בקשה לגישה זמנית עם הרשאות מורחבות באמצעות Privileged Access Manager

המסוף

1. עוברים לדף Privileged Access Manager.

   כניסה ל-Privileged Access Manager

2. בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים לבקש הרשאה.

3. בכרטיסייה My entitlements, מאתרים את ההרשאה שרוצים לבקש ולוחצים על Request grant באותה שורה.

   לזכויות גישה שעוברות בירושה מתיקייה או מארגון ברמת ההורה, היקף ההרשאה מותאם אוטומטית לארגון, לתיקייה או לפרויקט שנבחרו. אפשר לבקש מענק על הזכאות שהועברה בירושה ברמת משאב הצאצא. התכונה הזו זמינה בגרסת טרום-השקה.

4. אם רמת השירות Security Command Center Premium או Enterprise מופעלת, אפשר להתאים אישית את היקף בקשת ההרשאה כך שתכלול רק תפקידים ומשאבים ספציפיים. התכונה הזו זמינה בגרסת טרום-השקה.

   1. מעבירים את לחצן החלפת המצב התאמה אישית של ההיקף למצב מופעל.
   2. מוסיפים את מסנני המשאבים הנדרשים. אפשר להוסיף עד חמישה מסנני משאבים.
   3. בוחרים את התפקידים הנדרשים.

5. עליך לספק את הפרטים הבאים:

   • משך הגישה הנדרש, עד למשך המקסימלי שמוגדר בהרשאה.

   • אם נדרש, הסבר למענק.

   • אופציונלי: כתובות אימייל לקבלת התראות.

     זהויות ב-Google שמשויכות להרשאה, כמו מאשרים ומבקשים, מקבלות הודעה אוטומטית. עם זאת, אם רוצים לשלוח הודעה לאנשים נוספים, אפשר להוסיף את כתובות האימייל שלהם. האפשרות הזו שימושית במיוחד אם אתם משתמשים בזהויות של כוח העבודה במקום בחשבונות Google.

6. לוחצים על בקשת מענק.

gcloud

אפשר לבקש מענק באחת מהדרכים הבאות:

• שליחת בקשה להרשאה (Grant) על סמך זכאות
• בקשת הרשאה במשאב צאצא של זכאות
• שליחת בקשת גישה עם היקף הרשאות מפורט

שליחת בקשה להרשאה (משך הזמן המקסימלי שלה הוא {maxDuration})

הפקודה gcloud alpha pam grants create מבקשת הענקת הרשאה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ID: מזהה ההרשאה שרוצים ליצור את ההרשאה עבורה.
• ‫GRANT_DURATION: משך הזמן המבוקש של ההרשאה, בשניות.
• JUSTIFICATION: ההצדקה לבקשת ההרשאה.
• ‫EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות על בקשת המענק. הודעה נשלחת אוטומטית לזהויות ב-Google שמשויכות למאשרים. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

Created [GRANT_ID].

בקשה להענקת הרשאה במשאב צאצא של זכאות

הפקודה gcloud alpha pam grants create מבקשת הענקת הרשאה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ID: מזהה ההרשאה שרוצים ליצור את ההרשאה עבורה.
• ‫GRANT_DURATION: משך הזמן המבוקש של ההרשאה, בשניות.
• JUSTIFICATION: ההצדקה לבקשת ההרשאה.
• ‫EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות על בקשת המענק. הודעה נשלחת אוטומטית לזהויות ב-Google שמשויכות למאשרים. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫RESOURCE_TYPE: אופציונלי. הסוג של Google Cloud המשאבים שרוצים להעניק להם גישה. ההרשאה הזו משמשת להתאמה אישית של היקף ההרשאה למשאב צאצא.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫REQUESTED_RESOURCE: אופציונלי. המשאבים Google Cloud שרוצים להעניק להם גישה. ההרשאה הזו משמשת להתאמה אישית של היקף ההרשאה למשאב צאצא. פורמט: RESOURCE_TYPE/RESOURCE_ID. דוגמה: projects/PROJECT_ID,‏ folders/FOLDER_ID או organizations/ORGANIZATION_ID.

מריצים את הפקודה הבאה:

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

אמורים לקבל תגובה שדומה לזו:

Created [GRANT_ID].

