En tant que lecteur des paramètres de Privileged Access Manager, vous pouvez afficher les paramètres de Privileged Access Manager pour une organisation, un dossier ou un projet. Vous pouvez également exporter les paramètres de manière programmatique à l'aide de Google Cloud CLI.
Avant de commencer
Pour obtenir les autorisations nécessaires pour afficher les paramètres du gestionnaire d'accès privilégié, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation, le dossier ou le projet :
-
Pour afficher les paramètres :
Lecteur des paramètres PAM (
roles/privilegedaccessmanager.settingsViewer)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour afficher les paramètres du gestionnaire d'accès privilégié. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour afficher les paramètres de Privileged Access Manager :
-
Pour afficher les paramètres :
-
privilegedaccessmanager.settings.get -
privilegedaccessmanager.settings.fetchEffective
-
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Afficher les paramètres
Console
Accédez à la page Privileged Access Manager.
Sélectionnez l'organisation, le dossier ou le projet pour lequel vous souhaitez afficher les paramètres de Privileged Access Manager.
Cliquez sur l'onglet Paramètres.
La page Paramètres affiche les détails des paramètres de Privileged Access Manager pour la ressource sélectionnée.
gcloud
Vous pouvez afficher les paramètres suivants pour une ressource :
- Paramètres individuels définis directement sur la ressource.
Les paramètres effectifs définis sur la ressource ou hérités de sa ressource parente.
Afficher les paramètres individuels d'une ressource
La commande
gcloud alpha pam settings describeaffiche les paramètres de Privileged Access Manager.Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
RESOURCE_TYPE: facultatif. Type de ressource pour lequel vous souhaitez récupérer les paramètres. Utilisez la valeurorganization,folderouproject.RESOURCE_ID: utilisé avecRESOURCE_TYPE. ID du projet, du dossier ou de l'organisation Google Cloudpour lequel/laquelle vous souhaitez gérer les droits d'accès. Les ID de projet sont des chaînes alphanumériques, telles quemy-project. Les ID de dossiers et d'organisations sont numériques, tels que123456789012.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud alpha pam settings describe \ --location=global \ -- RESOURCE_TYPE=RESOURCE_ID \
Windows (PowerShell)
gcloud alpha pam settings describe ` --location=global ` -- RESOURCE_TYPE=RESOURCE_ID `
Windows (cmd.exe)
gcloud alpha pam settings describe ^ --location=global ^ -- RESOURCE_TYPE=RESOURCE_ID ^
Vous devriez obtenir un résultat semblable à celui-ci :
createTime: '2025-05-18T10:10:10.101010101Z' emailNotificationSettings: customNotificationBehavior: adminNotifications: grantActivated: ENABLED grantActivationFailed: DISABLED grantEnded: ENABLED grantExternallyModified: ENABLED approverNotifications: pendingApproval: ENABLED requesterNotifications: entitlementAssigned: ENABLED grantActivated: ENABLED grantExpired: ENABLED grantRevoked: ENABLED etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md" name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings serviceAccountApproverSettings: enabled: true updateTime: '2025-05-18T10:10:10.101010101Z'Afficher les paramètres efficaces d'une ressource
La commande
gcloud alpha pam settings describe-effectiveaffiche les paramètres de Privileged Access Manager.Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
RESOURCE_TYPE: facultatif. Type de ressource pour lequel vous souhaitez récupérer les paramètres. Utilisez la valeurorganization,folderouproject.RESOURCE_ID: utilisé avecRESOURCE_TYPE. ID du projet, du dossier ou de l'organisation Google Cloudpour lequel/laquelle vous souhaitez gérer les droits d'accès. Les ID de projet sont des chaînes alphanumériques, telles quemy-project. Les ID de dossiers et d'organisations sont numériques, tels que123456789012.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud alpha pam settings describe-effective \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID \
Windows (PowerShell)
gcloud alpha pam settings describe-effective ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID `
Windows (cmd.exe)
gcloud alpha pam settings describe-effective ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID ^
Vous devriez obtenir un résultat semblable à celui-ci :
emailNotificationSettings: customNotificationBehavior: adminNotifications: notifyGrantActivated: true notifyGrantActivationFailed: true notifyGrantEnded: true notifyGrantExternallyModified: true approverNotifications: notifyPendingApproval: true requesterNotifications: notifyEntitlementAssigned: true notifyEntitlementUpdated: true notifyGrantActivated: true notifyGrantActivationFailed: true notifyGrantEnded: true notifyGrantExpired: true notifyGrantExternallyModified: true notifyGrantRevoked: true parent: RESOURCE_TYPE/RESOURCE_ID/locations/global serviceAccountApproverSettings: {}
REST
Vous pouvez afficher les paramètres suivants pour une ressource :
- Paramètres individuels définis directement sur la ressource.
