如要開始建立、修改或管理 Privileged Access Manager 授權和授予項目,主體必須具備適當的權限。服務也必須在機構、資料夾或專案層級設定。
要求授權的主體,以及核准或拒絕授權的主體,都不需要任何 Privileged Access Manager 專屬權限。
事前準備
確認您具備必要的 Identity and Access Management (IAM) 權限,可以設定及管理 Privileged Access Manager 權限。
如要取得使用授權和授權所需的權限,請要求管理員在組織、資料夾或專案中,授予您下列 IAM 角色:
-
如要為機構建立、更新及刪除授權:Privileged Access Manager 管理員 (
roles/privilegedaccessmanager.admin) 和安全管理員 (roles/iam.securityAdmin) -
如要建立、更新及刪除資料夾的權利,您必須具備以下角色:Privileged Access Manager 管理員和資料夾 IAM 管理員 (
roles/resourcemanager.folderAdmin) -
如要建立、更新及刪除專案的權利:「Privileged Access Manager 管理員」和「專案 IAM 管理員」 (
roles/resourcemanager.projectIamAdmin) -
如要查看權利和授權:Privileged Access Manager 檢視者 (
roles/privilegedaccessmanager.viewer) -
如要查看稽核記錄:記錄檢視者 (
roles/logs.viewer)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這些預先定義的角色具備處理授權和授予項目所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
如要使用授權和授予功能,必須具備下列權限:
-
如要在機構層級啟用 Privileged Access Manager,請按照下列步驟操作:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
如要管理機構的權利和授權,請按照下列步驟操作:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要查看機構的權利和授權:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要在資料夾層級啟用 Privileged Access Manager,請按照下列步驟操作:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
如要管理資料夾的權利和授權:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要查看資料夾的權利和授權:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要在專案層級啟用 Privileged Access Manager,請按照下列步驟操作:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
如要管理專案的權利和授權:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要查看專案的授權和授予項目:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要查看稽核記錄,請按照下列步驟操作:
logging.logEntries.list
啟用 Privileged Access Manager
如要啟用 Privileged Access Manager,您必須授予機構、資料夾或專案的 Privileged Access Manager 服務代理「Privileged Access Manager 服務代理」角色。
如要將這個角色授予服務代理,請按照下列步驟操作:
前往「Privileged Access Manager」頁面。
選取要啟用 Privileged Access Manager 的機構、資料夾或專案。
按一下「設定 PAM」,開始設定程序。
如要授予 Privileged Access Manager 服務代理「Privileged Access Manager 服務代理」角色,以便管理權限提升要求,請按一下「授予角色」。
在機構或資料夾中,將角色授予機構層級的服務代理程式後,資源階層中該資源內的所有資料夾和專案都會沿用該角色。
確認已將 Privileged Access Manager 服務代理新增至下列安全控管措施:
拒絕政策:將 Privileged Access Manager 服務代理新增至政策的
exceptionPrincipals欄位。VPC Service Controls:將 Privileged Access Manager 服務代理程式新增至適當的存取層級,或在 perimeter 中新增輸入規則,允許服務代理程式存取。
按一下「完成設定」。
允許 Privileged Access Manager 電子郵件地址
如果電子郵件帳戶和群組會收到 Privileged Access Manager 電子郵件通知,請將 pam-noreply@google.com 加入允許清單,確保電子郵件不會遭到封鎖。