בקשה למתן הרשאה עם היקף הרשאות מפורט

הפקודה gcloud alpha pam grants create מבקשת הענקת הרשאה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ROLE_BINDING_ID (אופציונלי): מזהה קישור התפקידים של התפקיד שרוצים להעניק מההרשאה.
• ‫ACCESS_RESTRICTION_NAME: אופציונלי. שמות המשאבים שאליהם רוצים להגביל את הגישה. מידע על הפורמט מופיע במאמר פורמט השמות של המשאבים.
• ‫ACCESS_RESTRICTION_PREFIX: אופציונלי. התחיליות של שמות המשאבים שאליהם רוצים להגביל את הגישה. מידע על הפורמט מופיע במאמר פורמט השמות של המשאבים.
• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫REQUESTED_RESOURCE_TYPE. אופציונלי. הסוג של Google Cloud המשאבים שרוצים להעניק להם גישה. ההרשאה הזו משמשת להתאמה אישית של היקף ההרשאה למשאב צאצא.
• ‫REQUESTED_RESOURCE: אופציונלי. המשאבים Google Cloud שרוצים להעניק להם גישה. ההרשאה הזו משמשת להתאמה אישית של היקף ההרשאה למשאב צאצא. פורמט: RESOURCE_TYPE/RESOURCE_ID. דוגמה: projects/PROJECT_ID,‏ folders/FOLDER_ID או organizations/ORGANIZATION_ID.

שומרים את התוכן הבא בקובץ בשם requested-scope.yaml :

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

מריצים את הפקודה הבאה:

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

אמורים לקבל תגובה שדומה לזו:

Created [GRANT_ID].

REST

1. מחפשים זכויות גישה שאפשר לבקש.
   

   השיטה searchEntitlements של Privileged Access Manager API עם סוג הגישה GRANT_REQUESTER caller מחפשת הרשאות שאפשר לבקש להעניק.

   לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

   • ‫SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
   • ‫FILTER: אופציונלי. הפונקציה מחזירה הרשאות שערכי השדות שלהן תואמים ל ביטוי AIP-160.
   • ‫PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה.
   • ‫PAGE_TOKEN: אופציונלי. הדף שממנו מתחילים את התגובה, באמצעות טוקן דף שהוחזר בתגובה קודמת.

   ה-method של ה-HTTP וכתובת ה-URL:

   GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

   כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

   ‫Curl (Linux,‏ macOS או Cloud Shell)

   מריצים את הפקודה הבאה:

   curl -X GET \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

   ‎PowerShell (Windows)

   מריצים את הפקודה הבאה:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method GET `
       -Headers $headers `
       -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

   ‫APIs Explorer (דפדפן)

   פותחים את דף העזר של ה-method. החלונית של API Explorer תיפתח בצד שמאל של הדף. אפשר להשתמש בכלי הזה כדי לשלוח בקשות. ממלאים את כל שדות החובה ולוחצים על Execute.

   אתם אמורים לקבל תגובת JSON שדומה לזו:

   {
     "name": "SCOPE/locations/global/operations/OPERATION_ID",
     "metadata": {
       "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
       "createTime": "2024-03-05T03:35:14.596739353Z",
       "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
       "verb": "create",
       "requestedCancellation": false,
       "apiVersion": "v1beta"
     },
     "done": false
   }
   
   

2. שליחת בקשה למענק כנגד זכאות.
   

   ה-method createGrant של Privileged Access Manager API מבקשת הענקת הרשאה.

   לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

   • ‫SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
   • ‫ENTITLEMENT_ID: מזהה ההרשאה שרוצים ליצור את ההרשאה עבורה.
   • ‫REQUEST_ID: אופציונלי. חייב להיות UUID שונה מאפס. אם השרת מקבל בקשה עם מזהה בקשה, הוא בודק אם בקשה אחרת עם אותו מזהה כבר הושלמה ב-60 הדקות האחרונות. אם כן, המערכת מתעלמת מהבקשה החדשה.
   • ‫GRANT_DURATION: משך הזמן המבוקש של ההרשאה, בשניות.
   • JUSTIFICATION: ההצדקה לבקשת ההרשאה.
   • ‫EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות על בקשת המענק. הודעה נשלחת אוטומטית לזהויות ב-Google שמשויכות למאשרים. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לכתובות אימייל אחרות, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
   • ‫ENTITLEMENT_ROLE_BINDING_ID: אופציונלי. מזהה הקישור בין התפקידים של התפקיד שצריך להעניק מההרשאה.
   • ‫ACCESS_RESTRICTION_NAME: אופציונלי. שמות המשאבים שאליהם רוצים להגביל את הגישה. מידע על הפורמט מופיע במאמר פורמט השמות של המשאבים.
   • ‫ACCESS_RESTRICTION_PREFIX: אופציונלי. התחיליות של שמות המשאבים שאליהם רוצים להגביל את הגישה. מידע על הפורמט מופיע במאמר פורמט השמות של המשאבים.

