יצירת הרשאות ב-Privileged Access Manager

המסוף

1. עוברים לדף Privileged Access Manager.

   כניסה ל-Privileged Access Manager

2. בוחרים את הארגון, התיקייה או הפרויקט שרוצים להחיל עליהם את ההרשאה.

3. לוחצים על הכרטיסייה Entitlements (זכויות גישה).

4. לוחצים על יצירה.

5. בקטע פרטי ההרשאה, מזינים את פרטי ההרשאה הבאים:

   • שם ההרשאה. שם ההרשאה יכול לכלול בין 4 ל-63 תווים. הוא חייב להתחיל באות קטנה באנגלית, ויכול לכלול רק אותיות קטנות, ספרות ומקפים.

   • עד 30 תפקידים שיוקצו ברמת הארגון, התיקייה או הפרויקט.

     אפשר גם להוסיף תנאים של IAM לתפקידים האלה באותו אופן שבו מוסיפים תנאים לקישורי תפקידים במדיניות הרשאות.

   • משך הזמן המקסימלי של בקשת הגישה. המשך המקסימלי שאפשר להגדיר לזכאות הוא 7 ימים.

6. לוחצים על הבא.

7. בקטע הוספת מבקשי גישה, מזינים עד 20 ישויות מורשות תקפות שיכולות לבקש גישה להרשאה.

   כל סוגי החשבונות נתמכים, למעט allUsers ו-allAuthenticatedUsers. אפשר להוסיף יותר מ-20 זהויות על ידי הוספה שלהן לקבוצה וציון הקבוצה בהרשאה.

8. בוחרים אם הישויות המורשות צריכות לספק הצדקה לבקשת המענק.

9. מזינים כתובות אימייל נוספות של משתמשים שרוצים לשלוח להם הודעה כשההרשאה זמינה לבקשה.

   זהויות ב-Google שמשויכות להרשאה, כמו מאשרים ומבקשים, מקבלות הודעה אוטומטית. עם זאת, אם רוצים לשלוח הודעה לאנשים נוספים, אפשר להוסיף את כתובות האימייל שלהם. האפשרות הזו שימושית במיוחד אם אתם משתמשים בזהויות של כוח העבודה במקום בחשבונות Google.

10. לוחצים על הבא.

11. בקטע Add approvers, מבצעים אחת מהפעולות הבאות:

    • כדי לאפשר הענקת תפקידים ללא אישור, בוחרים באפשרות קבלת גישה ללא צורך באישור.

    • כדי לחייב אישורים:

      1. אופציונלי: כדי לדרוש מהגורמים המאשרים להזין הסברים לאישור הבקשות, בוחרים באפשרות צריך לציין סיבה לאישור הבקשה.

      2. מזינים את הפרטים של המאשר ברמה הראשונה:

         • רשימת המאשרים של ההרשאה

           אפשר להוסיף את כל סוגי החשבונות הבאים כמאשרים:

           • חשבונות Google

           • קבוצות Google

           • דומיינים של Google Workspace

           • מזהים של מאגרי כוח עבודה

           • מזהים של מאגרי עומסי עבודה

           • חשבונות שירות

             חשבונות שירות ומזהים של מאגרי זהויות של עומסי עבודה זמינים רק אם לחשבונות שירות יש הרשאה לאשר הענקות גישה למשאב הזה. פרטים נוספים מופיעים במאמר בנושא הגדרת ההגדרות של Privileged Access Manager.

         • מספר האישורים שדרושים

           אם הוספתם קבוצה כגורם מאשר, ודאו שמספר האישורים הנדרשים קטן ממספר הגורמים בקבוצה או שווה לו. אחרת, ההרשאות יישארו תקועות במצב approval awaited.

         • כתובות האימייל של המאשרים לקבלת התראות

      3. אופציונלי: מוסיפים פרטים של מאשר ברמה השנייה:

         • רשימת המאשרים של ההרשאה

           אפשר להוסיף את כל סוגי החשבונות הבאים כמאשרים:

           • חשבונות Google

           • קבוצות Google

           • דומיינים של Google Workspace

           • מזהים של מאגרי כוח עבודה

           • מזהים של מאגרי עומסי עבודה

           • חשבונות שירות

             חשבונות שירות ומזהים של מאגרי זהויות של עומסי עבודה זמינים רק אם לחשבונות שירות יש הרשאה לאשר הענקות גישה למשאב הזה. פרטים נוספים מופיעים במאמר בנושא הגדרת ההגדרות של Privileged Access Manager.

