Privileged Access Manager を使用して一時的に昇格された権限をリクエストする

権限を一時的に昇格するには、Privileged Access Manager(PAM)で、一定期間の利用資格に対する権限付与をリクエストします。

利用資格には、権限付与リクエストが成功した後に付与されるロールが含まれます。これらのロールは、権限付与が終了すると Privileged Access Manager によって削除されます。

利用資格に対して権限付与をリクエストする場合は、次の点に注意してください。

  • リクエストできるのは、自身が追加されている利用資格に対する権限付与のみです。利用資格を追加する場合は、利用資格を管理しているプリンシパルに連絡してください。

  • 利用資格ごとに同時に最大 5 つのオープン付与を設定できます。これらの付与は Active 状態または Approval awaited 状態にできます。

  • Active または Approval awaited 状態の既存の権限付与と同じスコープで権限付与をリクエストすることはできません。

  • 設定によっては、権限付与リクエストに承認が必要になる場合があります。

  • 権限付与リクエストが承認を必要とし、24 時間以内に承認または不承認にならない場合、権限付与のステータスは Expired に変更されます。その後、昇格された権限がまだ必要な場合は、新しい権限付与リクエストを行う必要があります。

  • 許可リクエストが成功しても、有効になるまでに数分かかることがあります。

権限付与をリクエストする

コンソール

  1. [Privileged Access Manager] ページに移動します。

    Privileged Access Manager に移動

  2. 権限付与をリクエストする組織、フォルダ、またはプロジェクトを選択します。

  3. [利用資格] タブで、リクエストする利用資格を見つけて、同じ行の [権限付与をリクエスト] をクリックします。

    親フォルダまたは親組織から継承された利用資格の場合、権限付与のスコープは選択した組織、フォルダ、プロジェクトに自動的に調整されます。子リソース レベルで、継承された利用資格に対する権限付与をリクエストできます。この機能はプレビュー版でご利用いただけます。

  4. 組織レベルで Security Command Center Premium ティアまたはエンタープライズ ティアが有効になっている場合は、特定のロールとリソースのみを含むように権限付与リクエストのスコープをカスタマイズできます。この機能はプレビュー版でご利用いただけます。

    1. [スコープをカスタマイズ] 切り替えボタンをオンにします。
    2. 必要なリソース フィルタを追加します。リソース フィルタは 5 つまで追加できます。
    3. 必要なロールを選択します。

  5. 以下の詳細を入力します。

    • 権限付与に必要な期間(利用資格に設定されている最大期間まで)。

    • 必要な場合、権限付与の正当性。

    • 省略可: 通知用のメールアドレス。

      利用資格に関連付けられている Google ID(承認者やリクエスト送信者など)には自動的に通知されます。ただし、他のユーザーにも通知する場合は、そのユーザーのメールアドレスを追加できます。これは、Google アカウントではなく Workforce Identity を使用している場合に特に便利です。

  6. [権限付与をリクエスト] をクリックします。

gcloud

次のいずれかの方法で権限付与をリクエストできます。

利用資格に対する権限付与をリクエストする

gcloud alpha pam grants create コマンドは、権限付与をリクエストします。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • ENTITLEMENT_ID: 権限付与を作成する利用資格 ID。
  • GRANT_DURATION: リクエストされた権限付与の期間(秒単位)。
  • JUSTIFICATION: 権限付与をリクエストする理由。
  • EMAIL_ADDRESS: 省略可。権限付与リクエストを通知する追加のメールアドレス。承認者に関連付けられている Google ID には自動的に通知されます。ただし、特に Workforce Identity 連携を使用している場合は、別のメールアドレスのセットに通知することもできます。
  • RESOURCE_TYPE: 省略可。利用資格が属するリソースタイプ。値 organizationfolder、または project を使用します。
  • RESOURCE_ID: RESOURCE_TYPE とともに使用します。利用資格を管理する Google Cloudプロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows(PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows(cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

次のようなレスポンスが返されます。

Created [GRANT_ID].

利用資格の子リソースに対する権限付与をリクエストする

gcloud alpha pam grants create コマンドは、権限付与をリクエストします。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • ENTITLEMENT_ID: 権限付与を作成する利用資格 ID。
  • GRANT_DURATION: リクエストされた権限付与の期間(秒単位)。
  • JUSTIFICATION: 権限付与をリクエストする理由。
  • EMAIL_ADDRESS: 省略可。権限付与リクエストを通知する追加のメールアドレス。承認者に関連付けられている Google ID には自動的に通知されます。ただし、特に Workforce Identity 連携を使用している場合は、別のメールアドレスのセットに通知することもできます。
  • RESOURCE_TYPE: 省略可。アクセス権を付与する Google Cloud リソースのタイプ。これは、子リソースへの付与のスコープをカスタマイズするために使用されます。
  • RESOURCE_ID: RESOURCE_TYPE とともに使用します。利用資格を管理する Google Cloudプロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
  • REQUESTED_RESOURCE: 省略可。アクセス権を付与する Google Cloud リソース。これは、子リソースへの付与のスコープをカスタマイズするために使用されます。形式: RESOURCE_TYPE/RESOURCE_ID。例: projects/PROJECT_IDfolders/FOLDER_IDorganizations/ORGANIZATION_ID

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows(PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows(cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

次のようなレスポンスが返されます。

Created [GRANT_ID].