   ה-method של ה-HTTP וכתובת ה-URL:

   POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

   תוכן בקשת JSON:

   {
     "requestedDuration": "GRANT_DURATIONs",
     "justification": {
       "unstructuredJustification": "JUSTIFICATION"
     },
     "additionalEmailRecipients": [
       "EMAIL_ADDRESS_1",
       "EMAIL_ADDRESS_2",
     ],
     "requestedPrivilegedAccess": {
       "gcpIamAccess": {
         "resourceType": "REQUESTED_RESOURCE_TYPE",
         "resource": "REQUESTED_RESOURCE",
         "roleBindings": [
           {
             "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
             "accessRestrictions": {
               "resourceNames": [
                 "ACCESS_RESTRICTION_NAME"
               ],
               "resourceNamePrefixes": [
                 "ACCESS_RESTRICTION_PREFIX"
               ],
             },
           }
         ],
       }
     },
   }
   

   כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

   ‫Curl (Linux,‏ macOS או Cloud Shell)

   שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID"

   ‎PowerShell (Windows)

   שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID" | Select-Object -Expand Content

   ‫APIs Explorer (דפדפן)

   מעתיקים את גוף הבקשה ופותחים את דף העזר של השיטה. החלונית של API Explorer תיפתח בצד שמאל של הדף. אפשר להשתמש בכלי הזה כדי לשלוח בקשות. מדביקים את גוף הבקשה בכלי הזה, ממלאים את כל שדות החובה ולוחצים על Execute.

   אתם אמורים לקבל תגובת JSON שדומה לזו:

   {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": [
   "//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
   }
   
   

המסוף

1. עוברים לדף Privileged Access Manager.

   כניסה ל-Privileged Access Manager

2. בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים לראות את ההרשאות.

3. בכרטיסייה Grants (מענקים), לוחצים על My grants (המענקים שלי).

   המענק שלכם יכול להיות באחד מהסטטוסים הבאים:

   סטטוס	תיאור
   הפעלה	המענק נמצא בתהליך הפעלה.
   ההפעלה נכשלה	Privileged Access Manager לא הצליח להעניק את התפקידים בגלל שגיאה שלא ניתן לתקן.
   פעיל	המענק פעיל ולישות המורשית יש גישה למשאבים שהתפקידים מאפשרים.
   בהמתנה לאישור	בקשת הגישה ממתינה להחלטה של גורם מאשר.
   נדחתה	הבקשה למתן הרשאה נדחתה על ידי מאשר.
   הסתיים	ההרשאה הסתיימה והתפקידים הוסרו מהישות המורשית.
   פג תוקף	התוקף של בקשת המענק פג כי לא ניתן אישור תוך 24 שעות.
   בוטל	ההרשאה מבוטלת, ולישות המורשית אין יותר גישה למשאבים שהתפקידים מאפשרים.
   ביטול	המענק נמצא בתהליך ביטול.
   מבצע משיכה…	המענק נמצא בתהליך ביטול.
   בוטל עקב פרישה	ההרשאה מבוטלת, ולישות המורשית אין יותר גישה למשאבים שהתפקידים מאפשרים.

gcloud

הפקודה gcloud alpha pam grants search שמשמשת עם קשר הגומלין had-created caller מחפשת מענקים שיצרתם. כדי לבדוק את הסטטוס שלהם, מחפשים את השדה state בתשובה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ID: המזהה של ההרשאה שאליה המענק משויך.
• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

המענקים יכולים להיות באחד מהסטטוסים הבאים:

REST

השיטה של Privileged Access Manager API‏ searchGrants שמשמשת עם הקשר HAD_CREATED caller מחפשת הרשאות שיצרתם. כדי לבדוק את הסטטוס שלהם, מחפשים את השדה state בתשובה.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫ENTITLEMENT_ID: המזהה של ההרשאה שאליה המענק משויך.
• ‫FILTER: אופציונלי. הפונקציה מחזירה הרשאות שערכי השדות שלהן תואמים ל ביטוי AIP-160.
• ‫PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה.
• ‫PAGE_TOKEN: אופציונלי. הדף שממנו מתחילים את התגובה, באמצעות טוקן דף שהוחזר בתגובה קודמת.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

בטבלה הבאה מפורטים הסטטוסים של המענקים.