Richiedere l'accesso elevato temporaneo con Privileged Access Manager

Per aumentare temporaneamente i tuoi privilegi, puoi richiedere una concessione in base a un diritto in Privileged Access Manager (PAM) per una durata fissa.

Un diritto contiene ruoli che ti vengono concessi dopo l'esito positivo della richiesta di concessione. Questi ruoli vengono rimossi da Privileged Access Manager al termine della concessione.

Tieni presente quanto segue quando vuoi richiedere una concessione per un diritto:

  • Puoi richiedere concessioni solo per i diritti a cui sei stato aggiunto. Per essere aggiunto a un diritto, contatta l'entità che lo amministra.

  • Puoi avere un massimo di cinque concessioni aperte per diritto alla volta; queste concessioni possono essere nello stato Active o Approval awaited.

  • Non puoi richiedere una concessione con lo stesso ambito di una concessione esistente nello stato Active o Approval awaited.

  • A seconda della configurazione, una richiesta di concessione potrebbe richiedere l'approvazione per essere concessa.

  • Se una richiesta di concessione richiede l'approvazione e non viene approvata o rifiutata entro 24 ore, lo stato della concessione viene modificato in Expired. Dopodiché, devi inviare una nuova richiesta di concessione se hai ancora bisogno di privilegi elevati.

  • L'applicazione delle richieste di concessione andate a buon fine potrebbe richiedere alcuni minuti.

Richiedere una sovvenzione

Console

  1. Vai alla pagina Privileged Access Manager.

    Vai a Privileged Access Manager

  2. Seleziona l'organizzazione, la cartella o il progetto per cui vuoi richiedere una concessione.

  3. Nella scheda I miei diritti, individua il diritto per cui vuoi presentare una richiesta e fai clic su Richiedi concessione nella stessa riga.

    Per i diritti ereditati da una cartella o un'organizzazione padre, l'ambito della concessione viene modificato automaticamente in base all'organizzazione, alla cartella o al progetto selezionato. Puoi richiedere una concessione per il diritto ereditato a livello di risorsa secondaria. Questa funzionalità è disponibile in anteprima.

  4. Se il livello Security Command Center Premium o Enterprise è attivato a livello di organizzazione, puoi personalizzare l'ambito della richiesta di concessione in modo da includere solo alcuni ruoli e risorse specifici. Questa funzionalità è disponibile in anteprima.

    1. Attiva l'opzione Personalizza ambito.
    2. Aggiungi i filtri delle risorse richiesti. Puoi aggiungere fino a cinque filtri delle risorse.
    3. Seleziona i ruoli richiesti.

  5. Fornisci i seguenti dettagli:

    • La durata richiesta per la concessione, fino alla durata massima impostata sul diritto.

    • Se richiesto, una motivazione per la concessione.

    • (Facoltativo) Indirizzi email per le notifiche.

      Le identità Google associate al diritto, come gli approvatori e i richiedenti, vengono avvisate automaticamente. Tuttavia, se vuoi inviare una notifica ad altre persone, puoi aggiungere i loro indirizzi email. Ciò è particolarmente utile se utilizzi identità della forza lavoro anziché Account Google.

  6. Fai clic su Richiedi sovvenzione.

gcloud

Puoi richiedere una sovvenzione utilizzando una delle seguenti opzioni:

Richiedere una concessione per un diritto

Il comando gcloud alpha pam grants create richiede una concessione.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ENTITLEMENT_ID: L'ID del diritto da utilizzare per creare la concessione.
  • GRANT_DURATION: la durata richiesta della concessione, in secondi.
  • JUSTIFICATION: La motivazione per richiedere la concessione.
  • EMAIL_ADDRESS: (Facoltativo) Indirizzi email aggiuntivi a cui inviare una notifica della richiesta di concessione. Le identità Google associate ai responsabili approvazione vengono notificate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
  • RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valore organization, folder o project.
  • RESOURCE_ID: Utilizzato con RESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

Created [GRANT_ID].

