Vous pouvez utiliser Privileged Access Manager (PAM) pour contrôler l'élévation temporaire des privilèges au moment opportun pour certains comptes principaux, puis consulter les journaux d'audit pour savoir qui a eu accès à quoi et quand.
Pour autoriser l'élévation temporaire, vous devez créer un droit d'accès dans Privileged Access Manager, puis lui ajouter les attributs suivants:
Ensemble de comptes principaux autorisés à demander une autorisation pour le droit d'accès.
Indique si une justification est requise pour cette autorisation.
Un ensemble de rôles à accorder temporairement. Vous pouvez définir des conditions IAM sur les rôles.
Durée maximale d'une autorisation.
Facultatif : indiquez si les demandes doivent être approuvées par un ensemble spécifique de comptes principaux et si ces comptes principaux doivent justifier leur approbation.
Facultatif : Autres parties prenantes à informer des événements importants, tels que les autorisations et les approbations en attente.
Un utilisateur ajouté en tant que demandeur à un droit d'accès peut demander une autorisation pour ce droit d'accès. Si l'opération aboutit, les rôles listés dans le droit d'accès sont accordés à l'utilisateur jusqu'à la fin de la durée de l'autorisation, après quoi les rôles sont révoqués par Privileged Access Manager.
Cas d'utilisation
Pour utiliser Privileged Access Manager efficacement, commencez par identifier les cas d'utilisation et les scénarios spécifiques dans lesquels il peut répondre aux besoins de votre organisation. Adaptez vos droits d'accès Privileged Access Manager en fonction de ces cas d'utilisation, ainsi que des exigences et des contrôles nécessaires. Cela implique de mapper les utilisateurs, les rôles, les ressources et les durées concernées, ainsi que les justifications et approbations nécessaires.
Bien que Privileged Access Manager puisse être utilisé comme bonne pratique générale pour accorder des droits temporaires plutôt que permanents, voici quelques scénarios dans lesquels il est couramment utilisé :
Accorder un accès d'urgence : autorisez certains services d'urgence à effectuer des tâches critiques sans avoir à attendre d'y être autorisés. Vous pouvez exiger des justifications pour obtenir des informations supplémentaires sur la raison pour laquelle l'accès d'urgence est nécessaire.
Contrôler l'accès aux ressources sensibles : contrôlez étroitement l'accès aux ressources sensibles, en exigeant des approbations et des justifications professionnelles. Privileged Access Manager peut également être utilisé pour auditer l'utilisation de cet accès (par exemple, quand les rôles accordés étaient actifs pour un utilisateur, quelles ressources étaient accessibles pendant cette période, la justification de l'accès et qui l'a approuvé).
Par exemple, vous pouvez utiliser Privileged Access Manager pour effectuer les opérations suivantes :
Donnez aux développeurs un accès temporaire aux environnements de production pour le dépannage ou les déploiements.
Autorisez les ingénieurs du service d'assistance à accéder aux données client sensibles pour des tâches spécifiques.
Accordez aux administrateurs de bases de données des droits d'accès élevés pour la maintenance ou les modifications de configuration.
Implémentez le principe du moindre privilège de manière précise : l'attribution de rôles d'administrateur ou d'un accès étendu à tous les utilisateurs peut augmenter la surface d'attaque. Pour éviter cela, les administrateurs peuvent attribuer des rôles permanents avec le moindre privilège et utiliser le gestionnaire d'accès privilégié pour fournir un accès étendu temporaire et limité dans le temps pour des tâches spécifiques, si nécessaire. Les administrateurs peuvent créer des droits d'accès avec des conditions basées sur des tags et obliger les demandeurs à créer des demandes d'accès avec un champ d'application personnalisé, et à retirer les accès une fois la tâche terminée. Cela réduit considérablement les possibilités d'utilisation abusive et renforce le principe d'accès "juste à temps".
Automatiser les approbations d'accès privilégié : pour améliorer l'efficacité, vous pouvez configurer des comptes de service en tant qu'approbateurs dans vos pipelines DevOps. Ces comptes peuvent automatiser les approbations programmatiques en validant les demandes directement à partir des systèmes ITSM, ce qui élimine les vérifications manuelles lentes.
Sécuriser les comptes de service : au lieu d'attribuer des rôles de manière permanente aux comptes de service, autorisez-les à s'élever et à assumer des rôles uniquement lorsque cela est nécessaire pour les tâches automatisées.
Limitez les menaces internes et l'utilisation abusive accidentelle : avec les approbations multipartites, vous pouvez ajouter deux niveaux d'approbation dans la prise de décision. Cela réduit le risque qu'un administrateur unique ou un compte d'approbateur piraté approuve une demande d'accès malveillante.
