Demander un accès temporaire avec droits élevés avec Privileged Access Manager

Pour élever temporairement vos privilèges, vous pouvez demander une autorisation pour un droit d'accès dans Privileged Access Manager (PAM) pour une durée fixe.

Un droit d'accès contient des rôles qui vous sont accordés une fois votre demande d'accès approuvée. Ces rôles sont supprimés par Privileged Access Manager à la fin de l'autorisation.

Tenez compte des points suivants lorsque vous souhaitez demander une attribution pour un droit d'accès :

  • Vous ne pouvez demander des autorisations que pour les droits d'accès auxquels vous avez été ajouté. Pour être ajouté à un droit d'accès, contactez le responsable principal de ce droit.

  • Vous pouvez avoir jusqu'à cinq autorisations ouvertes par droit d'accès à la fois. Ces autorisations peuvent être à l'état Active ou Approval awaited.

  • Vous ne pouvez pas demander d'autorisation avec le même champ d'application qu'une autorisation existante à l'état Active ou Approval awaited.

  • Selon sa configuration, une demande d'autorisation peut nécessiter une approbation pour être accordée.

  • Si une demande d'autorisation nécessite une approbation et n'est pas approuvée ni refusée dans un délai de 24 heures, l'état de l'autorisation passe à Expired. Ensuite, vous devez envoyer une nouvelle demande d'attribution si vous avez toujours besoin de privilèges élevés.

  • L'activation des demandes d'accès approuvées peut prendre quelques minutes.

Demander une autorisation d'accès

Console

  1. Accédez à la page Privileged Access Manager.

    Accéder à Privileged Access Manager

  2. Sélectionnez l'organisation, le dossier ou le projet pour lequel vous souhaitez demander une autorisation.

  3. Dans l'onglet Mes droits d'accès, recherchez le droit d'accès à demander, puis cliquez sur Demander l'accès sur la même ligne.

    Pour les droits d'accès hérités d'une organisation ou d'un dossier parents, le champ d'application de l'autorisation est automatiquement ajusté à l'organisation, au dossier ou au projet sélectionnés. Vous pouvez demander l'attribution d'un droit d'accès hérité au niveau de la ressource enfant. Cette fonctionnalité est disponible en version preview.

  4. Si le niveau Premium ou Enterprise de Security Command Center est activé au niveau de l'organisation, vous pouvez personnaliser le champ d'application de votre demande d'autorisation pour n'inclure que certains rôles et ressources spécifiques. Cette fonctionnalité est disponible en version preview.

    1. Activez l'option Personnaliser le champ d'application.
    2. Ajoutez les filtres de ressources requis. Vous pouvez ajouter jusqu'à cinq filtres de ressources.
    3. Sélectionnez les rôles requis.

  5. Spécifiez les informations suivantes :

    • Durée requise pour l'octroi, jusqu'à la durée maximale définie dans le droit d'accès.

    • Si nécessaire, une justification de l'autorisation.

    • (Facultatif) Adresses e-mail pour les notifications.

      Les identités Google associées au droit d'accès, comme les approbateurs et les demandeurs, sont automatiquement notifiées. Toutefois, si vous souhaitez avertir d'autres personnes, vous pouvez ajouter leurs adresses e-mail. Cela est particulièrement utile si vous utilisez des identités de personnel au lieu de comptes Google.

  6. Cliquez sur Demander une subvention.

gcloud

Vous pouvez demander une subvention en utilisant l'une des options suivantes :

