Anda dapat menggunakan Pengelola Akses Istimewa (PAM) untuk mengontrol peningkatan hak istimewa sementara tepat waktu untuk akun utama tertentu, dan untuk melihat log audit setelahnya untuk mengetahui siapa yang memiliki akses ke apa dan kapan.
Untuk mengizinkan peningkatan sementara, Anda membuat hak di Pengelola Akses Istimewa, dan menambahkan atribut berikut ke hak tersebut:
Kumpulan akun utama yang diizinkan untuk meminta pemberian hak atas hak.
Apakah justifikasi diperlukan untuk pemberian tersebut.
Kumpulan peran yang akan diberikan untuk sementara. Kondisi IAM dapat ditetapkan pada peran.
Durasi maksimum pemberian akses.
Opsional: Apakah permintaan memerlukan persetujuan dari serangkaian akun utama tertentu, dan apakah akun utama tersebut perlu memberikan justifikasi atas persetujuan mereka.
Opsional: Pemangku kepentingan tambahan yang akan diberi tahu tentang peristiwa penting, seperti hibah dan persetujuan yang tertunda.
Principal yang telah ditambahkan sebagai pemohon ke hak dapat meminta pemberian akses terhadap hak tersebut. Jika berhasil, mereka akan diberi peran yang tercantum dalam hak hingga akhir durasi pemberian, setelah itu peran akan dicabut oleh Privileged Access Manager.
Kasus penggunaan
Untuk menggunakan Privileged Access Manager secara efektif, mulailah dengan mengidentifikasi kasus penggunaan dan skenario tertentu yang dapat memenuhi kebutuhan organisasi Anda. Sesuaikan hak istimewa Privileged Access Manager Anda berdasarkan kasus penggunaan ini serta persyaratan dan kontrol yang diperlukan. Hal ini melibatkan pemetaan pengguna, peran, resource, dan durasi yang terlibat, beserta justifikasi dan persetujuan yang diperlukan.
Meskipun Privileged Access Manager dapat digunakan sebagai praktik terbaik umum untuk memberikan hak istimewa sementara, bukan hak istimewa permanen, berikut beberapa skenario yang mungkin umum digunakan:
Memberikan akses darurat: Mengizinkan petugas tanggap darurat tertentu melakukan tugas penting tanpa harus menunggu persetujuan. Anda dapat mewajibkan justifikasi untuk konteks tambahan tentang alasan akses darurat diperlukan.
Mengontrol akses ke resource sensitif: Mengontrol akses ke resource sensitif secara ketat, yang memerlukan persetujuan dan justifikasi bisnis. Privileged Access Manager juga dapat digunakan untuk mengaudit cara akses ini digunakan—misalnya, kapan peran yang diberikan aktif untuk pengguna, resource mana yang dapat diakses selama waktu tersebut, alasan pemberian akses, dan siapa yang menyetujuinya.
Misalnya, Anda dapat menggunakan Privileged Access Manager untuk melakukan hal berikut:
Memberi developer akses sementara ke lingkungan produksi untuk pemecahan masalah atau deployment.
Memberi engineer dukungan akses ke data pelanggan sensitif untuk tugas tertentu.
Memberi administrator database hak istimewa yang ditingkatkan untuk pemeliharaan atau perubahan konfigurasi.
Menerapkan hak istimewa terkecil yang terperinci: Menetapkan peran administratif atau akses luas kepada semua pengguna dapat meningkatkan permukaan serangan. Untuk mencegah hal ini, administrator dapat menetapkan peran permanen dengan hak istimewa terendah dan menggunakan Pengelola Akses Istimewa untuk memberikan akses sementara yang terikat waktu dan ditingkatkan untuk tugas tertentu jika diperlukan. Administrator dapat membuat hak dengan kondisi berbasis tag dan mewajibkan pemohon untuk membuat permintaan pemberian dengan cakupan yang disesuaikan dan mencabut pemberian setelah tugas selesai. Hal ini secara signifikan mengurangi peluang penyalahgunaan dan memperkuat prinsip akses "just-in-time".
Mengotomatiskan persetujuan akses istimewa: Untuk meningkatkan efisiensi, Anda dapat mengonfigurasi akun layanan sebagai pemberi persetujuan dalam pipeline DevOps. Akun ini dapat mengotomatiskan persetujuan terprogram dengan memvalidasi tiket langsung dari sistem ITSM, sehingga tidak perlu lagi melakukan pemeriksaan manual yang lambat.
Membantu mengamankan akun layanan: Daripada memberikan peran secara permanen ke akun layanan, izinkan akun layanan untuk meningkatkan hak akses sendiri dan mengambil peran hanya jika diperlukan untuk tugas otomatis.