Gérer l'accès des prestataires et du personnel élargi : accordez aux prestataires ou aux membres du personnel élargi un accès temporaire et limité dans le temps aux ressources, avec des approbations et des justifications requises.
Fonctionnalités et limites
Les sections suivantes décrivent les différentes fonctionnalités et limites de Privileged Access Manager.
Ressources compatibles
Privileged Access Manager permet de créer des droits d'accès et de demander des autorisations pour des projets, des dossiers et des organisations.
Si vous souhaitez limiter l'accès à un sous-ensemble de ressources dans un projet, un dossier ou une organisation, vous pouvez ajouter des conditions IAM au droit d'accès. Privileged Access Manager accepte tous les attributs de condition compatibles avec les liaisons de rôle de règle d'autorisation.
Rôles disponibles
Privileged Access Manager accepte les rôles prédéfinis, les rôles personnalisés et les rôles de base Administrateur, Rédacteur et Lecteur. Privileged Access Manager n'est pas compatible avec les anciens rôles de base (propriétaire, éditeur et lecteur).
Identités compatibles
Privileged Access Manager est compatible avec tous les types d'identités, y compris Cloud Identity, la fédération des identités des employés et la fédération d'identité de charge de travail.
Journaux d'audit
Les événements Privileged Access Manager, tels que la création de droits d'accès, la demande ou l'examen des autorisations, sont consignés dans Cloud Audit Logs. Pour obtenir la liste complète des événements pour lesquels Privileged Access Manager génère des journaux, consultez la documentation sur la journalisation d'audit Privileged Access Manager. Pour savoir comment afficher ces journaux, consultez la section Auditer les événements d'attribution et d'octroi de droits d'accès dans Privileged Access Manager.
Approbations à plusieurs niveaux et multipartites
Les administrateurs Privileged Access Manager peuvent configurer des approbations à plusieurs niveaux et multipartites. Cela s'avère utile pour les cas d'utilisation impliquant les éléments suivants :
- Opérations à haut risque, comme la modification d'une infrastructure critique ou l'accès à des données sensibles
- Application de la séparation des tâches
- Automatiser les processus d'approbation à plusieurs niveaux dans les workflows dynamiques à l'aide de comptes de service en tant qu'approbateurs intelligents
Grâce à cette fonctionnalité, les administrateurs du gestionnaire d'accès privilégié peuvent exiger plusieurs niveaux d'approbation par droit d'accès, ce qui permet d'avoir jusqu'à deux niveaux d'approbation séquentiels pour chaque droit d'accès. Les administrateurs peuvent exiger jusqu'à cinq approbations par niveau. Pour en savoir plus, consultez Créer des droits d'accès.
Personnalisation du champ d'application
Les demandeurs peuvent personnaliser le champ d'application de leurs demandes d'accès pour n'inclure que les rôles et ressources spécifiques dont ils ont besoin dans le champ d'application de leur droit d'accès. Pour en savoir plus, consultez Demander un accès temporaire avec privilèges élevés.
Approbations de compte de service
Les administrateurs Privileged Access Manager peuvent activer les comptes de service en tant qu'approbateurs éligibles. Cela permet aux administrateurs d'ajouter des comptes de service et des identités dans les pools d'identités de charge de travail en tant qu'approbateurs lors de la création ou de la modification des droits d'accès. Pour en savoir plus, consultez Configurer les paramètres du gestionnaire d'accès privilégié.
Compatibilité avec l'héritage
Les droits d'accès et les autorisations configurés au niveau de l'organisation ou d'un dossier sont visibles dans leurs dossiers et projets descendants de la console Cloud de Confiance by S3NS . Les demandeurs peuvent demander l'accès aux ressources enfants en fonction de ces droits d'accès directement dans ces ressources enfants. Pour en savoir plus, consultez Demander un accès temporaire élevé avec le gestionnaire d'accès privilégié.
Personnalisation des préférences de notification
Les administrateurs des paramètres de Privileged Access Manager peuvent personnaliser les préférences de notification à l'échelle des ressources pour différents événements Privileged Access Manager. Ces paramètres permettent aux administrateurs de désactiver sélectivement les notifications pour des événements et des personas spécifiques, ou de désactiver toutes les notifications. Pour en savoir plus, consultez Configurer les paramètres du gestionnaire d'accès privilégié.
Retrait de l'autorisation
Les demandeurs peuvent retirer les demandes d'autorisation en attente d'approbation ou mettre fin à leurs autorisations actives une fois leur tâche privilégiée terminée ou lorsque l'accès n'est plus nécessaire. Les organisations peuvent recommander cette bonne pratique pour limiter la durée de l'accès privilégié à la période où il est réellement nécessaire. Pour en savoir plus, consultez Retirer des autorisations.
