Anda dapat menggunakan Privileged Access Manager (PAM) untuk mengontrol peningkatan hak istimewa sementara tepat waktu bagi akun utama tertentu, dan untuk melihat log audit setelahnya guna mengetahui siapa yang memiliki akses ke apa dan kapan.
Untuk mengizinkan elevasi sementara, Anda membuat hak di Privileged Access Manager, dan menambahkan atribut berikut ke hak tersebut:
Kumpulan akun utama yang diizinkan untuk meminta pemberian terhadap hak.
Apakah justifikasi diperlukan untuk pemberian tersebut.
Kumpulan peran yang akan diberikan untuk sementara. Kondisi IAM dapat ditetapkan pada peran.
Durasi maksimum hibah dapat berlangsung.
Opsional: Apakah permintaan memerlukan persetujuan dari serangkaian akun utama tertentu, dan apakah akun utama tersebut perlu membenarkan persetujuan mereka.
Opsional: Pemangku kepentingan tambahan yang akan diberi tahu tentang peristiwa penting, seperti pemberian hibah dan persetujuan yang tertunda.
Prinsipal yang telah ditambahkan sebagai pemohon ke hak dapat meminta pemberian terhadap hak tersebut. Jika berhasil, mereka akan diberi peran yang tercantum dalam hak hingga akhir durasi pemberian, setelah itu peran akan dicabut oleh Privileged Access Manager.
Kasus penggunaan
Untuk menggunakan Privileged Access Manager secara efektif, mulailah dengan mengidentifikasi kasus penggunaan dan skenario tertentu yang dapat memenuhi kebutuhan organisasi Anda. Sesuaikan hak istimewa Privileged Access Manager Anda berdasarkan kasus penggunaan ini serta persyaratan dan kontrol yang diperlukan. Hal ini melibatkan pemetaan pengguna, peran, resource, dan durasi yang terlibat, beserta justifikasi dan persetujuan yang diperlukan.
Meskipun Privileged Access Manager dapat digunakan sebagai praktik terbaik umum untuk memberikan hak istimewa sementara, bukan hak istimewa permanen, berikut beberapa skenario yang mungkin umum digunakan:
Memberikan akses darurat: Mengizinkan petugas tanggap darurat tertentu melakukan tugas penting tanpa harus menunggu persetujuan. Anda dapat mewajibkan justifikasi untuk konteks tambahan tentang alasan akses darurat diperlukan.
Mengontrol akses ke resource sensitif: Mengontrol akses ke resource sensitif secara ketat, yang memerlukan persetujuan dan justifikasi bisnis. Privileged Access Manager juga dapat digunakan untuk mengaudit cara akses ini digunakan—misalnya, kapan peran yang diberikan aktif untuk pengguna, resource mana yang dapat diakses selama waktu tersebut, alasan pemberian akses, dan siapa yang menyetujuinya.
Misalnya, Anda dapat menggunakan Privileged Access Manager untuk melakukan hal berikut:
Memberi developer akses sementara ke lingkungan produksi untuk pemecahan masalah atau deployment.
Memberi engineer dukungan akses ke data pelanggan sensitif untuk tugas tertentu.
Memberi administrator database hak istimewa yang ditingkatkan untuk pemeliharaan atau perubahan konfigurasi.
Membantu mengamankan akun layanan: Daripada memberikan peran secara permanen ke akun layanan, izinkan akun layanan untuk meningkatkan hak akses sendiri dan mengambil peran hanya jika diperlukan untuk tugas otomatis.
Mengelola akses untuk kontraktor dan tenaga kerja eksternal: Berikan akses sementara dan terbatas waktu ke resource kepada kontraktor atau anggota tenaga kerja eksternal, dengan persetujuan dan justifikasi yang diperlukan.
Kemampuan dan batasan
Bagian berikut menjelaskan berbagai kemampuan dan batasan Privileged Access Manager.
Resource yang didukung
Privileged Access Manager mendukung pembuatan hak dan permintaan pemberian untuk project, folder, dan organisasi.
Jika ingin membatasi akses ke subset resource dalam project, folder, atau organisasi, Anda dapat menambahkan Kondisi IAM ke hak. Privileged Access Manager mendukung semua atribut kondisi yang didukung dalam binding peran kebijakan izin.
Peran yang didukung
Privileged Access Manager mendukung peran bawaan, peran khusus, dan peran dasar Admin, Penulis, dan Pembaca. Privileged Access Manager tidak mendukung peran dasar lama (Pemilik, Editor, dan Pelihat).
Identitas yang didukung
Privileged Access Manager mendukung semua jenis identitas, termasuk Cloud Identity, Workforce Identity Federation, dan Workload Identity Federation.