Demander l'attribution d'un droit d'accès

La commande gcloud alpha pam grants create demande une attribution.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ENTITLEMENT_ID : ID du droit d'accès pour lequel créer l'attribution.
  • GRANT_DURATION : durée demandée de l'autorisation, en secondes.
  • JUSTIFICATION : justification de la demande d'attribution.
  • EMAIL_ADDRESS : facultatif. Adresses e-mail supplémentaires à notifier de la demande d'accès. Les identités Google associées aux approbateurs sont automatiquement notifiées. Toutefois, vous pouvez choisir d'envoyer des notifications à un autre ensemble d'adresses e-mail, en particulier si vous utilisez la fédération d'identité des employés.
  • RESOURCE_TYPE : facultatif. Type de ressource auquel appartient le droit d'accès. Utilisez la valeur organization, folder ou project.
  • RESOURCE_ID : utilisé avec RESOURCE_TYPE. ID du projet, du dossier ou de l'organisation Google Cloud pour lequel/laquelle vous souhaitez gérer les droits d'accès. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Vous devriez obtenir un résultat semblable à celui-ci :

Created [GRANT_ID].

Demander l'attribution d'un droit d'accès sur une ressource enfant d'un droit d'accès

La commande gcloud alpha pam grants create demande une attribution.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ENTITLEMENT_ID : ID du droit d'accès pour lequel créer l'attribution.
  • GRANT_DURATION : durée demandée de l'autorisation, en secondes.
  • JUSTIFICATION : justification de la demande d'attribution.
  • EMAIL_ADDRESS : facultatif. Adresses e-mail supplémentaires à notifier de la demande d'accès. Les identités Google associées aux approbateurs sont automatiquement notifiées. Toutefois, vous pouvez choisir d'envoyer des notifications à un autre ensemble d'adresses e-mail, en particulier si vous utilisez la fédération d'identité des employés.
  • RESOURCE_TYPE : facultatif. Type de ressources Google Cloud auxquelles l'accès doit être accordé. Cette option permet de personnaliser le champ d'application de l'autorisation pour une ressource enfant.
  • RESOURCE_ID : utilisé avec RESOURCE_TYPE. ID du projet, du dossier ou de l'organisation Google Cloud pour lequel/laquelle vous souhaitez gérer les droits d'accès. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
  • REQUESTED_RESOURCE : facultatif. Les ressources Google Cloud auxquelles vous souhaitez avoir accès. Cette option permet de personnaliser le champ d'application de l'autorisation pour une ressource enfant. Format : RESOURCE_TYPE/RESOURCE_ID. Exemple : projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Vous devriez obtenir un résultat semblable à celui-ci :

Created [GRANT_ID].

Demander une autorisation avec un niveau d'accès précis

La commande gcloud alpha pam grants create demande une attribution.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ENTITLEMENT_ROLE_BINDING_ID : facultatif.ID de la liaison de rôle du rôle à accorder à partir du droit d'accès.
  • ACCESS_RESTRICTION_NAME : facultatif. Noms de ressources pour lesquelles l'accès doit être limité. Pour en savoir plus sur le format, consultez Format du nom des ressources.
  • ACCESS_RESTRICTION_PREFIX : facultatif. Préfixes de nom de ressource pour lesquels l'accès doit être limité. Pour en savoir plus sur le format, consultez Format du nom des ressources.
  • RESOURCE_TYPE : facultatif. Type de ressource auquel appartient le droit d'accès. Utilisez la valeur organization, folder ou project.
  • RESOURCE_ID : utilisé avec RESOURCE_TYPE. ID du projet, du dossier ou de l'organisation Google Cloud pour lequel/laquelle vous souhaitez gérer les droits d'accès. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.
  • REQUESTED_RESOURCE_TYPE Facultatif. Type de ressources Google Cloud auxquelles l'accès doit être accordé. Cette option permet de personnaliser le champ d'application de l'autorisation pour une ressource enfant.
  • REQUESTED_RESOURCE : facultatif. Les ressources Google Cloud auxquelles vous souhaitez avoir accès. Cette option permet de personnaliser le champ d'application de l'autorisation pour une ressource enfant. Format : RESOURCE_TYPE/RESOURCE_ID. Exemple : projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Enregistrez le code suivant dans un fichier nommé requested-scope.yaml  : 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Vous devriez obtenir un résultat semblable à celui-ci :

Created [GRANT_ID].

