Avant de pouvoir créer, modifier ou gérer des droits d'accès et des octrois d'autorisations Privileged Access Manager, vos comptes principaux doivent disposer des autorisations appropriées. Le service doit également être configuré au niveau de l'organisation, du dossier ou du projet.
Les comptes principaux qui demandent des autorisations et approuvent ou refusent les autorisations n'ont besoin d'aucune autorisation spécifique à Privileged Access Manager.
Avant de commencer
Assurez-vous de disposer des autorisations IAM (Identity and Access Management) requises pour configurer et gérer les autorisations Privileged Access Manager.
Pour obtenir les autorisations nécessaires pour utiliser les droits d'accès et les octrois d'autorisations, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation, le dossier ou le projet :
-
Pour créer, mettre à jour et supprimer des droits d'accès pour une organisation : administrateur Privileged Access Manager (
roles/privilegedaccessmanager.admin) et administrateur de la sécurité (roles/iam.securityAdmin) -
Pour créer, mettre à jour et supprimer des droits d'accès pour un dossier :
Administrateur Privileged Access Manager et Administrateur IAM de dossier (
roles/resourcemanager.folderAdmin) -
Pour créer, mettre à jour et supprimer des droits d'accès pour un projet :
Administrateur Privileged Access Manager et Administrateur IAM de projet (
roles/resourcemanager.projectIamAdmin) -
Pour afficher les droits d'accès et les octrois d'autorisations :
Lecteur Privileged Access Manager (
roles/privilegedaccessmanager.viewer) -
Pour afficher les journaux d'audit :
Lecteur de journaux (
roles/logs.viewer)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour utiliser les droits d'accès et les octrois d'autorisations. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour utiliser les droits d'accès et les octrois d'autorisations :
-
Pour activer Privileged Access Manager au niveau de l'organisation :
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
Pour gérer les droits d'accès et les octrois d'autorisations pour une organisation :
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Pour afficher les droits d'accès et les octrois d'autorisations pour une organisation :
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Pour activer Privileged Access Manager au niveau d'un dossier :
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
Pour gérer les droits d'accès et les octrois d'autorisations pour un dossier :
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Pour afficher les droits d'accès et les octrois d'autorisations pour un dossier :
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Pour activer Privileged Access Manager au niveau d'un projet :
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Pour gérer les droits d'accès et les octrois d'autorisations pour un projet :
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Pour afficher les droits d'accès et les octrois d'autorisations pour un projet :
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
- Pour afficher les journaux d'audit :
logging.logEntries.list
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer Privileged Access Manager
Pour activer Privileged Access Manager, vous devez attribuer le rôle Agent de service Privileged Access Manager à l'agent de service Privileged Access Manager pour votre organisation, votre dossier ou votre projet.
Pour attribuer ce rôle à l'agent de service, procédez comme suit :
Accédez à la page Privileged Access Manager.
Sélectionnez l'organisation, le dossier ou le projet pour lequel vous souhaitez activer Privileged Access Manager.
Cliquez sur Configurer PAM pour lancer le processus de configuration.
Pour accorder l'accès au rôle Agent de service Privileged Access Manager à l'agent de service Privileged Access Manager afin de gérer les élévations de privilèges, cliquez sur Attribuer le rôle.
Assurez-vous que l'agent de service Privileged Access Manager est ajouté aux contrôles de sécurité suivants :
Règles de refus : ajoutez l'agent de service Privileged Access Manager au champ
exceptionPrincipalsde vos règles.VPC Service Controls : ajoutez l'agent de service Privileged Access Manager aux niveaux d'accès appropriés ou ajoutez une règle d'entrée au périmètre pour autoriser l'agent de service.
Cliquez sur Terminer la configuration.
Autoriser l'adresse e-mail de Privileged Access Manager
Pour les comptes et groupes de messagerie qui reçoivent des notifications par e-mail de Privileged Access Manager, ajoutez pam-noreply@google.com à vos listes d'autorisation afin que l'e-mail ne soit pas bloqué.