您可以使用 Privileged Access Manager (PAM),控管特定主體的即時臨時權限提升,並在事後查看稽核記錄,瞭解哪些人曾存取哪些資源,以及存取時間。
如要允許暫時提升權限,請在 Privileged Access Manager 中建立授權,並新增下列屬性:
一組可要求授權的主體。
是否需要提供授權理由。
授權的最長持續時間。
選用:要求是否需要特定主體核准,以及這些主體是否需要提供核准理由。
選用:其他要接收重要事件通知的利害關係人,例如補助金和待核准項目。
如果主體已新增為授權的要求者,則可要求取得該授權。如果成功,系統會授予權利中列出的角色,直到授權期限結束為止,之後 Privileged Access Manager 會撤銷這些角色。
用途
如要有效使用 Privileged Access Manager,請先找出可滿足貴機構需求的特定用途和情境。根據這些用途、必要條件和控管措施,調整 Privileged Access Manager 授權。這包括繪製使用者、角色、資源和時間長度,以及任何必要的理由和核准。
雖然 Privileged Access Manager 可做為一般最佳做法,用來授予臨時而非永久權限,但以下列舉一些常見的使用情境:
授予緊急存取權:允許特定緊急應變人員執行重要工作,無須等待核准。您可以強制要求提供事由,說明為何需要緊急存取權。
控管機密資源的存取權:嚴格控管機密資源的存取權,要求核准和業務正當性。您也可以使用 Privileged Access Manager 稽核這項存取權的使用方式,例如授予的角色何時對使用者生效、這段期間可存取的資源、存取權的理由,以及核准者。
舉例來說,您可以使用 Privileged Access Manager 執行下列操作:
授予開發人員實際工作環境的臨時存取權,以進行疑難排解或部署作業。
授予支援工程師特定工作所需的機密客戶資料存取權。
授予資料庫管理員進階權限,以進行維護或設定變更。
協助保護服務帳戶:不要永久授予服務帳戶角色,而是允許服務帳戶在需要執行自動化工作時,自行提升權限並擔任角色。
管理約聘人員和延伸工作團隊的存取權:授予約聘人員或延伸工作團隊成員臨時存取資源的權限,並要求他們提出核准和理由。
功能和限制
以下各節說明 Privileged Access Manager 的不同功能和限制。
支援的資源
Privileged Access Manager 支援為專案、資料夾和機構建立授權,以及要求授予項目。
如要限制存取專案、資料夾或機構中的部分資源,可以為授權項目新增 IAM 條件。特殊存取權管理員支援允許政策角色繫結中支援的所有條件屬性。
支援的角色
Privileged Access Manager 支援預先定義的角色、自訂角色,以及管理員、撰寫者和讀者基本角色。Privileged Access Manager 不支援舊版基本角色 (擁有者、編輯者和檢視者)。
支援的 ID
Privileged Access Manager 支援所有類型的身分,包括 Cloud Identity、員工身分聯盟和 Workload Identity Federation。
稽核記錄
系統會將特殊存取權管理員事件 (例如建立權利、申請或審查授權) 記錄到 Cloud 稽核記錄。如要查看 Privileged Access Manager 產生記錄的完整事件清單,請參閱 Privileged Access Manager 稽核記錄文件。如要瞭解如何查看這些記錄,請參閱在 Privileged Access Manager 中稽核授權和授予事件。
保留授權
如果授權遭拒、撤銷、過期或終止,權限存取管理員會在 30 天後自動刪除授權。授權記錄會保留在 Cloud 稽核記錄中,保留時間為_Required bucket 的記錄保留時間。如要瞭解如何查看這些記錄,請參閱在 Privileged Access Manager 中稽核授權和授予事件。
Privileged Access Manager 和 IAM 政策修改
Privileged Access Manager 會在資源的 IAM 政策中新增和移除角色繫結,藉此管理暫時存取權。如果這些角色繫結是由 Privileged Access Manager 以外的項目修改,Privileged Access Manager 可能無法正常運作。
為避免發生這種情況,建議採取下列做法:
- 請勿手動修改 Privileged Access Manager 管理的角色繫結。
- 如果您使用 Terraform 管理 IAM 政策,請務必使用非授權資源,而非授權資源。這樣一來,即使聲明式 IAM 政策設定中沒有 Privileged Access Manager 角色繫結,Terraform 也不會覆寫這些繫結。
通知
如以下各節所述,Privileged Access Manager 可在發生各種事件時通知您。
電子郵件通知
Privileged Access Manager 會傳送電子郵件給相關人員,告知授權和授權項目異動。收件者組合如下:
權益的適用要求者:
- 在權利中指定為要求者的 Cloud Identity 使用者和群組的電子郵件地址
- 授權中手動設定的電子郵件地址:使用Google Cloud console 時,這些電子郵件地址會列在授權的「其他通知」部分中「通知有關符合資格的授權」欄位。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在
requesterEmailRecipients欄位中。
授予權益核准者:
- 在授權中指定為核准者的 Cloud Identity 使用者和群組的電子郵件地址。
- 授權中手動設定的電子郵件地址:使用Google Cloud 控制台時,這些電子郵件地址會列在授權的「其他通知」部分中,「授權待核准時通知」欄位中。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在核准工作流程步驟的
approverEmailRecipients欄位中。
授權管理員:
- 授權中手動設定的電子郵件地址:使用Google Cloud 控制台時,這些電子郵件地址會列在授權的「其他通知」部分中「授權核發時通知」欄位。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在
adminEmailRecipients欄位中。
- 授權中手動設定的電子郵件地址:使用Google Cloud 控制台時,這些電子郵件地址會列在授權的「其他通知」部分中「授權核發時通知」欄位。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在
授權要求者:
- 授權要求者的電子郵件地址 (如果要求者是 Cloud Identity 使用者)。
- 要求者在要求授權時新增的其他電子郵件地址:使用 Google Cloud 控制台時,這些電子郵件地址會列在「電子郵件地址,用於接收這項授權的最新消息」欄位中。使用 gcloud CLI 或 REST API 時,這些電子郵件地址會列在
additionalEmailRecipients欄位中。
Privileged Access Manager 會在發生下列事件時,傳送電子郵件至這些電子郵件地址:
| 收件者 | 事件 |
|---|---|
| 授權的合格要求者 | 授權建立完成並開放使用時 |
| 授予授權核准者 | 要求授予項目,且需要核准時 |
| 要求授予權限者 |
|
| 授權管理員 |
|
Pub/Sub 通知
Privileged Access Manager 已與 Cloud Asset Inventory 整合。
您可以使用 Cloud Asset Inventory 資訊串流功能,透過 Pub/Sub 接收所有授權變更的通知。授權使用的資產類型為 privilegedaccessmanager.googleapis.com/Grant。