Vorübergehenden erweiterten Zugriff mit Privileged Access Manager anfordern

Wenn Sie Ihre Berechtigungen vorübergehend erhöhen möchten, können Sie in Privileged Access Manager (PAM) eine Berechtigung für eine bestimmte Dauer anfordern.

Eine Berechtigung enthält Rollen, die Ihnen nach einem erfolgreichen Genehmigungsantrag zugewiesen werden. Diese Rollen werden vom Privileged Access Manager entfernt, wenn die Gewährung abläuft.

Beachten Sie Folgendes, wenn Sie eine Gewährung für eine Berechtigung beantragen möchten:

  • Sie können Gewährungen nur für Berechtigungen beantragen, zu denen Sie hinzugefügt wurden. Wenn Sie einer Berechtigung hinzugefügt werden möchten, wenden Sie sich an das Hauptkonto, das die Berechtigung verwaltet.

  • Sie können maximal fünf offene Berechtigungen pro Anspruch gleichzeitig haben. Diese Berechtigungen können entweder den Status Active oder Approval awaited haben.

  • Sie können keinen Zuschuss mit demselben Umfang wie ein bestehender Zuschuss im Status Active oder Approval awaited beantragen.

  • Je nach Konfiguration ist für die Gewährungsanfrage möglicherweise eine Genehmigung erforderlich.

  • Wenn für einen Gewährungsantrag eine Genehmigung erforderlich ist und er nicht innerhalb von 24 Stunden genehmigt oder abgelehnt wird, ändert sich der Status der Gewährung in Expired. Danach müssen Sie einen neuen Gewährungsantrag stellen, wenn Sie weiterhin erhöhte Berechtigungen benötigen.

  • Es kann einige Minuten dauern, bis erfolgreiche Gewährungsanfragen wirksam werden.

Erteilung anfordern

Console

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie eine Gewährung beantragen möchten.

  3. Suchen Sie auf dem Tab Meine Berechtigungen nach der Berechtigung, für die Sie eine Genehmigung anfordern möchten, und klicken Sie dann in derselben Zeile auf Gewährung anfordern.

    Bei Berechtigungen, die von einem übergeordneten Ordner oder einer übergeordneten Organisation übernommen werden, wird der Bereich der Erteilung automatisch an die ausgewählte Organisation, den ausgewählten Ordner oder das ausgewählte Projekt angepasst. Sie können eine Gewährung für die übernommene Berechtigung auf der Ebene der untergeordneten Ressource beantragen. Dieses Feature ist in der Vorschau verfügbar.

  4. Wenn die Premium- oder Enterprise-Stufe von Security Command Center auf Organisationsebene aktiviert ist, können Sie den Umfang Ihrer Erteilungsanfrage so anpassen, dass nur bestimmte Rollen und Ressourcen enthalten sind. Dieses Feature ist in der Vorschau verfügbar.

    1. Aktivieren Sie die Ein/Aus-Schaltfläche Bereich anpassen.
    2. Fügen Sie die erforderlichen Ressourcenfilter hinzu. Sie können bis zu fünf Ressourcenfilter hinzufügen.
    3. Wählen Sie die erforderlichen Rollen aus.

  5. Geben Sie die folgenden Informationen ein:

    • Die für die Gewährung erforderliche Dauer, bis zur maximalen Dauer, die für die Berechtigung festgelegt ist.

    • Falls erforderlich, eine Begründung für die Erteilung.

    • Optional: E‑Mail-Adressen für Benachrichtigungen.

      Google-Identitäten, die mit der Berechtigung verknüpft sind, z. B. Genehmiger und Antragsteller, werden automatisch benachrichtigt. Wenn Sie jedoch weitere Personen benachrichtigen möchten, können Sie deren E‑Mail-Adressen hinzufügen. Das ist besonders nützlich, wenn Sie Mitarbeiteridentitäten anstelle von Google-Konten verwenden.

  6. Klicken Sie auf Gewährung anfordern.

gcloud

Sie haben dazu folgende Möglichkeiten:

Erteilung einer Gewährung beantragen

Mit dem Befehl gcloud alpha pam grants create wird eine Gewährung angefordert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ID: Die Berechtigungs-ID, anhand der die Gewährung erstellt werden soll.
  • GRANT_DURATION: Die angeforderte Dauer der Gewährung in Sekunden.
  • JUSTIFICATION: Die Begründung für die Beantragung der Gewährung.
  • EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, die über den Gewährungsantrag benachrichtigt werden sollen. Google-Identitäten, die mit Genehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Created [GRANT_ID].

