Gewährungen mit Privileged Access Manager genehmigen oder ablehnen

Wenn für eine Berechtigung ein Genehmigungsworkflow vorhanden ist, können Hauptkonten, die als Genehmiger angegeben sind, Gewährungsanfragen für diese Berechtigung genehmigen oder ablehnen.

Wenn die Premium- oder Enterprise-Stufe von Security Command Center auf Organisationsebene aktiviert ist, kann der Genehmigungsworkflow zwei Genehmigungsebenen haben. Ein Genehmiger kann in einer oder beiden Genehmigungsebenen sein, kann aber nur einmal genehmigen. Nachdem die erforderliche Anzahl von Genehmigungen der ersten Ebene eingegangen ist, werden E‑Mail-Benachrichtigungen an Genehmiger der zweiten Ebene gesendet. Sobald die erforderliche Anzahl von Genehmigungen der zweiten Ebene eingegangen ist, wechselt die Zuweisung in den Status active. Wenn ein Genehmiger die Gewährung ablehnt, wechselt sie in den Status denied und wird nicht an weitere Genehmiger gesendet. Dieses Feature ist als Vorabversion verfügbar.

Beachten Sie Folgendes, wenn Sie einen Antrag auf Gewährung einer Berechtigung genehmigen oder ablehnen:

  • Sie können Ihre eigene Anfrage nicht genehmigen.

  • Wenn eine Anfrage nicht innerhalb von 24 Stunden genehmigt oder abgelehnt wird, wird der Status der Gewährung in expired geändert. Danach muss ein Hauptkonto eine neue Gewährungsanfrage beantragen, wenn die Berechtigungserhöhung weiterhin erforderlich ist.

Gewährungen mit der Google Cloud Console genehmigen oder ablehnen

So genehmigen oder lehnen Sie einen Antrag auf Gewährung der Berechtigung ab:

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Klicken Sie auf den Tab Gewährungen genehmigen und dann auf den Tab Ausstehende Genehmigung.

  3. Klicken Sie in der Zeile mit der Anfrage, die Sie genehmigen oder ablehnen möchten, auf Genehmigen/ablehnen.

  4. Wenn eine Begründung erforderlich ist, geben Sie sie in das Feld Kommentar ein. Den Verlauf der Bewilligung finden Sie auf dem Tab Verlauf.

  5. Klicken Sie auf Genehmigen oder Ablehnen.

Ihren Genehmigungsverlauf können Sie auf dem Tab Mein Genehmigungsverlauf einsehen. Der Genehmigungsverlauf ist 30 Tage lang nach einer Genehmigungsaktion verfügbar. Gewährte Zugriffe, die für Berechtigungen erstellt wurden, die von einer übergeordneten Ressource übernommen wurden, werden im Genehmigungsverlauf der übergeordneten Ressource angezeigt.

Gewährungen programmatisch genehmigen oder ablehnen

So genehmigen oder lehnen Sie Gewährungen ab:

  1. Suchen Sie nach Berechtigungen, für die Sie ein Genehmiger sind.

  2. Suchen Sie mit der entsprechenden Berechtigungs-ID nach Gewährungsanfragen, die Sie genehmigen oder ablehnen können.

  3. Genehmigen oder lehnen Sie die Gewährungsanfragen ab.

Nach Berechtigungen suchen, für die Sie ein Genehmiger sind

gcloud

Mit dem Befehl gcloud pam entitlements search und dem Aufruferzugriffstyp grant-approver wird nach Berechtigungen gesucht, für die Sie ein Genehmiger sind.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud pam entitlements search \
    --caller-access-type=grant-approver \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam entitlements search `
    --caller-access-type=grant-approver `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam entitlements search ^
    --caller-access-type=grant-approver ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '22024-03-26T11:07:37.009498890Z'
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  notMandatory: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'

REST

Mit der searchEntitlements-Methode der Privileged Access Manager API mit dem GRANT_APPROVER-Aufruferzugriffstyp wird nach Berechtigungen gesucht, für die Sie ein Genehmiger sind.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FILTER: Optional. Es werden Berechtigungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
  • PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
  • PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll. Dazu wird ein Seitentoken verwendet, das in einer vorherigen Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_APPROVER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

[
  {
    "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "roleBindings": [
          {
            "role": "roles/storage.admin"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "00000000000000000000000000000000000000000000000000000000000="
  }
]

Nach Gewährungsanträgen suchen, die Sie genehmigen oder ablehnen können

gcloud

Mit dem Befehl gcloud alpha pam grants search wird nach einer Gewährung gesucht, die Sie genehmigen oder ablehnen können oder die Sie bereits genehmigt oder abgelehnt haben. Für diese Methode sind keine speziellen Privileged Access Manager-Berechtigungen erforderlich.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie nach Berechtigungen suchen, für die Sie ein Genehmiger sind.

  • CALLER_RELATIONSHIP_TYPE: Verwenden Sie einen der folgenden Werte: .

