Como lector de la configuración de Privileged Access Manager, puedes ver la configuración de Privileged Access Manager de una organización, una carpeta o un proyecto. También puede exportar la configuración de forma programática mediante Google Cloud CLI.
Antes de empezar
Para obtener los permisos que necesitas para ver la configuración de Privileged Access Manager, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la organización, la carpeta o el proyecto:
-
Para ver la configuración, sigue estos pasos:
Visor de ajustes de PAM (
roles/privilegedaccessmanager.settingsViewer)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para ver la configuración de Privileged Access Manager. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para ver la configuración de Privileged Access Manager, se necesitan los siguientes permisos:
-
Para ver la configuración, sigue estos pasos:
-
privilegedaccessmanager.settings.get -
privilegedaccessmanager.settings.fetchEffective
-
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Ver configuración
Consola
Ve a la página Privileged Access Manager.
Selecciona la organización, la carpeta o el proyecto para los que quieras ver la configuración de Privileged Access Manager.
Haz clic en la pestaña Configuración.
En la página Configuración se muestran los detalles de la configuración de Privileged Access Manager del recurso seleccionado.
gcloud
Puede ver los siguientes ajustes de un recurso:
- Ajustes individuales que se definen directamente en el recurso.
La configuración en vigor que se ha definido en el recurso o que ha heredado de su recurso superior.
Ver la configuración individual de un recurso
El comando
gcloud alpha pam settings describemuestra los ajustes de Privileged Access Manager.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
RESOURCE_TYPE: opcional. El tipo de recurso del que quieres obtener la configuración. Usa el valororganization,folderoproject.RESOURCE_ID: se usa conRESOURCE_TYPE. El ID del proyecto, la carpeta o la organización Google Cloud para los que quieres gestionar los derechos. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud alpha pam settings describe \ --location=global \ -- RESOURCE_TYPE=RESOURCE_ID \
Windows (PowerShell)
gcloud alpha pam settings describe ` --location=global ` -- RESOURCE_TYPE=RESOURCE_ID `
Windows (cmd.exe)
gcloud alpha pam settings describe ^ --location=global ^ -- RESOURCE_TYPE=RESOURCE_ID ^
Deberías recibir una respuesta similar a la siguiente:
createTime: '2025-05-18T10:10:10.101010101Z' emailNotificationSettings: customNotificationBehavior: adminNotifications: grantActivated: ENABLED grantActivationFailed: DISABLED grantEnded: ENABLED grantExternallyModified: ENABLED approverNotifications: pendingApproval: ENABLED requesterNotifications: entitlementAssigned: ENABLED grantActivated: ENABLED grantExpired: ENABLED grantRevoked: ENABLED etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md" name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings serviceAccountApproverSettings: enabled: true updateTime: '2025-05-18T10:10:10.101010101Z'Ver la configuración en vigor de un recurso
El comando
gcloud alpha pam settings describe-effectivemuestra los ajustes de Privileged Access Manager.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
RESOURCE_TYPE: opcional. El tipo de recurso del que quieres obtener la configuración. Usa el valororganization,folderoproject.RESOURCE_ID: se usa conRESOURCE_TYPE. El ID del proyecto, la carpeta o la organización Google Cloud para los que quieres gestionar los derechos. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud alpha pam settings describe-effective \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID \
Windows (PowerShell)
gcloud alpha pam settings describe-effective ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID `
Windows (cmd.exe)
gcloud alpha pam settings describe-effective ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID ^
Deberías recibir una respuesta similar a la siguiente:
emailNotificationSettings: customNotificationBehavior: adminNotifications: notifyGrantActivated: true notifyGrantActivationFailed: true notifyGrantEnded: true notifyGrantExternallyModified: true approverNotifications: notifyPendingApproval: true requesterNotifications: notifyEntitlementAssigned: true notifyEntitlementUpdated: true notifyGrantActivated: true notifyGrantActivationFailed: true notifyGrantEnded: true notifyGrantExpired: true notifyGrantExternallyModified: true notifyGrantRevoked: true parent: RESOURCE_TYPE/RESOURCE_ID/locations/global serviceAccountApproverSettings: {}
REST
Puede ver los siguientes ajustes de un recurso:
- Ajustes individuales que se definen directamente en el recurso.
La configuración en vigor que se ha definido en el recurso o que ha heredado de su recurso superior.
Ver la configuración individual de un recurso
El método
getSettingsde la API Privileged Access Manager permite ver la configuración de Privileged Access Manager.Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
SCOPE: la organización, la carpeta o el proyecto del que quieras obtener la configuración, con el siguiente formato:organizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Método HTTP y URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{ "createTime": "2025-05-18T10:10:10.101010101Z", "emailNotificationSettings": { "customNotificationBehavior": { "adminNotifications": { "grantActivated": "ENABLED", "grantActivationFailed": "DISABLED", "grantEnded": "ENABLED", "grantExternallyModified": "ENABLED" }, "approverNotifications": { "pendingApproval": "ENABLED" }, "requesterNotifications": { "entitlementAssigned": "ENABLED", "grantActivated": "ENABLED", "grantExpired": "ENABLED", "grantRevoked": "ENABLED" } } }, "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"", "name": "SCOPE/locations/global/settings", "serviceAccountApproverSettings": { "enabled": true }, "updateTime": "2025-05-18T10:10:10.101010101Z" }Ver la configuración en vigor de un recurso
El método
fetchEffectiveSettingsde la API Privileged Access Manager permite ver la configuración de Privileged Access Manager.Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
SCOPE: la organización, la carpeta o el proyecto del que quieras obtener la configuración, con el siguiente formato:organizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Método HTTP y URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{ "emailNotificationSettings": { "customNotificationBehavior": { "adminNotifications": { "notifyGrantActivated": "true", "notifyGrantActivationFailed": "true", "notifyGrantEnded": "true", "notifyGrantExternallyModified": "true" }, "approverNotifications": { "notifyPendingApproval": "true" }, "requesterNotifications": { "notifyEntitlementAssigned": "true", "notifyEntitlementUpdated": "true", "notifyGrantActivated": "true", "notifyGrantActivationFailed": "true", "notifyGrantEnded": "true", "notifyGrantExpired": "true", "notifyGrantExternallyModified": "true", "notifyGrantRevoked": "true" } } }, "parent": "SCOPE/locations/global", "serviceAccountApproverSettings": {} }
Exportar la configuración mediante programación con la CLI de gcloud
El comando
gcloud alpha pam settings export
recupera y exporta los ajustes de un recurso específico.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
FILENAME: nombre del archivo al que se exportará el contenido de los ajustes.RESOURCE_TYPE: opcional. El tipo de recurso al que pertenece el recurso correspondiente. Usa el valororganization,folderoproject.RESOURCE_ID: se usa conRESOURCE_TYPE. El ID del proyecto, la carpeta o la organización Google Cloud para los que quieras gestionar los derechos. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud alpha pam settings export \ --destination=FILENAME.yaml \ --location=global \ -- RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam settings export ` --destination=FILENAME.yaml ` --location=global ` -- RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam settings export ^ --destination=FILENAME.yaml ^ --location=global ^ -- RESOURCE_TYPE=RESOURCE_ID
Deberías recibir una respuesta similar a la siguiente:
Exported [RESOURCE_TYPE/RESOURCE_ID/locations/global/settings] to FILENAME.yaml.