É possível usar o Privileged Access Manager (PAM) para controlar a elevação temporária de privilégios no momento certo para principais e conferir os registros de auditoria para descobrir quem teve acesso a quê e quando.
Para permitir a elevação temporária, crie um direito de acesso no Privileged Access Manager e adicione os seguintes atributos:
Um conjunto de principais que podem solicitar uma concessão para o direito de acesso.
Se uma justificativa é necessária para essa concessão.
Um conjunto de papéis para fazer uma concessão temporária. As condições do IAM podem ser definidas nos papéis.
A duração máxima de uma concessão.
Opcional: se as solicitações precisam de aprovação de um conjunto selecionado de principais e se eles precisam justificar a aprovação.
Opcional: outras partes interessadas que serão notificadas sobre eventos importantes, como concessões e aprovações pendentes.
Um principal que foi adicionado como solicitante a um direito pode solicitar uma concessão. Se for bem-sucedido, as funções listadas no direito de acesso serão concedidas até o final da duração do direito, e após as funções serão revogadas pelo Privileged Access Manager.
Casos de uso
Para usar o Privileged Access Manager de maneira eficaz, comece identificando casos de uso e cenários específicos em que ele pode atender às necessidades da sua organização. Personalize os direitos de acesso do Privileged Access Manager com base nesses casos de uso e nos requisitos e nos controles necessários. Isso envolve mapear os usuários, papéis, recursos e durações envolvidos, além de todas as justificativas e aprovações necessárias.
Embora o Privileged Access Manager possa ser usado como uma prática recomendada geral para conceder privilégios temporários em vez de permanentes, confira alguns cenários em que ele pode ser usado com frequência:
Conceder acesso de emergência: permite que equipes de emergência selecionadas realizem tarefas críticas sem precisar esperar pela aprovação. É possível exigir justificativas para mais contexto sobre por que o acesso de emergência é necessário.
Controle de acesso a recursos sensíveis: controle com rigor o acesso a recursos sensíveis, exigindo aprovações e justificativas comerciais. O Privileged Access Manager também pode ser usado para auditar como esse acesso foi usado. Por exemplo, quando os papéis concedidos estavam ativos para um usuário, quais recursos estavam acessíveis durante esse período, a justificativa para o acesso e quem o aprovou.
Por exemplo, é possível usar o Privileged Access Manager para fazer o seguinte:
Conceder aos desenvolvedores acesso temporário a ambientes de produção para resolver problemas ou fazer implantações.
Conceder aos engenheiros de suporte acesso a dados sensíveis do cliente para tarefas específicas.
Conceder privilégios elevados aos administradores do banco de dados para manutenção ou mudanças de configuração.
Implemente o princípio de privilégio mínimo granular: atribuir funções administrativas ou acesso amplo a todos os usuários pode aumentar a superfície de ataque. Para evitar isso, os administradores podem atribuir funções permanentes de privilégio mínimo e usar o Privileged Access Manager para fornecer acesso elevado temporário e limitado por tempo para tarefas específicas quando necessário. Os administradores podem criar direitos com condições baseadas em tags e obrigar os solicitantes a criar pedidos de concessão com escopo personalizado e revogar concessões após a conclusão da tarefa. Isso reduz significativamente as oportunidades de uso indevido e reforça o princípio do acesso "just-in-time".
Automatizar aprovações de acesso privilegiado: para aumentar a eficiência, configure contas de serviço como aprovadores nos pipelines de DevOps. Essas contas podem automatizar aprovações programáticas validando tíquetes diretamente dos sistemas ITSM, eliminando verificações manuais lentas.
Ajude a proteger as contas de serviço: em vez de conceder papéis de forma permanente a contas de serviço, permita que elas se elevem e assumam papéis apenas quando necessário para tarefas automatizadas.
Reduza ameaças internas e uso indevido acidental: com as aprovações de outra parte, é possível adicionar dois níveis de aprovação na tomada de decisões. Isso reduz o risco associado a um único administrador ou a uma conta de aprovador comprometida que aprova uma solicitação de acesso maliciosa.
Gerenciar o acesso de prestadores de serviço e da equipe de colaboradores terceirizados: conceda a prestadores de serviço ou membros da equipe de colaboradores terceirizados acesso temporário e limitado no tempo aos recursos, com as aprovações e as justificativas necessárias.