         • מספר האישורים שדרושים

           אם הוספתם קבוצה כגורם מאשר, ודאו שמספר האישורים הנדרשים קטן ממספר הגורמים בקבוצה או שווה לו. אחרת, ההרשאות יישארו תקועות במצב approval awaited.

         • כתובות האימייל של המאשרים לקבלת התראות

    אפשר להוסיף עד 20 חשבונות משתמשים (זהויות או קבוצות) שצריכים לאשר כל בקשה. כדי להוסיף יותר מ-20 מאשרים, אפשר להוסיף אותם לקבוצה ולציין את הקבוצה כמאשרת של ההרשאה.

12. לוחצים על הבא.

13. לוחצים על יצירת הרשאה.

יכול להיות שיחלפו כמה דקות עד שההרשאות החדשות יתעדכנו ויהיו מוכנות לשימוש.

gcloud

הפקודה gcloud alpha pam entitlements create יוצרת הרשאה ברמת הארגון, התיקייה או הפרויקט.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ID: מזהה הזכאות שרוצים ליצור. המזהה חייב להיות באורך 4-63 תווים, ולהכיל את התווים הבאים: [a-z0-9-]. התו הראשון חייב להיות אות.
• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
• ‫SCOPE: הארגון, התיקייה או הפרויקט שבהם רוצים ליצור את ההרשאה, בפורמט organizations/ORGANIZATION_ID, folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• RESOURCE_MANAGER_RESOURCE_TYPE: אחת מהאפשרויות הבאות: Organization,‏ Folder או Project, בהתאם להיקף.
• ‫ROLE: התפקידים שיוקצו כשתינתן הרשאה.
• ‫MAXIMUM_GRANT_DURATION: משך הזמן המקסימלי שאפשר לבקש עבורו הרשאה, בשניות, שמסתיים בסיומת s. לדוגמה, כדי לציין 30 דקות, משתמשים בערך 1800s. הטווח הנתמך הוא בין 30 דקות (1800s) ל-168 שעות (604800s).

• REQUESTING_MEMBER: חשבונות משתמשים שיכולים לבקש את ההרשאה. כל סוגי החשבונות הראשיים נתמכים, מלבד allUsers ו-allAuthenticatedUsers.

• APPROVING_MEMBER: חשבונות המשתמשים שיכולים לאשר את בקשת ההרשאה. סוגי החשבונות האפשריים הם:

  • משתמש
  • קבוצה
  • דומיין
  • מזהים של מאגרי כוח עבודה
  • מזהים של מאגרי עומסי עבודה

    האפשרות הזו זמינה רק אם לחשבונות שירות יש הרשאה לאשר בקשות למתן הרשאות למשאב הזה. פרטים נוספים מופיעים במאמר בנושא הגדרת ההגדרות של Privileged Access Manager.

  • חשבונות שירות

    האפשרות הזו זמינה רק אם לחשבונות שירות יש הרשאה לאשר בקשות למתן הרשאות למשאב הזה. פרטים נוספים מופיעים במאמר בנושא הגדרת ההגדרות של Privileged Access Manager.

• ‫APPROVALS_NEEDED: מספר המאשרים שנדרשים לאישור בקשת ההרשאה.

  אם הוספתם קבוצה כמאשרת, ודאו שמספר האישורים הנדרשים קטן ממספר הגורמים בקבוצה או שווה לו. אחרת, המענקים יישארו תקועים במצב approval awaited.

• ‫APPROVER_EMAIL_ADDRESSES: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות כשמתקבלת בקשת גישה. זהויות ב-Google שמשויכות למאשרי הרשאות מקבלות התראה אוטומטית. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לכתובות אימייל אחרות, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫ADMIN_EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות כשמגיש הבקשה מקבל גישה. זהויות ב-Google שמשויכות למאשרי הרשאות מקבלות התראה אוטומטית. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לכתובות אימייל אחרות, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫REQUESTER_EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות כשההרשאה הזו תהיה זמינה לבקשה. הודעה נשלחת אוטומטית לבעלי הזהויות ב-Google שמשויכות למבקשי ההרשאות. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫CONDITION_EXPRESSION: אופציונלי. ביטוי התנאי שמציין מתי חשבון המשתמש יכול להשתמש בהרשאות שמוגדרות בתפקיד. התנאי הזה חל רק כשהמענק פעיל.

