Solicitar o acesso temporário elevado com o Privileged Access Manager

Para aumentar temporariamente os privilégios, solicite uma concessão de um direito no Privileged Access Manager (PAM) por um período fixo.

Um direito de acesso contém papéis que são concedidos a você depois que o pedido de concessão é aprovado. Essas funções são removidas pelo Privileged Access Manager quando o acesso é encerrado.

Considere o seguinte ao solicitar uma concessão para um direito de acesso:

  • Só é possível solicitar permissões para direitos de acesso a que você foi adicionado. Para ser adicionado a um direito de acesso, entre em contato com o principal que administra o direito.

  • É possível ter no máximo cinco concessões abertas por direito de acesso por vez. Essas concessões podem estar no estado Active ou Approval awaited.

  • Não é possível solicitar uma concessão com o mesmo escopo de uma concessão no estado Active ou Approval awaited.

  • Dependendo da configuração, uma solicitação de concessão pode exigir aprovação para ser concedida.

  • Se uma solicitação de concessão exigir aprovação e não for aprovada ou negada em 24 horas, o status da concessão será alterado para Expired. Depois disso, será necessário fazer uma nova solicitação de concessão se você ainda precisar de privilégios elevados.

  • As solicitações de concessão bem-sucedidas podem levar alguns minutos para entrar em vigor.

Solicitar uma concessão

Console

  1. Acesse a página Privileged Access Manager.

    Acessar o Privileged Access Manager

  2. Selecione a organização, a pasta ou o projeto em que você quer solicitar uma concessão.

  3. Na guia Meus direitos, encontre o direito a ser solicitado e clique em Solicitar concessão na mesma linha.

    Para direitos herdados de uma pasta ou organização mãe, o escopo da concessão é ajustado automaticamente para a organização, pasta ou projeto selecionado. É possível solicitar uma permissão para o direito de acesso herdado no nível do recurso filho. Esse recurso está disponível em pré-lançamento.

  4. Se o nível Premium ou Enterprise do Security Command Center estiver ativado no nível da organização, será possível personalizar o escopo da solicitação de concessão para incluir apenas algumas funções e recursos específicos. Esse recurso está disponível em pré-lançamento.

    1. Ative a opção Personalizar escopo.
    2. Adicione os filtros de recursos necessários. É possível adicionar até cinco filtros de recursos.
    3. Selecione as funções necessárias.

  5. Forneça os seguintes detalhes:

    • A duração necessária para a concessão, até a duração máxima definida no direito.

    • Se necessário, uma justificativa para a concessão.

    • Opcional: endereços de e-mail para notificações.

      As identidades do Google associadas ao direito de acesso, como aprovadores e solicitantes, são notificadas automaticamente. No entanto, se você quiser notificar outras pessoas, adicione os endereços de e-mail delas. Isso é especialmente útil se você estiver usando identidades de colaboradores em vez de Contas do Google.

  6. Clique em Solicitar concessão.

gcloud

Você pode solicitar uma concessão usando uma das seguintes opções:

Solicitar um benefício de direito

O comando gcloud alpha pam grants create solicita uma concessão.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ENTITLEMENT_ID: o ID do direito a que o acesso será concedido.
  • GRANT_DURATION: a duração solicitada da concessão, em segundos.
  • JUSTIFICATION: a justificativa para solicitar a concessão.
  • EMAIL_ADDRESS: opcional. Outros endereços de e-mail para receber a solicitação de concessão. As identidades do Google associadas aos aprovadores são notificadas automaticamente. No entanto, você pode notificar um conjunto diferente de endereços de e-mail, especialmente se estiver usando a federação de identidade de colaboradores.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual o direito de acesso pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usada com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização do Google Cloud que você quer gerenciar os direitos de acesso. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

Created [GRANT_ID].