Recursos e limitações
As seções a seguir descrevem os diferentes recursos e limitações do Privileged Access Manager.
Recursos suportados
O Privileged Access Manager oferece suporte à criação de direitos e solicitações de permissões para projetos, pastas e organizações.
Se você quiser limitar o acesso a um subconjunto de recursos em um projeto, uma pasta ou uma organização, adicione condições do IAM ao direito de acesso. O Privileged Access Manager oferece suporte a todos os atributos de condição compatíveis em vinculações de função de política de permissão.
Papéis compatíveis
O Privileged Access Manager oferece suporte a papéis predefinidos, personalizados e papéis básicos de administrador, gravador e leitor. O Privileged Access Manager não oferece suporte a papéis básicos legados (proprietário, editor e leitor).
Identidades compatíveis
O Privileged Access Manager oferece suporte a todos os tipos de identidade, incluindo o Cloud Identity, a federação de identidade de colaboradores e federação de identidade da carga de trabalho.
Registro de auditoria
Os eventos do Privileged Access Manager, como a criação de direitos, a requisição ou a revisão de permissões, são registrados nos Registros de auditoria do Cloud. Para uma lista completa de eventos para os quais o Privileged Access Manager gera registros, consulte a documentação de registro de auditoria do Privileged Access Manager. Para saber como visualizar esses registros, consulte Auditar direitos e conceder eventos no Privileged Access Manager.
Aprovações em vários níveis e de várias partes
Os administradores do Privileged Access Manager podem configurar aprovações de vários níveis e partes. Isso é útil para casos de uso que envolvem o seguinte:
- Operações de alto risco, como modificar infraestrutura crítica ou acessar dados sensíveis
- Aplicação da segregação de funções
- Automatizar processos de aprovação multinível em fluxos de trabalho dinâmicos usando contas de serviço como aprovadores inteligentes
Com esse recurso, os administradores do Gerenciador de acesso privilegiado podem exigir mais de um nível de aprovação por direito, permitindo até dois níveis de aprovações sequenciais para cada direito. Os administradores podem exigir até cinco aprovações por nível. Para mais informações, consulte Criar direitos.
Personalização do escopo
Os requerentes podem personalizar o escopo das solicitações de concessão para incluir apenas as funções e os recursos específicos de que precisam no escopo do direito de acesso. Para mais informações, consulte Solicitar acesso elevado temporário.
Aprovações da conta de serviço
Os administradores do Privileged Access Manager podem ativar contas de serviço como aprovadores qualificados. Isso permite que os administradores adicionem contas de serviço e identidades em pools de identidades de carga de trabalho como aprovadores ao criar ou modificar direitos. Para mais informações, consulte Configurar as opções do Privileged Access Manager.
Suporte à herança
Os direitos e concessões configurados no nível da organização ou da pasta ficam visíveis nas pastas e projetos descendentes no console Google Cloud . Os solicitantes podem pedir acesso aos recursos filhos com base nesses direitos diretamente nesses recursos filhos. Para mais informações, consulte Solicitar acesso temporário elevado com o Privileged Access Manager.
Personalização das preferências de notificação
Os administradores das configurações do Privileged Access Manager podem personalizar as preferências de notificação em todo o recurso para vários eventos do Privileged Access Manager. Com essas configurações, os administradores podem desativar seletivamente as notificações de eventos e personas específicas ou desativar todas as notificações. Para mais informações, consulte Configurar as opções do Privileged Access Manager.
Revogação da concessão
Os solicitantes podem retirar pedidos de concessão pendentes de aprovação ou encerrar as concessões ativas quando a tarefa privilegiada for concluída ou quando o acesso não for mais necessário. As organizações podem recomendar isso como uma prática recomendada para limitar a duração do acesso privilegiado apenas ao tempo em que ele é necessário. Para mais informações, consulte Revogar concessões.
Retenção de concessão
As permissões são excluídas automaticamente do Privileged Access Manager
30 dias após serem negadas, revogadas, retiradas, expiradas
ou encerradas. Os registros de permissões são mantidos nos Registros de auditoria do Cloud durante o
período de armazenamento de registros do bucket _Required.