שומרים את התוכן הבא בקובץ בשם entitlement.yaml:

privilegedAccess:
  gcpIamAccess:
    resourceType: cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE
    resource: //cloudresourcemanager.googleapis.com/SCOPE
    roleBindings:
    - role: ROLE_1
      conditionExpression: CONDITION_EXPRESSION_1
    - role: ROLE_2
      conditionExpression: CONDITION_EXPRESSION_2
maxRequestDuration: MAXIMUM_GRANT_DURATION
eligibleUsers:
- principals:
  - REQUESTING_MEMBER_1
  - REQUESTING_MEMBER_2
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: APPROVALS_NEEDED_1
      approverEmailRecipients:
      - APPROVER_EMAIL_ADDRESSES_1
      - APPROVER_EMAIL_ADDRESSES_2
      approvers:
      - principals:
       - APPROVING_MEMBER_1
       - APPROVING_MEMBER_2
    - approvalsNeeded: APPROVALS_NEEDED_2
      approverEmailRecipients:
       - APPROVER_EMAIL_ADDRESSES_3
       - APPROVER_EMAIL_ADDRESSES_4
      approvers:
      - principals:
        - APPROVING_MEMBER_3
        - APPROVING_MEMBER_4
requesterJustificationConfig:
  unstructured: {}
additionalNotificationTargets:
  adminEmailRecipients:
  - ADMIN_EMAIL_ADDRESS_1
  - ADMIN_EMAIL_ADDRESS_2
  requesterEmailRecipients:
  - REQUESTER_EMAIL_ADDRESS_1
  - REQUESTER_EMAIL_ADDRESS_2

מריצים את הפקודה הבאה:

gcloud alpha pam entitlements create \
    ENTITLEMENT_ID \
    --entitlement-file=entitlement.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam entitlements create `
    ENTITLEMENT_ID `
    --entitlement-file=entitlement.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam entitlements create ^
    ENTITLEMENT_ID ^
    --entitlement-file=entitlement.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

Create request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/PROJECT_ID/locations/global/operations/OPERATION_ID] to complete...done.
Created entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - group:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
  createTime: '2024-04-09T02:39:37.011866832Z'
  eligibleUsers:
  - principals:
    - user:bola@example.com
  etag: 00000000000000000000000000000000000000000000000000000000000=
  maxRequestDuration: 7200s
  name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
  privilegedAccess:
    gcpIamAccess:
      resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
      resourceType: cloudresourcemanager.googleapis.com/Project
      roleBindings:
      - role: roles/storage.admin
        id: hwarq_1
        conditionExpression: "request.time.getHours() >= 8"
  requesterJustificationConfig:
    unstructured: {}
  state: AVAILABLE

REST

השיטה createEntitlement של Privileged Access Manager API יוצרת הרשאה ברמת הארגון, התיקייה או הפרויקט.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫SCOPE: הארגון, התיקייה או הפרויקט שבהם רוצים ליצור את ההרשאה, בפורמט organizations/ORGANIZATION_ID, folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫ENTITLEMENT_ID: מזהה הזכאות שרוצים ליצור. המזהה חייב להיות באורך 4-63 תווים, ולהכיל את התווים הבאים: [a-z0-9-]. התו הראשון חייב להיות אות.
• RESOURCE_MANAGER_RESOURCE_TYPE: אחת מהאפשרויות הבאות: Organization,‏ Folder או Project, בהתאם להיקף.
• ‫ROLE: התפקידים שיוקצו כשתינתן הרשאה.
• ‫MAXIMUM_GRANT_DURATION: משך הזמן המקסימלי שאפשר לבקש עבורו הרשאה, בשניות, שמסתיים בסיומת s. לדוגמה, כדי לציין 30 דקות, משתמשים בערך 1800s. הטווח הנתמך הוא בין 30 דקות (1800s) ל-168 שעות (604800s).

• REQUESTING_MEMBER: חשבונות משתמשים שיכולים לבקש את ההרשאה. כל סוגי החשבונות הראשיים נתמכים, מלבד allUsers ו-allAuthenticatedUsers.

• APPROVING_MEMBER: חשבונות משתמשים שיכולים לאשר את בקשת ההרשאה. סוגי החשבונות האפשריים הם:

  • משתמש
  • קבוצה
  • דומיין
  • מזהים של מאגרי כוח עבודה
  • מזהים של מאגרי עומסי עבודה

    האפשרות הזו זמינה רק אם לחשבונות שירות יש הרשאה לאשר בקשות למתן הרשאות למשאב הזה. פרטים נוספים מופיעים במאמר בנושא הגדרת ההגדרות של Privileged Access Manager.