Les paramètres effectifs définis sur la ressource ou hérités de sa ressource parente.
Afficher les paramètres individuels d'une ressource
La méthode
getSettingsde l'API Privileged Access Manager permet d'afficher les paramètres de Privileged Access Manager.Avant d'utiliser les données de requête, effectuez les remplacements suivants :
SCOPE: organisation, dossier ou projet pour lequel vous souhaitez récupérer les paramètres, au formatorganizations/ORGANIZATION_ID,folders/FOLDER_IDouprojects/PROJECT_ID. Les ID de projet sont des chaînes alphanumériques, telles quemy-project. Les ID de dossier et d'organisation sont des valeurs numériques, telles que123456789012.
Méthode HTTP et URL :
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{ "createTime": "2025-05-18T10:10:10.101010101Z", "emailNotificationSettings": { "customNotificationBehavior": { "adminNotifications": { "grantActivated": "ENABLED", "grantActivationFailed": "DISABLED", "grantEnded": "ENABLED", "grantExternallyModified": "ENABLED" }, "approverNotifications": { "pendingApproval": "ENABLED" }, "requesterNotifications": { "entitlementAssigned": "ENABLED", "grantActivated": "ENABLED", "grantExpired": "ENABLED", "grantRevoked": "ENABLED" } } }, "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"", "name": "SCOPE/locations/global/settings", "serviceAccountApproverSettings": { "enabled": true }, "updateTime": "2025-05-18T10:10:10.101010101Z" }Afficher les paramètres efficaces d'une ressource
La méthode
fetchEffectiveSettingsde l'API Privileged Access Manager permet d'afficher les paramètres de Privileged Access Manager.Avant d'utiliser les données de requête, effectuez les remplacements suivants :
SCOPE: organisation, dossier ou projet pour lequel vous souhaitez récupérer les paramètres, au formatorganizations/ORGANIZATION_ID,folders/FOLDER_IDouprojects/PROJECT_ID. Les ID de projet sont des chaînes alphanumériques, telles quemy-project. Les ID de dossier et d'organisation sont des valeurs numériques, telles que123456789012.
Méthode HTTP et URL :
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{ "emailNotificationSettings": { "customNotificationBehavior": { "adminNotifications": { "notifyGrantActivated": "true", "notifyGrantActivationFailed": "true", "notifyGrantEnded": "true", "notifyGrantExternallyModified": "true" }, "approverNotifications": { "notifyPendingApproval": "true" }, "requesterNotifications": { "notifyEntitlementAssigned": "true", "notifyEntitlementUpdated": "true", "notifyGrantActivated": "true", "notifyGrantActivationFailed": "true", "notifyGrantEnded": "true", "notifyGrantExpired": "true", "notifyGrantExternallyModified": "true", "notifyGrantRevoked": "true" } } }, "parent": "SCOPE/locations/global", "serviceAccountApproverSettings": {} }
Exporter les paramètres de manière programmatique à l'aide de gcloud CLI
La commande gcloud alpha pam settings export récupère et exporte les paramètres d'une ressource spécifique.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
FILENAME: nom du fichier dans lequel exporter le contenu des paramètres.RESOURCE_TYPE: facultatif. Type de ressource auquel appartient la ressource correspondante. Utilisez la valeurorganization,folderouproject.RESOURCE_ID: utilisé avecRESOURCE_TYPE. ID du projet, du dossier ou de l'organisation Google Cloud pour lequel/laquelle vous souhaitez gérer les droits d'accès. Les ID de projet sont des chaînes alphanumériques, telles quemy-project. Les ID de dossier et d'organisation sont numériques, tels que123456789012.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud alpha pam settings export \ --destination=FILENAME.yaml \ --location=global \ -- RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam settings export ` --destination=FILENAME.yaml ` --location=global ` -- RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam settings export ^ --destination=FILENAME.yaml ^ --location=global ^ -- RESOURCE_TYPE=RESOURCE_ID
Vous devriez obtenir un résultat semblable à celui-ci :
Exported [RESOURCE_TYPE/RESOURCE_ID/locations/global/settings] to FILENAME.yaml.