Para saber como visualizar esses registros, consulte
Auditar direitos e conceder eventos no Privileged Access Manager.
Modificações da política do Privileged Access Manager e do IAM
O Privileged Access Manager gerencia o acesso temporário adicionando e removendo vinculações de função das políticas de IAM dos recursos. Se essas vinculações de função forem modificadas por algo diferente do Privileged Access Manager, ele poderá não funcionar como esperado.
Para evitar esse problema, recomendamos o seguinte:
- Não modifique manualmente as vinculações de função que são gerenciadas pelo Privileged Access Manager.
- Se você usa o Terraform para gerenciar as políticas do IAM, verifique se está usando recursos não autorizados em vez de recursos autorizados. Isso ajuda a garantir que o Terraform não substitua as vinculações de função do Privileged Access Manager, mesmo que elas não estejam na configuração declarativa da política do IAM.
Notificações
O Privileged Access Manager pode notificar você sobre vários eventos que ocorrem nele, conforme descrito nas seções a seguir.
Notificações por e-mail
O Privileged Access Manager envia notificações por e-mail às partes interessadas relevantes para mudanças de direito de acesso e concessão. Os conjuntos de destinatários são os seguintes:
Solicitantes qualificados de um direito de acesso:
- Endereços de e-mail de usuários do Cloud Identity e grupos especificados como solicitantes no direito de acesso.
- Endereços de e-mail configurados manualmente no direito: ao usar o
console doGoogle Cloud , esses endereços de e-mail são listados no campo
Destinatários de e-mail do solicitante
na seção Adicionar solicitantes. Ao usar
a CLI gcloud ou a API REST, esses endereços de e-mail são listados
no campo
requesterEmailRecipients.
Conceder aprovadores a um direito de acesso:
- Endereços de e-mail de usuários e grupos do Cloud Identity especificados como aprovadores no nível de aprovação.
- Endereços de e-mail configurados manualmente no direito: ao usar o
console doGoogle Cloud , esses endereços de e-mail são listados no campo
Destinatários do e-mail de aprovação na seção
Adicionar aprovadores. Ao usar a
CLI gcloud ou a API REST, esses endereços de e-mail são listados no
campo
approverEmailRecipientsdas etapas do fluxo de trabalho de aprovação.
Administrador do direito de acesso:
- Endereços de e-mail configurados manualmente no direito: ao usar o
console doGoogle Cloud , esses endereços de e-mail são listados no campo
Destinatários de e-mail do administrador
na seção Detalhes do direito. Ao usar a CLI gcloud ou a
API REST, esses endereços de e-mail são listados no campo
adminEmailRecipients.
- Endereços de e-mail configurados manualmente no direito: ao usar o
console doGoogle Cloud , esses endereços de e-mail são listados no campo
Destinatários de e-mail do administrador
na seção Detalhes do direito. Ao usar a CLI gcloud ou a
API REST, esses endereços de e-mail são listados no campo
Solicitante de uma concessão:
- Endereço de e-mail do solicitante, se ele for um usuário do Cloud Identity.
- Outros endereços de e-mail adicionados pelo solicitante para o
subsídio: ao usar o console Google Cloud , esses endereços de e-mail são listados
no campo Outros endereços de e-mail. Ao
usar CLI gcloud ou a API REST, esses endereços de e-mail
são listados no campo
additionalEmailRecipients.
O Privileged Access Manager envia e-mails para esses endereços de e-mail nos seguintes eventos:
| Destinatários | Evento |
|---|---|
| Solicitantes qualificados de um direito de acesso | Quando o direito é atribuído e fica disponível para uso do solicitante |
| Conceder aprovadores para um direito de acesso | Quando uma concessão é solicitada e precisa de aprovação |
| Solicitante de uma concessão |
|
| Administrador do direito de acesso |
|
Notificações do Pub/Sub
O Privileged Access Manager é integrado ao Inventário de recursos do Cloud.
É possível usar o recurso de feeds do Inventário de recursos do Cloud
para receber notificações sobre todas as alterações de concessão pelo
Pub/Sub. O tipo de recurso a ser usado para concessões é
privilegedaccessmanager.googleapis.com/Grant.