Richiedere una concessione per una risorsa secondaria di un diritto

Il comando gcloud alpha pam grants create richiede una concessione.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ENTITLEMENT_ID: L'ID del diritto da utilizzare per creare la concessione.
  • GRANT_DURATION: la durata richiesta della concessione, in secondi.
  • JUSTIFICATION: La motivazione per richiedere la concessione.
  • EMAIL_ADDRESS: (Facoltativo) Indirizzi email aggiuntivi a cui inviare una notifica della richiesta di concessione. Le identità Google associate ai responsabili approvazione vengono notificate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
  • RESOURCE_TYPE: (Facoltativo) Il tipo di Google Cloud risorse a cui concedere l'accesso. Viene utilizzato per personalizzare l'ambito della concessione a una risorsa secondaria.
  • RESOURCE_ID: Utilizzato con RESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • REQUESTED_RESOURCE: (Facoltativo) Le risorse Google Cloud a cui vuoi concedere l'accesso. Viene utilizzato per personalizzare l'ambito della concessione a una risorsa secondaria. Formato: RESOURCE_TYPE/RESOURCE_ID. Esempio: projects/PROJECT_ID, folders/FOLDER_ID o organizations/ORGANIZATION_ID.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Dovresti ricevere una risposta simile alla seguente:

Created [GRANT_ID].

Richiedere una concessione con ambito granulare

Il comando gcloud alpha pam grants create richiede una concessione.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ENTITLEMENT_ROLE_BINDING_ID: facoltativo.L'ID dell'associazione di ruolo del ruolo da concedere dal diritto.
  • ACCESS_RESTRICTION_NAME: (Facoltativo) I nomi delle risorse a cui limitare l'accesso. Per informazioni sul formato, consulta Formato del nome della risorsa.
  • ACCESS_RESTRICTION_PREFIX: (Facoltativo) I prefissi dei nomi delle risorse a cui limitare l'accesso. Per informazioni sul formato, consulta Formato del nome della risorsa.
  • RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valore organization, folder o project.
  • RESOURCE_ID: Utilizzato con RESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • REQUESTED_RESOURCE_TYPE. Facoltativo. Il tipo di Google Cloud risorse a cui concedere l'accesso. Viene utilizzato per personalizzare l'ambito della concessione a una risorsa secondaria.
  • REQUESTED_RESOURCE: (Facoltativo) Le risorse Google Cloud a cui vuoi concedere l'accesso. Viene utilizzato per personalizzare l'ambito della concessione a una risorsa secondaria. Formato: RESOURCE_TYPE/RESOURCE_ID. Esempio: projects/PROJECT_ID, folders/FOLDER_ID o organizations/ORGANIZATION_ID.

Salva i seguenti contenuti in un file denominato requested-scope.yaml : 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Dovresti ricevere una risposta simile alla seguente:

Created [GRANT_ID].

REST

  1. Cerca i diritti che puoi richiedere.

    Il metodo searchEntitlements dell'API Privileged Access Manager con il tipo di accesso GRANT_REQUESTER del chiamante cerca i diritti per i quali puoi richiedere una concessione.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
    • FILTER: (Facoltativo) Restituisce i diritti i cui valori dei campi corrispondono a un'espressione AIP-160.
    • PAGE_SIZE: (Facoltativo) Il numero di elementi da restituire in una risposta.
    • PAGE_TOKEN: (Facoltativo) La pagina da cui iniziare la risposta, utilizzando un token di pagina restituito in una risposta precedente.

    Metodo HTTP e URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Richiedi una concessione per un diritto.

    Il metodo createGrant dell'API Privileged Access Manager richiede una concessione.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
    • ENTITLEMENT_ID: L'ID del diritto da utilizzare per creare la concessione.
    • REQUEST_ID: (Facoltativo) Deve essere un UUID diverso da zero. Se il server riceve una richiesta con un ID richiesta, verifica se un'altra richiesta con lo stesso ID è già stata completata negli ultimi 60 minuti. In questo caso, la nuova richiesta viene ignorata.
    • GRANT_DURATION: la durata richiesta della concessione, in secondi.
    • JUSTIFICATION: La motivazione per richiedere la concessione.
    • EMAIL_ADDRESS: (Facoltativo) Indirizzi email aggiuntivi a cui inviare una notifica della richiesta di concessione. Le identità Google associate ai responsabili approvazione vengono notificate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
    • ENTITLEMENT_ROLE_BINDING_ID: (Facoltativo) L'ID dell'associazione di ruolo del ruolo da concedere dal diritto.
    • ACCESS_RESTRICTION_NAME: (Facoltativo) I nomi delle risorse a cui limitare l'accesso. Per informazioni sul formato, consulta Formato del nome della risorsa.
    • ACCESS_RESTRICTION_PREFIX: (Facoltativo) I prefissi dei nomi delle risorse a cui limitare l'accesso. Per informazioni sul formato, consulta Formato del nome della risorsa.

