הגדרת ההגדרות של Privileged Access Manager

המסוף

1. עוברים לדף Privileged Access Manager.

   כניסה ל-Privileged Access Manager

2. בוחרים את הארגון, התיקייה או הפרויקט.

3. לוחצים על הכרטיסייה הגדרות. בקטע מקור ההגדרות, האפשרות ירושה מההורה מסומנת כברירת מחדל.

4. כדי לבטל את ההגדרות שמועברות בירושה מהמשאב האב למשאב צאצא, בקטע Service account as approver בוחרים באפשרות Override inheritance.

5. כדי להפעיל את ההגדרה של חשבון שירות כמאשר, מפעילים את המתג Enable Service Account As Approver ולוחצים על Save.

gcloud

הפקודה gcloud alpha pam settings update מגדירה עוד Privileged Access Manager.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שרוצים לעדכן את ההגדרות שלו. אפשר להשתמש בערך organization,‏ folder או project.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫SA_AS_APPROVER: ערך בוליאני בשדה serviceAccountApproverSettings שמציין אם לחשבונות שירות מותר לאשר הענקות. ערך ברירת המחדל הוא false.
  • אם מציינים ערך בשדה serviceAccountApproverSettings, ההגדרה הזו חלה על המשאב.
  • אם מציינים את השדה serviceAccountApproverSettings אבל משאירים אותו ריק, הגדרות ברירת המחדל יחולו על המשאב.
  • אם לא מציינים את השדה serviceAccountApproverSettings בכלל, המשאב יקבל בירושה את ההגדרות מהמשאב האב.

  אם משביתים את ההגדרה הזו, לא יאושרו מענקים שדורשים אישורים מחשבונות שירות. אם ההרשאות שלכם כוללות רק חשבונות שירות כמאשרים, ההרשאות האלה לא יהיו תקפות.

• ‫request.json: קובץ שמכיל את ההגדרות ששונו. כדי ליצור את הקובץ הזה, מקבלים את ההגדרות הקיימות, שומרים את התגובה בקובץ בשם request.json, ואז משנים אותו כדי להשתמש בו כגוף של בקשת העדכון. כדי לעדכן את הגרסה האחרונה של ההגדרות, צריך לכלול את ה-ETAG בגוף הבקשה.

שומרים את התוכן הבא בקובץ בשם filename.yaml:

emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: NOTIFICATION_MODE_1
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: NOTIFICATION_MODE_2
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: NOTIFICATION_MODE_3
      grantRevoked: ENABLED
etag:'"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"'
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: SA_AS_APPROVER

מריצים את הפקודה הבאה:

gcloud alpha pam settings update \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID \
    --settings-file FILENAME.yaml

gcloud alpha pam settings update `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID `
    --settings-file FILENAME.yaml

gcloud alpha pam settings update ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --settings-file FILENAME.yaml

אמורים לקבל תגובה שדומה לזו:

Parsed [location] resource: RESOURCE_TYPE/RESOURCE_ID/locations/global
Request issued for: [global]
Updated location [global].
createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: ENABLED
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: ENABLED
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: ENABLED
      grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md1"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: true
updateTime: '2025-05-18T10:10:40.101010101Z'

REST

ה-method updateSettings של Privileged Access Manager API מגדירה Privileged Access Manager נוסף.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫SCOPE: הארגון, התיקייה או הפרויקט שרוצים לעדכן את ההגדרות שלהם, בפורמט של organizations/ORGANIZATION_ID, folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫UPDATED_FIELDS: רשימה מופרדת בפסיקים של השדות שצריך לעדכן בהגדרות. לדוגמה, emailNotificationSettings,serviceAccountApproverSettings.

  כדי לעדכן את כל השדות שאפשר לשנות, מגדירים את מסכת העדכון ל-*.

• ‫SA_AS_APPROVER: ערך בוליאני בשדה serviceAccountApproverSettings שמציין אם לחשבונות שירות מותר לאשר הענקות. ערך ברירת המחדל הוא false.
  • אם מציינים ערך בשדה serviceAccountApproverSettings, ההגדרה הזו חלה על המשאב.
  • אם מציינים את השדה serviceAccountApproverSettings אבל משאירים אותו ריק, הגדרות ברירת המחדל יחולו על המשאב.
  • אם לא מציינים את השדה serviceAccountApproverSettings בכלל, המשאב יקבל בירושה את ההגדרות מהמשאב האב.

  אם משביתים את ההגדרה הזו, לא יאושרו מענקים שדורשים אישורים מחשבונות שירות. אם בהרשאות שלכם מוגדרים רק חשבונות שירות כמאשרים, ההרשאות האלה לא תקפות.

• ‫request.json: קובץ שמכיל את ההגדרות ששונו. כדי ליצור את הקובץ הזה, מקבלים את ההגדרות הקיימות, שומרים את התגובה בקובץ בשם request.json, ואז משנים אותו כדי להשתמש בו כגוף של בקשת העדכון. כדי לעדכן את הגרסה האחרונה של ההגדרות, צריך לכלול את ה-ETAG בגוף הבקשה.

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

תוכן בקשת JSON:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

כדי לבדוק את התקדמות פעולת העדכון, אפשר לשלוח בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

כדי לראות רשימה של כל הפעולות, שולחים בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Terraform

אתם יכולים להשתמש ב-Terraform כדי להגדיר את ההגדרות של Privileged Access Manager. למידע נוסף, תוכלו לעיין במאמר google_privileged_access_manager_settings במסמכי התיעוד של Terraform.

המסוף

1. עוברים לדף Privileged Access Manager.

   כניסה ל-Privileged Access Manager

2. בוחרים את הארגון, התיקייה או הפרויקט.

