Peça acesso elevado temporário com o Gestor de acesso privilegiado

Para elevar temporariamente os seus privilégios, pode pedir uma concessão relativamente a um direito no Privileged Access Manager (PAM) durante um período fixo.

Uma autorização contém funções que lhe são concedidas após o êxito do seu pedido de concessão. Estas funções são removidas pelo gestor de acesso privilegiado quando a concessão termina.

Tenha em atenção o seguinte quando quiser pedir uma concessão contra uma autorização:

  • Só pode pedir concessões relativas a direitos de utilização aos quais foi adicionado. Para ser adicionado a uma autorização, contacte o principal que administra a autorização.

  • Pode ter um máximo de cinco concessões abertas por autorização em simultâneo; estas concessões podem estar no estado Active ou Approval awaited.

  • Não pode pedir uma concessão com o mesmo âmbito de uma concessão existente no estado Active ou Approval awaited.

  • Consoante a configuração, um pedido de concessão pode exigir aprovação para ser concedido.

  • Se um pedido de concessão exigir aprovação e não for aprovado nem recusado no prazo de 24 horas, o estado da concessão é alterado para Expired. Após esta ação, tem de fazer um novo pedido de concessão se ainda precisar de privilégios elevados.

  • Os pedidos de concessão bem-sucedidos podem demorar alguns minutos a entrar em vigor.

Peça uma subvenção

Consola

  1. Aceda à página Gestor de acesso privilegiado.

    Aceda ao Gestor de acesso privilegiado

  2. Selecione a organização, a pasta ou o projeto onde quer pedir uma subvenção.

  3. No separador As minhas autorizações, encontre a autorização para a qual quer pedir uma concessão e, em seguida, clique em Pedir concessão na mesma linha.

    Para concessões herdadas de uma pasta ou uma organização principal, o âmbito da concessão é ajustado automaticamente à organização, à pasta ou ao projeto selecionado. Pode pedir uma concessão relativamente à autorização herdada ao nível do recurso secundário. Esta funcionalidade está disponível em pré-visualização.

  4. Se o nível Premium ou Enterprise do Security Command Center estiver ativado ao nível da organização, pode personalizar o âmbito do seu pedido de concessão para incluir apenas algumas funções e recursos específicos. Esta funcionalidade está disponível em pré-visualização.

    1. Ative o botão Personalizar âmbito.
    2. Adicione os filtros de recursos necessários. Pode adicionar até cinco filtros de recursos.
    3. Selecione as funções necessárias.

  5. Forneça os seguintes detalhes:

    • A duração necessária para a concessão, até à duração máxima definida na autorização.

    • Se necessário, uma justificação para a concessão.

    • Opcional: endereços de email para notificações.

      As identidades Google associadas à concessão, como os aprovadores e os requerentes, são notificadas automaticamente. No entanto, se quiser notificar mais pessoas, pode adicionar os respetivos endereços de email. Isto é especialmente útil se estiver a usar identidades da força de trabalho em vez de Contas Google.

  6. Clique em Pedir concessão.

gcloud

Pode pedir uma subvenção através de uma das seguintes opções:

Peça uma concessão contra uma autorização

O comando gcloud alpha pam grants create pede uma concessão.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ENTITLEMENT_ID: o ID do direito de utilização para criar a concessão.
  • GRANT_DURATION: A duração pedida da autorização, em segundos.
  • JUSTIFICATION: a justificação para pedir a concessão.
  • EMAIL_ADDRESS: opcional. Endereços de email adicionais para notificar sobre o pedido de concessão. As identidades Google associadas aos aprovadores são notificadas automaticamente. No entanto, pode querer enviar notificações para um conjunto diferente de endereços de email, especialmente se estiver a usar Workforce Identity Federation.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

Created [GRANT_ID].