    • had-approved: Gibt Gewährungen zurück, die der Aufrufer genehmigt oder abgelehnt hat.
    • can-approve: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=CALLER_RELATIONSHIP_TYPE \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=CALLER_RELATIONSHIP_TYPE `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=CALLER_RELATIONSHIP_TYPE ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

REST

Mit der Methode searchGrants der Privileged Access Manager API wird nach einer Gewährung gesucht, die Sie genehmigen oder ablehnen können oder die bereits genehmigt oder abgelehnt wurde. Für diese Methode sind keine speziellen Privileged Access Manager-Berechtigungen erforderlich.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie nach Berechtigungen suchen, für die Sie ein Genehmiger sind.
  • RELATIONSHIP_TYPE: Gültige Werte sind:
    • HAD_APPROVED: Gibt Gewährungen zurück, die der Aufrufer zuvor genehmigt oder abgelehnt hat.
    • CAN_APPROVE: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
  • FILTER: Optional. Es werden Gewährungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
  • PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
  • PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll. Dazu wird ein Seitentoken verwendet, das in einer vorherigen Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "grants": [
    {
      "name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
              "id": "hwqrt_1"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Gewährungen programmatisch genehmigen

gcloud

Mit dem Befehl gcloud pam grants describe wird ein bestimmter Gewährungsantrag genehmigt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • GRANT_ID: Die ID der Gewährung, die Sie genehmigen. Sie können die ID abrufen, indem Sie nach Gewährungsanträgen suchen, die Sie genehmigen oder ablehnen können.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • APPROVAL_REASON: Warum die Gewährung genehmigt wurde.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud pam grants approve \
    GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="APPROVAL_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants approve `
    GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="APPROVAL_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants approve ^
    GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="APPROVAL_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

createTime: '2024-04-05T01:17:04.596455403Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: SCHEDULED
timeline:
  events:
  - eventTime: '2024-04-05T01:17:04.732226659Z'
    requested:
      expireTime: '2024-04-06T01:17:04.732226659Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T01:21:49.139539732Z'
  - eventTime: '2024-04-05T01:21:49.139463954Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T01:21:49.139463954Z'
updateTime: '2024-04-05T01:21:49.139463954Z'

REST

Mit der Methode approveGrant der Privileged Access Manager API wird ein bestimmter Gewährungsantrag genehmigt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • GRANT_ID: Die ID der Gewährung, die Sie genehmigen. Sie können die ID abrufen, indem Sie nach Gewährungsanträgen suchen, die Sie genehmigen oder ablehnen können.
  • REASON: Der Grund, warum der Antrag auf Gewährung genehmigt wurde.

HTTP-Methode und URL:

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:approve

JSON-Text anfordern:

{
    "reason": "REASON"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T23:01:13.964619844Z",
  "requester": "alex@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "SCHEDULED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      },
      {
        "eventTime": "2024-03-06T23:01:13.964685709Z",
        "approved": {
          "reason": "Approved escalation",
          "actor": "cruz@example.com"
        }
      },
      {
        "eventTime": "2024-03-06T23:01:13.964619844Z",
        "scheduled": {
          "scheduledActivationTime": "2024-03-06T23:01:13.964619844Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "bola@example.com.com"
  ]
}

Gewährungen programmatisch verweigern

gcloud

Mit dem Befehl gcloud pam grants describe wird ein bestimmter Gewährungsantrag abgelehnt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • GRANT_ID: Die ID der Gewährung, die Sie ablehnen. Sie können die ID abrufen, indem Sie nach Gewährungen suchen, die Sie genehmigen oder ablehnen können.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • DENIAL_REASON: Warum die Gewährung abgelehnt wurde.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud pam grants deny \
    GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="DENIAL_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants deny `
    GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="DENIAL_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants deny ^
    GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="DENIAL_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

createTime: '2024-04-05T01:29:13.129192816Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-04-05T01:29:13.267878626Z'
    requested:
      expireTime: '2024-04-06T01:29:13.267878626Z'
  - denied:
      actor: alex@example.com
      reason: Access denied under existing policy
    eventTime: '2024-04-05T01:29:49.492161363Z'
updateTime: '2024-04-05T01:29:49.492097724Z'

REST

Mit der Methode denyGrant der Privileged Access Manager API wird eine bestimmte Gewährungsanfrage abgelehnt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • GRANT_ID: Die ID der Gewährung, die Sie ablehnen. Sie können die ID abrufen, indem Sie nach Gewährungen suchen, die Sie genehmigen oder ablehnen können.
  • REASON: Der Grund, warum der Antrag auf Gewährung abgelehnt wurde.

HTTP-Methode und URL:

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:deny

JSON-Text anfordern:

{
    "reason": "REASON"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-07T00:34:32.557017289Z",
  "updateTime": "2024-03-07T00:36:08.309046580Z",
  "requester": "alex@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "DENIED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-07T00:34:32.793769042Z",
        "requested": {
          "expireTime": "2024-03-08T00:34:32.793769042Z"
        }
      },
      {
        "eventTime": "2024-03-07T00:36:08.309116203Z",
        "denied": {
          "reason": "Outage already resolved",
          "actor": "cruz@example.com"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "bola@example.com"
  ]
}