Logging audit
Peristiwa Privileged Access Manager, seperti pembuatan hak, permintaan, atau peninjauan pemberian, dicatat ke Cloud Audit Logs. Untuk daftar lengkap peristiwa yang lognya dibuat oleh Privileged Access Manager, lihat dokumentasi logging audit Privileged Access Manager. Untuk mempelajari cara melihat log ini, lihat Mengaudit peristiwa pemberian dan hak istimewa di Privileged Access Manager.
Retensi hibah
Pemberian akses akan otomatis dihapus dari Pengelola Akses Istimewa 30 hari setelah ditolak, dicabut, atau habis masa berlakunya atau berakhir. Log untuk pemberian hak disimpan di Cloud Audit Logs selama
durasi retensi log bucket _Required.
Untuk mempelajari cara melihat log ini, lihat
Mengaudit peristiwa pemberian dan hak istimewa di Privileged Access Manager.
Modifikasi kebijakan IAM dan Privileged Access Manager
Privileged Access Manager mengelola akses sementara dengan menambahkan dan menghapus binding peran dari kebijakan IAM resource. Jika binding peran ini diubah oleh sesuatu selain Privileged Access Manager, Privileged Access Manager mungkin tidak berfungsi seperti yang diharapkan.
Untuk menghindari masalah ini, sebaiknya lakukan hal berikut:
- Jangan mengubah binding peran yang dikelola oleh Privileged Access Manager secara manual.
- Jika Anda menggunakan Terraform untuk mengelola kebijakan IAM, pastikan Anda menggunakan resource non-otoritatif bukan resource otoritatif. Hal ini memastikan bahwa Terraform tidak akan mengganti binding peran Privileged Access Manager, meskipun binding tersebut tidak ada dalam konfigurasi kebijakan IAM deklaratif.
Notifikasi
Privileged Access Manager dapat memberi tahu Anda tentang berbagai peristiwa yang terjadi di Privileged Access Manager seperti yang dijelaskan di bagian berikut.
Notifikasi email
Privileged Access Manager mengirimkan email notifikasi kepada pemangku kepentingan yang relevan untuk perubahan hak dan pemberian akses. Kumpulan penerima adalah sebagai berikut:
Pemohon yang memenuhi syarat untuk mendapatkan hak:
- Alamat email pengguna Cloud Identity dan grup yang ditentukan sebagai pemohon dalam hak
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolGoogle Cloud , alamat email ini tercantum di kolom
Beri tahu tentang hak yang memenuhi syarat di bagian
Notifikasi tambahan dari hak. Saat menggunakan
gcloud CLI atau REST API, alamat email ini dicantumkan
di kolom
requesterEmailRecipients.
Memberikan pemberi persetujuan untuk hak:
- Alamat email pengguna dan grup Cloud Identity yang ditetapkan sebagai pemberi persetujuan dalam hak.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolGoogle Cloud , alamat email ini tercantum di kolom
Beri tahu saat pemberian hak menunggu persetujuan di bagian
Notifikasi tambahan dalam hak. Saat menggunakan
gcloud CLI atau REST API, alamat email ini tercantum di
kolom
approverEmailRecipientslangkah-langkah alur kerja persetujuan.
Administrator hak:
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolGoogle Cloud , alamat email ini tercantum di kolom
Beri tahu saat akses diberikan di bagian Notifikasi tambahan
dari hak. Saat menggunakan gcloud CLI atau
REST API, alamat email ini tercantum di kolom
adminEmailRecipients.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolGoogle Cloud , alamat email ini tercantum di kolom
Beri tahu saat akses diberikan di bagian Notifikasi tambahan
dari hak. Saat menggunakan gcloud CLI atau
REST API, alamat email ini tercantum di kolom
Pemohon hibah:
- Alamat email pemohon pemberian jika dia adalah pengguna Cloud Identity.
- Alamat email tambahan yang ditambahkan oleh pemohon saat meminta pemberian: Saat menggunakan konsol Google Cloud , alamat email ini tercantum di kolom Alamat email untuk menerima info terbaru tentang pemberian ini. Saat
menggunakan gcloud CLI atau REST API, alamat email ini
dicantumkan di kolom
additionalEmailRecipients.
Privileged Access Manager mengirim email ke alamat email ini untuk peristiwa berikut:
| Penerima | Acara |
|---|---|
| Pemohon yang memenuhi syarat untuk mendapatkan hak | Saat hak dibuat dan tersedia untuk digunakan |
| Memberikan pemberi persetujuan untuk hak | Saat hibah diminta dan memerlukan persetujuan |
| Pemohon hibah |
|
| Administrator hak |
|
Notifikasi Pub/Sub
Privileged Access Manager terintegrasi dengan Cloud Asset Inventory.
Anda dapat menggunakan fitur feed Inventaris Aset Cloud
untuk menerima notifikasi tentang semua perubahan pemberian melalui
Pub/Sub. Jenis aset yang akan digunakan untuk pemberian adalah
privilegedaccessmanager.googleapis.com/Grant.