Configure as definições do Gestor de acesso privilegiado

Como administrador das definições do Gestor de acesso privilegiado, pode configurar algumas definições adicionais para o fluxo de trabalho de aprovação e as preferências de notificação.

As definições que configurar ao nível da organização ou da pasta são aplicadas automaticamente aos respetivos recursos secundários, a menos que substitua explicitamente as definições ao nível do recurso secundário.

Pode ativar as contas de serviço como aprovadores elegíveis. Esta definição permite aos administradores adicionar contas de serviço e identidades em Workload Identity Pools como aprovadores quando criam ou modificam uma autorização.

Pode personalizar as preferências de notificação ao nível do recurso para vários eventos do Privileged Access Manager desativando seletivamente as notificações de eventos específicos e personas específicas, ou desativando todas as notificações.

Antes de começar

Para receber as autorizações de que precisa para configurar as definições do Privileged Access Manager, peça ao seu administrador para lhe conceder as seguintes funções do IAM:

Estas funções predefinidas contêm as autorizações necessárias para configurar as definições do Gestor de acessos privilegiados. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para configurar as definições do Privileged Access Manager:

  • Configure as definições: privilegedaccessmanager.settings.update
  • Ver definições:
    • privilegedaccessmanager.settings.get
    • privilegedaccessmanager.settings.fetchEffective

Ative as contas de serviço como aprovadores

Consola

  1. Aceda à página Gestor de acessos privilegiados.

    Aceda ao Gestor de acessos privilegiados

  2. Selecione a organização, a pasta ou o projeto.

  3. Clique no separador Definições. Na secção Origem das definições, a opção Herdar do principal está selecionada por predefinição.

  4. Para substituir as definições herdadas do recurso principal num recurso secundário, na secção Conta de serviço como aprovador, selecione Substituir herança.

  5. Para ativar a definição de conta de serviço como aprovador, ative o interrutor Ativar conta de serviço como aprovador e clique em Guardar.

gcloud

O comando gcloud alpha pam settings update configura o Gestor de acessos privilegiados adicional.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • RESOURCE_TYPE: opcional. O tipo de recurso para o qual quer atualizar as definições. Use o valor organization, folder ou project.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • SA_AS_APPROVER: um valor booleano no campo serviceAccountApproverSettings que indica se as contas de serviço podem aprovar concessões. O valor predefinido é false.
    • Se especificar o campo serviceAccountApproverSettings com um valor, essa definição é aplicada ao seu recurso.
    • Se especificar o campo serviceAccountApproverSettings, mas o deixar vazio, as predefinições são aplicadas ao seu recurso.
    • Se não especificar o campo serviceAccountApproverSettings, o recurso herda as definições do recurso principal.

    Se desativar esta definição, as concessões que requerem aprovações de contas de serviço não são aprovadas. Se as suas autorizações tiverem apenas contas de serviço como aprovadores, essas autorizações não são eficazes.

  • request.json: um ficheiro que contém as definições modificadas. Para criar este ficheiro, obtenha as definições existentes, guarde a resposta no ficheiro com o nome request.json e, em seguida, modifique-o para usar como corpo do seu pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente das definições.

Guarde o seguinte conteúdo num ficheiro denominado filename.yaml: 

emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: NOTIFICATION_MODE_1
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: NOTIFICATION_MODE_2
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: NOTIFICATION_MODE_3
      grantRevoked: ENABLED
etag:'"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"'
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: SA_AS_APPROVER

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam settings update \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID \
    --settings-file FILENAME.yaml

Windows (PowerShell)

gcloud alpha pam settings update `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID `
    --settings-file FILENAME.yaml

Windows (cmd.exe)

gcloud alpha pam settings update ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --settings-file FILENAME.yaml

Deve receber uma resposta semelhante à seguinte:

Parsed [location] resource: RESOURCE_TYPE/RESOURCE_ID/locations/global
Request issued for: [global]
Updated location [global].
createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: ENABLED
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: ENABLED
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: ENABLED
      grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md1"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: true
updateTime: '2025-05-18T10:10:40.101010101Z'

REST

O método updateSettings da API Privileged Access Manager configura o Privileged Access Manager adicional.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • SCOPE: a organização, a pasta ou o projeto para o qual quer atualizar as definições, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • UPDATED_FIELDS: uma lista separada por vírgulas dos campos que precisam de ser atualizados nas definições. Por exemplo, emailNotificationSettings,serviceAccountApproverSettings.

    Para atualizar todos os campos que podem ser modificados, defina a máscara de atualização como *.

  • SA_AS_APPROVER: um valor booleano no campo serviceAccountApproverSettings que indica se as contas de serviço podem aprovar concessões. O valor predefinido é false.
    • Se especificar o campo serviceAccountApproverSettings com um valor, essa definição é aplicada ao seu recurso.
    • Se especificar o campo serviceAccountApproverSettings, mas o deixar vazio, as predefinições são aplicadas ao seu recurso.
    • Se não especificar o campo serviceAccountApproverSettings, o recurso herda as definições do recurso principal.