3. לוחצים על הכרטיסייה הגדרות.

4. בקטע התראות, האפשרות עובר בירושה מההורה מסומנת כברירת מחדל.

   בטבלה הבאה מוצגות העדפות ההתראות שמוגדרות כברירת מחדל:

   אירוע	אדמין	הגורם המבקש	הגורם המאשר
   ההרשאה הוקצתה	-	✓	-
   נדרש אישור למתן הגישה	-	-	✓
   המענקים מופעלים	✓	✓	-
   בקשות הגישה נדחות	-	✓	-
   פג התוקף של בקשות הגישה	-	✓	-
   הגישה הסתיימה	✓	✓	-
   הגישה נשללה	-	✓	-
   בקשות הגישה שונו על ידי גורם חיצוני	✓	✓	-
   ההפעלה של בקשות הגישה נכשלה	✓	✓	-

5. כדי לבטל את ההורשה של ההגדרות מההורה, מפעילים את המתג שליחת התראות לגבי האירועים הבאים.

6. כדי להשבית את ההתראות לאירוע ולפרסונה הרלוונטיים של PAM, מסירים את הסימון מתיבות הסימון המתאימות ולוחצים על שמירה.

7. כדי להשבית את כל ההתראות, מבטלים את הסימון של שליחת התראות לגבי האירועים הבאים ולוחצים על שמירה.

gcloud

הפקודה gcloud alpha pam settings update מגדירה עוד Privileged Access Manager.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שרוצים לעדכן את ההגדרות שלו. אפשר להשתמש בערך organization,‏ folder או project.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• NOTIFICATION_MODE: בשדה emailNotificationSettings, משתמשים ב-ENABLED כדי לשלוח התראות באימייל על האירוע, או ב-DISABLED כדי למנוע את השליחה.
  • אם מציינים ערך בשדה emailNotificationSettings, ההגדרה הזו חלה על המשאב.
  • אם מציינים את השדה emailNotificationSettings אבל משאירים אותו ריק, הגדרות ברירת המחדל יחולו על המשאב.
  • אם לא מציינים את השדה emailNotificationSettings בכלל, המשאב יקבל בירושה את ההגדרות מהמשאב האב.
• ‫request.json: קובץ שמכיל את ההגדרות ששונו. כדי ליצור את הקובץ הזה, מקבלים את ההגדרות הקיימות, שומרים את התגובה בקובץ בשם request.json, ואז משנים אותו כדי להשתמש בו כגוף של בקשת העדכון. כדי לעדכן את הגרסה האחרונה של ההגדרות, צריך לכלול את ה-ETAG בגוף הבקשה.

שומרים את התוכן הבא בקובץ בשם filename.yaml:

emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: NOTIFICATION_MODE_1
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: NOTIFICATION_MODE_2
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: NOTIFICATION_MODE_3
      grantRevoked: ENABLED
etag:'"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"'
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: SA_AS_APPROVER

מריצים את הפקודה הבאה:

gcloud alpha pam settings update \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID \
    --settings-file FILENAME.yaml

gcloud alpha pam settings update `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID `
    --settings-file FILENAME.yaml

gcloud alpha pam settings update ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --settings-file FILENAME.yaml

אמורים לקבל תגובה שדומה לזו:

Parsed [location] resource: RESOURCE_TYPE/RESOURCE_ID/locations/global
Request issued for: [global]
Updated location [global].
createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: ENABLED
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: ENABLED
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: ENABLED
      grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md1"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: true
updateTime: '2025-05-18T10:10:40.101010101Z'

REST

ה-method updateSettings של Privileged Access Manager API מגדירה Privileged Access Manager נוסף.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫SCOPE: הארגון, התיקייה או הפרויקט שרוצים לעדכן את ההגדרות שלהם, בפורמט של organizations/ORGANIZATION_ID, folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫UPDATED_FIELDS: רשימה מופרדת בפסיקים של השדות שצריך לעדכן בהגדרות. לדוגמה, emailNotificationSettings,serviceAccountApproverSettings.

  כדי לעדכן את כל השדות שאפשר לשנות, מגדירים את מסכת העדכון ל-*.

• NOTIFICATION_MODE: בשדה emailNotificationSettings, משתמשים ב-ENABLED כדי לשלוח התראות באימייל על האירוע או ב-DISABLED כדי למנוע את השליחה.
  • אם מציינים ערך בשדה emailNotificationSettings, ההגדרה הזו חלה על המשאב.
  • אם מציינים את השדה emailNotificationSettings אבל משאירים אותו ריק, הגדרות ברירת המחדל יחולו על המשאב.
  • אם לא מציינים את השדה emailNotificationSettings בכלל, המשאב יקבל בירושה את ההגדרות מהמשאב האב.
• ‫request.json: קובץ שמכיל את ההגדרות ששונו. כדי ליצור את הקובץ הזה, מקבלים את ההגדרות הקיימות, שומרים את התגובה בקובץ בשם request.json, ואז משנים אותו כדי להשתמש בו כגוף של בקשת העדכון. כדי לעדכן את הגרסה האחרונה של ההגדרות, צריך לכלול את ה-ETAG בגוף הבקשה.

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

תוכן בקשת JSON:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

כדי לבדוק את התקדמות פעולת העדכון, אפשר לשלוח בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

כדי לראות רשימה של כל הפעולות, שולחים בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Terraform

אתם יכולים להשתמש ב-Terraform כדי להגדיר את ההגדרות של Privileged Access Manager. למידע נוסף, תוכלו לעיין במאמר google_privileged_access_manager_settings במסמכי התיעוד של Terraform.