הצגה וייצוא של הגדרות Privileged Access Manager

משתמשים עם הרשאת צפייה בהגדרות של Privileged Access Manager יכולים לראות את ההגדרות של Privileged Access Manager בארגון, בתיקייה או בפרויקט. אפשר גם לייצא הגדרות באופן פרוגרמטי באמצעות Google Cloud CLI.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות לצפייה בהגדרות של Privileged Access Manager, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט:

כדי לראות את ההגדרות: צפייה בהגדרות PAM (roles/privilegedaccessmanager.settingsViewer)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות כדי לראות את ההגדרות של Privileged Access Manager. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לראות את ההגדרות של Privileged Access Manager, נדרשות ההרשאות הבאות:

כדי לראות את ההגדרות:
- privilegedaccessmanager.settings.get
- privilegedaccessmanager.settings.fetchEffective

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הצגת ההגדרות

המסוף

עוברים לדף Privileged Access Manager.

כניסה ל-Privileged Access Manager
בוחרים את הארגון, התיקייה או הפרויקט שרוצים לראות את ההגדרות של Privileged Access Manager.
לוחצים על הכרטיסייה הגדרות.

בדף הגדרות מוצגים פרטי ההגדרות של Privileged Access Manager עבור המשאב שנבחר.

gcloud

אפשר לראות את ההגדרות הבאות של משאב:

הגדרות פרטניות שמוגדרות ישירות במשאב.

ההגדרות האפקטיביות שהוגדרו במשאב או שעברו בירושה ממשאב ההורה.

הצגת ההגדרות של משאב מסוים

הפקודה gcloud alpha pam settings describe מציגה את ההגדרות של Privileged Access Manager.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: אופציונלי. סוג המשאב שרוצים לאחזר את ההגדרות שלו. אפשר להשתמש בערך organization,‏ folder או project.
‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud alpha pam settings describe \
    --location=global \
    -- RESOURCE_TYPE=RESOURCE_ID \

‏Windows (PowerShell)

gcloud alpha pam settings describe `
    --location=global `
    -- RESOURCE_TYPE=RESOURCE_ID `

Windows‏ (cmd.exe)

gcloud alpha pam settings describe ^
    --location=global ^
    -- RESOURCE_TYPE=RESOURCE_ID ^

אמורים לקבל תגובה שדומה לזו:

createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: ENABLED
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: ENABLED
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: ENABLED
      grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: true
updateTime: '2025-05-18T10:10:10.101010101Z'

הצגת ההגדרות שחלות על משאב

הפקודה gcloud alpha pam settings describe-effective מציגה את ההגדרות של Privileged Access Manager.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: אופציונלי. סוג המשאב שרוצים לאחזר את ההגדרות שלו. אפשר להשתמש בערך organization,‏ folder או project.
‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud alpha pam settings describe-effective \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID \

‏Windows (PowerShell)

gcloud alpha pam settings describe-effective `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID `

Windows‏ (cmd.exe)

gcloud alpha pam settings describe-effective ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID ^

אמורים לקבל תגובה שדומה לזו:

emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      notifyGrantActivated: true
      notifyGrantActivationFailed: true
      notifyGrantEnded: true
      notifyGrantExternallyModified: true
    approverNotifications:
      notifyPendingApproval: true
    requesterNotifications:
      notifyEntitlementAssigned: true
      notifyEntitlementUpdated: true
      notifyGrantActivated: true
      notifyGrantActivationFailed: true
      notifyGrantEnded: true
      notifyGrantExpired: true
      notifyGrantExternallyModified: true
      notifyGrantRevoked: true
parent: RESOURCE_TYPE/RESOURCE_ID/locations/global
serviceAccountApproverSettings: {}

REST

אפשר לראות את ההגדרות הבאות של משאב:

הגדרות פרטניות שמוגדרות ישירות במשאב.
ההגדרות האפקטיביות שהוגדרו במשאב או שעברו בירושה ממשאב ההורה.

הצגת ההגדרות של משאב מסוים

באמצעות getSettings ב-Privileged Access Manager API תוכלו להציג את ההגדרות של Privileged Access Manager.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫SCOPE: הארגון, התיקייה או הפרויקט שרוצים לאחזר את ההגדרות שלהם, בפורמט של organizations/ORGANIZATION_ID, folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
ה-method של ה-HTTP וכתובת ה-URL:
```
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
```
{
  "createTime": "2025-05-18T10:10:10.101010101Z",
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "ENABLED",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "ENABLED"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "ENABLED",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": true
  },
  "updateTime": "2025-05-18T10:10:10.101010101Z"
}
```
הצגת ההגדרות שחלות על משאב

באמצעות fetchEffectiveSettings ב-Privileged Access Manager API תוכלו להציג את ההגדרות של Privileged Access Manager.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ‫SCOPE: הארגון, התיקייה או הפרויקט שרוצים לאחזר את ההגדרות שלהם, בפורמט של organizations/ORGANIZATION_ID, folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
ה-method של ה-HTTP וכתובת ה-URL:
```
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings
```
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings"
```
‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings" | Select-Object -Expand Content
```
אתם אמורים לקבל תגובת JSON שדומה לזו:
```
{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "notifyGrantActivated": "true",
        "notifyGrantActivationFailed": "true",
        "notifyGrantEnded": "true",
        "notifyGrantExternallyModified": "true"
      },
      "approverNotifications": {
        "notifyPendingApproval": "true"
      },
      "requesterNotifications": {
        "notifyEntitlementAssigned": "true",
        "notifyEntitlementUpdated": "true",
        "notifyGrantActivated": "true",
        "notifyGrantActivationFailed": "true",
        "notifyGrantEnded": "true",
        "notifyGrantExpired": "true",
        "notifyGrantExternallyModified": "true",
        "notifyGrantRevoked": "true"
      }
    }
  },
  "parent": "SCOPE/locations/global",
  "serviceAccountApproverSettings": {}
}
```

ייצוא הגדרות באופן פרוגרמטי באמצעות ה-CLI של gcloud

הפקודה gcloud alpha pam settings export מאחזרת ומייצאת את ההגדרות של משאב ספציפי.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫FILENAME: שם הקובץ שאליו ייצאו התוכן של ההגדרות.
‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייך המשאב המתאים. אפשר להשתמש בערך organization,‏ folder או project.
‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud alpha pam settings export \
    --destination=FILENAME.yaml \
    --location=global \
    -- RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud alpha pam settings export `
    --destination=FILENAME.yaml `
    --location=global `
    -- RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud alpha pam settings export ^
    --destination=FILENAME.yaml ^
    --location=global ^
    -- RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

Exported [RESOURCE_TYPE/RESOURCE_ID/locations/global/settings] to FILENAME.yaml.

המאמרים הבאים

יצירת הרשאות

הצגה וייצוא של הגדרות Privileged Access Manager קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

ההרשאות הנדרשות

הצגת ההגדרות

המסוף

gcloud

הצגת ההגדרות של משאב מסוים

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

הצגת ההגדרות שחלות על משאב

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

הצגת ההגדרות של משאב מסוים

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

הצגת ההגדרות שחלות על משאב

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

ייצוא הגדרות באופן פרוגרמטי באמצעות ה-CLI של gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

המאמרים הבאים

הצגה וייצוא של הגדרות Privileged Access Manager