Bevor Sie Berechtigungen und Genehmigungen für Privileged Access Manager erstellen, ändern oder verwalten können, müssen Ihre Hauptkonten die entsprechenden Berechtigungen haben. Der Dienst muss auch auf Organisations-, Ordner- oder Projektebene eingerichtet sein.
Hauptkonten, die Erteilungen anfordern und Erteilungen genehmigen oder ablehnen, benötigen keine Privileged Access Manager-spezifischen Berechtigungen.
Hinweis
Prüfen Sie, ob Sie die erforderlichen IAM-Berechtigungen (Identity and Access Management) zum Einrichten und Verwalten von Privileged Access Manager-Berechtigungen haben.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Arbeit mit Berechtigungen und Erteilungen benötigen:
-
Zum Erstellen, Aktualisieren und Löschen von Berechtigungen für eine Organisation:
Privileged Access Manager-Administrator (
roles/privilegedaccessmanager.admin) und Sicherheitsadministrator (roles/iam.securityAdmin) -
Zum Erstellen, Aktualisieren und Löschen von Berechtigungen für einen Ordner:
Privileged Access Manager-Administrator und Ordner-IAM-Administrator (
roles/resourcemanager.folderAdmin) -
Zum Erstellen, Aktualisieren und Löschen von Berechtigungen für ein Projekt:
Privileged Access Manager-Administrator und Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin) -
So rufen Sie Berechtigungen und Erteilungen auf:
Privileged Access Manager-Betrachter (
roles/privilegedaccessmanager.viewer) -
So rufen Sie Audit-Logs auf:
Loganzeige (
roles/logs.viewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Arbeiten mit Berechtigungen und Erteilungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um mit Berechtigungen und Erteilungen zu arbeiten:
-
So aktivieren Sie Privileged Access Manager auf Organisationsebene:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
So verwalten Sie Berechtigungen und Erteilungen für eine Organisation:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So rufen Sie Berechtigungen und Erteilungen für eine Organisation auf:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So aktivieren Sie Privileged Access Manager auf Ordnerebene:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
So verwalten Sie Berechtigungen und Erteilungen für einen Ordner:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So rufen Sie Berechtigungen und Erteilungen für einen Ordner auf:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So aktivieren Sie Privileged Access Manager auf Projektebene:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
So verwalten Sie Berechtigungen und Erteilungen für ein Projekt:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So rufen Sie Berechtigungen und Erteilungen für ein Projekt auf:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So rufen Sie Audit-Logs auf:
logging.logEntries.list
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Privileged Access Manager aktivieren
Wenn Sie Privileged Access Manager aktivieren möchten, müssen Sie dem Privileged Access Manager-Dienst-Agenten die Rolle Privileged Access Manager Service Agent für Ihre Organisation, Ihren Ordner oder Ihr Projekt zuweisen.
So weisen Sie dem Dienst-Agenten diese Rolle zu:
Rufen Sie die Seite Privileged Access Manager auf.
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie Privileged Access Manager aktivieren möchten.
Klicken Sie auf PAM einrichten , um den Einrichtungsprozess zu starten.
Wenn Sie dem Privileged Access Manager-Dienst-Agenten Zugriff auf die Rolle Privileged Access Manager Service Agent gewähren möchten, um Rechteausweitungen zu verwalten, klicken Sie auf Rolle gewähren.
Wenn Sie die Rolle dem Dienst-Agenten auf Organisationsebene in einer Organisation oder einem Ordner zuweisen, wird die Rolle von allen Ordnern und Projekten innerhalb dieser Ressource in der Ressourcenhierarchie übernommen.
Prüfen Sie, ob der Privileged Access Manager-Dienst-Agent den folgenden Sicherheitskontrollen hinzugefügt wurde:
Ablehnungsrichtlinien: Fügen Sie den Dienst-Agent von Privileged Access Manager dem
exceptionPrincipalsFeld Ihrer Richtlinien hinzu.VPC Service Controls: Fügen Sie den Dienstagent von Privileged Access Manager den entsprechenden Zugriffsebenen hinzu oder fügen Sie dem Perimeter eine Eingangsregel hinzu, um den Dienstagent zuzulassen.
Klicken Sie auf Einrichtung abschließen.
E-Mail-Adresse von Privileged Access Manager zulassen
Fügen Sie für E-Mail-Konten und -Gruppen, die E-Mail-Benachrichtigungen von Privileged Access Manager erhalten, pam-noreply@google.com Ihren Zulassungslisten hinzu, damit die E-Mail nicht blockiert wird.