הגדרות והרשאות של Privileged Access Manager

כדי להתחיל ליצור, לשנות או לנהל הרשאות וגישה ל-Privileged Access Manager, לחשבונות המשתמשים צריכות להיות ההרשאות המתאימות. צריך גם להגדיר את השירות ברמת הארגון, התיקייה או הפרויקט.

חשבונות משתמשים שמבקשים הרשאות וחשבונות משתמשים שמאשרים או דוחים את ההרשאות לא צריכים הרשאות ספציפיות של Privileged Access Manager.

לפני שמתחילים

כדאי לוודא שיש לכם את ההרשאות הנדרשות לניהול זהויות והרשאות גישה (IAM) כדי להגדיר ולנהל את ההרשאות של Privileged Access Manager.

כדי לקבל את ההרשאות שדרושות לכם לעבודה עם זכויות ועם הענקות גישה, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש כוללים את ההרשאות שנדרשות לעבודה עם זכויות ועם הקצאות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לעבוד עם זכויות ועם הענקות הרשאות, נדרשות ההרשאות הבאות:

  • כדי להפעיל את Privileged Access Manager ברמת הארגון:
    • privilegedaccessmanager.locations.checkOnboardingStatus
    • resourcemanager.organizations.get
    • resourcemanager.organizations.getIamPolicy
    • resourcemanager.organizations.setIamPolicy
    • serviceusage.services.enable
  • כדי לנהל את ההרשאות והמענקים של ארגון:
    • resourcemanager.organizations.get
    • resourcemanager.organizations.setIamPolicy
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.delete
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.entitlements.setIamPolicy
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.grants.revoke
    • privilegedaccessmanager.operations.delete
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • כדי לראות את ההרשאות והמענקים של ארגון:
    • resourcemanager.organizations.get
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • כדי להפעיל את Privileged Access Manager ברמת התיקייה:
    • privilegedaccessmanager.locations.checkOnboardingStatus
    • resourcemanager.folders.get
    • resourcemanager.folders.getIamPolicy
    • resourcemanager.folders.setIamPolicy
    • serviceusage.services.enable
  • כדי לנהל את ההרשאות וההקצאות של תיקייה:
    • resourcemanager.folders.get
    • resourcemanager.folders.setIamPolicy
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.delete
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.entitlements.setIamPolicy
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.grants.revoke
    • privilegedaccessmanager.operations.delete
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • כדי לראות את ההרשאות והמענקים של תיקייה:
    • resourcemanager.folders.get
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • כדי להפעיל את Privileged Access Manager ברמת הפרויקט:
    • privilegedaccessmanager.locations.checkOnboardingStatus
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy
    • serviceusage.services.enable
  • כדי לנהל את ההרשאות וההקצאות של פרויקט:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.delete
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.entitlements.setIamPolicy
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.grants.revoke
    • privilegedaccessmanager.operations.delete
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • כדי לראות את הזכויות וההרשאות של פרויקט:
    • resourcemanager.projects.get
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • כדי לצפות ביומני ביקורת: logging.logEntries.list

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הפעלת Privileged Access Manager

כדי להפעיל את Privileged Access Manager, צריך להקצות את התפקיד Privileged Access Manager Service Agent לסוכן השירות של Privileged Access Manager בארגון, בתיקייה או בפרויקט.

כדי להעניק את התפקיד הזה לסוכן השירות, בצע את הפעולות הבאות:

  1. עוברים לדף Privileged Access Manager.

    כניסה ל-Privileged Access Manager

  2. בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים להפעיל את Privileged Access Manager.

  3. לוחצים על הגדרת PAM כדי להתחיל בתהליך ההגדרה.

  4. כדי לתת לסוכן השירות של Privileged Access Manager את התפקיד Privileged Access Manager Service Agent כדי לנהל העלאות של הרשאות, לוחצים על Grant role (הקצאת תפקיד).

  5. מוודאים שסוכן השירות של Privileged Access Manager נוסף לאמצעי הבקרה הבאים:

  6. לוחצים על Complete setup (סיום ההגדרה).

אישור כתובת האימייל של Privileged Access Manager

כדי שהאימייל לא ייחסם, צריך להוסיף את pam-noreply@google.com לרשימות ההיתרים של חשבונות אימייל וקבוצות שמקבלים התראות באימייל מ-Privileged Access Manager.

המאמרים הבאים