Vous pouvez utiliser Privileged Access Manager (PAM) pour contrôler l'élévation temporaire des privilèges au moment opportun pour certains comptes principaux, puis consulter les journaux d'audit pour savoir qui a eu accès à quoi et quand.
Pour autoriser l'élévation temporaire, vous devez créer un droit d'accès dans Privileged Access Manager, puis lui ajouter les attributs suivants:
Ensemble de comptes principaux autorisés à demander une autorisation pour le droit d'accès.
Indique si une justification est requise pour cette autorisation.
Un ensemble de rôles à accorder temporairement. Vous pouvez définir des conditions IAM sur les rôles.
Durée maximale d'une autorisation.
Facultatif: indiquez si les demandes doivent être approuvées par un ensemble spécifique de comptes principaux et si ces comptes principaux doivent justifier leur approbation.
Facultatif: Autres parties prenantes à informer des événements importants, tels que les autorisations et les approbations en attente.
Un utilisateur ajouté en tant que demandeur à un droit d'accès peut demander une autorisation pour ce droit d'accès. Si l'opération aboutit, les rôles listés dans le droit d'accès sont accordés à l'utilisateur jusqu'à la fin de la durée de l'autorisation, après quoi les rôles sont révoqués par Privileged Access Manager.
Cas d'utilisation
Pour utiliser Privileged Access Manager efficacement, commencez par identifier les cas d'utilisation et les scénarios spécifiques dans lesquels il peut répondre aux besoins de votre organisation. Adaptez vos droits d'accès Privileged Access Manager en fonction de ces cas d'utilisation, ainsi que des exigences et des contrôles nécessaires. Cela implique de mapper les utilisateurs, les rôles, les ressources et les durées concernées, ainsi que les justifications et approbations nécessaires.
Bien que Privileged Access Manager puisse être utilisé comme bonne pratique générale pour accorder des droits temporaires plutôt que permanents, voici quelques scénarios dans lesquels il est couramment utilisé:
Accorder un accès d'urgence : autorisez certains services d'urgence à effectuer des tâches critiques sans avoir à attendre d'y être autorisés. Vous pouvez exiger des justifications pour obtenir des informations supplémentaires sur la raison pour laquelle l'accès d'urgence est nécessaire.
Contrôler l'accès aux ressources sensibles: contrôlez étroitement l'accès aux ressources sensibles, en exigeant des approbations et des justifications professionnelles. Privileged Access Manager peut également être utilisé pour auditer l'utilisation de cet accès (par exemple, quand les rôles accordés étaient actifs pour un utilisateur, quelles ressources étaient accessibles pendant cette période, la justification de l'accès et qui l'a approuvé).
Par exemple, vous pouvez utiliser Privileged Access Manager pour effectuer les opérations suivantes:
Donnez aux développeurs un accès temporaire aux environnements de production pour le dépannage ou les déploiements.
Autorisez les ingénieurs du service d'assistance à accéder aux données client sensibles pour des tâches spécifiques.
Accordez aux administrateurs de bases de données des droits d'accès élevés pour la maintenance ou les modifications de configuration.
Sécuriser les comptes de service: au lieu d'attribuer des rôles de manière permanente aux comptes de service, autorisez-les à s'élever et à assumer des rôles uniquement lorsque cela est nécessaire pour les tâches automatisées.
Gérer l'accès des prestataires et du personnel élargi: accordez aux prestataires ou aux membres du personnel élargi un accès temporaire et limité dans le temps aux ressources, avec des approbations et des justifications requises.
Fonctionnalités et limites
Les sections suivantes décrivent les différentes fonctionnalités et limites de Privileged Access Manager.
Ressources compatibles
Privileged Access Manager permet de créer des droits d'accès et de demander des autorisations pour des projets, des dossiers et des organisations. Si vous souhaitez limiter l'accès à un sous-ensemble de ressources dans un projet, un dossier ou une organisation, vous pouvez ajouter des conditions IAM au droit d'accès. Privileged Access Manager accepte tous les attributs de condition, à l'exception des tags de ressource.
Rôles disponibles
Privileged Access Manager accepte les rôles prédéfinis et les rôles personnalisés. Les rôles de base ne sont pas acceptés.
Identités compatibles
Privileged Access Manager est compatible avec tous les types d'identités, y compris Cloud Identity, Workforce Identity Federation et Workload Identity Federation.
Journaux d'audit
Les événements Privileged Access Manager, tels que la création de droits d'accès, la demande ou l'examen des autorisations, sont consignés dans Cloud Audit Logs. Pour obtenir la liste complète des événements pour lesquels Privileged Access Manager génère des journaux, consultez la documentation sur la journalisation d'audit Privileged Access Manager. Pour savoir comment afficher ces journaux, consultez Auditer les événements d'octroi de droits d'accès et d'attribution dans Privileged Access Manager.
