我习惯使用 Azure,但最近加入了一个从 Google Cloud 中的一组 docker 实例运行的项目。
我想像在 Azure 中那样保护 Google Cloud 中的设置。
在 Azure 中,可以使用 Azure AD 限制对生产环境的访问。这可以使用 Google Cloud 组织服务来实现。到目前为止,一切都很好。
现在我想进一步锁定生产。我不希望任何人一直都可以访问生产。我只想在需要时允许这样做,并且只在有限的时间内允许。这可以通过使用特权身份管理 (PIM) 在 Azure 中实现。这样我就可以让某些人在短时间内自我提升他们的特权……比如说 4 小时。他们还必须在文本中证明自我提升的合理性……即使他们已经登录,我也可以再次强制进行双重身份验证。
Google Cloud 中的 PIM 等效项是什么?我一直没能找到它。谁能指出我这样做的谷歌云服务的文档?
今天,你无法实现你想要的。IAM 条件可以允许一个人与特定条件(设备、时间、IP、...)建立联系
使用相同的功能,您还可以设置到期日期。
自我特权提升尚不存在。例如,您可以在函数中实现这一点。
我对 Azure 回声系统不太熟悉,但从描述中我认为您正在寻找 Cloud IAP:https ://cloud.google.com/iap/docs/concepts-overview 。我不确定它是否提供临时提升的功能。
或者,我认为如果您使用 Google Cloud Directory Sync,您可以通过 Azure Active Directory 管理用户并使用它对 Google Cloud 进行身份验证。
此外,这里有一篇文章解释了如何通过允许他们模拟服务帐户来为他们提供临时访问权限: https ://medium.com/wescale/how-to-generate-and-use-temporary-credentials-on -google-cloud-platform-b425ef95a00d
gcloud --impersonate-service-account=admin-impersonated@my-project-id.iam.gserviceaccount.com compute networks create test-net
谢谢你的帖子。我曾希望可以在 Google Cloud 中设置 JIT(即时)特权访问。但目前这是不可能的。