Peça uma concessão num recurso secundário de uma autorização

O comando gcloud alpha pam grants create pede uma concessão.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ENTITLEMENT_ID: o ID do direito de utilização para criar a concessão.
  • GRANT_DURATION: A duração pedida da autorização, em segundos.
  • JUSTIFICATION: a justificação para pedir a concessão.
  • EMAIL_ADDRESS: opcional. Endereços de email adicionais para notificar sobre o pedido de concessão. As identidades Google associadas aos aprovadores são notificadas automaticamente. No entanto, pode querer enviar notificações para um conjunto diferente de endereços de email, especialmente se estiver a usar Workforce Identity Federation.
  • RESOURCE_TYPE: opcional. O tipo de Google Cloud recursos aos quais o acesso vai ser concedido. Isto é usado para personalizar o âmbito da concessão a um recurso secundário.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • REQUESTED_RESOURCE: opcional. Os Google Cloud recursos aos quais quer que lhe seja concedido acesso. Isto é usado para personalizar o âmbito da concessão a um recurso secundário. Formato: RESOURCE_TYPE/RESOURCE_ID. Exemplo: projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Deve receber uma resposta semelhante à seguinte:

Created [GRANT_ID].

Peça uma concessão com um âmbito detalhado

O comando gcloud alpha pam grants create pede uma concessão.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ENTITLEMENT_ROLE_BINDING_ID: opcional.O ID da associação de funções da função a conceder a partir da autorização.
  • ACCESS_RESTRICTION_NAME: opcional. Os nomes dos recursos aos quais quer restringir o acesso. Para ver informações sobre o formato, consulte o artigo Formato do nome do recurso.
  • ACCESS_RESTRICTION_PREFIX: opcional. Os prefixos dos nomes de recursos para restringir o acesso. Para ver informações sobre o formato, consulte o artigo Formato do nome do recurso.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • REQUESTED_RESOURCE_TYPE. Opcional. O tipo de Google Cloud recursos aos quais o acesso vai ser concedido. Isto é usado para personalizar o âmbito da concessão a um recurso secundário.
  • REQUESTED_RESOURCE: opcional. Os Google Cloud recursos aos quais quer que lhe seja concedido acesso. Isto é usado para personalizar o âmbito da concessão a um recurso secundário. Formato: RESOURCE_TYPE/RESOURCE_ID. Exemplo: projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Guarde o seguinte conteúdo num ficheiro denominado requested-scope.yaml : 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Deve receber uma resposta semelhante à seguinte:

Created [GRANT_ID].

REST

  1. Pesquise concessões para as quais é elegível para pedir.

    O método searchEntitlements da API Privileged Access Manager com o tipo GRANT_REQUESTER caller access pesquisa autorizações para as quais pode pedir uma concessão.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
    • FILTER: opcional. Devolve autorizações cujos valores de campo correspondem a uma expressão AIP-160.
    • PAGE_SIZE: opcional. O número de itens a devolver numa resposta.
    • PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.

    Método HTTP e URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Peça uma concessão contra um direito.

    O método createGrant da API Privileged Access Manager pede uma concessão.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
    • ENTITLEMENT_ID: o ID do direito de utilização para criar a concessão.
    • REQUEST_ID: opcional. Tem de ser um UUID diferente de zero. Se o servidor receber um pedido com um ID de pedido, verifica se outro pedido com esse ID já foi concluído nos últimos 60 minutos. Se for o caso, o novo pedido é ignorado.
    • GRANT_DURATION: A duração pedida da autorização, em segundos.
    • JUSTIFICATION: a justificação para pedir a concessão.
    • EMAIL_ADDRESS: opcional. Endereços de email adicionais para notificar sobre o pedido de concessão. As identidades Google associadas aos aprovadores são notificadas automaticamente. No entanto, pode querer enviar notificações a um conjunto diferente de endereços de email, especialmente se estiver a usar a federação de identidades da força de trabalho.
    • ENTITLEMENT_ROLE_BINDING_ID: opcional. O ID da vinculação de funções da função a ser concedida a partir da autorização.
    • ACCESS_RESTRICTION_NAME: opcional. Os nomes dos recursos aos quais quer restringir o acesso. Para ver informações sobre o formato, consulte o artigo Formato do nome do recurso.
    • ACCESS_RESTRICTION_PREFIX: opcional. Os prefixos dos nomes de recursos para restringir o acesso. Para ver informações sobre o formato, consulte o artigo Formato do nome do recurso.

