Peça acesso elevado temporário com o Gestor de acesso privilegiado

Para elevar temporariamente os seus privilégios, pode pedir uma concessão em relação a uma concessão no Privileged Access Manager (PAM) durante um período fixo.

Uma autorização contém funções que lhe são concedidas após o êxito do seu pedido de concessão. Estas funções são removidas pelo gestor de acesso privilegiado quando a concessão termina.

Tenha em atenção o seguinte quando quiser pedir uma concessão contra uma autorização:

  • Só pode pedir concessões relativas a direitos de utilização aos quais foi adicionado. Para ser adicionado a uma autorização, contacte o principal que administra a autorização.

  • Um utilizador pode ter um máximo de 10 concessões abertas por autorização em simultâneo; estas concessões podem estar no estado Active ou Approval awaited.

  • Não pode pedir uma concessão com o mesmo âmbito de uma concessão existente no estado Active ou Approval awaited.

  • Consoante a configuração, um pedido de concessão pode exigir aprovação para ser concedido.

  • Se um pedido de concessão exigir aprovação e não for aprovado nem recusado no prazo de 24 horas, o estado da concessão é alterado para Expired. Após isto, tem de fazer um novo pedido de concessão se ainda precisar de privilégios elevados.

  • Os pedidos de concessão bem-sucedidos podem demorar alguns minutos a entrar em vigor.

Peça uma subvenção

Consola

  1. Aceda à página Gestor de acessos privilegiados.

    Aceda ao Gestor de acessos privilegiados

  2. Selecione a organização, a pasta ou o projeto onde quer pedir uma subvenção.

  3. No separador As minhas autorizações, encontre a autorização para a qual quer pedir a concessão e, de seguida, clique em Pedir concessão na mesma linha.

    Para concessões herdadas de uma pasta ou organização principal, o âmbito da concessão é ajustado automaticamente à organização, pasta ou projeto selecionado. Pode pedir uma concessão relativamente à autorização herdada ao nível do recurso secundário. Esta funcionalidade está disponível em pré-visualização.

  4. Se o nível Premium ou Enterprise do Security Command Center estiver ativado ao nível da organização, pode personalizar o âmbito do seu pedido de concessão para incluir apenas algumas funções e recursos específicos. Esta funcionalidade está disponível em pré-visualização.

    1. Ative o botão Personalizar âmbito.
    2. Adicione os filtros de recursos necessários. Pode adicionar até cinco filtros de recursos.
    3. Selecione as funções necessárias.

  5. Forneça os seguintes detalhes:

    • A duração necessária para a concessão, até à duração máxima definida no direito.

    • Se necessário, uma justificação para a concessão.

    • Opcional: endereços de email para notificações.

      As identidades Google associadas à concessão, como os aprovadores e os requerentes, são notificadas automaticamente. No entanto, se quiser notificar pessoas adicionais, pode adicionar os respetivos endereços de email. Isto é especialmente útil se estiver a usar identidades da força de trabalho em vez de Contas Google.

  6. Clique em Pedir concessão.

gcloud

Pode pedir uma subvenção através de uma das seguintes opções:

Peça uma concessão em relação a um direito

O comando gcloud alpha pam grants create pede uma concessão.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ENTITLEMENT_ID: o ID do direito de utilização para criar a concessão.
  • GRANT_DURATION: A duração pedida da autorização, em segundos.
  • JUSTIFICATION: a justificação para pedir a concessão.
  • EMAIL_ADDRESS: opcional. Endereços de email adicionais para receberem notificações do pedido de concessão. As identidades Google associadas aos aprovadores são notificadas automaticamente. No entanto, pode querer enviar notificações para um conjunto diferente de endereços de email, especialmente se estiver a usar Workforce Identity Federation.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

Created [GRANT_ID].