Memitigasi ancaman dari dalam dan penyalahgunaan yang tidak disengaja: Dengan persetujuan multi-pihak, Anda dapat menambahkan dua tingkat persetujuan dalam pengambilan keputusan. Hal ini mengurangi risiko yang terkait dengan satu administrator atau akun pemberi persetujuan yang disusupi menyetujui permintaan akses berbahaya.
Mengelola akses untuk kontraktor dan tenaga kerja eksternal: Berikan akses sementara dan terbatas waktu ke resource kepada kontraktor atau anggota tenaga kerja eksternal, dengan persetujuan dan justifikasi yang diperlukan.
Kemampuan dan batasan
Bagian berikut menjelaskan berbagai kemampuan dan batasan Privileged Access Manager.
Resource yang didukung
Privileged Access Manager mendukung pembuatan hak dan permintaan pemberian untuk project, folder, dan organisasi.
Jika Anda ingin membatasi akses ke subset resource dalam project, folder, atau organisasi, Anda dapat menambahkan Kondisi IAM ke hak. Privileged Access Manager mendukung semua atribut kondisi yang didukung dalam binding peran kebijakan izin.
Peran yang didukung
Privileged Access Manager mendukung peran bawaan, peran khusus, dan peran dasar Admin, Penulis, dan Pembaca. Privileged Access Manager tidak mendukung peran dasar lama (Pemilik, Editor, dan Pelihat).
Identitas yang didukung
Privileged Access Manager mendukung semua jenis identitas, termasuk Cloud Identity, Workforce Identity Federation, dan Workload Identity Federation.
Logging audit
Peristiwa Privileged Access Manager, seperti pembuatan hak, permintaan, atau peninjauan pemberian, dicatat ke Cloud Audit Logs. Untuk daftar lengkap peristiwa yang lognya dibuat oleh Privileged Access Manager, lihat dokumentasi logging audit Privileged Access Manager. Untuk mempelajari cara melihat log ini, lihat Peristiwa pemberian dan audit hak di Privileged Access Manager.
Persetujuan multi-tingkat dan banyak pihak
Administrator Privileged Access Manager dapat menyiapkan persetujuan banyak pihak dan multi-level. Hal ini berguna untuk kasus penggunaan yang melibatkan hal berikut:
- Operasi berisiko tinggi seperti mengubah infrastruktur penting atau mengakses data sensitif
- Penerapan pemisahan tugas
- Mengotomatiskan proses persetujuan multi-level dalam alur kerja dinamis menggunakan akun layanan sebagai pemberi persetujuan cerdas
Dengan fitur ini, administrator Privileged Access Manager dapat mewajibkan lebih dari satu tingkat persetujuan per hak, sehingga memungkinkan hingga dua tingkat persetujuan berurutan untuk setiap hak. Administrator dapat mewajibkan hingga lima persetujuan per tingkat. Untuk mengetahui informasi selengkapnya, lihat Membuat hak.
Penyesuaian cakupan
Pemohon dapat menyesuaikan cakupan permintaan pemberian mereka untuk hanya menyertakan peran dan resource tertentu yang mereka butuhkan dalam cakupan hak mereka. Untuk mengetahui informasi selengkapnya, lihat Meminta akses yang ditingkatkan sementara.
Persetujuan akun layanan
Administrator Privileged Access Manager dapat mengaktifkan akun layanan sebagai pemberi persetujuan yang memenuhi syarat. Hal ini memungkinkan administrator menambahkan akun layanan dan identitas di kumpulan identitas workload sebagai pemberi persetujuan saat membuat atau mengubah hak. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan Privileged Access Manager.
Dukungan pewarisan
Hak dan pemberian yang disiapkan di tingkat organisasi atau folder dapat dilihat dari folder dan project turunannya di konsol Google Cloud . Pemohon dapat meminta akses ke resource turunan berdasarkan hak tersebut langsung dalam resource turunan tersebut. Untuk mengetahui informasi selengkapnya, lihat Meminta akses yang ditingkatkan sementara dengan Privileged Access Manager.
Penyesuaian preferensi notifikasi
Administrator setelan Privileged Access Manager dapat menyesuaikan preferensi notifikasi di seluruh resource untuk berbagai peristiwa Privileged Access Manager. Setelan ini memungkinkan administrator menonaktifkan notifikasi secara selektif untuk peristiwa tertentu dan persona tertentu, atau menonaktifkan semua notifikasi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan Privileged Access Manager.
Penarikan pemberian akses
Pemohon dapat membatalkan permintaan pemberian yang menunggu persetujuan atau mengakhiri pemberian aktif mereka saat tugas istimewa mereka selesai atau saat akses tidak lagi diperlukan. Organisasi dapat merekomendasikan hal ini sebagai praktik terbaik untuk membatasi durasi akses dengan hak istimewa hanya pada waktu yang diperlukan secara aktif. Untuk mengetahui informasi selengkapnya, lihat Membatalkan pemberian izin.