    Metodo HTTP e URL: 

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    Corpo JSON della richiesta: 

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Per inviare la richiesta, espandi una di queste opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Controllare lo stato della richiesta di sovvenzione

Console

  1. Vai alla pagina Privileged Access Manager.

    Vai a Privileged Access Manager

  2. Seleziona l'organizzazione, la cartella o il progetto in cui vuoi visualizzare le concessioni.

  3. Nella scheda Sovvenzioni, fai clic su Le mie sovvenzioni.

    La tua sovvenzione può avere uno dei seguenti stati:

    Stato Descrizione
    In fase di attivazione La concessione è in fase di attivazione.
    Attivazione non riuscita Privileged Access Manager non è riuscito a concedere i ruoli a causa di un errore non ripristinabile.
    Attivo La concessione è attiva e l'entità ha accesso alle risorse consentite dai ruoli.
    In attesa di approvazione La richiesta di concessione è in attesa della decisione di un responsabile dell'approvazione.
    Negato La richiesta di concessione è stata rifiutata da un approvatore.
    Terminata La concessione è terminata e i ruoli sono stati rimossi dall'entità.
    Scaduto La richiesta di concessione è scaduta perché l'approvazione non è stata concessa entro 24 ore.
    Revocato La concessione viene revocata e l'entità non ha più accesso alle risorse consentite dai ruoli.
    Revoca in corso… La concessione è in fase di revoca.
    Prelievo in corso La concessione è in fase di ritiro.
    Ritirato La concessione viene ritirata e l'entità non ha più accesso alle risorse consentite dai ruoli.

gcloud

Il comando gcloud alpha pam grants search utilizzato con il chiamante had-created cerca le sovvenzioni che hai creato. Per controllare lo stato, cerca il campo state nella risposta.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.
  • RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valore organization, folder o project.
  • RESOURCE_ID: Utilizzato con RESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Le sovvenzioni possono avere i seguenti stati:

Stato Descrizione
ATTIVAZIONE La concessione è in fase di attivazione.
ACTIVATION_FAILED Privileged Access Manager non è riuscito a concedere i ruoli a causa di un errore non ripristinabile.
ATTIVO La concessione è attiva e l'entità ha accesso alle risorse consentite dai ruoli.
APPROVAL_AWAITED La richiesta di concessione è in attesa della decisione di un responsabile dell'approvazione.
RIFIUTATO La richiesta di concessione è stata rifiutata da un approvatore.
TERMINATI La concessione è terminata e i ruoli sono stati rimossi dall'entità.
SCADUTA La richiesta di concessione è scaduta perché l'approvazione non è stata concessa entro 24 ore.
REVOCATO La concessione viene revocata e l'entità non ha più accesso alle risorse consentite dai ruoli.
REVOCA La concessione è in fase di revoca.
RITIRO La concessione è in fase di ritiro.
RITIRATO La concessione viene ritirata e l'entità non ha più accesso alle risorse consentite dai ruoli.

REST

Il metodo searchGrants dell'API Privileged Access Manager utilizzato con la relazione HAD_CREATED del chiamante cerca le concessioni che hai creato. Per controllare lo stato, cerca il campo state nella risposta.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
  • ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.
  • FILTER: (Facoltativo) Restituisce le concessioni i cui valori dei campi corrispondono a un' espressione AIP-160.
  • PAGE_SIZE: (Facoltativo) Il numero di elementi da restituire in una risposta.
  • PAGE_TOKEN: (Facoltativo) La pagina da cui iniziare la risposta, utilizzando un token di pagina restituito in una risposta precedente.

Metodo HTTP e URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Gli stati delle sovvenzioni sono descritti in dettaglio nella tabella seguente.

Stato Descrizione
ATTIVAZIONE La concessione è in fase di attivazione.
ACTIVATION_FAILED Privileged Access Manager non è riuscito a concedere i ruoli a causa di un errore non ripristinabile.
ATTIVO La concessione è attiva e l'entità ha accesso alle risorse consentite dai ruoli.
APPROVAL_AWAITED La richiesta di concessione è in attesa della decisione di un responsabile dell'approvazione.
RIFIUTATO La richiesta di concessione è stata rifiutata da un approvatore.
TERMINATI La concessione è terminata e i ruoli sono stati rimossi dall'entità.
SCADUTA La richiesta di concessione è scaduta perché l'approvazione non è stata concessa entro 24 ore.
REVOCATO La concessione viene revocata e l'entità non ha più accesso alle risorse consentite dai ruoli.
REVOCA La concessione è in fase di revoca.
RITIRO La concessione è in fase di ritiro.
RITIRATO La concessione viene ritirata e l'entità non ha più accesso alle risorse consentite dai ruoli.