Se o recomendador do IAM identificar que um principal tem permissões excessivas, você poderá corrigir a descoberta fazendo a transição da vinculação de papel permanente do principal para um direito temporário e sob demanda no Privileged Access Manager (PAM).
Essa abordagem permite que você alcance uma postura de privilégio mínimo sem o risco de revogar permanentemente o acesso que pode ser necessário para tarefas infrequentes, mas críticas.
Antes de começar
- Verifique se o Privileged Access Manager está integrado e ativado para o recurso (projeto, pasta ou organização) em que o papel é concedido.
- Verifique se você tem as permissões necessárias para concluir este guia.
Papéis e permissões necessárias
Para ter as permissões necessárias para concluir as tarefas neste guia, peça ao administrador para conceder a você os seguintes papéis do IAM no seu Google Cloud projeto:
-
Para conferir recomendações de papel:
- Administrador de recomendador do IAM (
roles/recommender.iamAdmin) - Leitor de recomendador do IAM (
roles/recommender.iamViewer)
- Administrador de recomendador do IAM (
-
Para criar direitos do Privileged Access Manager (PAM):
- Administrador do Privileged Access Manager (
roles/privilegedaccessmanager.admin) - Administrador de IAM do projeto (
roles/resourcemanager.projectIamAdmin)
- Administrador do Privileged Access Manager (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para concluir as tarefas neste guia. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para concluir as tarefas neste guia:
-
Para conferir recomendações de papel:
-
recommender.iamPolicyInsights.list -
recommender.iamPolicyRecommendations.list -
resourcemanager.projects.get
-
-
Para criar direitos do PAM:
-
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.locations.get -
resourcemanager.projects.get -
resourcemanager.projects.setIamPolicy
-
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Fazer a transição de um papel para um direito do Privileged Access Manager
Quando você faz a transição de um papel para um direito do Privileged Access Manager, o recomendador do IAM coordena com o Privileged Access Manager para criar um direito e remover a vinculação de papel permanente original. É possível fazer isso na página Insights de segurança ou na página IAM no Google Cloud console.
Insights de segurança
Para fazer a transição de um papel na página Insights de segurança, faça o seguinte:
No Google Cloud console do, acesse a página IAM e administrador > Insights de segurança.
Localize o widget Principais grupos com permissões em excesso.
Para o grupo em que você quer corrigir as permissões, clique no link correspondente na coluna Insights.
Para o tipo de insight que você quer resolver, clique em Conferir recomendação.
Na página Visão geral, selecione Remover o papel e conceder acesso sob demanda ao papel.
Para criar um direito com o papel necessário, insira os detalhes necessários e clique em Aplicar. Os campos Papel e Recurso no formulário são pré-preenchidos com base na recomendação. A Duração é definida como 8 horas por padrão. Para instruções detalhadas, consulte Criar direitos.
O Privileged Access Manager cria um novo direito com base na sua configuração e remove a vinculação de papel permanente da política de permissão do recurso.
As mudanças de acesso levam de 1 a 2 minutos para entrar em vigor.
IAM
Para fazer a transição de um papel na página IAM, faça o seguinte:
No Google Cloud console, acesse a página IAM.
Na lista de principais, localize o grupo em que você quer corrigir as permissões.
Para conferir as recomendações desse principal do grupo, clique no insight na coluna Insights de segurança.
Na página Visão geral, selecione Remover o papel e conceder acesso sob demanda ao papel.
Para criar um direito com o papel necessário, insira os detalhes necessários e clique em Aplicar. Os campos Papel e Recurso no formulário são pré-preenchidos com base na recomendação. A Duração é definida como 8 horas por padrão. Para instruções detalhadas, consulte Criar direitos.
O Privileged Access Manager cria um novo direito com base na sua configuração e remove a vinculação de papel permanente da política de permissão do recurso.
As mudanças de acesso levam de 1 a 2 minutos para entrar em vigor.
Reverter uma recomendação
Para reverter uma recomendação, consulte Reverter recomendações.
Depois de reverter a recomendação, o sistema restaura a vinculação original do IAM e exclui o direito do Privileged Access Manager criado.
A seguir
- Saiba mais sobre as recomendações de papel.
- Entenda os direitos do PAM.