    Se desativar esta definição, as concessões que requerem aprovações de contas de serviço não são aprovadas. Se as suas autorizações tiverem apenas contas de serviço como aprovadores, essas autorizações não são eficazes.

  • request.json: um ficheiro que contém as definições modificadas. Para criar este ficheiro, obtenha as definições existentes, guarde a resposta no ficheiro com o nome request.json e, em seguida, modifique-o para usar como corpo do seu pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente das definições.

Método HTTP e URL: 

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corpo JSON do pedido: 

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar o seu pedido, expanda uma destas opções:

Deve receber uma resposta JSON semelhante à seguinte:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de atualização, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para listar todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Personalize as preferências de notificação

Consola

  1. Aceda à página Gestor de acessos privilegiados.

    Aceda ao Gestor de acessos privilegiados

  2. Selecione a organização, a pasta ou o projeto.

  3. Clique no separador Definições.

  4. Na secção Notificações, a opção Herdar do elemento principal está selecionada por predefinição.

    A tabela seguinte mostra as preferências de notificação predefinidas:

    Evento Administrador Requerente Aprovador
    Direito atribuído - ✓ -
    A concessão requer aprovação - - ✓
    As concessões estão ativadas ✓ ✓ -
    As concessões são recusadas - ✓ -
    As concessões expiraram - ✓ -
    As concessões terminaram ✓ ✓ -
    As concessões são revogadas - ✓ -
    As concessões são modificadas externamente ✓ ✓ -
    Falha na ativação de concessões ✓ ✓ -

  5. Para substituir a herança de definições da conta principal, ative o botão Enviar notificações para os seguintes eventos.

  6. Para desativar as notificações para o evento e a personagem PAM necessários, desmarque as caixas de verificação correspondentes e clique em Guardar.

  7. Para desativar todas as notificações, desmarque a opção Enviar notificações para os seguintes eventos e clique em Guardar.

gcloud

O comando gcloud alpha pam settings update configura o Gestor de acessos privilegiados adicional.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • RESOURCE_TYPE: opcional. O tipo de recurso para o qual quer atualizar as definições. Use o valor organization, folder ou project.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • NOTIFICATION_MODE: No campo emailNotificationSettings, use ENABLED para enviar emails de notificação para o evento ou DISABLED para os impedir.
    • Se especificar o campo emailNotificationSettings com um valor, essa definição é aplicada ao seu recurso.
    • Se especificar o campo emailNotificationSettings, mas o deixar vazio, as predefinições são aplicadas ao seu recurso.
    • Se não especificar o campo emailNotificationSettings, o recurso herda as definições do recurso principal.
  • request.json: um ficheiro que contém as definições modificadas. Para criar este ficheiro, obtenha as definições existentes, guarde a resposta no ficheiro com o nome request.json e, em seguida, modifique-o para usar como corpo do seu pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente das definições.

Guarde o seguinte conteúdo num ficheiro denominado filename.yaml: 

emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: NOTIFICATION_MODE_1
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: NOTIFICATION_MODE_2
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: NOTIFICATION_MODE_3
      grantRevoked: ENABLED
etag:'"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"'
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: SA_AS_APPROVER

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam settings update \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID \
    --settings-file FILENAME.yaml

Windows (PowerShell)

gcloud alpha pam settings update `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID `
    --settings-file FILENAME.yaml

Windows (cmd.exe)

gcloud alpha pam settings update ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --settings-file FILENAME.yaml

Deve receber uma resposta semelhante à seguinte:

Parsed [location] resource: RESOURCE_TYPE/RESOURCE_ID/locations/global
Request issued for: [global]
Updated location [global].
createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: ENABLED
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: ENABLED
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: ENABLED
      grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md1"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: true
updateTime: '2025-05-18T10:10:40.101010101Z'

REST

O método updateSettings da API Privileged Access Manager configura o Privileged Access Manager adicional.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • SCOPE: a organização, a pasta ou o projeto para o qual quer atualizar as definições, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • UPDATED_FIELDS: uma lista separada por vírgulas dos campos que precisam de ser atualizados nas definições. Por exemplo, emailNotificationSettings,serviceAccountApproverSettings.

    Para atualizar todos os campos que podem ser modificados, defina a máscara de atualização como *.

  • NOTIFICATION_MODE: No campo emailNotificationSettings, use ENABLED para enviar emails de notificação para o evento ou DISABLED para os impedir.
    • Se especificar o campo emailNotificationSettings com um valor, essa definição é aplicada ao seu recurso.
    • Se especificar o campo emailNotificationSettings, mas o deixar vazio, as predefinições são aplicadas ao seu recurso.
    • Se não especificar o campo emailNotificationSettings, o recurso herda as definições do recurso principal.
  • request.json: um ficheiro que contém as definições modificadas. Para criar este ficheiro, obtenha as definições existentes, guarde a resposta no ficheiro com o nome request.json e, em seguida, modifique-o para usar como corpo do seu pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente das definições.

Método HTTP e URL: 

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corpo JSON do pedido: 

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar o seu pedido, expanda uma destas opções:

Deve receber uma resposta JSON semelhante à seguinte:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de atualização, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para listar todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

O que se segue?