Prima di poter iniziare a creare, modificare o gestire i diritti e le concessioni di Privileged Access Manager, le entità devono disporre delle autorizzazioni appropriate. Il servizio deve essere configurato anche a livello di organizzazione, cartella o progetto.
Le entità che richiedono le concessioni e le approvano o le rifiutano non richiedono autorizzazioni specifiche di Privileged Access Manager.
Prima di iniziare
Assicurati di disporre delle autorizzazioni IAM (Identity and Access Management) necessarie per configurare e gestire le autorizzazioni di Privileged Access Manager.
Per ottenere le autorizzazioni necessarie per lavorare con i diritti e le concessioni, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione, nella cartella o nel progetto:
-
Per creare, aggiornare ed eliminare i diritti per un'organizzazione:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin) e Security Admin (roles/iam.securityAdmin) -
Per creare, aggiornare ed eliminare i diritti per una cartella:
Privileged Access Manager Admin e Folder IAM Admin (
roles/resourcemanager.folderAdmin) -
Per creare, aggiornare ed eliminare i diritti per un progetto:
Privileged Access Manager Admin e Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Per visualizzare i diritti e le concessioni:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
Per visualizzare gli audit log:
Logs Viewer (
roles/logs.viewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per lavorare con i diritti e le concessioni. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per lavorare con i diritti e le concessioni sono necessarie le seguenti autorizzazioni:
-
Per abilitare Privileged Access Manager a livello di organizzazione:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
Per gestire i diritti e le concessioni per un'organizzazione:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le concessioni per un'organizzazione:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per abilitare Privileged Access Manager a livello di cartella:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
Per gestire i diritti e le concessioni per una cartella:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le concessioni per una cartella:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per abilitare Privileged Access Manager a livello di progetto:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Per gestire i diritti e le concessioni per un progetto:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le concessioni per un progetto:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare gli audit log:
logging.logEntries.list
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Abilita Privileged Access Manager
Per abilitare Privileged Access Manager, devi concedere il ruolo Privileged Access Manager Service Agent all' agente di servizio Privileged Access Manager per la tua organizzazione, cartella o progetto.
Per concedere questo ruolo all'agente di servizio, procedi come segue:
Vai alla pagina Privileged Access Manager.
Seleziona l'organizzazione, la cartella o il progetto per cui vuoi abilitare Privileged Access Manager.
Fai clic su Configura PAM per avviare la procedura di configurazione.
Per concedere all'agente di servizio Privileged Access Manager l'accesso al ruolo Privileged Access Manager Service Agent per gestire le escalation dei privilegi, fai clic su Concedi ruolo.
Quando concedi il ruolo all'agente di servizio a livello di organizzazione in un' organizzazione o in una cartella, il ruolo viene ereditato da tutte le cartelle e i progetti all'interno di quella risorsa nella gerarchia delle risorse.
Assicurati che l'agente di servizio Privileged Access Manager sia aggiunto ai seguenti controlli di sicurezza:
Criteri di negazione: aggiungi l'agente di servizio Privileged Access Manager al
exceptionPrincipalscampo dei tuoi criteri.Controlli di servizio VPC: aggiungi l' agente di servizio Privileged Access Manager ai livelli di accesso appropriati, oppure aggiungi una regola in entrata al perimetro per consentire l'agente di servizio.
Fai clic su Completa configurazione.
Consenti l'indirizzo email di Privileged Access Manager
Per gli account email e i gruppi che ricevono le notifiche email di Privileged Access Manager, aggiungi pam-noreply@google.com agli elenchi di indirizzi consentiti in modo che l'email non venga bloccata.