本文档介绍了使用 Privileged Access Manager 通过 Identity and Access Management (IAM) 控制即时的临时特权提升的最佳实践。
管理 IAM 政策大小
Privileged Access Manager 通过向资源的政策添加有条件的 IAM 角色绑定来授予有时限的访问权限。每项有效的 Privileged Access Manager 授权都会占用空间,并计入标准 IAM 政策大小限制。 如需了解详情,请参阅 IAM 配额和限制。
如果资源的 IAM 政策达到大小上限,则针对该资源的新 Privileged Access Manager 授权请求会失败,直到您释放政策中的空间为止。
如果即将达到或已达到 IAM 政策大小限制,可以执行以下操作:
撤销现有授权
撤销不再需要的有效 Privileged Access Manager 授权,以从政策中移除其对应的 IAM 绑定并释放空间。 如需查看相关说明,请参阅撤销授权。
优化 Privileged Access Manager 设置
如需优化 Privileged Access Manager 使用权并减少每项授权在 IAM 政策中占用的空间,请执行以下操作:
整合使用权中的角色:
- 将多个预定义角色整合为较少的自定义角色,以减少占用的空间。
- 使用一个范围更广的角色(例如
roles/reader),而不是多个服务特有的读取者角色。 - 移除冗余角色和重叠权限。例如,如果
Role A的所有权限也存在于Role B中,请从使用权中移除Role A。
减少 IAM 条件的数量和复杂性:
- 如果您在
OR条件中使用包含多个资源名称的列表,请考虑改用标记条件。 - 对于使用范围自定义的授权,请勿使用基于资源名称的过滤条件。
- 如果您在
在所需的最小范围内授予访问权限。
遵循最小权限原则,设置 Privileged Access Manager 使用权,以在尽可能小的范围内授予访问权限。例如,如果用户只需要访问项目中的单个 Cloud Storage 存储桶,则授予对该存储桶的访问权限,而不是对整个项目、文件夹或组织的访问权限。