きめ細かいスコープで権限付与をリクエストする

gcloud alpha pam grants create コマンドは、権限付与をリクエストします。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • ENTITLEMENT_ROLE_BINDING_ID: 省略可。利用資格から付与されるロールのロール バインディング ID。
  • ACCESS_RESTRICTION_NAME: 省略可。アクセスを制限するリソース名。形式については、リソース名の形式をご覧ください。
  • ACCESS_RESTRICTION_PREFIX: 省略可。アクセスを制限するリソース名の接頭辞。形式については、リソース名の形式をご覧ください。
  • RESOURCE_TYPE: 省略可。利用資格が属するリソースタイプ。値 organizationfolder、または project を使用します。
  • RESOURCE_ID: RESOURCE_TYPE とともに使用します。利用資格を管理する Google Cloudプロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
  • REQUESTED_RESOURCE_TYPE。省略できます。アクセス権を付与する Google Cloud リソースのタイプ。これは、子リソースへの付与のスコープをカスタマイズするために使用されます。
  • REQUESTED_RESOURCE: 省略可。アクセス権を付与する Google Cloud リソース。これは、子リソースへの付与のスコープをカスタマイズするために使用されます。形式: RESOURCE_TYPE/RESOURCE_ID。例: projects/PROJECT_IDfolders/FOLDER_IDorganizations/ORGANIZATION_ID

次の内容を requested-scope.yaml という名前のファイルに保存します。

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows(PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows(cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

次のようなレスポンスが返されます。

Created [GRANT_ID].

REST

  1. リクエストできる利用資格を検索します。

    Privileged Access Manager API の searchEntitlements メソッドは、GRANT_REQUESTER 呼び出し元のアクセスタイプを使用して、権限付与をリクエストできる利用資格を検索します。

    リクエストのデータを使用する前に、次のように置き換えます。

    • SCOPE: 利用資格が含まれる組織、フォルダ、またはプロジェクト。organizations/ORGANIZATION_IDfolders/FOLDER_ID、または projects/PROJECT_ID の形式です。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
    • FILTER: 省略可。フィールド値が AIP-160 式と一致する利用資格を返します。
    • PAGE_SIZE: 省略可。レスポンスで返すアイテムの数。
    • PAGE_TOKEN: 省略可。前のレスポンスで返されたページトークンを使用して、レスポンスの開始ページを指定します。

    HTTP メソッドと URL:

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    リクエストを送信するには、次のいずれかのオプションを展開します。

    次のような JSON レスポンスが返されます。

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. 利用資格に対する権限付与をリクエストします。

    Privileged Access Manager API の createGrant メソッドは、権限付与をリクエストします。

    リクエストのデータを使用する前に、次のように置き換えます。

    • SCOPE: 利用資格が含まれる組織、フォルダ、またはプロジェクト。organizations/ORGANIZATION_IDfolders/FOLDER_ID、または projects/PROJECT_ID の形式です。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
    • ENTITLEMENT_ID: 権限付与を作成する利用資格 ID。
    • REQUEST_ID: 省略可。ゼロ以外の UUID である必要があります。サーバーがリクエスト ID を含むリクエストを受信すると、その ID を含む別のリクエストが過去 60 分以内に完了しているかどうかを確認します。その場合、新しいリクエストは無視されます。
    • GRANT_DURATION: リクエストされた権限付与の期間(秒単位)。
    • JUSTIFICATION: 権限付与をリクエストする理由。
    • EMAIL_ADDRESS: 省略可。権限付与リクエストを通知する追加のメールアドレス。承認者に関連付けられている Google ID には自動的に通知されます。ただし、特に Workforce Identity 連携を使用している場合は、別のメールアドレスのセットに通知することもできます。
    • ENTITLEMENT_ROLE_BINDING_ID: 省略可。利用資格から付与されるロールのロール バインディング ID。
    • ACCESS_RESTRICTION_NAME: 省略可。アクセスを制限するリソース名。形式については、リソース名の形式をご覧ください。
    • ACCESS_RESTRICTION_PREFIX: 省略可。アクセスを制限するリソース名の接頭辞。形式については、リソース名の形式をご覧ください。

    HTTP メソッドと URL:

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    リクエストの本文(JSON): 

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    リクエストを送信するには、次のいずれかのオプションを展開します。