  • חשבונות שירות

    האפשרות הזו זמינה רק אם לחשבונות שירות יש הרשאה לאשר בקשות למתן הרשאות למשאב הזה. פרטים נוספים מופיעים במאמר בנושא הגדרת ההגדרות של Privileged Access Manager.

• ‫APPROVALS_NEEDED: מספר המאשרים שנדרשים לאישור בקשת ההרשאה.

  אם הוספתם קבוצה כגורם מאשר, ודאו שמספר האישורים הנדרשים קטן ממספר הגורמים בקבוצה או שווה לו. אחרת, המענקים יישארו תקועים במצב approval awaited.

• ‫APPROVER_EMAIL_ADDRESSES: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות כשמתקבלת בקשת גישה. זהויות ב-Google שמשויכות למאשרי הרשאות מקבלות התראה אוטומטית. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לכתובות אימייל אחרות, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫ADMIN_EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות כשמגיש הבקשה מקבל גישה. זהויות ב-Google שמשויכות למאשרי הרשאות מקבלות התראה אוטומטית. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫REQUESTER_EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות כשההרשאה הזו תהיה זמינה לבקשה. הודעה נשלחת אוטומטית לבעלי הזהויות ב-Google שמשויכות למבקשי ההרשאות. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫CONDITION_EXPRESSION: אופציונלי. ביטוי התנאי שמציין מתי חשבון המשתמש יכול להשתמש בהרשאות שמוגדרות בתפקיד. התנאי הזה חל רק כשהמענק פעיל.

ה-method של ה-HTTP וכתובת ה-URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID

תוכן בקשת JSON:

{
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE",
      "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
      "roleBindings": [
        {
          "role": "ROLE_1",
          "conditionExpression": "CONDITION_EXPRESSION_1",
        },
        {
          "role": "ROLE_2",
          "conditionExpression": "CONDITION_EXPRESSION_2",
        },
      ]
    }
  },
  "maxRequestDuration": "MAXIMUM_GRANT_DURATION",
  "eligibleUsers": [
    {
      "principals": [
        "REQUESTING_MEMBER_1",
        "REQUESTING_MEMBER_2",
        ...
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "requireApproverJustification": true,
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_1",
                "APPROVING_MEMBER_2",
              ]
            }
          ],
          "approvalsNeeded": APPROVALS_NEEDED_1,
          "approverEmailRecipients": [
            "APPROVER_EMAIL_ADDRESSES_1",
            "APPROVER_EMAIL_ADDRESSES_2",
          ]
        },
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_3",
                "APPROVING_MEMBER_4",
              ]
            }
          ],
          "approvalsNeeded": APPROVALS_NEEDED_2,
          "approverEmailRecipients": [
            "APPROVER_EMAIL_ADDRESSES_3",
            "APPROVER_EMAIL_ADDRESSES_4",
          ]
        }
      ]
    }
  },
  "requesterJustificationConfig": {
    "unstructured": {
    }
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "ADMIN_EMAIL_ADDRESS_1",
      "ADMIN_EMAIL_ADDRESS_2",
    ],
    "requesterEmailRecipients": [
      "REQUESTER_EMAIL_ADDRESS_1",
      "REQUESTER_EMAIL_ADDRESS_2",
    ]
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/PROJECT_ID/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

כדי לבדוק את התקדמות הפעולה ליצירת משאב, אפשר לשלוח בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

כדי לראות רשימה של כל הפעולות, שולחים בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Terraform

אפשר להשתמש ב-Terraform כדי ליצור הרשאות. מידע נוסף זמין במאמר google_privileged_access_manager_entitlement במסמכי התיעוד של Terraform. יכול להיות שיחלפו כמה דקות עד שההרשאות החדשות יתעדכנו ויהיו מוכנות לשימוש.

Config Connector

אתם יכולים להשתמש ב-Kubernetes Config Connector כדי ליצור הרשאות. מידע נוסף זמין במאמר PrivilegedAccessManagerEntitlement במסמכי התיעוד של Config Connector. יכול להיות שיחלפו כמה דקות עד שההרשאות החדשות יתעדכנו ויהיו מוכנות לשימוש.