autorização: quando usa aGoogle Cloud consola, estes endereços de email são apresentados no campo Destinatários de email de administrador na secção Detalhes da autorização. Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
Requerente de uma subvenção:
- Endereço de email do requerente da concessão, se for um utilizador do Cloud ID.
- Endereços de email adicionais adicionados pelo requerente ao pedir a concessão: quando usa a consola, estes endereços de email são apresentados no campo Endereços de email adicionais. Google Cloud Quando usa a CLI gcloud ou a API REST, estes endereços de email são apresentados no campo
additionalEmailRecipients.
O Privileged Access Manager envia emails para estes endereços de email para os seguintes eventos:
| Destinatários | Evento |
|---|---|
| Requerentes elegíveis de uma concessão | Quando a concessão é atribuída e está disponível para utilização pelo requerente |
| Conceda aprovadores para uma concessão | Quando é pedida uma concessão e esta requer aprovação |
| Requerente de uma subvenção |
|
| Administrador da concessão |
|
Notificações do Pub/Sub
O Privileged Access Manager está integrado com o Cloud Asset Inventory.
Pode usar a funcionalidade Feeds do Cloud Asset Inventory
para receber notificações sobre todas as alterações de concessão através do
Pub/Sub. O tipo de recurso a usar para concessões é
privilegedaccessmanager.googleapis.com/Grant.