Privileged Access Manager 概览

您可以使用 Privileged Access Manager (PAM) 控制为所选主账号临时提升特权,并在事后查看审核日志,了解哪些人在什么时间访问了什么内容。

如需允许临时提权,您可以在 Privileged Access Manager 中创建使用权,并向其添加以下属性:

  • 可请求授予使用权的一组主账号。

  • 该授权是否要求提供理由。

  • 要临时授予的一组角色。您可以为这些角色设置 IAM 条件

  • 授权持续时长上限。

  • 可选:请求是否需要经过一组选定主账号的批准,以及这些主账号是否需要提供批准理由。

  • 可选:需要收到重要事件(例如授权和待批准)通知的其他利益相关方。

已作为请求者添加到某项权限的主账号可以请求针对该权限进行授权。如果成功,他们会获得使用权中列出的角色,直至授权时长结束,之后 Privileged Access Manager 会撤消这些角色。

使用场景

要有效地使用 Privileged Access Manager,请先确定它在哪些特定使用情形和应用场景下可以满足贵组织的需求。根据这些使用情形以及必要的要求和控制措施,定制您的 Privileged Access Manager 使用权。这涉及规划相关的用户、角色、资源和时长,以及所有必要的理由和审批。

Privileged Access Manager 可作为授予临时权限(而不是永久权限)的通用最佳实践,以下是一些常见的应用场景:

  • 授予紧急访问权限:可让所选的紧急响应人员执行关键任务,而无需等待批准。您可以要求提供理由,进一步说明为什么需要紧急访问权限。

  • 控制对敏感资源的访问权限:严格控制对敏感资源的访问权限,需要进行审批和提供业务理由。Privileged Access Manager 还可用于审核此访问权限的使用情况,例如,已授予的角色何时对用户生效,在该时间段内可以访问哪些资源,该访问权限的理由,以及谁批准了该访问权限。

    例如,您可以使用 Privileged Access Manager 执行以下操作:

    • 为开发者提供对生产环境的临时访问权限,以便进行问题排查或部署。

    • 为支持工程师提供对敏感客户数据的访问权限,以便执行特定任务。

    • 为数据库管理员提供提升的权限,以便进行维护或配置更改。

  • 实施精细的最小权限:向所有用户分配管理员角色或广泛的访问权限可能会扩大攻击面。为防止这种情况,管理员可以分配具有最小权限的永久性角色,并使用 Privileged Access Manager 在需要时为特定任务提供临时性的限时提升访问权限。管理员可以创建具有基于标记的条件的授权,并强制请求者创建具有自定义范围的授权请求,并在任务完成后撤销授权。这可大幅减少滥用机会,并强化“及时”访问原则。

  • 自动执行特权访问权限审批:为提高效率,您可以在 DevOps 流水线中将服务账号配置为审批人。这些账号可以直接从 ITSM 系统验证工单,从而自动完成程序化审批,无需进行缓慢的人工检查。

  • 帮助保护服务账号的安全:允许服务账号仅在需要自动执行任务时自行提升权限和担任角色,而不是永久向服务账号授予角色。

  • 防范内部威胁和意外滥用:借助多方审批,您可以在决策过程中添加两个审批级别。这样可以降低与单个管理员或被盗用的审批人账号批准恶意访问请求相关的风险。

  • 管理承包商和外聘人员的访问权限:向承包商或外聘人员授予临时、有时间限制的资源访问权限,并要求获得批准和提供理由。

功能和限制

以下部分介绍了 Privileged Access Manager 的不同功能和限制。

支持的资源

Privileged Access Manager 支持为项目、文件夹和组织创建使用权并请求授权。

如果您想限制对项目、文件夹或组织中部分资源的访问权限,可以向使用权添加 IAM Conditions 条件。Privileged Access Manager 支持允许政策角色绑定中支持的所有条件属性。

支持的角色

Privileged Access Manager 支持预定义角色自定义角色以及 Admin、Writer 和 Reader 基本角色。Privileged Access Manager 不支持旧版基本角色(Owner、Editor 和 Viewer)。

支持的身份

Privileged Access Manager 支持所有类型的身份,包括 Cloud Identity员工身份联合工作负载身份联合

审核日志记录

Privileged Access Manager 事件(例如创建使用权、申请或审核授权)会记录到 Cloud Audit Logs 中。如需查看 Privileged Access Manager 生成日志所对应事件的完整列表,请参阅 Privileged Access Manager 审核日志记录文档。如需了解如何查看这些日志,请参阅在 Privileged Access Manager 中审核权限和授权事件

多级和多方审批

Privileged Access Manager 管理员可以设置多级和多方审批。这对于涉及以下内容的使用情形非常有用:

  • 高风险操作,例如修改关键基础架构或访问敏感数据
  • 强制执行职责分离
  • 在动态工作流中使用服务账号作为智能审批者,自动执行多级审批流程

借助此功能,Privileged Access Manager 管理员可以为每个使用权强制实施多个审批级别,从而为每个使用权提供最多两个级别的顺序审批。管理员可以为每个级别强制要求最多 5 次审批。如需了解详情,请参阅创建使用权