Erteilung einer Gewährung für eine untergeordnete Ressource einer Berechtigung beantragen

Mit dem Befehl gcloud alpha pam grants create wird eine Gewährung angefordert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ID: Die Berechtigungs-ID, anhand der die Gewährung erstellt werden soll.
  • GRANT_DURATION: Die angeforderte Dauer der Gewährung in Sekunden.
  • JUSTIFICATION: Die Begründung für die Beantragung der Gewährung.
  • EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, die über den Gewährungsantrag benachrichtigt werden sollen. Google-Identitäten, die mit Genehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
  • RESOURCE_TYPE: Optional. Der Typ der Google Cloud -Ressourcen, auf die Zugriff gewährt werden soll. Damit wird der Umfang der Berechtigung auf eine untergeordnete Ressource angepasst.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • REQUESTED_RESOURCE: Optional. Die Google Cloud Ressourcen, auf die Sie Zugriff erhalten möchten. Damit wird der Umfang der Berechtigung auf eine untergeordnete Ressource angepasst. Format: RESOURCE_TYPE/RESOURCE_ID. Beispiel: projects/PROJECT_ID, folders/FOLDER_ID oder organizations/ORGANIZATION_ID.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Created [GRANT_ID].

Gewährung mit detailliertem Bereich anfordern

Mit dem Befehl gcloud alpha pam grants create wird eine Gewährung angefordert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ROLE_BINDING_ID: Optional.Die Rollenbindungs-ID der Rolle, die aus der Berechtigung gewährt werden soll.
  • ACCESS_RESTRICTION_NAME: Optional. Die Ressourcennamen, auf die der Zugriff eingeschränkt werden soll. Informationen zum Format finden Sie unter Format der Ressourcennamen.
  • ACCESS_RESTRICTION_PREFIX: Optional. Die Ressourcennamepräfixe, auf die der Zugriff beschränkt werden soll. Informationen zum Format finden Sie unter Format der Ressourcennamen.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • REQUESTED_RESOURCE_TYPE. Optional. Der Typ der Google Cloud -Ressourcen, auf die Zugriff gewährt werden soll. Damit wird der Umfang der Berechtigung auf eine untergeordnete Ressource angepasst.
  • REQUESTED_RESOURCE: Optional. Die Google Cloud Ressourcen, auf die Sie Zugriff erhalten möchten. Damit wird der Umfang der Berechtigung auf eine untergeordnete Ressource angepasst. Format: RESOURCE_TYPE/RESOURCE_ID. Beispiel: projects/PROJECT_ID, folders/FOLDER_ID oder organizations/ORGANIZATION_ID.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen requested-scope.yaml : 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Created [GRANT_ID].

REST

  1. Suchen Sie nach Berechtigungen, die Sie anfordern können.

    Mit der searchEntitlements-Methode der Privileged Access Manager API mit dem GRANT_REQUESTER-Aufruferzugriffstyp wird nach Berechtigungen gesucht, für die Sie eine Gewährung anfordern können.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • FILTER: Optional. Es werden Berechtigungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
    • PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
    • PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll. Dazu wird ein Seitentoken verwendet, das in einer vorherigen Antwort zurückgegeben wurde.

    HTTP-Methode und URL:

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Erteilung einer Gewährung beantragen

    Mit der Methode createGrant der Privileged Access Manager API wird eine Gewährung angefordert.

    Ersetzen Sie diese Werte in den folgenden Anfragedaten:

    • SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
    • ENTITLEMENT_ID: Die Berechtigungs-ID, anhand der die Gewährung erstellt werden soll.
    • REQUEST_ID: Optional. Muss eine UUID ungleich null sein. Wenn der Server eine Anfrage mit einer Anfrage-ID empfängt, prüft er, ob innerhalb der letzten 60 Minuten bereits eine andere Anfrage mit dieser ID abgeschlossen wurde. In diesem Fall wird die neue Anfrage ignoriert.
    • GRANT_DURATION: Die angeforderte Dauer der Gewährung in Sekunden.
    • JUSTIFICATION: Die Begründung für die Beantragung der Gewährung.
    • EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, die über den Gewährungsantrag benachrichtigt werden sollen. Google-Identitäten, die mit Genehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
    • ENTITLEMENT_ROLE_BINDING_ID: Optional. Die Rollenbindungs-ID der Rolle, die aus der Berechtigung gewährt werden soll.
    • ACCESS_RESTRICTION_NAME: Optional. Die Ressourcennamen, auf die der Zugriff eingeschränkt werden soll. Informationen zum Format finden Sie unter Format der Ressourcennamen.
    • ACCESS_RESTRICTION_PREFIX: Optional. Die Ressourcennamepräfixe, auf die der Zugriff beschränkt werden soll. Informationen zum Format finden Sie unter Format der Ressourcennamen.