Peça uma concessão num recurso secundário de uma autorização

O comando gcloud alpha pam grants create pede uma autorização.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ENTITLEMENT_ID: o ID do direito de utilização para criar a concessão.
  • GRANT_DURATION: A duração pedida da autorização, em segundos.
  • JUSTIFICATION: a justificação para pedir a concessão.
  • EMAIL_ADDRESS: opcional. Endereços de email adicionais para receberem notificações do pedido de concessão. As identidades Google associadas aos aprovadores são notificadas automaticamente. No entanto, pode querer enviar notificações para um conjunto diferente de endereços de email, especialmente se estiver a usar Workforce Identity Federation.
  • RESOURCE_TYPE: opcional. O tipo de Google Cloud recursos aos quais o acesso vai ser concedido. Isto é usado para personalizar o âmbito da concessão a um recurso secundário.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • REQUESTED_RESOURCE: opcional. Os Google Cloud recursos aos quais quer que lhe seja concedido acesso. Isto é usado para personalizar o âmbito da concessão a um recurso secundário. Formato: RESOURCE_TYPE/RESOURCE_ID. Exemplo: projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Deve receber uma resposta semelhante à seguinte:

Created [GRANT_ID].

Peça uma concessão com um âmbito detalhado

O comando gcloud alpha pam grants create pede uma concessão.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ENTITLEMENT_ROLE_BINDING_ID: opcional.O ID da associação de funções da função a ser concedida a partir da autorização.
  • ACCESS_RESTRICTION_NAME: opcional. Os nomes dos recursos aos quais quer restringir o acesso. Para obter informações sobre o formato, consulte o artigo Formato do nome do recurso.
  • ACCESS_RESTRICTION_PREFIX: opcional. Os prefixos dos nomes de recursos para restringir o acesso. Para obter informações sobre o formato, consulte o artigo Formato do nome do recurso.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • REQUESTED_RESOURCE_TYPE. Opcional. O tipo de Google Cloud recursos aos quais o acesso vai ser concedido. Isto é usado para personalizar o âmbito da concessão a um recurso secundário.
  • REQUESTED_RESOURCE: opcional. Os Google Cloud recursos aos quais quer que lhe seja concedido acesso. Isto é usado para personalizar o âmbito da concessão a um recurso secundário. Formato: RESOURCE_TYPE/RESOURCE_ID. Exemplo: projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Guarde o seguinte conteúdo num ficheiro denominado requested-scope.yaml : 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Deve receber uma resposta semelhante à seguinte:

Created [GRANT_ID].

REST

  1. Pesquise direitos para os quais é elegível para pedir.

    O método searchEntitlements da API Privileged Access Manager com o tipo de acesso GRANT_REQUESTER do autor da chamada pesquisa autorizações para as quais pode pedir uma concessão.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
    • FILTER: opcional. Devolve autorizações cujos valores de campo correspondem a uma expressão AIP-160.
    • PAGE_SIZE: opcional. O número de itens a devolver numa resposta.
    • PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.

    Método HTTP e URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Peça uma concessão em relação a um direito.

    O método createGrant da API Privileged Access Manager pede uma concessão.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
    • ENTITLEMENT_ID: o ID de direito de utilização para criar a concessão.
    • REQUEST_ID: opcional. Tem de ser um UUID diferente de zero. Se o servidor receber um pedido com um ID de pedido, verifica se outro pedido com esse ID já foi concluído nos últimos 60 minutos. Se for o caso, o novo pedido é ignorado.
    • GRANT_DURATION: A duração pedida da autorização, em segundos.
    • JUSTIFICATION: a justificação para pedir a concessão.
    • EMAIL_ADDRESS: opcional. Endereços de email adicionais para receberem notificações do pedido de concessão. As identidades Google associadas aos aprovadores são notificadas automaticamente. No entanto, pode querer enviar notificações a um conjunto diferente de endereços de email, especialmente se estiver a usar a federação de identidades da força de trabalho.
    • ENTITLEMENT_ROLE_BINDING_ID: opcional. O ID de vinculação de funções da função a ser concedida a partir da autorização.
    • ACCESS_RESTRICTION_NAME: opcional. Os nomes dos recursos aos quais quer restringir o acesso. Para obter informações sobre o formato, consulte o artigo Formato do nome do recurso.
    • ACCESS_RESTRICTION_PREFIX: opcional. Os prefixos dos nomes de recursos para restringir o acesso. Para obter informações sobre o formato, consulte o artigo Formato do nome do recurso.