范围自定义

请求者可以自定义其授权请求的范围,使其仅包含其使用权范围内的特定角色和资源。如需了解详情,请参阅请求临时提升的访问权限

服务账号审批

Privileged Access Manager 管理员可以将服务账号指定为符合条件的审批者。这样,管理员在创建或修改使用权时,便可添加服务账号和工作负载身份池中的身份作为审批者。如需了解详情,请参阅配置 Privileged Access Manager 设置

继承支持

在组织级或文件夹级设置的使用权和授权可在 Google Cloud 控制台中从其后代文件夹和项目中查看。请求者可以直接在子资源中根据这些使用权请求对子资源的访问权限。如需了解详情,请参阅使用 Privileged Access Manager 请求临时提升的访问权限

自定义通知偏好设置

Privileged Access Manager 设置管理员可以针对各种 Privileged Access Manager 事件自定义资源范围的通知偏好设置。通过这些设置,管理员可以选择性地针对特定事件和特定角色停用通知,也可以停用所有通知。如需了解详情,请参阅配置 Privileged Access Manager 设置

撤销授权

请求者可以在待审批的授权请求被批准之前撤回该请求,也可以在特权任务完成或不再需要相应访问权限时结束其有效授权。组织可以建议将此作为最佳实践,以将特权访问权限的持续时间限制为仅在实际需要时才有效。如需了解详情,请参阅撤销授权

授权保留

授权会在被拒绝、被撤销、到期或结束后 30 天内从 Privileged Access Manager 中自动删除。授权日志会在 Cloud Audit Logs 中保留,保留时间为 _Required 存储桶的日志保留时长。如需了解如何查看这些日志,请参阅在 Privileged Access Manager 中审核使用权和授权事件

Privileged Access Manager 和 IAM 政策修改

Privileged Access Manager 通过在资源的 IAM 政策中添加和移除角色绑定来管理临时访问权限。如果这些角色绑定是通过 Privileged Access Manager 以外的其他方式修改的,则 Privileged Access Manager 可能无法按预期运行。

为避免此问题,我们建议您执行以下操作:

  • 不要手动修改由 Privileged Access Manager 管理的角色绑定。
  • 如果您使用 Terraform 管理 IAM 政策,请确保您使用的是非权威资源,而不是权威资源。这样可确保 Terraform 不会替换 Privileged Access Manager 角色绑定,即使它们不在声明式 IAM 政策配置中也是如此。

通知

Privileged Access Manager 可以通知您 Privileged Access Manager 中发生的各种事件,如以下部分所述。

电子邮件通知

Privileged Access Manager 会在使用权和授权变更时向利益相关方发送电子邮件通知。收件人如下所示:

  • 符合条件的使用权请求者

    • 在使用权中指定为请求者的 Cloud Identity 用户和群组的邮箱。
    • 在使用权中手动配置的邮箱:使用Google Cloud 控制台时,这些邮箱会列在添加请求者部分的请求者邮件收件人字段中。使用 gcloud CLI 或 REST API 时,这些邮箱会列在 requesterEmailRecipients 字段中。

  • 使用权的授权审批人

    • 在审批级别中指定为审批者的 Cloud Identity 用户和群组的邮箱。
    • 在使用权中手动配置的邮箱:使用Google Cloud 控制台时,这些邮箱会列在添加审批者部分的审批邮件收件人字段中。使用 gcloud CLI 或 REST API 时,这些邮箱会列在审批工作流步骤的 approverEmailRecipients 字段中。

  • 使用权的管理员

    • 在使用权中手动配置的邮箱:使用Google Cloud 控制台时,这些邮箱会列在使用权详细信息部分的管理员邮件收件人字段中。使用 gcloud CLI 或 REST API 时,这些邮箱会列在 adminEmailRecipients 字段中。

  • 授权请求者

    • 授权请求者的电子邮件地址(如果是 Cloud Identity 用户)。
    • 请求者在请求授权时添加的其他邮箱:使用 Google Cloud 控制台时,这些邮箱会列在其他邮箱字段中。使用 gcloud CLI 或 REST API 时,这些邮箱会列在 additionalEmailRecipients 字段中。

Privileged Access Manager 会在以下事件发生时向这些电子邮件地址发送电子邮件:

收件人 活动
符合条件的使用权请求者 使用权已分配并可供请求者使用时
使用权的授权审批人 已请求授权并需要审批时
授权请求者
  • 授权成功激活或未能激活时
  • 授权结束时
  • 授权遭拒时
  • 授权到期时(在 24 小时内未获得批准或被拒绝)
  • 授权撤消时
使用权的管理员
  • 授权成功激活或未能激活时
  • 授权结束时

Pub/Sub 通知

Privileged Access Manager 与 Cloud Asset Inventory 集成。您可以使用 Cloud Asset Inventory Feed 功能通过 Pub/Sub 接收有关所有授权变更的通知。用于授权的资产类型为 privilegedaccessmanager.googleapis.com/Grant

后续步骤