Se usó la API de Cloud Translation para traducir esta página.

Cómo ver y exportar la configuración de Privileged Access Manager

Como visualizador de la configuración de Privileged Access Manager, puedes ver la configuración de Privileged Access Manager para una organización, una carpeta o un proyecto. También puedes exportar la configuración de forma programática con Google Cloud CLI.

Antes de comenzar

Para obtener los permisos que necesitas para ver la configuración del Administrador de acceso privilegiado, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización, la carpeta o el proyecto:

Para ver la configuración: Visualizador de configuración de PAM (roles/privilegedaccessmanager.settingsViewer)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para ver la configuración de Privileged Access Manager. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para ver la configuración del Administrador de acceso con privilegios:

Sigue estos pasos para ver la configuración:
- privilegedaccessmanager.settings.get
- privilegedaccessmanager.settings.fetchEffective

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Ver configuración

Console

Ve a la página Privileged Access Manager.

Ir a Privileged Access Manager
Selecciona la organización, la carpeta o el proyecto para el que deseas ver la configuración de Privileged Access Manager.
Haz clic en la pestaña Configuración.

En la página Configuración, se muestran los detalles de configuración de Privileged Access Manager para el recurso seleccionado.

gcloud

Puedes ver los siguientes parámetros de configuración de un recurso:

Parámetros de configuración individuales que se establecen directamente en el recurso

Configuración efectiva que se establece en el recurso o se hereda de su recurso superior.

Cómo ver la configuración individual de un recurso

El comando gcloud alpha pam settings describe muestra la configuración de Privileged Access Manager.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Opcional Es el tipo de recurso para el que deseas recuperar la configuración. Usa el valor organization, folder o project.
RESOURCE_ID: Se usa con RESOURCE_TYPE. Es el ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas administrar los derechos. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud alpha pam settings describe \
    --location=global \
    -- RESOURCE_TYPE=RESOURCE_ID \

Windows (PowerShell)

gcloud alpha pam settings describe `
    --location=global `
    -- RESOURCE_TYPE=RESOURCE_ID `

Windows (cmd.exe)

gcloud alpha pam settings describe ^
    --location=global ^
    -- RESOURCE_TYPE=RESOURCE_ID ^

Deberías recibir una respuesta similar a la que figura a continuación:

createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: ENABLED
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: ENABLED
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: ENABLED
      grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: true
updateTime: '2025-05-18T10:10:10.101010101Z'

Cómo ver la configuración vigente en un recurso

El comando gcloud alpha pam settings describe-effective muestra la configuración de Privileged Access Manager.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Opcional Es el tipo de recurso para el que deseas recuperar la configuración. Usa el valor organization, folder o project.
RESOURCE_ID: Se usa con RESOURCE_TYPE. Es el ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas administrar los derechos. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud alpha pam settings describe-effective \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID \

Windows (PowerShell)

gcloud alpha pam settings describe-effective `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID `

Windows (cmd.exe)

gcloud alpha pam settings describe-effective ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID ^

Deberías recibir una respuesta similar a la que figura a continuación:

emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      notifyGrantActivated: true
      notifyGrantActivationFailed: true
      notifyGrantEnded: true
      notifyGrantExternallyModified: true
    approverNotifications:
      notifyPendingApproval: true
    requesterNotifications:
      notifyEntitlementAssigned: true
      notifyEntitlementUpdated: true
      notifyGrantActivated: true
      notifyGrantActivationFailed: true
      notifyGrantEnded: true
      notifyGrantExpired: true
      notifyGrantExternallyModified: true
      notifyGrantRevoked: true
parent: RESOURCE_TYPE/RESOURCE_ID/locations/global
serviceAccountApproverSettings: {}

REST

Puedes ver los siguientes parámetros de configuración de un recurso:

Parámetros de configuración individuales que se establecen directamente en el recurso
Configuración efectiva que se establece en el recurso o se hereda de su recurso superior.

Cómo ver la configuración individual de un recurso

El método getSettings de la API de Privileged Access Manager visualiza la configuración de Privileged Access Manager.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- SCOPE: La organización, la carpeta o el proyecto para el que deseas recuperar la configuración, en el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
Método HTTP y URL:
```
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings
```
Para enviar tu solicitud, expande una de estas opciones:
curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings"
```
PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings" | Select-Object -Expand Content
```
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
```
{
  "createTime": "2025-05-18T10:10:10.101010101Z",
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "ENABLED",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "ENABLED"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "ENABLED",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": true
  },
  "updateTime": "2025-05-18T10:10:10.101010101Z"
}
```
Cómo ver la configuración vigente en un recurso

El método fetchEffectiveSettings de la API de Privileged Access Manager visualiza la configuración de Privileged Access Manager.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- SCOPE: La organización, la carpeta o el proyecto para el que deseas recuperar la configuración, en el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
Método HTTP y URL:
```
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings
```
Para enviar tu solicitud, expande una de estas opciones:
curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings"
```
PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings" | Select-Object -Expand Content
```
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
```
{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "notifyGrantActivated": "true",
        "notifyGrantActivationFailed": "true",
        "notifyGrantEnded": "true",
        "notifyGrantExternallyModified": "true"
      },
      "approverNotifications": {
        "notifyPendingApproval": "true"
      },
      "requesterNotifications": {
        "notifyEntitlementAssigned": "true",
        "notifyEntitlementUpdated": "true",
        "notifyGrantActivated": "true",
        "notifyGrantActivationFailed": "true",
        "notifyGrantEnded": "true",
        "notifyGrantExpired": "true",
        "notifyGrantExternallyModified": "true",
        "notifyGrantRevoked": "true"
      }
    }
  },
  "parent": "SCOPE/locations/global",
  "serviceAccountApproverSettings": {}
}
```

Exporta la configuración de forma programática con gcloud CLI

El comando gcloud alpha pam settings export recupera y exporta la configuración de un recurso específico.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

FILENAME: Es el nombre del archivo al que se exportará el contenido de la configuración.
RESOURCE_TYPE: Opcional Es el tipo de recurso al que pertenece el recurso correspondiente. Usa el valor organization, folder o project.
RESOURCE_ID: Se usa con RESOURCE_TYPE. Es el ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas administrar los derechos. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud alpha pam settings export \
    --destination=FILENAME.yaml \
    --location=global \
    -- RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam settings export `
    --destination=FILENAME.yaml `
    --location=global `
    -- RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam settings export ^
    --destination=FILENAME.yaml ^
    --location=global ^
    -- RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

Exported [RESOURCE_TYPE/RESOURCE_ID/locations/global/settings] to FILENAME.yaml.

¿Qué sigue?

Crea derechos

Cómo ver y exportar la configuración de Privileged Access Manager Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Permisos necesarios

Ver configuración

Console

gcloud

Cómo ver la configuración individual de un recurso

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Cómo ver la configuración vigente en un recurso

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

Cómo ver la configuración individual de un recurso

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Cómo ver la configuración vigente en un recurso

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Exporta la configuración de forma programática con gcloud CLI

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

¿Qué sigue?

Cómo ver y exportar la configuración de Privileged Access Manager