相当于 Azure 特权身份管理 (PIM) 的 Google Cloud

Question

我习惯使用 Azure，但最近加入了一个从 Google Cloud 中的一组 docker 实例运行的项目。

我想像在 Azure 中那样保护 Google Cloud 中的设置。

在 Azure 中，可以使用 Azure AD 限制对生产环境的访问。这可以使用 Google Cloud 组织服务来实现。到现在为止还挺好。

现在我想进一步锁定生产。我不希望任何人一直都可以访问生产。我只想在需要时允许这样做，并且只在有限的时间内允许。这可以通过使用特权身份管理 (PIM) 在 Azure 中实现。这样我就可以让某些人在短时间内自我提升他们的特权……比如说 4 小时。他们还必须在文本中证明自我提升的合理性……即使他们已经登录，我也可以再次强制进行双重身份验证。

Google Cloud 中的 PIM 等效项是什么？我一直没能找到它。任何人都可以向我指出执行此操作的 Google Cloud Service 的文档吗？

Answer 1

我对 Azure 回显系统不太熟悉，但从描述中我认为您正在寻找 Cloud IAP：https://cloud.google.com/iap/docs/concepts-overview。我不确定它是否提供临时提升的功能。

或者，我认为如果您使用 Google Cloud Directory Sync，您可以通过 Azure Active Directory 管理用户并使用它来针对 Google Cloud 进行身份验证。

另外，这里有一篇文章解释了如何通过允许某人冒充服务帐户来为他们提供临时访问权限： https://medium.com/wescale/how-to-generate-and-use-temporary-credentials-on-google-cloud-platform-b425ef95a00d

gcloud --impersonate-service-account=admin-impersonated@my-project-id.iam.gserviceaccount.com compute networks create test-net

Answer 2

今天，你无法实现你想要的。 IAM 条件可以允许一个人与特定条件（设备、时间、IP、...）进行连接

使用相同的功能，您还可以设置到期日期。

不存在自我特权提升，还。例如，您可以在函数中实现这一点。

• 用户使用自己的身份对函数执行查询
• 该函数允许此用户具有“所有者”角色（例如），并具有到期日期。
• 该功能是私有部署的，只有经过身份验证和授权的人才能访问它。

Answer 3

感谢您的帖子。我曾希望可以在 Google Cloud 中设置 JIT（即时）特权访问。但目前这是不可能的。