    HTTP-Methode und URL:

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    JSON-Text anfordern:

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Status des Gewährungsantrags prüfen

Console

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie Genehmigungen aufrufen möchten.

  3. Klicken Sie auf dem Tab Zuschüsse auf Meine Zuschüsse.

    Ihre Gewährung kann einen der folgenden Status haben:

    Status Beschreibung
    Wird aktiviert Die Gewährung wird gerade aktiviert.
    Aktivierung fehlgeschlagen Privileged Access Manager konnte die Rollen aufgrund eines nicht wiederholbaren Fehlers nicht zuweisen.
    Aktiv Die Gewährung ist aktiv und das Hauptkonto hat Zugriff auf die durch die Rollen zulässigen Ressourcen.
    Genehmigung ausstehend Für den Gewährungsantrag steht noch eine Entscheidung des Genehmigers aus.
    Abgelehnt Der Antrag auf Gewährung wurde von einem Genehmiger abgelehnt.
    Beendet Die Gewährung ist abgelaufen und die Rollen wurden vom Hauptkonto entfernt.
    Abgelaufen Der Antrag auf Gewährung ist abgelaufen, da er nicht innerhalb von 24 Stunden genehmigt wurde.
    Gesperrt Die Gewährung wird widerrufen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.
    Widerrufen Die Gewährung wird gerade widerrufen.
    Abheben Die Gewährung wird gerade widerrufen.
    Widerrufen Die Gewährung wird zurückgezogen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.

gcloud

Der Befehl gcloud alpha pam grants search, der mit der Aufruferbeziehung had-created verwendet wird, sucht nach von Ihnen erstellten Gewährungen. Wenn Sie den Status prüfen möchten, suchen Sie in der Antwort nach dem Feld state.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Gewährungen können folgende Status haben:

Status Beschreibung
ACTIVATING Die Gewährung wird gerade aktiviert.
ACTIVATION_FAILED Privileged Access Manager konnte die Rollen aufgrund eines nicht wiederholbaren Fehlers nicht zuweisen.
AKTIV Die Gewährung ist aktiv und das Hauptkonto hat Zugriff auf die durch die Rollen zulässigen Ressourcen.
APPROVAL_AWAITED Für den Gewährungsantrag steht noch eine Entscheidung des Genehmigers aus.
DENIED Der Antrag auf Gewährung wurde von einem Genehmiger abgelehnt.
ENDED Die Gewährung ist abgelaufen und die Rollen wurden vom Hauptkonto entfernt.
ABGELAUFEN Der Antrag auf Gewährung ist abgelaufen, da er nicht innerhalb von 24 Stunden genehmigt wurde.
REVOKED Die Gewährung wird widerrufen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.
REVOKING Die Gewährung wird gerade widerrufen.
ZURÜCKZIEHEN Die Gewährung wird gerade widerrufen.
ZURÜCKGEZOGEN Die Gewährung wird zurückgezogen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.

REST

Mit der searchGrants-Methode der Privileged Access Manager API, die mit der HAD_CREATED-Aufrufbeziehung verwendet wird, werden von Ihnen erstellte Gewährungen gesucht. Wenn Sie den Status prüfen möchten, suchen Sie in der Antwort nach dem Feld state.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört.
  • FILTER: Optional. Es werden Gewährungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
  • PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
  • PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll. Dazu wird ein Seitentoken verwendet, das in einer vorherigen Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Die Gewährungsstatus sind in der folgenden Tabelle aufgeführt.

Status Beschreibung
ACTIVATING Die Gewährung wird gerade aktiviert.
ACTIVATION_FAILED Privileged Access Manager konnte die Rollen aufgrund eines nicht wiederholbaren Fehlers nicht zuweisen.
AKTIV Die Gewährung ist aktiv und das Hauptkonto hat Zugriff auf die durch die Rollen zulässigen Ressourcen.
APPROVAL_AWAITED Für den Gewährungsantrag steht noch eine Entscheidung des Genehmigers aus.
DENIED Der Antrag auf Gewährung wurde von einem Genehmiger abgelehnt.
ENDED Die Gewährung ist abgelaufen und die Rollen wurden vom Hauptkonto entfernt.
ABGELAUFEN Der Antrag auf Gewährung ist abgelaufen, da er nicht innerhalb von 24 Stunden genehmigt wurde.
REVOKED Die Gewährung wird widerrufen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.
REVOKING Die Gewährung wird gerade widerrufen.
ZURÜCKZIEHEN Die Gewährung wird gerade widerrufen.
ZURÜCKGEZOGEN Die Gewährung wird zurückgezogen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.