Solicitar um benefício em um recurso secundário de um direito

O comando gcloud alpha pam grants create solicita uma concessão.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ENTITLEMENT_ID: o ID do direito a que o acesso será concedido.
  • GRANT_DURATION: a duração solicitada da concessão, em segundos.
  • JUSTIFICATION: a justificativa para solicitar a concessão.
  • EMAIL_ADDRESS: opcional. Outros endereços de e-mail para receber a solicitação de concessão. As identidades do Google associadas aos aprovadores são notificadas automaticamente. No entanto, você pode notificar um conjunto diferente de endereços de e-mail, especialmente se estiver usando a federação de identidade de colaboradores.
  • RESOURCE_TYPE: opcional. O tipo de recursos Google Cloud a serem concedidos. Isso é usado para personalizar o escopo da concessão a um recurso filho.
  • RESOURCE_ID: usada com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização do Google Cloud que você quer gerenciar os direitos de acesso. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • REQUESTED_RESOURCE: opcional. Os recursos Google Cloud a que você quer ter acesso. Isso é usado para personalizar o escopo da concessão a um recurso filho. Formato: RESOURCE_TYPE/RESOURCE_ID. Exemplo: projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Você receberá uma resposta semelhante a esta:

Created [GRANT_ID].

Solicitar uma concessão com escopo refinado

O comando gcloud alpha pam grants create solicita uma concessão.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ENTITLEMENT_ROLE_BINDING_ID: opcional.O ID da vinculação de papel do papel a ser concedido pelo direito.
  • ACCESS_RESTRICTION_NAME: opcional. Os nomes de recursos para restringir o acesso. Para informações sobre o formato, consulte Formato de nome de recurso.
  • ACCESS_RESTRICTION_PREFIX: opcional. Os prefixos de nome de recurso para restringir o acesso. Para informações sobre o formato, consulte Formato de nome de recurso.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual o direito de acesso pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usada com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização do Google Cloud que você quer gerenciar os direitos de acesso. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • REQUESTED_RESOURCE_TYPE: opcional. O tipo de recursos Google Cloud a serem concedidos. Isso é usado para personalizar o escopo da concessão a um recurso filho.
  • REQUESTED_RESOURCE: opcional. Os recursos Google Cloud a que você quer ter acesso. Isso é usado para personalizar o escopo da concessão a um recurso filho. Formato: RESOURCE_TYPE/RESOURCE_ID. Exemplo: projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Salve o conteúdo a seguir em um arquivo chamado requested-scope.yaml : 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Você receberá uma resposta semelhante a esta:

Created [GRANT_ID].

REST

  1. Pesquisar direitos de acesso que você pode solicitar.

    O método searchEntitlements da API Privileged Access Manager com o tipo de acesso de chamador GRANT_REQUESTER procura direitos que podem ser usados para solicitar uma concessão.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • SCOPE: a organização, a pasta ou o projeto em que o direito de acesso está, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
    • FILTER: opcional. Retorna os direitos de acesso cujos valores de campo correspondem a uma expressão AIP-160.
    • PAGE_SIZE: opcional. O número de itens a serem retornados em uma resposta.
    • PAGE_TOKEN: opcional. A página em que a resposta vai começar, usando um token de página retornado em uma resposta anterior.

    Método HTTP e URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Solicite uma concessão de um direito.

    O método createGrant da API Privileged Access Manager solicita uma concessão.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • SCOPE: a organização, a pasta ou o projeto em que o direito de acesso está, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
    • ENTITLEMENT_ID: o ID do direito a que o acesso será concedido.
    • REQUEST_ID: opcional. Precisa ser um UUID diferente de zero. Se o servidor receber uma solicitação com um ID, ele vai verificar se outra solicitação com esse ID já foi concluída nos últimos 60 minutos. Nesse caso, a nova solicitação será ignorada.
    • GRANT_DURATION: a duração solicitada da concessão, em segundos.
    • JUSTIFICATION: a justificativa para solicitar a concessão.
    • EMAIL_ADDRESS: opcional. Outros endereços de e-mail para receber a solicitação de concessão. As identidades do Google associadas aos aprovadores são notificadas automaticamente. No entanto, você pode notificar um conjunto diferente de endereços de e-mail, especialmente se estiver usando a federação de identidade de colaboradores.
    • ENTITLEMENT_ROLE_BINDING_ID: opcional. O ID da vinculação de papel do papel a ser concedido pelo direito.
    • ACCESS_RESTRICTION_NAME: opcional. Os nomes de recursos para restringir o acesso. Para informações sobre o formato, consulte Formato de nome de recurso.
    • ACCESS_RESTRICTION_PREFIX: opcional. Os prefixos de nome de recurso para restringir o acesso. Para informações sobre o formato, consulte Formato de nome de recurso.