REST

  1. Recherchez les droits d'accès que vous pouvez demander.

    La méthode searchEntitlements de l'API Privileged Access Manager avec le type d'accès à l'appelant GRANT_REQUESTER recherche les droits d'accès pour lesquels vous pouvez demander une attribution.

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • SCOPE : organisation, dossier ou projet dans lequel/laquelle le droit d'accès est attribué, au format organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont des valeurs numériques, telles que 123456789012.
    • FILTER : facultatif. Renvoie les droits d'accès dont les valeurs de champ correspondent à une expression AIP-160.
    • PAGE_SIZE : facultatif. Nombre d'éléments à renvoyer dans une réponse.
    • PAGE_TOKEN : facultatif. Page à partir de laquelle commencer la réponse, à l'aide d'un jeton de page renvoyé dans une réponse précédente.

    Méthode HTTP et URL : 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Demandez l'attribution d'un droit d'accès.

    La méthode createGrant de l'API Privileged Access Manager demande une autorisation.

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • SCOPE : organisation, dossier ou projet dans lequel/laquelle le droit d'accès est attribué, au format organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont des valeurs numériques, telles que 123456789012.
    • ENTITLEMENT_ID : ID du droit d'accès pour lequel créer l'attribution.
    • REQUEST_ID : facultatif. Doit être un UUID non nul. Si le serveur reçoit une requête avec un ID de requête, il vérifie si une autre requête avec cet ID a déjà été traitée au cours des 60 dernières minutes. Si c'est le cas, la nouvelle demande est ignorée.
    • GRANT_DURATION : durée demandée de l'autorisation, en secondes.
    • JUSTIFICATION : justification de la demande d'attribution.
    • EMAIL_ADDRESS : facultatif. Adresses e-mail supplémentaires à notifier de la demande d'accès. Les identités Google associées aux approbateurs sont automatiquement notifiées. Toutefois, vous pouvez choisir d'envoyer des notifications à un autre ensemble d'adresses e-mail, en particulier si vous utilisez la fédération d'identité de personnel.
    • ENTITLEMENT_ROLE_BINDING_ID : facultatif. ID de la liaison de rôle du rôle à accorder à partir du droit d'accès.
    • ACCESS_RESTRICTION_NAME : facultatif. Noms de ressources pour lesquelles l'accès doit être limité. Pour en savoir plus sur le format, consultez Format du nom des ressources.
    • ACCESS_RESTRICTION_PREFIX : facultatif. Préfixes de nom de ressource pour lesquels l'accès doit être limité. Pour en savoir plus sur le format, consultez Format du nom des ressources.

    Méthode HTTP et URL : 

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    Corps JSON de la requête :

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Vérifier l'état de votre demande de subvention

Console

  1. Accédez à la page Privileged Access Manager.

    Accéder à Privileged Access Manager

  2. Sélectionnez l'organisation, le dossier ou le projet dans lequel vous souhaitez afficher les autorisations.

  3. Dans l'onglet Subventions, cliquez sur Mes subventions.

    Votre subvention peut avoir l'un des états suivants :

    État Description
    Activation L'autorisation est en cours d'activation.
    échec de l'activation Privileged Access Manager n'a pas pu accorder les rôles en raison d'une erreur non récupérable.
    Active L'autorisation est active et le compte principal a accès aux ressources autorisées par les rôles.
    En attente d'approbation La demande d'autorisation d'accès est en attente d'une décision de la part d'un approbateur.
    Refusé La demande d'attribution a été refusée par un approbateur.
    Terminé L'attribution est terminée et les rôles ont été supprimés du compte principal.
    Expiré La demande d'autorisation a expiré, car elle n'a pas été approuvée dans les 24 heures.
    Révoquée L'autorisation est révoquée et le compte principal n'a plus accès aux ressources autorisées par les rôles.
    Révocation en cours... L'accès est en cours de révocation.
    Retrait en cours L'autorisation est en cours de retrait.
    Retirée L'autorisation est retirée et le compte principal n'a plus accès aux ressources autorisées par les rôles.

