透過 Privileged Access Manager 要求暫時提升的存取權

如要暫時提升權限,您可以在 Privileged Access Manager (PAM) 中,針對授權要求在固定時間內獲得授權。

授權包含在授權要求成功後授予您的角色。授權結束時,Privileged Access Manager 會移除這些角色。

如要針對權利要求授予權限,請注意下列事項:

  • 您只能針對已新增的權利要求授權。 如要新增至權利,請與管理權利的主體聯絡。

  • 每個授權一次最多可有五個開放授權;這些授權可處於 ActiveApproval awaited 狀態。

  • 您無法要求與 ActiveApproval awaited 狀態的現有授權相同範圍的授權。

  • 視設定方式而定,授權要求可能需要經過核准才能授予。

  • 如果授權要求需要核准,且在 24 小時內未獲核准或遭拒,授權狀態就會變更為 Expired。之後,如果仍需要提升權限,就必須提出新的授權要求。

  • 成功授予存取權後,可能需要幾分鐘的時間才會生效。

要求授予權限

控制台

  1. 前往「Privileged Access Manager」頁面。

    前往 Privileged Access Manager

  2. 選取要申請補助的機構、資料夾或專案。

  3. 在「我的權利」分頁中,找出要提出要求的權利,然後點選同一列中的「要求授權」

    如果是從上層資料夾或組織繼承的授權,系統會自動將授予項目的範圍調整為所選組織、資料夾或專案。您可以在子資源層級,要求授予沿用權限。這項功能目前為預先發布版

  4. 如果是在機構層級啟用 Security Command Center Premium 或 Enterprise 級,您可以自訂授予要求範圍,只納入部分特定角色和資源。這項功能目前為預先發布版

    1. 開啟「自訂範圍」切換按鈕。
    2. 新增必要的資源篩選條件。 最多可新增五個資源篩選器。
    3. 選取必要角色。

  5. 請提供下列詳細資料:

    • 授權的必要時間長度,最長不得超過授權設定的時間長度上限。

    • 如有需要,請提供授權理由。

    • 選用:通知電子郵件地址。

      系統會自動通知與授權相關聯的 Google 身分,例如核准者和要求者。不過,如要通知其他使用者,可以新增對方的電子郵件地址。如果您使用員工身分而非 Google 帳戶,這項功能就特別實用。

  6. 按一下「申請補助」

gcloud

你可以透過下列任一方式申請補助:

要求授予權限

gcloud alpha pam grants create 指令會要求授權。

使用下列任何指令資料之前,請先替換以下項目:

  • ENTITLEMENT_ID:要用來建立授權的權利 ID。
  • GRANT_DURATION:要求的授權時間長度,以秒為單位。
  • JUSTIFICATION:要求授予權限的理由。
  • EMAIL_ADDRESS:選用。要接收授權要求通知的其他電子郵件地址。系統會自動通知與核准者相關聯的 Google 身分。不過,您可能需要通知一組不同的電子郵件地址,特別是使用 員工身分聯盟時。
  • RESOURCE_TYPE:選用。權利所屬的資源類型。請使用 organizationfolderproject 值。
  • RESOURCE_ID:與 RESOURCE_TYPE 搭配使用。要管理權限的 Google Cloud專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。 資料夾和機構 ID 為數字,例如 123456789012

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

您應該會收到類似以下的回應:

Created [GRANT_ID].

要求授予權限給授權的子項資源

gcloud alpha pam grants create 指令會要求授權。

使用下列任何指令資料之前,請先替換以下項目:

  • ENTITLEMENT_ID:要用來建立授權的權利 ID。
  • GRANT_DURATION:要求的授權時間長度,以秒為單位。
  • JUSTIFICATION:要求授予權限的理由。
  • EMAIL_ADDRESS:選用。要接收授權要求通知的其他電子郵件地址。系統會自動通知與核准者相關聯的 Google 身分。不過,您可能需要通知一組不同的電子郵件地址,特別是使用 員工身分聯盟時。
  • RESOURCE_TYPE:選用。要授予存取權的 Google Cloud 資源類型。這項設定可用於自訂授予子項資源的範圍。
  • RESOURCE_ID:與 RESOURCE_TYPE 搭配使用。要管理權限的 Google Cloud專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。 資料夾和機構 ID 為數字,例如 123456789012
  • REQUESTED_RESOURCE:選用。您希望獲得存取權的 Google Cloud 資源。這項設定可用於自訂授予子項資源的範圍。格式:RESOURCE_TYPE/RESOURCE_ID。例如:projects/PROJECT_IDfolders/FOLDER_IDorganizations/ORGANIZATION_ID

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

您應該會收到類似以下的回應:

Created [GRANT_ID].