    次のような JSON レスポンスが返されます。

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

権限付与リクエストのステータスを確認する

コンソール

  1. [Privileged Access Manager] ページに移動します。

    Privileged Access Manager に移動

  2. 権限付与を表示する組織、フォルダ、またはプロジェクトを選択します。

  3. [付与] タブで、[自分の付与] をクリックします。

    権限付与のステータスは次のいずれかになります。

    ステータス 説明
    有効にしています 権限付与の有効化中です。
    有効にできませんでした 再取得できないエラーのため、Privileged Access Manager がロールを付与できませんでした。
    有効 権限付与が有効で、プリンシパルがロールで許可されているリソースにアクセスできます。
    承認待ち 権限付与リクエストは、承認者の決定を待機しています。
    拒否 承認者が権限付与リクエストを拒否しました。
    終了 権限付与が終了し、プリンシパルからロールが削除されました。
    期限切れ 24 時間以内に承認されなかったため、権限付与リクエストが期限切れになりました。
    取り消し済み 権限付与が取り消され、プリンシパルはロールで許可されているリソースにアクセスできなくなります。
    無効にしています 権限付与の取り消し中です。
    取り消し 権限付与の取り消し中です。
    取り消し 権限付与が取り消され、プリンシパルはロールで許可されているリソースにアクセスできなくなります。

gcloud

had-created 呼び出し元の関係で使用される gcloud alpha pam grants search コマンドは、作成した権限付与を検索します。ステータスを確認するには、レスポンスで state フィールドを探します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • ENTITLEMENT_ID: 権限付与の利用資格の ID。
  • RESOURCE_TYPE: 省略可。利用資格が属するリソースタイプ。値 organizationfolder、または project を使用します。
  • RESOURCE_ID: RESOURCE_TYPE とともに使用します。利用資格を管理する Google Cloudプロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows(PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows(cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

次のようなレスポンスが返されます。

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

権限付与のステータスは次のとおりです。

ステータス 説明
ACTIVATING 権限付与の有効化中です。
ACTIVATION_FAILED 再取得できないエラーのため、Privileged Access Manager がロールを付与できませんでした。
ACTIVE 権限付与が有効で、プリンシパルがロールで許可されているリソースにアクセスできます。
APPROVAL_AWAITED 権限付与リクエストは、承認者の決定を待機しています。
DENIED 承認者が権限付与リクエストを拒否しました。
ENDED 権限付与が終了し、プリンシパルからロールが削除されました。
EXPIRED 24 時間以内に承認されなかったため、権限付与リクエストが期限切れになりました。
REVOKED 権限付与が取り消され、プリンシパルはロールで許可されているリソースにアクセスできなくなります。
REVOKING 権限付与の取り消し中です。
WITHDRAWING 権限付与の取り消し中です。
WITHDRAWN 権限付与が取り消され、プリンシパルはロールで許可されているリソースにアクセスできなくなります。

REST

Privileged Access Manager API の searchGrants メソッドは、HAD_CREATED 呼び出し元の関係で使用され、作成した権限を検索します。ステータスを確認するには、レスポンスで state フィールドを探します。

リクエストのデータを使用する前に、次のように置き換えます。

  • SCOPE: 利用資格が含まれる組織、フォルダ、またはプロジェクト。organizations/ORGANIZATION_IDfolders/FOLDER_ID、または projects/PROJECT_ID の形式です。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
  • ENTITLEMENT_ID: 権限付与の利用資格の ID。
  • FILTER: 省略可。フィールド値が AIP-160 式と一致する権限付与を返します。
  • PAGE_SIZE: 省略可。レスポンスで返すアイテムの数。
  • PAGE_TOKEN: 省略可。前のレスポンスで返されたページトークンを使用して、レスポンスの開始ページを指定します。

HTTP メソッドと URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

リクエストを送信するには、次のいずれかのオプションを展開します。

次のような JSON レスポンスが返されます。

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

権限付与ステータスの詳細は次の表をご覧ください。

ステータス 説明
ACTIVATING 権限付与の有効化中です。
ACTIVATION_FAILED 再取得できないエラーのため、Privileged Access Manager がロールを付与できませんでした。
ACTIVE 権限付与が有効で、プリンシパルがロールで許可されているリソースにアクセスできます。
APPROVAL_AWAITED 権限付与リクエストは、承認者の決定を待機しています。
DENIED 承認者が権限付与リクエストを拒否しました。
ENDED 権限付与が終了し、プリンシパルからロールが削除されました。
EXPIRED 24 時間以内に承認されなかったため、権限付与リクエストが期限切れになりました。
REVOKED 権限付与が取り消され、プリンシパルはロールで許可されているリソースにアクセスできなくなります。
REVOKING 権限付与の取り消し中です。
WITHDRAWING 権限付与の取り消し中です。
WITHDRAWN 権限付与が取り消され、プリンシパルはロールで許可されているリソースにアクセスできなくなります。