Conservation des autorisations
Les autorisations sont automatiquement supprimées de Privileged Access Manager 30 jours après leur refus, leur révocation, leur retrait, leur expiration ou leur fin. Les journaux des attributions sont conservés dans Cloud Audit Logs pendant la durée de conservation des journaux du bucket _Required.
Pour savoir comment afficher ces journaux, consultez la section Auditer les événements d'attribution et d'octroi de droits dans Privileged Access Manager.
Modifications apportées à Privileged Access Manager et aux règles IAM
Privileged Access Manager gère l'accès temporaire en ajoutant et en supprimant des liaisons de rôle des règles IAM des ressources. Si ces associations de rôles sont modifiées par un autre élément que Privileged Access Manager, il se peut que Privileged Access Manager ne fonctionne pas comme prévu.
Pour éviter ce problème, nous vous recommandons d'effectuer les opérations suivantes :
- Ne modifiez pas manuellement les liaisons de rôle gérées par Privileged Access Manager.
- Si vous utilisez Terraform pour gérer vos stratégies IAM, assurez-vous d'utiliser des ressources secondaires au lieu de ressources primaires. Cela permet de s'assurer que Terraform ne remplacera pas les liaisons de rôle Privileged Access Manager, même si elles ne figurent pas dans la configuration déclarative de la règle IAM.
Notifications
Privileged Access Manager peut vous avertir de divers événements qui se produisent dans Privileged Access Manager, comme décrit dans les sections suivantes.
Notifications par e-mail
Privileged Access Manager envoie des notifications par e-mail aux parties prenantes concernées en cas de modification des droits d'accès et des autorisations. Les ensembles de destinataires sont les suivants :
Demandeurs éligibles d'un droit d'accès :
- Adresses e-mail des utilisateurs et des groupes Cloud Identity spécifiés en tant que demandeurs dans le droit d'accès.
- Adresses e-mail configurées manuellement dans le droit d'accès : lorsque vous utilisez la consoleCloud de Confiance , ces adresses e-mail sont répertoriées dans le champ Destinataires des e-mails de demande de la section Ajouter des demandeurs. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
requesterEmailRecipients.
Attribuer des approbateurs pour un droit d'accès :
- Adresses e-mail des utilisateurs et des groupes Cloud Identity spécifiés comme approbateurs dans le niveau d'approbation.
- Adresses e-mail configurées manuellement dans le droit d'accès : lorsque vous utilisez la consoleCloud de Confiance , ces adresses e-mail sont répertoriées dans le champ Destinataires des e-mails d'approbation de la section Ajouter des approbateurs. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
approverEmailRecipientsdes étapes du workflow d'approbation.
Administrateur du droit d'accès :
- Adresses e-mail configurées manuellement dans le droit d'accès : lorsque vous utilisez la consoleCloud de Confiance , ces adresses e-mail sont répertoriées dans le champ Destinataires des e-mails d'administrateur de la section Détails du droit d'accès. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
adminEmailRecipients.
- Adresses e-mail configurées manuellement dans le droit d'accès : lorsque vous utilisez la consoleCloud de Confiance , ces adresses e-mail sont répertoriées dans le champ Destinataires des e-mails d'administrateur de la section Détails du droit d'accès. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
Demandeur d'une autorisation :
- Adresse e-mail de la personne qui demande l'autorisation si elle est un utilisateur Cloud Identity.
- Adresses e-mail supplémentaires ajoutées par le demandeur lors de la demande d'autorisation : lorsque vous utilisez la console Cloud de Confiance , ces adresses e-mail sont répertoriées dans le champ Adresses e-mail supplémentaires. Lorsque vous utilisez gcloud CLI ou l'API REST, ces adresses e-mail sont répertoriées dans le champ
additionalEmailRecipients.
Privileged Access Manager envoie des e-mails à ces adresses pour les événements suivants :
| Destinataires | Événement |
|---|---|
| Demandeurs éligibles d'un droit d'accès | Lorsque le droit d'accès est attribué et disponible pour le demandeur |
| Attribuer des approbateurs pour un droit d'accès | Lorsqu'une autorisation est demandée et qu'elle nécessite une approbation |
| Demandeur d'une autorisation |
|
| Administrateur du droit d'accès |
|
Notifications Pub/Sub
Privileged Access Manager est intégré à Cloud Asset Inventory.
Vous pouvez utiliser la fonctionnalité Flux d'inventaire des éléments cloud pour recevoir des notifications concernant toutes les modifications d'attribution via Pub/Sub. Le type d'élément à utiliser pour les autorisations est privilegedaccessmanager.googleapis.com/Grant.