要求授予精細範圍的權限

gcloud alpha pam grants create 指令會要求授權。

使用下列任何指令資料之前,請先替換以下項目:

  • ENTITLEMENT_ROLE_BINDING_ID:選用。要從權利授予的角色角色繫結 ID。
  • ACCESS_RESTRICTION_NAME:選用。要限制存取權的資源名稱。如要瞭解格式,請參閱「資源名稱格式」。
  • ACCESS_RESTRICTION_PREFIX:選用。要限制存取權的資源名稱前置字串。如要瞭解格式,請參閱「資源名稱格式」。
  • RESOURCE_TYPE:選用。權利所屬的資源類型。請使用 organizationfolderproject 值。
  • RESOURCE_ID:與 RESOURCE_TYPE 搭配使用。要管理權限的 Google Cloud專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。 資料夾和機構 ID 為數字,例如 123456789012
  • REQUESTED_RESOURCE_TYPE。選用。要授予存取權的 Google Cloud 資源類型。這項設定可用於自訂授予子項資源的範圍。
  • REQUESTED_RESOURCE:選用。您希望獲得存取權的 Google Cloud 資源。這項設定可用於自訂授予子項資源的範圍。格式:RESOURCE_TYPE/RESOURCE_ID。例如:projects/PROJECT_IDfolders/FOLDER_IDorganizations/ORGANIZATION_ID

將下列內容儲存到名為 requested-scope.yaml 的檔案: 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

您應該會收到類似以下的回應:

Created [GRANT_ID].

REST

  1. 搜尋符合資格的授權。

    Privileged Access Manager API 的 searchEntitlements 方法會使用 GRANT_REQUESTER 呼叫端存取類型,搜尋您可以要求授權的權利。

    使用任何要求資料之前,請先替換以下項目:

    • SCOPE:授權所在的機構、資料夾或專案,格式為 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 都是數字,例如 123456789012
    • FILTER:選用。傳回欄位值符合 AIP-160 運算式的授權。
    • PAGE_SIZE:選用。要在回應中傳回的項目數。
    • PAGE_TOKEN:選用。要從哪個頁面開始回應,使用先前回應中傳回的頁面權杖。

    HTTP 方法和網址:

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    如要傳送要求,請展開以下其中一個選項:

    您應該會收到如下的 JSON 回應:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. 要求授予授權。

    Privileged Access Manager API 的 createGrant 方法會要求授權。

    使用任何要求資料之前,請先替換以下項目:

    • SCOPE:授權所在的機構、資料夾或專案,格式為 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 都是數字,例如 123456789012
    • ENTITLEMENT_ID:要用來建立授權的權利 ID。
    • REQUEST_ID:選用。必須為非零 UUID。 如果伺服器收到含有要求 ID 的要求,會檢查過去 60 分鐘內是否已完成具有該 ID 的其他要求。如果是,系統會忽略新要求。
    • GRANT_DURATION:要求的授權時間長度,以秒為單位。
    • JUSTIFICATION:要求授予權限的理由。
    • EMAIL_ADDRESS:選用。要接收授權要求通知的其他電子郵件地址。系統會自動通知與核准者相關聯的 Google 身分。不過,您可能需要通知一組不同的電子郵件地址,特別是使用 員工身分聯盟時。
    • ENTITLEMENT_ROLE_BINDING_ID:選用。要從授權授予的角色繫結 ID。
    • ACCESS_RESTRICTION_NAME:選用。要限制存取權的資源名稱。如要瞭解格式,請參閱「資源名稱格式」。
    • ACCESS_RESTRICTION_PREFIX:選用。要限制存取權的資源名稱前置字串。如要瞭解格式,請參閱「資源名稱格式」。

    HTTP 方法和網址:

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    JSON 要求主體:

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    如要傳送要求,請展開以下其中一個選項:

    您應該會收到如下的 JSON 回應:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

查看補助申請狀態

控制台

  1. 前往「Privileged Access Manager」頁面。

    前往 Privileged Access Manager

  2. 選取要查看補助金的機構、資料夾或專案。

  3. 在「補助金」分頁中,按一下「我的補助金」

    補助金可能處於下列其中一種狀態:

    狀態 說明
    啟用中 正在啟用補助金。
    啟用失敗 發生無法重試的錯誤,因此 Privileged Access Manager 無法授予角色。
    有效 授權有效,且主體可存取角色允許的資源。
    等待核准 授予要求正在等待核准者做出決定。
    已拒絕 核准者已拒絕授權要求。
    已結束 授權已終止,且主體已移除角色。
    已過期 由於未在 24 小時內核准,授權要求已過期。
    已撤銷 授權遭撤銷,主體無法再存取角色允許的資源。
    正在撤銷 系統正在撤銷授予項目。
    提款 系統正在撤銷授權。
    已撤銷 授權遭撤銷,主體無法再存取角色允許的資源。

gcloud

搭配 had-created 呼叫端關係使用的 gcloud alpha pam grants search 指令會搜尋您建立的授權。如要查看狀態,請在回應中尋找 state 欄位。

使用下列任何指令資料之前,請先替換以下項目:

  • ENTITLEMENT_ID:授權所屬的權利 ID。
  • RESOURCE_TYPE:選用。權利所屬的資源類型。請使用 organizationfolderproject 值。
  • RESOURCE_ID:與 RESOURCE_TYPE 搭配使用。要管理權限的 Google Cloud專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。 資料夾和機構 ID 為數字,例如 123456789012

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

您應該會收到類似以下的回應:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

補助金可能處於下列狀態:

狀態 說明
啟用中 正在啟用補助金。
ACTIVATION_FAILED 發生無法重試的錯誤,因此 Privileged Access Manager 無法授予角色。
ACTIVE 授權有效,且主體可存取角色允許的資源。
APPROVAL_AWAITED 授予要求正在等待核准者做出決定。
禁止所有人使用 核准者已拒絕授權要求。
已結束 授權已終止,且主體已移除角色。
已過期 由於未在 24 小時內核准,授權要求已過期。
已撤銷 授權遭撤銷,主體無法再存取角色允許的資源。
撤銷 系統正在撤銷授予項目。
WITHDRAWING 系統正在撤銷授權。
已退出計畫 授權遭撤銷,主體無法再存取角色允許的資源。

REST

Privileged Access Manager API 的 searchGrants 方法會搭配 HAD_CREATED 呼叫端關係使用,搜尋您建立的授權。如要查看狀態,請在回應中尋找 state 欄位。

使用任何要求資料之前,請先替換以下項目:

  • SCOPE:授權所在的機構、資料夾或專案,格式為 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 都是數字,例如 123456789012
  • ENTITLEMENT_ID:授權所屬的權利 ID。
  • FILTER:選用。傳回欄位值符合 AIP-160 運算式的授權。
  • PAGE_SIZE:選用。要在回應中傳回的項目數。
  • PAGE_TOKEN:選用。要從哪個頁面開始回應,使用先前回應中傳回的頁面權杖。

HTTP 方法和網址:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

如要傳送要求,請展開以下其中一個選項:

您應該會收到如下的 JSON 回應:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

下表詳細說明瞭補助金狀態。

狀態 說明
啟用中 正在啟用補助金。
ACTIVATION_FAILED 發生無法重試的錯誤,因此 Privileged Access Manager 無法授予角色。
ACTIVE 授權有效,且主體可存取角色允許的資源。
APPROVAL_AWAITED 授予要求正在等待核准者做出決定。
禁止所有人使用 核准者已拒絕授權要求。
已結束 授權已終止,且主體已移除角色。
已過期 由於未在 24 小時內核准,授權要求已過期。
已撤銷 授權遭撤銷,主體無法再存取角色允許的資源。
撤銷 系統正在撤銷授予項目。
WITHDRAWING 系統正在撤銷授權。
已退出計畫 授權遭撤銷,主體無法再存取角色允許的資源。