Conservation des autorisations
Les autorisations sont automatiquement supprimées de Privileged Access Manager 30 jours après leur refus, leur révocation, leur expiration ou leur fin. Les journaux des attributions sont conservés dans Cloud Audit Logs pendant la durée de conservation des journaux du bucket _Required.
Pour savoir comment afficher ces journaux, consultez Auditer les événements d'attribution et d'octroi de droits dans Privileged Access Manager.
Modifications apportées à Privileged Access Manager et aux règles IAM
Privileged Access Manager gère l'accès temporaire en ajoutant et en supprimant des liaisons de rôle des règles IAM des ressources. Si ces associations de rôles sont modifiées par un autre élément que Privileged Access Manager, il se peut que Privileged Access Manager ne fonctionne pas comme prévu.
Pour éviter ce problème, nous vous recommandons d'effectuer les opérations suivantes:
- Ne modifiez pas manuellement les liaisons de rôle gérées par Privileged Access Manager.
- Si vous utilisez Terraform pour gérer vos stratégies IAM, assurez-vous d'utiliser des ressources secondaires au lieu de ressources primaires. Cela garantit que Terraform ne remplacera pas les liaisons de rôle Privileged Access Manager, même si elles ne figurent pas dans la configuration déclarative de la règle IAM.
Notifications
Privileged Access Manager peut vous avertir de divers événements qui se produisent dans Privileged Access Manager, comme décrit dans les sections suivantes.
Notifications par e-mail
Privileged Access Manager envoie des notifications par e-mail aux parties prenantes concernées en cas de modification des droits d'accès et des autorisations. Les ensembles de destinataires sont les suivants:
Demandeurs éligibles d'un droit d'accès:
- Adresses e-mail des utilisateurs et des groupes Cloud Identity spécifiés en tant que demandeurs dans le droit d'accès
- Adresses e-mail configurées manuellement dans le droit d'accès: lorsque vous utilisez la console Google Cloud, ces adresses e-mail sont répertoriées dans le champ Notifier d'un droit d'accès éligible de la section Notifications supplémentaires du droit d'accès. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
requesterEmailRecipients.
Attribuer des approbateurs pour un droit d'accès:
- Adresses e-mail des utilisateurs et des groupes Cloud Identity spécifiés comme approbateurs dans le droit d'accès.
- Adresses e-mail configurées manuellement dans le droit d'accès: lorsque vous utilisez la console Google Cloud, ces adresses e-mail sont répertoriées dans le champ Notifier en cas d'approbation en attente de la section Notifications supplémentaires du droit d'accès. Lorsque vous utilisez la CLI gcloud ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
approverEmailRecipientsdes étapes du workflow d'approbation.
Administrateur du droit d'accès:
- Adresses e-mail configurées manuellement dans le droit d'accès: lorsque vous utilisez la console Google Cloud, ces adresses e-mail sont répertoriées dans le champ Notifier lorsque l'accès est accordé de la section Notifications supplémentaires du droit d'accès. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
adminEmailRecipients.
- Adresses e-mail configurées manuellement dans le droit d'accès: lorsque vous utilisez la console Google Cloud, ces adresses e-mail sont répertoriées dans le champ Notifier lorsque l'accès est accordé de la section Notifications supplémentaires du droit d'accès. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
Demandeur d'une autorisation:
- Adresse e-mail de la personne qui demande l'autorisation si elle est un utilisateur Cloud Identity.
- Adresses e-mail supplémentaires ajoutées par le demandeur lors de la demande d'autorisation : lorsque vous utilisez la console Google Cloud, ces adresses e-mail sont répertoriées dans le champ Adresses e-mail pour recevoir des informations sur cette autorisation. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
additionalEmailRecipients.
Privileged Access Manager envoie des e-mails à ces adresses pour les événements suivants:
| Destinataires | Événement |
|---|---|
| Demandeurs éligibles d'un droit d'accès | Lorsque le droit d'accès est créé et disponible |
| Attribuer des approbateurs pour un droit d'accès | Lorsqu'une autorisation est demandée et qu'elle nécessite une approbation |
| Demandeur d'une autorisation |
|
| Administrateur du droit d'accès |
|
Notifications Pub/Sub
Privileged Access Manager est intégré à Cloud Asset Inventory.
Vous pouvez utiliser la fonctionnalité Flux d'inventaire des éléments cloud pour recevoir des notifications concernant toutes les modifications d'attribution via Pub/Sub. Le type d'élément à utiliser pour les autorisations est privilegedaccessmanager.googleapis.com/Grant.