gcloud

La commande gcloud alpha pam grants search utilisée avec la relation d'appelant had-created recherche les droits d'accès que vous avez créés. Pour vérifier leur état, recherchez le champ state dans la réponse.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ENTITLEMENT_ID : ID du droit d'accès auquel l'attribution appartient.
  • RESOURCE_TYPE : facultatif. Type de ressource auquel appartient le droit d'accès. Utilisez la valeur organization, folder ou project.
  • RESOURCE_ID : utilisé avec RESOURCE_TYPE. ID du projet, du dossier ou de l'organisation Google Cloud pour lequel/laquelle vous souhaitez gérer les droits d'accès. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont numériques, tels que 123456789012.

Exécutez la commande suivante :

Linux, macOS ou Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Vous devriez obtenir un résultat semblable à celui-ci :

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Les autorisations peuvent avoir les états suivants :

État Description
ACTIVATING L'autorisation est en cours d'activation.
ACTIVATION_FAILED Privileged Access Manager n'a pas pu accorder les rôles en raison d'une erreur non récupérable.
ACTIVE L'autorisation est active et le compte principal a accès aux ressources autorisées par les rôles.
APPROVAL_AWAITED La demande d'autorisation d'accès est en attente d'une décision de la part d'un approbateur.
REFUSÉ La demande d'attribution a été refusée par un approbateur.
ENDED L'attribution est terminée et les rôles ont été supprimés du compte principal.
EXPIRED La demande d'autorisation a expiré, car elle n'a pas été approuvée dans les 24 heures.
REVOKED L'autorisation est révoquée et le compte principal n'a plus accès aux ressources autorisées par les rôles.
REVOKING L'accès est en cours de révocation.
RETIRER L'autorisation est en cours de retrait.
RETIRÉ L'autorisation est retirée et le compte principal n'a plus accès aux ressources autorisées par les rôles.

REST

La méthode searchGrants de l'API Privileged Access Manager utilisée avec la relation d'appelant HAD_CREATED recherche les droits d'accès que vous avez créés. Pour vérifier leur état, recherchez le champ state dans la réponse.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • SCOPE : organisation, dossier ou projet dans lequel/laquelle le droit d'accès est attribué, au format organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont des valeurs numériques, telles que 123456789012.
  • ENTITLEMENT_ID : ID du droit d'accès auquel l'attribution appartient.
  • FILTER : facultatif. Renvoie les autorisations dont les valeurs de champ correspondent à une expression AIP-160.
  • PAGE_SIZE : facultatif. Nombre d'éléments à renvoyer dans une réponse.
  • PAGE_TOKEN : facultatif. Page à partir de laquelle commencer la réponse, à l'aide d'un jeton de page renvoyé dans une réponse précédente.

Méthode HTTP et URL : 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Les états des subventions sont détaillés dans le tableau suivant.

État Description
ACTIVATING L'autorisation est en cours d'activation.
ACTIVATION_FAILED Privileged Access Manager n'a pas pu accorder les rôles en raison d'une erreur non récupérable.
ACTIVE L'autorisation est active et le compte principal a accès aux ressources autorisées par les rôles.
APPROVAL_AWAITED La demande d'autorisation d'accès est en attente d'une décision de la part d'un approbateur.
REFUSÉ La demande d'attribution a été refusée par un approbateur.
ENDED L'attribution est terminée et les rôles ont été supprimés du compte principal.
EXPIRED La demande d'autorisation a expiré, car elle n'a pas été approuvée dans les 24 heures.
REVOKED L'autorisation est révoquée et le compte principal n'a plus accès aux ressources autorisées par les rôles.
REVOKING L'accès est en cours de révocation.
RETIRER L'autorisation est en cours de retrait.
RETIRÉ L'autorisation est retirée et le compte principal n'a plus accès aux ressources autorisées par les rôles.