    Método HTTP e URL: 

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    Corpo JSON do pedido: 

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Para enviar o seu pedido, expanda uma destas opções:

    Deve receber uma resposta JSON semelhante à seguinte:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Verifique o estado do seu pedido de subvenção

Consola

  1. Aceda à página Gestor de acessos privilegiados.

    Aceda ao Gestor de acessos privilegiados

  2. Selecione a organização, a pasta ou o projeto no qual quer ver as concessões.

  3. No separador Subvenções, clique em As minhas subvenções.

    A sua subvenção pode ter um dos seguintes estados:

    Estado Descrição
    A activar A concessão está em processo de ativação.
    A ativação falhou O Gestor de acesso privilegiado não conseguiu conceder as funções devido a um erro não recuperável.
    Ativo A concessão está ativa e o principal tem acesso aos recursos permitidos pelas funções.
    Aprovação aguardada O pedido de concessão está a aguardar uma decisão de um aprovador.
    Recusado O pedido de concessão foi recusado por um aprovador.
    Terminado A concessão terminou e as funções foram removidas do principal.
    Expirado O pedido de concessão expirou porque não foi dada aprovação no prazo de 24 horas.
    Revogado A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.
    Revogando A concessão está em processo de revogação.
    A retirar A subvenção está em processo de retratação.
    Retirado A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.

gcloud

O comando gcloud alpha pam grants search usado com o autor da chamada had-created procura concessões que criou. Para verificar o estado, procure o campo state na resposta.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

As concessões podem ter os seguintes estados:

Estado Descrição
ATIVANDO A concessão está em processo de ativação.
ACTIVATION_FAILED O Gestor de acesso privilegiado não conseguiu conceder as funções devido a um erro não recuperável.
ATIVA A concessão está ativa e o principal tem acesso aos recursos permitidos pelas funções.
APPROVAL_AWAITED O pedido de concessão está a aguardar uma decisão de um aprovador.
RECUSADO O pedido de concessão foi recusado por um aprovador.
TERMINOU A concessão terminou e as funções foram removidas do principal.
EXPIRADO O pedido de concessão expirou porque não foi dada aprovação no prazo de 24 horas.
REVOGADO A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.
REVOGAR A concessão está em processo de revogação.
RETIRAR A concessão está a ser retirada.
RETIRADA A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.

REST

O método searchGrants da API Privileged Access Manager usado com a relação HAD_CREATED do autor da chamada pesquisa concessões que criou. Para verificar o estado, procure o campo state na resposta.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
  • ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence.
  • FILTER: opcional. Devolve concessões cujos valores de campo correspondem a uma expressão AIP-160.
  • PAGE_SIZE: opcional. O número de itens a devolver numa resposta.
  • PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.

Método HTTP e URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar o seu pedido, expanda uma destas opções:

Deve receber uma resposta JSON semelhante à seguinte:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Os estados das subvenções estão detalhados na tabela seguinte.

Estado Descrição
ATIVANDO A concessão está em processo de ativação.
ACTIVATION_FAILED O Gestor de acesso privilegiado não conseguiu conceder as funções devido a um erro não recuperável.
ATIVA A concessão está ativa e o principal tem acesso aos recursos permitidos pelas funções.
APPROVAL_AWAITED O pedido de concessão está a aguardar uma decisão de um aprovador.
RECUSADO O pedido de concessão foi recusado por um aprovador.
TERMINOU A concessão terminou e as funções foram removidas do principal.
EXPIRADO O pedido de concessão expirou porque não foi dada aprovação no prazo de 24 horas.
REVOGADO A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.
REVOGAR A concessão está em processo de revogação.
RETIRAR A concessão está a ser retirada.
RETIRADA A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções.