Jika pemberi rekomendasi IAM mengidentifikasi bahwa akun utama memiliki izin yang berlebihan, Anda dapat memperbaiki temuan tersebut dengan mengalihkan binding peran permanen akun utama ke hak sementara sesuai permintaan di Privileged Access Manager (PAM).
Pendekatan ini memungkinkan Anda mencapai a postur hak istimewa terendah tanpa risiko mencabut akses secara permanen yang mungkin diperlukan untuk tugas yang jarang dilakukan tetapi penting.
Sebelum memulai
- Pastikan Privileged Access Manager diaktifkan dan diaktifkan untuk resource (project, folder, atau organisasi) tempat peran diberikan.
- Pastikan Anda memiliki izin yang diperlukan untuk menyelesaikan panduan ini.
Peran dan izin yang diperlukan
Untuk mendapatkan izin yang Anda perlukan untuk menyelesaikan tugas dalam panduan ini, minta administrator untuk memberi Anda peran IAM berikut di Google Cloud project Anda:
-
Untuk melihat rekomendasi peran:
- Admin IAM Pemberi Rekomendasi (
roles/recommender.iamAdmin) - Pelihat IAM Pemberi Rekomendasi (
roles/recommender.iamViewer)
- Admin IAM Pemberi Rekomendasi (
-
Untuk membuat hak Privileged Access Manager (PAM):
- Admin Privileged Access Manager (
roles/privilegedaccessmanager.admin) - Admin IAM Project (
roles/resourcemanager.projectIamAdmin)
- Admin Privileged Access Manager (
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk menyelesaikan tugas dalam panduan ini. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menyelesaikan tugas dalam panduan ini:
-
Untuk melihat rekomendasi peran:
-
recommender.iamPolicyInsights.list -
recommender.iamPolicyRecommendations.list -
resourcemanager.projects.get
-
-
Untuk membuat hak PAM:
-
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.locations.get -
resourcemanager.projects.get -
resourcemanager.projects.setIamPolicy
-
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Mengalihkan peran ke hak Privileged Access Manager
Saat Anda mengalihkan peran ke hak Privileged Access Manager, pemberi rekomendasi IAM berkoordinasi dengan Privileged Access Manager untuk membuat hak dan menghapus binding peran permanen asli. Anda dapat melakukannya dari halaman Insight Keamanan atau halaman IAM di Google Cloud konsol.
Insight Keamanan
Untuk mengalihkan peran dari halaman Insight Keamanan, lakukan hal berikut:
Di Google Cloud konsol, buka halaman IAM & Admin > Insight Keamanan.
Temukan widget Grup teratas dengan izin berlebih.
Untuk grup yang izinnya ingin Anda perbaiki, klik link yang sesuai di kolom Insight.
Untuk jenis insight yang ingin Anda atasi, klik Lihat rekomendasi.
Di halaman Ringkasan, pilih Hapus peran dan berikan akses sesuai permintaan ke peran.
Untuk membuat hak dengan peran yang diperlukan, masukkan detail yang diperlukan, lalu klik Terapkan. Kolom Peran dan Resource dalam formulir sudah terisi otomatis berdasarkan rekomendasi. Durasi default adalah 8 jam. Untuk mengetahui petunjuk selengkapnya, lihat Membuat hak.
Privileged Access Manager membuat hak baru berdasarkan konfigurasi Anda dan menghapus binding peran permanen dari kebijakan izinkan resource.
Perubahan akses memerlukan waktu 1–2 menit untuk diterapkan.
IAM
Untuk mengalihkan peran dari halaman IAM, lakukan hal berikut:
Di Google Cloud konsol, buka halaman IAM.
Dalam daftar akun utama, temukan grup yang izinnya ingin Anda perbaiki.
Untuk melihat rekomendasi untuk akun utama grup tersebut, klik insight di kolom Insight keamanan.
Di halaman Ringkasan, pilih Hapus peran dan berikan akses sesuai permintaan ke peran.
Untuk membuat hak dengan peran yang diperlukan, masukkan detail yang diperlukan, lalu klik Terapkan. Kolom Peran dan Resource dalam formulir sudah terisi otomatis berdasarkan rekomendasi. Durasi default adalah 8 jam. Untuk mengetahui petunjuk selengkapnya, lihat Membuat hak.
Privileged Access Manager membuat hak baru berdasarkan konfigurasi Anda dan menghapus binding peran permanen dari kebijakan izinkan resource.
Perubahan akses memerlukan waktu 1–2 menit untuk diterapkan.
Mengembalikan rekomendasi
Untuk mengembalikan rekomendasi, lihat Mengembalikan rekomendasi.
Setelah Anda mengembalikan rekomendasi, sistem akan memulihkan binding IAM asli dan menghapus hak Privileged Access Manager yang dibuat.
Langkah berikutnya
- Pelajari lebih lanjut rekomendasi peran.
- Memahami hak PAM.