GSP1331

Descripción general

Privileged Access Manager (PAM) es una solución de seguridad que ayuda a las organizaciones a administrar y proteger el acceso a los recursos y datos sensibles. Permite otorgar privilegios elevados temporales y justo a tiempo a los usuarios solo cuando los necesiten y durante el tiempo que los necesiten, lo que minimiza el riesgo asociado con las cuentas con privilegios permanentes. Aplicando un control detallado y proporcionando un registro de auditoría, PAM ayuda a reducir la superficie de ataque y a mejorar la postura de seguridad general.

Para obtener información más detallada, consulta la documentación oficial: Documentación de Privileged Access Manager (PAM)

Objetivos

Este lab se enfoca el uso de Gemini para desarrolladores para lograr lo siguiente:

• Comprender los conceptos básicos de Privileged Access Manager (PAM)
• Obtener experiencia práctica en la configuración y administración de derechos de PAM para la elevación de privilegios justo a tiempo
• Demostrar el flujo de trabajo para solicitar y aprobar el acceso elevado temporal con PAM

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs cuentan con un temporizador que no se puede pausar. El temporizador, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar. Se recomienda el navegador Chrome.

• Tiempo para completar el lab (recuerda que, una vez que comienzas un lab, no puedes pausarlo).

Cómo iniciar tu lab y acceder a la consola de Google Cloud

1. Haz clic en el botón Comenzar lab. Si debes pagar por el lab, se abrirá un diálogo para que selecciones la forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • El botón para abrir la consola de Google Cloud
   • El tiempo restante
   • Las credenciales temporales que debes usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

   El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordena las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

   {{{user_0.username | "Username"}}}

   También puedes encontrar el nombre de usuario en el panel Detalles del lab.

4. Haz clic en Siguiente.

5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

   {{{user_0.password | "Password"}}}

   También puedes encontrar la contraseña en el panel Detalles del lab.

6. Haz clic en Siguiente.

   Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud para este lab podría generar cargos adicionales.

7. Haz clic para avanzar por las páginas siguientes:

   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para acceder a los productos y servicios de Google Cloud, haz clic en el menú de navegación o escribe el nombre del servicio o producto en el campo Buscar.

Tarea 1: Habilita Privileged Access Manager

En esta tarea, debes habilitar Privileged Access Manager y, luego, otorgar un rol al agente. Accede a la consola de Google Cloud con las credenciales del usuario principal en el panel del lab para estudiantes que se encuentra en la parte superior izquierda.

1. En la consola de Cloud, navega a IAM y administración > PAM.

2. Haz clic en Configurar PAM.

3. Haz clic en Otorgar rol.

4. Haz clic en Completar la configuración.

Haz clic en Revisar mi progreso para verificar el objetivo. Habilitar Privileged Access Manager

Tarea 2: Crea el derecho

En esta tarea, debes crear un derecho en Privileged Access Manager.

1. En la consola de Cloud, navega a IAM y administración > PAM > Autorizaciones.

2. Haz clic en Crear.

3. En el nombre del derecho, ingresa pam-entitlement.

4. En Selecciona un rol, elige Administrador de IAM de proyecto.

5. En Duración máxima, selecciona 1 día.

6. En Principal del solicitante, ingresa el nombre de usuario principal que se encuentra en el panel del lab para estudiantes.

7. En Principales del responsable de aprobación, ingresa el nombre de usuario secundario que se encuentra en el panel del lab para estudiantes.

8. Haz clic en Listo.

9. Haz clic en Crear derecho.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear el derecho

Tarea 3: Actualiza el derecho

En esta tarea, actualizarás la duración máxima del derecho.

1. En la consola de Cloud, navega a IAM y administración > PAM > DERECHOS PARA TODOS LOS USUARIOS.

2. Haz clic en Editar derecho () para pam-entitlement.

3. En Duración máxima, selecciona 10 horas.

4. Haz clic en Actualizar derecho.

5. Haz clic en Confirmar.

Haz clic en Revisar mi progreso para verificar el objetivo. Actualizar el derecho

Tarea 4: Solicita acceso elevado temporal

En esta tarea, debes solicitar y aprobar un otorgamiento.

1. En la consola de Cloud, navega a IAM y administración > PAM > MIS DERECHOS.

2. Haz clic en Solicitar otorgamiento.

3. En Duración del otorgamiento, selecciona 10 horas.

4. En Justificación, ingresa pam-test.

5. Haz clic en Solicitar otorgamiento.

6. Accede a la consola de Cloud como el usuario secundario en una nueva pestaña de incógnito. Las credenciales del usuario secundario se encuentran en el panel del lab, en la parte superior izquierda.

7. En la consola de Cloud, navega a IAM y administración > PAM > APROBAR OTORGAMIENTOS.

8. Haz clic en Aprobar / Rechazar.

9. Haz clic en Aprobar.

Haz clic en Revisar mi progreso para verificar el objetivo. Solicitar acceso elevado temporal

Tarea 5: Revisa el otorgamiento aprobado

1. Como usuario secundario, navega a IAM y administración > PAM > OTORGAMIENTOS.

2. Selecciona la pestaña PERMISOS PARA TODOS LOS USUARIOS.

3. Revisa la tabla proporcionada para comprender los permisos que están disponibles y activos. Notarás que el solicitante es el usuario principal y el responsable de aprobación es el usuario secundario.

Esto permite que el usuario principal utilice el rol Administrador de IAM del proyecto para realizar actualizaciones en los roles de IAM durante 10 horas.

4. Sal de la consola de Cloud y vuelve a acceder con las credenciales del usuario principal.

5. Navega a IAM y administración > PAM > OTORGAMIENTOS y selecciona la pestaña MIS PERMISOS.

6. Observa que al usuario principal se le otorgó el rol de Administrador de IAM de proyectos por un período de 10 horas.

¡Felicitaciones!

En este lab, aprendiste a administrar el acceso elevado temporal con Privileged Access Manager configurando derechos y otorgamientos justo a tiempo para elevar los privilegios de un usuario específico.

Última actualización del manual: 26 de mayo de 2025

Prueba más reciente del lab: 26 de mayo de 2025

Copyright 2025 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.