Retensi pemberian akses
Pemberian akses akan otomatis dihapus dari Privileged Access Manager 30 hari setelah ditolak, dicabut, dibatalkan, habis masa berlakunya, atau berakhir. Log untuk pemberian hak disimpan di Cloud Audit Logs selama
durasi retensi log bucket _Required.
Untuk mempelajari cara melihat log ini, lihat
Mengaudit peristiwa pemberian dan hak istimewa di Privileged Access Manager.
Modifikasi kebijakan IAM dan Privileged Access Manager
Privileged Access Manager mengelola akses sementara dengan menambahkan dan menghapus binding peran dari kebijakan IAM resource. Jika binding peran ini diubah oleh sesuatu selain Privileged Access Manager, Privileged Access Manager mungkin tidak berfungsi seperti yang diharapkan.
Untuk menghindari masalah ini, sebaiknya lakukan hal berikut:
- Jangan mengubah binding peran yang dikelola oleh Privileged Access Manager secara manual.
- Jika Anda menggunakan Terraform untuk mengelola kebijakan IAM, pastikan Anda menggunakan resource non-otoritatif bukan resource otoritatif. Hal ini membantu memastikan bahwa Terraform tidak akan mengganti binding peran Privileged Access Manager, meskipun binding tersebut tidak ada dalam konfigurasi kebijakan IAM deklaratif.
Notifikasi
Privileged Access Manager dapat memberi tahu Anda tentang berbagai peristiwa yang terjadi di Privileged Access Manager seperti yang dijelaskan di bagian berikut.
Notifikasi email
Privileged Access Manager mengirimkan notifikasi email kepada pemangku kepentingan yang relevan untuk perubahan hak dan pemberian akses. Kumpulan penerima adalah sebagai berikut:
Pemohon yang memenuhi syarat untuk mendapatkan hak:
- Alamat email pengguna Cloud Identity dan grup yang ditentukan sebagai pemohon dalam hak.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
Google Cloud console, alamat email ini tercantum di kolom
Penerima email pemohon
di bagian Tambahkan pemohon. Saat menggunakan
gcloud CLI atau REST API, alamat email ini dicantumkan
di kolom
requesterEmailRecipients.
Memberikan pemberi persetujuan untuk hak:
- Alamat email pengguna dan grup Cloud Identity yang ditentukan sebagai pemberi persetujuan di tingkat persetujuan.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolGoogle Cloud , alamat email ini tercantum di kolom
Penerima email persetujuan di bagian
Tambahkan pemberi persetujuan. Saat menggunakan
gcloud CLI atau REST API, alamat email ini tercantum di
kolom
approverEmailRecipientslangkah-langkah alur kerja persetujuan.
Administrator hak:
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolGoogle Cloud , alamat email ini tercantum di kolom
Penerima email admin
di bagian Detail hak. Saat menggunakan gcloud CLI atau
REST API, alamat email ini tercantum di kolom
adminEmailRecipients.
- Alamat email yang dikonfigurasi secara manual dalam hak: Saat menggunakan
konsolGoogle Cloud , alamat email ini tercantum di kolom
Penerima email admin
di bagian Detail hak. Saat menggunakan gcloud CLI atau
REST API, alamat email ini tercantum di kolom
Pemohon pemberian akses:
- Alamat email pemohon pemberian jika dia adalah pengguna Cloud Identity.
- Alamat email tambahan yang ditambahkan oleh pemohon saat meminta pemberian: Saat menggunakan konsol Google Cloud , alamat email ini tercantum di kolom Alamat email tambahan. Saat
menggunakan gcloud CLI atau REST API, alamat email ini
dicantumkan di kolom
additionalEmailRecipients.
Privileged Access Manager mengirim email ke alamat email ini untuk peristiwa berikut:
| Penerima | Acara |
|---|---|
| Pemohon yang memenuhi syarat untuk mendapatkan hak | Saat hak ditetapkan dan tersedia untuk digunakan oleh pemohon |
| Memberikan pemberi persetujuan untuk hak | Saat pemberian akses diminta dan memerlukan persetujuan |
| Pemohon hibah |
|
| Administrator hak |
|
Notifikasi Pub/Sub
Privileged Access Manager terintegrasi dengan Cloud Asset Inventory.
Anda dapat menggunakan fitur feed Inventaris Aset Cloud
untuk menerima notifikasi tentang semua perubahan pemberian melalui
Pub/Sub. Jenis aset yang akan digunakan untuk pemberian adalah
privilegedaccessmanager.googleapis.com/Grant.