使用 Privileged Access Manager 修正權限過高的問題

如果 IAM 建議工具發現主體擁有過多權限，您可以將主體的永久角色繫結轉換為 Privileged Access Manager (PAM) 中的暫時性隨選授權，藉此修正發現項目。

這個方法可讓您盡量減少權限，同時避免永久撤銷存取權，以免使用者無法執行不常出現但至關重要的工作。

事前準備

1. 確認已啟用並導入 Privileged Access Manager，以管理授予角色的資源 (專案、資料夾或機構)。
2. 確認您具備完成本指南所需的權限。

必要角色和權限

如要取得完成本指南中工作所需的權限，請要求系統管理員在 Google Cloud 專案中授予您下列 IAM 角色：

• 如要查看角色建議：
  • 建議工具 IAM 管理員 (roles/recommender.iamAdmin)
  • 建議工具 IAM 檢視者 (roles/recommender.iamViewer)
• 如要建立 Privileged Access Manager (PAM) 授權：
  • Privileged Access Manager 管理員 (roles/privilegedaccessmanager.admin)
  • 專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

這些預先定義的角色具備完成本指南中工作所需的權限。如要查看確切的必要權限，請展開「Required permissions」(必要權限) 部分：

所需權限

如要完成本指南中的工作，必須具備下列權限：

• 如要查看角色建議：
  • recommender.iamPolicyInsights.list
  • recommender.iamPolicyRecommendations.list
  • resourcemanager.projects.get
• 如何建立 PAM 授權：
  • privilegedaccessmanager.entitlements.create
  • privilegedaccessmanager.entitlements.list
  • privilegedaccessmanager.locations.list
  • privilegedaccessmanager.locations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.setIamPolicy

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

將角色轉換為 Privileged Access Manager 授權

將角色轉換為 Privileged Access Manager 授權時，IAM 建議工具會與 Privileged Access Manager 協調，建立授權並移除原始的永久角色繫結。您可以在 Google Cloud 控制台的「安全性深入分析資訊」頁面或「IAM」頁面執行這項操作。

還原最佳化建議

如要還原建議，請參閱「還原最佳化建議」一文。

復原建議後，系統會還原原始 IAM 繫結，並刪除建立的 Privileged Access Manager 授權。

後續步驟

• 進一步瞭解角色建議。
• 瞭解 PAM 授權。