    Método HTTP e URL: 

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    Corpo JSON da solicitação:

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Verificar o status da solicitação de concessão

Console

  1. Acesse a página Privileged Access Manager.

    Acessar o Privileged Access Manager

  2. Selecione a organização, a pasta ou o projeto em que você quer visualizar as concessões.

  3. Na guia Concessões, clique em Minhas concessões.

    Sua concessão pode ter um dos seguintes status:

    Status Descrição
    Ativando A concessão está sendo ativada.
    Falha na ativação O Privileged Access Manager não concedeu as funções devido a um erro não recuperável.
    Ativo A concessão está ativa e o principal tem acesso aos recursos permitidos pelos papéis.
    Aguardando aprovação A solicitação de concessão está aguardando uma decisão de um aprovador.
    Negado A solicitação de concessão foi negada por um aprovador.
    Finalizada A concessão foi encerrada e as funções foram removidas do principal.
    Expirado O pedido de concessão expirou porque a aprovação não foi concedida em 24 horas.
    Revogado A concessão é revogada, e o participante não tem mais acesso aos recursos permitidos pelas funções.
    Revogando A concessão está em processo de revogação.
    Cancelamento em andamento A concessão está em processo de revogação.
    Cancelado A concessão é retirada, e o principal não tem mais acesso aos recursos permitidos pelas funções.

gcloud

O comando gcloud alpha pam grants search usado com a relação de chamador had-created procura as permissões que você criou. Para verificar o status, procure o campo state na resposta.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ENTITLEMENT_ID: o ID do direito de acesso a que o acesso pertence.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual o direito de acesso pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usada com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização do Google Cloud que você quer gerenciar os direitos de acesso. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

As doações podem ter os seguintes status:

Status Descrição
ACTIVATING A concessão está sendo ativada.
ACTIVATION_FAILED O Privileged Access Manager não concedeu as funções devido a um erro não recuperável.
ACTIVE A concessão está ativa e o principal tem acesso aos recursos permitidos pelos papéis.
APPROVAL_AWAITED A solicitação de concessão está aguardando uma decisão de um aprovador.
DENIED A solicitação de concessão foi negada por um aprovador.
ENDED A concessão foi encerrada e as funções foram removidas do principal.
EXPIRED O pedido de concessão expirou porque a aprovação não foi concedida em 24 horas.
REVOKED A concessão é revogada, e o participante não tem mais acesso aos recursos permitidos pelas funções.
REVOKING A concessão está em processo de revogação.
WITHDRAWING A concessão está em processo de revogação.
CANCELADO A concessão é retirada, e o principal não tem mais acesso aos recursos permitidos pelas funções.

REST

O método searchGrants da API Privileged Access Manager usado com a relação de autor da chamada HAD_CREATED procura permissões que você criou. Para verificar o status, procure o campo state na resposta.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • SCOPE: a organização, a pasta ou o projeto em que o direito de acesso está, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
  • ENTITLEMENT_ID: o ID do direito de acesso a que o acesso pertence.
  • FILTER: opcional. Retorna as concessões cujos valores de campo correspondem a uma expressão AIP-160.
  • PAGE_SIZE: opcional. O número de itens a serem retornados em uma resposta.
  • PAGE_TOKEN: opcional. A página em que a resposta vai começar, usando um token de página retornado em uma resposta anterior.

Método HTTP e URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Os status de concessão estão detalhados na tabela a seguir.

Status Descrição
ACTIVATING A concessão está sendo ativada.
ACTIVATION_FAILED O Privileged Access Manager não concedeu as funções devido a um erro não recuperável.
ACTIVE A concessão está ativa e o principal tem acesso aos recursos permitidos pelos papéis.
APPROVAL_AWAITED A solicitação de concessão está aguardando uma decisão de um aprovador.
DENIED A solicitação de concessão foi negada por um aprovador.
ENDED A concessão foi encerrada e as funções foram removidas do principal.
EXPIRED O pedido de concessão expirou porque a aprovação não foi concedida em 24 horas.
REVOKED A concessão é revogada, e o participante não tem mais acesso aos recursos permitidos pelas funções.
REVOKING A concessão está em processo de revogação.
WITHDRAWING A concessão está em processo de revogação.
CANCELADO A concessão é retirada, e o principal não tem mais acesso aos recursos permitidos pelas funções.