    Método HTTP e URL: 

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    Corpo JSON do pedido: 

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Verifique o estado do seu pedido de subvenção

Consola

  1. Aceda à página Gestor de acesso privilegiado.

    Aceda ao Gestor de acesso privilegiado

  2. Selecione a organização, a pasta ou o projeto no qual quer ver as concessões.

  3. No separador Subvenções, clique em As minhas subvenções.

    A sua subvenção pode ter um dos seguintes estados:

    Estado Descrição
    A activar A concessão está em processo de ativação.
    A ativação falhou O Privileged Access Manager não conseguiu conceder as funções devido a um erro não repetível.
    Ativo A concessão está ativa e o principal tem acesso aos recursos permitidos pelas funções.
    Aprovação aguardada O pedido de concessão está a aguardar uma decisão de um aprovador.
    Recusado O pedido de concessão foi recusado por um aprovador.
    Terminado A concessão terminou e as funções foram removidas do principal.
    Expirado O pedido de concessão expirou porque não foi dada aprovação no prazo de 24 horas.
    Revogado A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.
    Revogação A concessão está em processo de revogação.
    A levantar A subvenção está em processo de retirada.
    Retirado A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.

gcloud

O comando gcloud alpha pam grants search usado com o autor da chamada had-created procura concessões que criou. Para verificar o estado, procure o campo state na resposta.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

As concessões podem ter os seguintes estados:

Estado Descrição
A ATIVAR A concessão está em processo de ativação.
ACTIVATION_FAILED O Privileged Access Manager não conseguiu conceder as funções devido a um erro não repetível.
ATIVO A concessão está ativa e o principal tem acesso aos recursos permitidos pelas funções.
APPROVAL_AWAITED O pedido de concessão está a aguardar uma decisão de um aprovador.
RECUSADO O pedido de concessão foi recusado por um aprovador.
TERMINOU A concessão terminou e as funções foram removidas do principal.
EXPIRADO O pedido de concessão expirou porque não foi dada aprovação no prazo de 24 horas.
REVOGADO A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.
REVOGAR A concessão está em processo de revogação.
RETIRAR A subvenção está em processo de retirada.
RETIRADA A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.

REST

O método searchGrants da API Privileged Access Manager usado com a relação HAD_CREATED do autor da chamada pesquisa concessões que criou. Para verificar o estado, procure o campo state na resposta.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence.
  • FILTER: opcional. Devolve concessões cujos valores de campo correspondem a uma expressão AIP-160.
  • PAGE_SIZE: opcional. O número de itens a devolver numa resposta.
  • PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.

Método HTTP e URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar o seu pedido, expanda uma destas opções:

Deve receber uma resposta JSON semelhante à seguinte:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Os estados das subvenções estão detalhados na tabela seguinte.

Estado Descrição
A ATIVAR A concessão está em processo de ativação.
ACTIVATION_FAILED O Privileged Access Manager não conseguiu conceder as funções devido a um erro não repetível.
ATIVO A concessão está ativa e o principal tem acesso aos recursos permitidos pelas funções.
APPROVAL_AWAITED O pedido de concessão está a aguardar uma decisão de um aprovador.
RECUSADO O pedido de concessão foi recusado por um aprovador.
TERMINOU A concessão terminou e as funções foram removidas do principal.
EXPIRADO O pedido de concessão expirou porque não foi dada aprovação no prazo de 24 horas.
REVOGADO A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.
REVOGAR A concessão está em processo de revogação.
RETIRAR A subvenção está em processo de retirada.
RETIRADA A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.